Controlli di conformità alle normative di Criteri di Azure per Macchine virtuali di Azure
Si applica a: ✔️ macchine virtuali Linux ✔️ macchine virtuali Windows ✔️ set di scalabilità flessibili ✔️ set di scalabilità uniformi
La conformità alle normative di Criteri di Azure offre definizioni di iniziative create e gestite da Microsoft, note come definizioni predefinite, per i domini di conformità e i controlli di sicurezza correlati a diversi standard di conformità. Questa pagina elenca i domini di conformità e i controlli di sicurezza per Macchine virtuali di Azure. È possibile assegnare singolarmente i criteri predefiniti per un controllo di sicurezza in modo da rendere le risorse di Azure conformi allo standard specifico.
Il titolo di ogni definizione di criterio predefinita punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione del criterio per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Importante
Ogni controllo è associato a una o più definizioni di Criteri di Azure. Questi criteri possono essere utili per valutare la conformità con il controllo. Tuttavia, spesso non esiste una corrispondenza uno-a-uno o completa tra un controllo e uno o più criteri. Di conseguenza, il termine Conforme in Criteri di Azure si riferisce solo ai criteri stessi. Questo non garantisce la conformità completa a tutti i requisiti di un controllo. Inoltre, in questo momento lo standard di conformità include controlli che non vengono gestiti da alcuna definizione di Criteri di Azure. La conformità in Criteri di Azure è quindi solo una visualizzazione parziale dello stato di conformità generale. Le associazioni tra i controlli e le definizioni di conformità alle normative di Criteri di Azure per questi standard di conformità possono cambiare nel tempo.
Australian Government ISM PROTECTED
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - Australian Government ISM PROTECTED. Per altre informazioni su questo standard di conformità, vedere Australian Government ISM PROTECTED.
Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
---|---|---|---|---|
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 415 | Identificazione utente - 415 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 415 | Identificazione utente - 415 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 415 | Identificazione utente - 415 | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 415 | Identificazione utente - 415 | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata dell'autenticazione | 421 | Autenticazione a fattore singolo - 421 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata dell'autenticazione | 421 | Autenticazione a fattore singolo - 421 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata dell'autenticazione | 421 | Autenticazione a fattore singolo - 421 | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata dell'autenticazione | 421 | Autenticazione a fattore singolo - 421 | I computer Windows devono soddisfare i requisiti per 'Impostazioni di sicurezza - Criteri account' | 3.0.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 445 | Accesso privilegiato ai sistemi - 445 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 445 | Accesso privilegiato ai sistemi - 445 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 445 | Accesso privilegiato ai sistemi - 445 | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 445 | Accesso privilegiato ai sistemi - 445 | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Linee guida per la crittografia - Nozioni fondamentali sulla crittografia | 459 | Crittografia dei dati inattivi - 459 | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
Linee guida per il monitoraggio dei sistemi - Registrazione e controllo degli eventi | 582 | Eventi da registrare - 582 | Le macchine virtuali devono essere connesse a un'area di lavoro specificata | 1.1.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 940 | Quando applicare patch per le vulnerabilità di sicurezza - 940 | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 940 | Quando applicare patch per le vulnerabilità di sicurezza - 940 | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 940 | Quando applicare patch per le vulnerabilità di sicurezza - 940 | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 940 | Quando applicare patch per le vulnerabilità di sicurezza - 940 | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
Linee guida per la crittografia - Transport Layer Security | 1139 | Uso di Transport Layer Security - 1139 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Linee guida per la crittografia - Transport Layer Security | 1139 | Uso di Transport Layer Security - 1139 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Linee guida per la crittografia - Transport Layer Security | 1139 | Uso di Transport Layer Security - 1139 | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Linee guida per la crittografia - Transport Layer Security | 1139 | Uso di Transport Layer Security - 1139 | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1144 | Quando applicare patch per le vulnerabilità di sicurezza - 1144 | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1144 | Quando applicare patch per le vulnerabilità di sicurezza - 1144 | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1144 | Quando applicare patch per le vulnerabilità di sicurezza - 1144 | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1144 | Quando applicare patch per le vulnerabilità di sicurezza - 1144 | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
Linee guida per la rete - Progettazione e configurazione della rete | 1182 | Controlli di accesso alla rete - 1182 | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
Linee guida per la rete - Progettazione e configurazione della rete | 1182 | Controlli di accesso alla rete - 1182 | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Linee guida per i sistemi di database - Server di database | 1277 | Comunicazioni tra server di database e server Web - 1277 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Linee guida per i sistemi di database - Server di database | 1277 | Comunicazioni tra server di database e server Web - 1277 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Linee guida per i sistemi di database - Server di database | 1277 | Comunicazioni tra server di database e server Web - 1277 | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Linee guida per i sistemi di database - Server di database | 1277 | Comunicazioni tra server di database e server Web - 1277 | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
Linee guida per i gateway - Filtro del contenuto | 1288 | Analisi antivirus - 1288 | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
Linee guida per i gateway - Filtro del contenuto | 1288 | Analisi antivirus - 1288 | È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows | 1.1.0 |
Linee guida per i gateway - Filtro del contenuto | 1288 | Analisi antivirus - 1288 | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Linee guida per la gestione di sistemi - Amministrazione dei sistemi | 1386 | Restrizione dei flussi di traffico di gestione - 1386 | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata del sistema operativo | 1407 | Versioni del sistema operativo - 1407 | Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati | 3.0.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata del sistema operativo | 1407 | Versioni del sistema operativo - 1407 | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata del sistema operativo | 1417 | Software antivirus - 1417 | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata del sistema operativo | 1417 | Software antivirus - 1417 | È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows | 1.1.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata del sistema operativo | 1417 | Software antivirus - 1417 | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Linee guida per i sistemi di database - Server di database | 1425 | Protezione del contenuto dei server database - 1425 | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1472 | Quando applicare patch per le vulnerabilità di sicurezza - 1472 | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1472 | Quando applicare patch per le vulnerabilità di sicurezza - 1472 | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1472 | Quando applicare patch per le vulnerabilità di sicurezza - 1472 | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1472 | Quando applicare patch per le vulnerabilità di sicurezza - 1472 | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata del sistema operativo | 1490 | Controllo applicazione - 1490 | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1494 | Quando applicare patch per le vulnerabilità di sicurezza - 1494 | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1494 | Quando applicare patch per le vulnerabilità di sicurezza - 1494 | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1494 | Quando applicare patch per le vulnerabilità di sicurezza - 1494 | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1494 | Quando applicare patch per le vulnerabilità di sicurezza - 1494 | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1495 | Quando applicare patch per le vulnerabilità di sicurezza - 1495 | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1495 | Quando applicare patch per le vulnerabilità di sicurezza - 1495 | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1495 | Quando applicare patch per le vulnerabilità di sicurezza - 1495 | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1495 | Quando applicare patch per le vulnerabilità di sicurezza - 1495 | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1496 | Quando applicare patch per le vulnerabilità di sicurezza - 1496 | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1496 | Quando applicare patch per le vulnerabilità di sicurezza - 1496 | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1496 | Quando applicare patch per le vulnerabilità di sicurezza - 1496 | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1496 | Quando applicare patch per le vulnerabilità di sicurezza - 1496 | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1503 | Accesso standard ai sistemi - 1503 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1503 | Accesso standard ai sistemi - 1503 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1503 | Accesso standard ai sistemi - 1503 | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1503 | Accesso standard ai sistemi - 1503 | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1507 | Accesso privilegiato ai sistemi - 1507 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1507 | Accesso privilegiato ai sistemi - 1507 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1507 | Accesso privilegiato ai sistemi - 1507 | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1507 | Accesso privilegiato ai sistemi - 1507 | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1508 | Accesso privilegiato ai sistemi - 1508 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1508 | Accesso privilegiato ai sistemi - 1508 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1508 | Accesso privilegiato ai sistemi - 1508 | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1508 | Accesso privilegiato ai sistemi - 1508 | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1508 | Accesso privilegiato ai sistemi - 1508 | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Linee guida per la gestione dei sistemi - Backup e ripristino dei dati | 1511 | Esecuzione di backup - 1511 | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata dell'autenticazione | 1546 | Autenticazione ai sistemi - 1546 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata dell'autenticazione | 1546 | Autenticazione ai sistemi - 1546 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata dell'autenticazione | 1546 | Autenticazione ai sistemi - 1546 | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata dell'autenticazione | 1546 | Autenticazione ai sistemi - 1546 | Controlla i computer Linux in cui sono presenti account senza password | 3.1.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata dell'autenticazione | 1546 | Autenticazione ai sistemi - 1546 | Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | 3.1.0 |
Canada Federal PBMM
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - Canada Federal PBMM. Per altre informazioni su questo standard di conformità, vedere Canada Federal PBMM.
CIS Microsoft Azure Foundations Benchmark 1.1.0
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa incorporata di conformità con le normative CIS Microsoft Azure Foundations Benchmark 1.1.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark.
Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
---|---|---|---|---|
2 Centro sicurezza | 2.10 | Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora la valutazione della vulnerabilità" non sia disabilitata | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
2 Centro sicurezza | 2.12 | Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora accesso JIT alla rete" non sia disabilitata | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
2 Centro sicurezza | 2,13 | Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora l'inserimento delle applicazioni adattive nell'elenco elementi consentiti" non sia disabilitata | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
2 Centro sicurezza | 2.3 | Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora aggiornamenti del sistema" non sia disabilitata | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
2 Centro sicurezza | 2.4 | Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora vulnerabilità del sistema operativo" non sia disabilitata | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
2 Centro sicurezza | 2.5 | Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora protezione endpoint" non sia disabilitata | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
2 Centro sicurezza | 2.6 | Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora crittografia disco" non sia disabilitata | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
2 Centro sicurezza | 2.7 | Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora gruppi di sicurezza di rete" non sia disabilitata | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
2 Centro sicurezza | 2,9 | Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Abilita monitoraggio firewall di nuova generazione" non sia disabilitata | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
7 Macchine virtuali | 7.1 | Assicurarsi che il "Disco del sistema operativo" sia crittografato | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
7 Macchine virtuali | 7.2 | Assicurarsi che i "Dischi dati" siano crittografati | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
7 Macchine virtuali | 7.4 | Assicurarsi che siano installate solo le estensioni approvate | Devono essere installate solo le estensioni macchina virtuale approvate | 1.0.0 |
7 Macchine virtuali | 7.5 | Assicurarsi che vengano applicate le patch più recenti del sistema operativo per tutte le macchine virtuali | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
7 Macchine virtuali | 7.6 | Assicurarsi che venga installata la protezione endpoint per tutte le Macchine virtuali di Microsoft Azure | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa incorporata di conformità con le normative CIS Microsoft Azure Foundations Benchmark 1.3.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark.
Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
---|---|---|---|---|
7 Macchine virtuali | 7.1 | Assicurarsi che Macchine virtuali usi Managed Disks | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
7 Macchine virtuali | 7.2 | Assicurarsi che i dischi "sistema operativo e dati" siano crittografati con cmk | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
7 Macchine virtuali | 7.4 | Assicurarsi che siano installate solo le estensioni approvate | Devono essere installate solo le estensioni macchina virtuale approvate | 1.0.0 |
7 Macchine virtuali | 7.5 | Assicurarsi che vengano applicate le patch più recenti del sistema operativo per tutte le macchine virtuali | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
7 Macchine virtuali | 7.6 | Assicurarsi che venga installata la protezione endpoint per tutte le Macchine virtuali di Microsoft Azure | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per CIS v1.4.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark.
Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
---|---|---|---|---|
7 Macchine virtuali | 7.1 | Assicurarsi che Macchine virtuali usi Managed Disks | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
7 Macchine virtuali | 7.2 | Assicurarsi che i dischi "sistema operativo e dati" siano crittografati con la chiave gestita dal cliente (CMK) | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
7 Macchine virtuali | 7.4 | Assicurarsi che siano installate solo le estensioni approvate | Devono essere installate solo le estensioni macchina virtuale approvate | 1.0.0 |
7 Macchine virtuali | 7.5 | Assicurarsi che vengano applicate le patch più recenti del sistema operativo per tutte le macchine virtuali | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
7 Macchine virtuali | 7.6 | Assicurarsi che venga installata la protezione endpoint per tutte le Macchine virtuali di Microsoft Azure | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
CIS Microsoft Azure Foundations Benchmark 2.0.0
Per esaminare il mapping delle impostazioni predefinite di Criteri di Azure disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per CIS v2.0.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark.
Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
---|---|---|---|---|
2.1 | 2.1.13 | Assicurarsi che lo stato della raccomandazione di Microsoft Defender per "Applica gli aggiornamenti del sistema" sia "Completato" | I computer devono essere configurati per verificare periodicamente la presenza di aggiornamenti del sistema mancanti | 3.7.0 |
6 | 6.1 | Assicurarsi che l'accesso RDP da Internet venga valutato e limitato | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
6 | 6.2 | Assicurarsi che l'accesso SSH da Internet venga valutato e limitato | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
7 | 7.2 | Assicurarsi che Macchine virtuali usi Managed Disks | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
7 | 7.3 | Assicurarsi che i dischi "sistema operativo e dati" siano crittografati con la chiave gestita dal cliente (CMK) | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
7 | 7.4 | Assicurarsi che i dischi non collegati siano crittografati con "Chiave gestita dal cliente" (CMK) | I dischi gestiti devono essere crittografati due volte con chiavi gestite dalla piattaforma e gestite dal cliente | 1.0.0 |
7 | 7.5 | Assicurarsi che siano installate solo le estensioni approvate | Devono essere installate solo le estensioni macchina virtuale approvate | 1.0.0 |
7 | 7.6 | Verificare che Endpoint Protection per tutte le macchine virtuali sia installato | È necessario installare Endpoint Protection nei computer | 1.0.0 |
CMMC Level 3
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - CMMC Livello 3. Per altre informazioni su questo standard di conformità, vedere Cybersecurity Maturity Model Certification (CMMC).
Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
---|---|---|---|---|
Controllo dell’accesso | AC.1.001 | Limitare l'accesso al reparto IT agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri reparti IT). | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Controllo dell’accesso | AC.1.001 | Limitare l'accesso al reparto IT agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri reparti IT). | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Controllo dell’accesso | AC.1.001 | Limitare l'accesso al reparto IT agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri reparti IT). | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
Controllo dell’accesso | AC.1.001 | Limitare l'accesso al reparto IT agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri reparti IT). | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Controllo dell’accesso | AC.1.001 | Limitare l'accesso al reparto IT agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri reparti IT). | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Controllo dell’accesso | AC.1.001 | Limitare l'accesso al reparto IT agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri reparti IT). | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' | 3.0.0 |
Controllo dell’accesso | AC.1.001 | Limitare l'accesso al reparto IT agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri reparti IT). | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
Controllo dell’accesso | AC.1.002 | Limitare l'accesso del reparto IT ai tipi di transazioni e alle funzioni che gli utenti autorizzati sono autorizzati ad eseguire. | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
Controllo dell’accesso | AC.1.002 | Limitare l'accesso del reparto IT ai tipi di transazioni e alle funzioni che gli utenti autorizzati sono autorizzati ad eseguire. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Controllo dell’accesso | AC.1.002 | Limitare l'accesso del reparto IT ai tipi di transazioni e alle funzioni che gli utenti autorizzati sono autorizzati ad eseguire. | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
Controllo dell’accesso | AC.1.002 | Limitare l'accesso del reparto IT ai tipi di transazioni e alle funzioni che gli utenti autorizzati sono autorizzati ad eseguire. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' | 3.0.0 |
Controllo dell’accesso | AC.1.003 | Verificare e controllare/limitare le connessioni a e l'uso di sistemi informativi esterni. | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
Controllo dell’accesso | AC.1.003 | Verificare e controllare/limitare le connessioni a e l'uso di sistemi informativi esterni. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Controllo dell’accesso | AC.2.007 | Avvalersi del principio dei privilegi minimi, anche per funzioni di sicurezza specifiche e account privilegiati. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Controllo dell’accesso | AC.2.008 | Usare account o ruoli non privilegiati quando si accede a funzioni non di sicurezza. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo dell'account utente' | 3.0.0 |
Controllo dell’accesso | AC.2.008 | Usare account o ruoli non privilegiati quando si accede a funzioni non di sicurezza. | I computer Windows devono soddisfare i requisiti per 'Assegnazione diritti utente' | 3.0.0 |
Controllo dell’accesso | AC.2.013 | Monitorare e controllare le sessioni di accesso remoto. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Controllo dell’accesso | AC.2.013 | Monitorare e controllare le sessioni di accesso remoto. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Controllo dell’accesso | AC.2.013 | Monitorare e controllare le sessioni di accesso remoto. | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
Controllo dell’accesso | AC.2.013 | Monitorare e controllare le sessioni di accesso remoto. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Controllo dell’accesso | AC.2.013 | Monitorare e controllare le sessioni di accesso remoto. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Controllo dell’accesso | AC.2.013 | Monitorare e controllare le sessioni di accesso remoto. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
Controllo dell’accesso | AC.2.016 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
Controllo dell’accesso | AC.2.016 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Controllo dell’accesso | AC.2.016 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' | 3.0.0 |
Controllo dell’accesso | AC.3.017 | Separare i compiti di singoli utenti per ridurre il rischio di attività nocive senza collusione. | Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators | 2.0.0 |
Controllo dell’accesso | AC.3.017 | Separare i compiti di singoli utenti per ridurre il rischio di attività nocive senza collusione. | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
Controllo dell’accesso | AC.3.018 | Impedire agli utenti non privilegiati di eseguire funzioni con privilegi e acquisire l'esecuzione di tali funzioni nei log di controllo. | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Uso dei privilegi' | 3.0.0 |
Controllo dell’accesso | AC.3.021 | Autorizzare l'esecuzione remota di comandi privilegiati e l'accesso remoto a informazioni rilevanti per la sicurezza. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Controllo dell’accesso | AC.3.021 | Autorizzare l'esecuzione remota di comandi privilegiati e l'accesso remoto a informazioni rilevanti per la sicurezza. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Controllo dell’accesso | AC.3.021 | Autorizzare l'esecuzione remota di comandi privilegiati e l'accesso remoto a informazioni rilevanti per la sicurezza. | Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | 3.1.0 |
Controllo dell’accesso | AC.3.021 | Autorizzare l'esecuzione remota di comandi privilegiati e l'accesso remoto a informazioni rilevanti per la sicurezza. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Controllo dell’accesso | AC.3.021 | Autorizzare l'esecuzione remota di comandi privilegiati e l'accesso remoto a informazioni rilevanti per la sicurezza. | L'estensione configurazione guest deve essere installata nei computer | 1.0.3 |
Controllo dell’accesso | AC.3.021 | Autorizzare l'esecuzione remota di comandi privilegiati e l'accesso remoto a informazioni rilevanti per la sicurezza. | L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema | 1.0.1 |
Controllo dell’accesso | AC.3.021 | Autorizzare l'esecuzione remota di comandi privilegiati e l'accesso remoto a informazioni rilevanti per la sicurezza. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo dell'account utente' | 3.0.0 |
Controllo dell’accesso | AC.3.021 | Autorizzare l'esecuzione remota di comandi privilegiati e l'accesso remoto a informazioni rilevanti per la sicurezza. | I computer Windows devono soddisfare i requisiti per 'Assegnazione diritti utente' | 3.0.0 |
Controllo e responsabilità | AU.2.041 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | [Anteprima]: L'estensione Log Analytics deve essere abilitata per le immagini delle macchine virtuali elencate | 2.0.1-preview |
Controllo e responsabilità | AU.2.041 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | L'estensione Log Analytics deve essere abilitata nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali elencate | 2.0.1 |
Controllo e responsabilità | AU.2.041 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | L'estensione Log Analytics deve essere installata in set di scalabilità di macchine virtuali | 1.0.1 |
Controllo e responsabilità | AU.2.041 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | Le macchine virtuali devono essere connesse a un'area di lavoro specificata | 1.1.0 |
Controllo e responsabilità | AU.2.041 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | Per le macchine virtuali deve essere installata l'estensione Log Analytics | 1.0.1 |
Controllo e responsabilità | AU.2.042 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate. | [Anteprima]: L'estensione Log Analytics deve essere abilitata per le immagini delle macchine virtuali elencate | 2.0.1-preview |
Controllo e responsabilità | AU.2.042 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate. | L'estensione Log Analytics deve essere abilitata nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali elencate | 2.0.1 |
Controllo e responsabilità | AU.2.042 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate. | L'estensione Log Analytics deve essere installata in set di scalabilità di macchine virtuali | 1.0.1 |
Controllo e responsabilità | AU.2.042 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate. | Le macchine virtuali devono essere connesse a un'area di lavoro specificata | 1.1.0 |
Controllo e responsabilità | AU.2.042 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate. | Per le macchine virtuali deve essere installata l'estensione Log Analytics | 1.0.1 |
Controllo e responsabilità | AU.3.046 | Avviso in caso di errore di un processo di registrazione di controllo. | [Anteprima]: L'estensione Log Analytics deve essere abilitata per le immagini delle macchine virtuali elencate | 2.0.1-preview |
Controllo e responsabilità | AU.3.046 | Avviso in caso di errore di un processo di registrazione di controllo. | L'estensione Log Analytics deve essere abilitata nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali elencate | 2.0.1 |
Controllo e responsabilità | AU.3.046 | Avviso in caso di errore di un processo di registrazione di controllo. | Le macchine virtuali devono essere connesse a un'area di lavoro specificata | 1.1.0 |
Controllo e responsabilità | AU.3.048 | Raccogliere informazioni di controllo (ad esempio, log) in uno o più repository centrali. | [Anteprima]: L'estensione Log Analytics deve essere abilitata per le immagini delle macchine virtuali elencate | 2.0.1-preview |
Controllo e responsabilità | AU.3.048 | Raccogliere informazioni di controllo (ad esempio, log) in uno o più repository centrali. | L'estensione Log Analytics deve essere abilitata nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali elencate | 2.0.1 |
Controllo e responsabilità | AU.3.048 | Raccogliere informazioni di controllo (ad esempio, log) in uno o più repository centrali. | L'estensione Log Analytics deve essere installata in set di scalabilità di macchine virtuali | 1.0.1 |
Controllo e responsabilità | AU.3.048 | Raccogliere informazioni di controllo (ad esempio, log) in uno o più repository centrali. | Le macchine virtuali devono essere connesse a un'area di lavoro specificata | 1.1.0 |
Controllo e responsabilità | AU.3.048 | Raccogliere informazioni di controllo (ad esempio, log) in uno o più repository centrali. | Per le macchine virtuali deve essere installata l'estensione Log Analytics | 1.0.1 |
Valutazione della sicurezza | CA.2.158 | Valutare periodicamente i controlli di sicurezza nei sistemi aziendali per determinare se i controlli sono efficaci nella loro applicazione. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Valutazione della sicurezza | CA.2.158 | Valutare periodicamente i controlli di sicurezza nei sistemi aziendali per determinare se i controlli sono efficaci nella loro applicazione. | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
Valutazione della sicurezza | CA.2.158 | Valutare periodicamente i controlli di sicurezza nei sistemi aziendali per determinare se i controlli sono efficaci nella loro applicazione. | Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | 3.0.0 |
Valutazione della sicurezza | CA.2.158 | Valutare periodicamente i controlli di sicurezza nei sistemi aziendali per determinare se i controlli sono efficaci nella loro applicazione. | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
Valutazione della sicurezza | CA.2.158 | Valutare periodicamente i controlli di sicurezza nei sistemi aziendali per determinare se i controlli sono efficaci nella loro applicazione. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Valutazione della sicurezza | CA.3.161 | Monitorare i controlli di sicurezza in modo continuativo per garantire la continua efficacia dei controlli. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Valutazione della sicurezza | CA.3.161 | Monitorare i controlli di sicurezza in modo continuativo per garantire la continua efficacia dei controlli. | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
Valutazione della sicurezza | CA.3.161 | Monitorare i controlli di sicurezza in modo continuativo per garantire la continua efficacia dei controlli. | Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | 3.0.0 |
Valutazione della sicurezza | CA.3.161 | Monitorare i controlli di sicurezza in modo continuativo per garantire la continua efficacia dei controlli. | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
Valutazione della sicurezza | CA.3.161 | Monitorare i controlli di sicurezza in modo continuativo per garantire la continua efficacia dei controlli. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Gestione della configurazione | CM.2.061 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
Gestione della configurazione | CM.2.061 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Calcolo di Azure | 2.2.0 |
Gestione della configurazione | CM.2.062 | Avvalersi del principio di meno funzionalità configurando sistemi aziendali in modo da fornire solo funzionalità essenziali. | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Uso dei privilegi' | 3.0.0 |
Gestione della configurazione | CM.2.063 | Controllare e monitorare il software installato dall'utente. | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
Gestione della configurazione | CM.2.063 | Controllare e monitorare il software installato dall'utente. | Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | 3.0.0 |
Gestione della configurazione | CM.2.063 | Controllare e monitorare il software installato dall'utente. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo dell'account utente' | 3.0.0 |
Gestione della configurazione | CM.2.064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Gestione della configurazione | CM.2.064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
Gestione della configurazione | CM.2.065 | Tenere traccia, rivedere, approvare o annullare l'approvazione e registrare le modifiche apportate ai sistemi aziendali. | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Modifica dei criteri' | 3.0.0 |
Gestione della configurazione | CM.3.068 | Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
Gestione della configurazione | CM.3.068 | Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
Gestione della configurazione | CM.3.068 | Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Gestione della configurazione | CM.3.068 | Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | 3.0.0 |
Gestione della configurazione | CM.3.068 | Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Gestione della configurazione | CM.3.068 | Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Gestione della configurazione | CM.3.068 | Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Gestione della configurazione | CM.3.069 | Applicare i criteri deny-by-exception (inclusione nell'elenco di elementi non consentiti) per impedire l'uso di software non autorizzato o i criteri deny-all, permit-by-exception (inclusione nell'elenco di elementi consentiti) per consentire l'esecuzione di software autorizzato. | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
Identificazione e autenticazione | IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi come prerequisito per consentire l'accesso ai reparti IT dell'organizzazione. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Identificazione e autenticazione | IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi come prerequisito per consentire l'accesso ai reparti IT dell'organizzazione. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Identificazione e autenticazione | IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi come prerequisito per consentire l'accesso ai reparti IT dell'organizzazione. | Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 | 3.1.0 |
Identificazione e autenticazione | IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi come prerequisito per consentire l'accesso ai reparti IT dell'organizzazione. | Controlla i computer Linux in cui sono presenti account senza password | 3.1.0 |
Identificazione e autenticazione | IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi come prerequisito per consentire l'accesso ai reparti IT dell'organizzazione. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Identificazione e autenticazione | IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi come prerequisito per consentire l'accesso ai reparti IT dell'organizzazione. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
Identificazione e autenticazione | IA.2.078 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Identificazione e autenticazione | IA.2.078 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Identificazione e autenticazione | IA.2.078 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Controlla i computer Linux in cui sono presenti account senza password | 3.1.0 |
Identificazione e autenticazione | IA.2.078 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Controlla i computer Windows in cui non è abilitata l'impostazione relativa alla complessità della password | 2.0.0 |
Identificazione e autenticazione | IA.2.078 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Controlla i computer Windows in cui la lunghezza minima della password non è limitata a un numero specificato di caratteri | 2.1.0 |
Identificazione e autenticazione | IA.2.078 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Identificazione e autenticazione | IA.2.078 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
Identificazione e autenticazione | IA.2.079 | Proibire il riutilizzo delle password per un numero specificato di generazioni. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Identificazione e autenticazione | IA.2.079 | Proibire il riutilizzo delle password per un numero specificato di generazioni. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Identificazione e autenticazione | IA.2.079 | Proibire il riutilizzo delle password per un numero specificato di generazioni. | Controlla i computer Windows che consentono il riutilizzo delle password dopo il numero specificato di password univoche | 2.1.0 |
Identificazione e autenticazione | IA.2.079 | Proibire il riutilizzo delle password per un numero specificato di generazioni. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Identificazione e autenticazione | IA.2.079 | Proibire il riutilizzo delle password per un numero specificato di generazioni. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
Identificazione e autenticazione | IA.2.081 | Archiviare e trasmettere solo le password protette con crittografia. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Identificazione e autenticazione | IA.2.081 | Archiviare e trasmettere solo le password protette con crittografia. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Identificazione e autenticazione | IA.2.081 | Archiviare e trasmettere solo le password protette con crittografia. | Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | 2.0.0 |
Identificazione e autenticazione | IA.2.081 | Archiviare e trasmettere solo le password protette con crittografia. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Identificazione e autenticazione | IA.2.081 | Archiviare e trasmettere solo le password protette con crittografia. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
Identificazione e autenticazione | IA.3.084 | Usare meccanismi di autenticazione che eseguano la riproduzione per l'accesso di rete ad account privilegiati e non. | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
Risposta all'incidente | IR.2.093 | Rilevare e segnalare eventi. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Ripristino | RE.2.137 | Eseguire e testare regolarmente i backup dei dati. | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
Ripristino | RE.2.137 | Eseguire e testare regolarmente i backup dei dati. | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
Ripristino | RE.3.139 | Eseguire regolarmente backup completi, esaustivi e resilienti dei dati come definiti dall'organizzazione. | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
Ripristino | RE.3.139 | Eseguire regolarmente backup completi, esaustivi e resilienti dei dati come definiti dall'organizzazione. | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
Valutazione dei rischi | RM.2.141 | Valutare periodicamente il rischio per le operazioni organizzative (tra cui missione, funzioni, immagine o reputazione), le risorse dell'organizzazione e i singoli utenti, risultanti dal funzionamento dei sistemi aziendali e dall'elaborazione, archiviazione o trasmissione associata di CUI. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Valutazione dei rischi | RM.2.142 | Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Valutazione dei rischi | RM.2.143 | Rimediare alle vulnerabilità in conformità alle valutazioni dei rischi. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Valutazione dei rischi | RM.2.143 | Rimediare alle vulnerabilità in conformità alle valutazioni dei rischi. | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
Valutazione dei rischi | RM.2.143 | Rimediare alle vulnerabilità in conformità alle valutazioni dei rischi. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Valutazione dei rischi | RM.2.143 | Rimediare alle vulnerabilità in conformità alle valutazioni dei rischi. | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.1.175 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.1.175 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.1.175 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.1.175 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.1.175 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.1.175 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
Protezione del sistema e delle comunicazioni | SC.1.175 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.1.175 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.1.176 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.1.176 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.1.176 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.2.179 | Usare sessioni crittografate per la gestione dei dispositivi di rete. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.3.177 | Usare la crittografia convalidata FIPS quando viene usata per proteggere la riservatezza di CUI. | Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | 2.0.0 |
Protezione del sistema e delle comunicazioni | SC.3.177 | Usare la crittografia convalidata FIPS quando viene usata per proteggere la riservatezza di CUI. | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
Protezione del sistema e delle comunicazioni | SC.3.181 | Separare le funzionalità degli utenti dalle funzionalità di gestione del sistema. | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
Protezione del sistema e delle comunicazioni | SC.3.183 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio negare tutto, consentire per eccezione). | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.3.183 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio negare tutto, consentire per eccezione). | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.3.183 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio negare tutto, consentire per eccezione). | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.3.183 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio negare tutto, consentire per eccezione). | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.3.183 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio negare tutto, consentire per eccezione). | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.3.183 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio negare tutto, consentire per eccezione). | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.3.183 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio negare tutto, consentire per eccezione). | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.3.185 | Implementare meccanismi di crittografia per impedire la divulgazione non autorizzata di CUI durante la trasmissione, a meno che non sia altrimenti protetta da misure fisiche alternative. | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
Protezione del sistema e delle comunicazioni | SC.3.190 | Proteggere l'autenticità delle sessioni di comunicazione. | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
Protezione del sistema e delle comunicazioni | SC.3.191 | Proteggere la riservatezza di CUI nello stato inattivo. | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
Integrità del sistema e delle informazioni | SI.1.210 | Identificare, segnalare e correggere e gli errori delle informazioni e dei sistemi informativi in modo tempestivo. | È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | 1.0.0 |
Integrità del sistema e delle informazioni | SI.1.210 | Identificare, segnalare e correggere e gli errori delle informazioni e dei sistemi informativi in modo tempestivo. | Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati | 3.0.0 |
Integrità del sistema e delle informazioni | SI.1.210 | Identificare, segnalare e correggere e gli errori delle informazioni e dei sistemi informativi in modo tempestivo. | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
Integrità del sistema e delle informazioni | SI.1.210 | Identificare, segnalare e correggere e gli errori delle informazioni e dei sistemi informativi in modo tempestivo. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Integrità del sistema e delle informazioni | SI.1.210 | Identificare, segnalare e correggere e gli errori delle informazioni e dei sistemi informativi in modo tempestivo. | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
Integrità del sistema e delle informazioni | SI.1.211 | Fornire protezione da codice dannoso in posizioni appropriate all'interno dei sistemi informativi dell'organizzazione. | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
Integrità del sistema e delle informazioni | SI.1.211 | Fornire protezione da codice dannoso in posizioni appropriate all'interno dei sistemi informativi dell'organizzazione. | È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | 1.0.0 |
Integrità del sistema e delle informazioni | SI.1.211 | Fornire protezione da codice dannoso in posizioni appropriate all'interno dei sistemi informativi dell'organizzazione. | È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows | 1.1.0 |
Integrità del sistema e delle informazioni | SI.1.211 | Fornire protezione da codice dannoso in posizioni appropriate all'interno dei sistemi informativi dell'organizzazione. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Integrità del sistema e delle informazioni | SI.1.212 | Aggiornare i meccanismi di protezione da codice dannoso quando sono disponibili nuovi rilasci. | È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | 1.0.0 |
Integrità del sistema e delle informazioni | SI.1.213 | Eseguire analisi periodiche del sistema informativo e analisi in tempo reale dei file da origini esterne durante il download, l'apertura o l'esecuzione di file. | È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | 1.0.0 |
Integrità del sistema e delle informazioni | SI.1.213 | Eseguire analisi periodiche del sistema informativo e analisi in tempo reale dei file da origini esterne durante il download, l'apertura o l'esecuzione di file. | È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows | 1.1.0 |
Integrità del sistema e delle informazioni | SI.1.213 | Eseguire analisi periodiche del sistema informativo e analisi in tempo reale dei file da origini esterne durante il download, l'apertura o l'esecuzione di file. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
FedRAMP High
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - FedRAMP High. Per altre informazioni su questo standard di conformità, vedere FedRAMP High.
FedRAMP Moderate
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - FedRAMP Moderate. Per altre informazioni su questo standard di conformità, vedere FedRAMP Moderate.
HIPAA HITRUST 9.2
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per HIPAA HITRUST 9.2. Per altre informazioni su questo standard di conformità, vedere HIPAA HITRUST 9.2.
Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
---|---|---|---|---|
Identificazione e autenticazione utente | 11210.01q2Organizational.10 - 01.q | Le firme elettroniche e le firme a mano eseguite in record elettronici dovranno essere collegate ai rispettivi record elettronici. | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
Identificazione e autenticazione utente | 11211.01q2Organizational.11 - 01.q | I record elettronici firmati conterranno informazioni associate alla firma in formato leggibile. | Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators | 2.0.0 |
02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protezione da codice dannoso e mobile | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protezione da codice dannoso e mobile | Distribuisci estensione IaaSAntimalware Microsoft predefinita per Windows Server | 1.1.0 |
02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protezione da codice dannoso e mobile | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protezione da codice dannoso e mobile | È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | 1.0.0 |
02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protezione da codice dannoso e mobile | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protezione da codice dannoso e mobile | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
03 Sicurezza dei supporti portatili | 0302.09o2Organizational.1-09.o | 0302.09o2Organizational.1-09.o 09.07 Gestione dei supporti | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
06 Gestione della configurazione | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Sicurezza dei file di sistema | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
06 Gestione della configurazione | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Sicurezza dei file di sistema | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo' | 3.0.0 |
06 Gestione della configurazione | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Sicurezza dei file di sistema | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Gestione account' | 3.0.0 |
06 Gestione della configurazione | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
06 Gestione della configurazione | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
06 Gestione della configurazione | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
06 Gestione della configurazione | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
06 Gestione della configurazione | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
06 Gestione della configurazione | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
06 Gestione della configurazione | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
06 Gestione della configurazione | 0642.10k3Organizational.12-10.k | 0642.10k3Organizational.12-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
06 Gestione della configurazione | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
06 Gestione della configurazione | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
07 Gestione delle vulnerabilità | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Gestione delle vulnerabilità tecniche | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
07 Gestione delle vulnerabilità | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Gestione delle vulnerabilità tecniche | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
07 Gestione delle vulnerabilità | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Gestione delle vulnerabilità tecniche | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
07 Gestione delle vulnerabilità | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Gestione delle vulnerabilità tecniche | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
07 Gestione delle vulnerabilità | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Gestione delle vulnerabilità tecniche | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Server di rete Microsoft' | 3.0.0 |
07 Gestione delle vulnerabilità | 0711.10m2Organizational.23-10.m | 0711.10m2Organizational.23-10.m 10.06 Gestione delle vulnerabilità tecniche | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
07 Gestione delle vulnerabilità | 0713.10m2Organizational.5-10.m | 0713.10m2Organizational.5-10.m 10.06 Technical Vulnerability Management | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
07 Gestione delle vulnerabilità | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 Technical Vulnerability Management | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
07 Gestione delle vulnerabilità | 0715.10m2Organizational.8-10.m | 0715.10m2Organizational.8-10.m 10.06 Technical Vulnerability Management | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
07 Gestione delle vulnerabilità | 0717.10m3Organizational.2-10.m | 0717.10m3Organizational.2-10.m 10.06 Technical Vulnerability Management | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
07 Gestione delle vulnerabilità | 0718.10m3Organizational.34-10.m | 0718.10m3Organizational.34-10.m 10.06 Gestione delle vulnerabilità tecniche | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
08 Protezione della rete | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 Controllo di accesso alla rete | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
08 Protezione di rete | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 Controllo di accesso alla rete | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
08 Protezione di rete | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 Network Controllo di accesso | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
08 Protezione di rete | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 Network Controllo di accesso | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
08 Protezione di rete | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 Network Controllo di accesso | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
08 Protezione di rete | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 Network Controllo di accesso | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
08 Protezione di rete | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Network Controllo di accesso | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
08 Protezione di rete | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Network Controllo di accesso | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
08 Protezione di rete | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 Network Controllo di accesso | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
08 Protezione di rete | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 Network Controllo di accesso | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
08 Protezione di rete | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 Network Controllo di accesso | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
08 Protezione di rete | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 Network Controllo di accesso | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
08 Protezione di rete | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 Gestione della sicurezza di rete | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | 1.0.2-preview |
08 Protezione di rete | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 Gestione della sicurezza di rete | È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | 1.0.0 |
08 Protezione di rete | 0836.09.n2Organizational.1-09.n | 0836.09.n2Organizational.1-09.n 09.06 Gestione della sicurezza di rete | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | 1.0.2-preview |
08 Protezione di rete | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Gestione della sicurezza di rete | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
08 Protezione di rete | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Gestione della sicurezza di rete | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
08 Protezione di rete | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Gestione della sicurezza di rete | I computer Windows devono soddisfare i requisiti per 'Proprietà Windows Firewall' | 3.0.0 |
08 Protezione di rete | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 Gestione della sicurezza di rete | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
08 Protezione di rete | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 Gestione della sicurezza di rete | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' | 3.0.0 |
08 Protezione di rete | 0885.09n2Organizational.3-09.n | 0885.09n2Organizational.3-09.n 09.06 Gestione della sicurezza di rete | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | 1.0.2-preview |
08 Protezione di rete | 0887.09n2Organizational.5-09.n | 0887.09n2Organizational.5-09.n 09.06 Gestione della sicurezza di rete | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | 1.0.2-preview |
08 Protezione di rete | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 Controllo di accesso alla rete | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Back-up | 1699.09l1Organizational.10 - 09.l | I ruoli e le responsabilità dei membri della forza lavoro nel processo di backup dei dati vengono identificati e comunicati alla forza lavoro; in particolare gli utenti in modalità BYOD (Bring Your Own Device) sono tenuti a eseguire i backup dei dati dell'organizzazione e/o dei clienti nei loro dispositivi. | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
09 Protezione della trasmissione | 0945.09y1Organizational.3-09.y | 0945.09y1Organizational.3-09.y 09.09 Servizi di commercio elettronico | Controlla i computer Windows che non contengono i certificati specificati nell'archivio certificati Autorità di certificazione radice disponibile nell'elenco locale | 3.0.0 |
Controllo del software operativo | 0606.10h2System.1 - 10.h | Le applicazioni e i sistemi operativi vengono correttamente testati per verificarne l'usabilità, la sicurezza e l'impatto prima del passaggio in produzione. | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
Controllo del software operativo | 0607.10h2System.23 - 10.h | L'organizzazione usa il proprio programma di controllo delle configurazioni per mantenere il controllo di tutto il software implementato e della relativa documentazione di sistema e per archiviare le versioni precedenti del software implementato e della documentazione di sistema associata. | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
Controllo del software operativo | 0607.10h2System.23 - 10.h | L'organizzazione usa il proprio programma di controllo delle configurazioni per mantenere il controllo di tutto il software implementato e della relativa documentazione di sistema e per archiviare le versioni precedenti del software implementato e della documentazione di sistema associata. | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
11 Controllo di accesso | 11180.01c3System.6-01.c | 11180.01c3System.6-01.c 01.02 Accesso autorizzato ai sistemi informativi | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
11 Controllo di accesso | 1119.01j2Organizational.3-01.j | 1119.01j2Organizational.3-01.j 01.04 Network Controllo di accesso | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
11 Controllo di accesso | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 Controllo di accesso al sistema operativo | Controlla i computer Windows in cui sono presenti account in eccesso nel gruppo Administrators | 2.0.0 |
11 Controllo di accesso | 1125.01q2System.1-01.q | 1125.01q2System.1-01.q 01.05 Controllo di accesso al sistema operativo | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
11 Controllo di accesso | 1127.01q2System.3-01.q | 1127.01q2System.3-01.q 01.05 Controllo di accesso al sistema operativo | Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators | 2.0.0 |
11 Controllo di accesso | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 Accesso autorizzato ai sistemi informativi | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
11 Controllo di accesso | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 Accesso autorizzato ai sistemi informativi | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Account' | 3.0.0 |
11 Controllo di accesso | 1150.01c2System.10-01.c | 1150.01c2System.10-01.c 01.02 Accesso autorizzato ai sistemi informativi | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
11 Controllo di accesso | 1175.01j1Organizational.8-01.j | 1175.01j1Organizational.8-01.j 01.04 Network Controllo di accesso | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
11 Controllo di accesso | 1179.01j3Organizational.1-01.j | 1179.01j3Organizational.1-01.j 01.04 Network Controllo di accesso | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
11 Controllo di accesso | 1192.01l1Organizational.1-01.l | 1192.01l1Organizational.1-01.l 01.04 Network Controllo di accesso | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
11 Controllo di accesso | 1193.01l2Organizational.13-01.l | 1193.01l2Organizational.13-01.l 01.04 Network Controllo di accesso | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
11 Controllo di accesso | 1197.01l3Organizational.3-01.l | 1197.01l3Organizational.3-01.l 01.04 Network Controllo di accesso | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
12 Registrazione di controllo e monitoraggio | 1202.09aa1System.1-09.aa | 1202.09aa1System.1-09.aa 09.10 Monitoraggio | Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati | 3.0.0 |
12 Registrazione di controllo e monitoraggio | 12100.09ab2System.15-09.ab | Monitoraggio 12100.09ab2System.15-09.ab 09.10 | Per le macchine virtuali deve essere installata l'estensione Log Analytics | 1.0.1 |
12 Registrazione di controllo e monitoraggio | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 Monitoraggio | L'estensione Log Analytics deve essere installata in set di scalabilità di macchine virtuali | 1.0.1 |
12 Registrazione di controllo e monitoraggio | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 Monitoraggio | Controlla i computer Windows in cui l'agente di Log Analytics non è connesso come previsto | 2.0.0 |
12 Registrazione di controllo e monitoraggio | 1215.09ab2System.7-09.ab | 1215.09ab2System.7-09.ab 09.10 Monitoraggio | Per le macchine virtuali deve essere installata l'estensione Log Analytics | 1.0.1 |
12 Registrazione di controllo e monitoraggio | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 Monitoraggio | L'estensione Log Analytics deve essere installata in set di scalabilità di macchine virtuali | 1.0.1 |
12 Registrazione di controllo e monitoraggio | 1217.09ab3System.3-09.ab | 1217.09ab3System.3-09.ab 09.10 Monitoraggio | Controlla i computer Windows in cui l'agente di Log Analytics non è connesso come previsto | 2.0.0 |
12 Registrazione di controllo e monitoraggio | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Procedure operative documentate | I computer Windows devono soddisfare i requisiti per 'Assegnazione diritti utente' | 3.0.0 |
12 Registrazione di controllo e monitoraggio | 1277.09c2Organizational.4-09.c | 1277.09c2Organizational.4-09.c 09.01 Procedure operative documentate | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo dell'account utente' | 3.0.0 |
16 Continuità aziendale e ripristino di emergenza | 1620.09l1Organizational.8-09.l | 1620.09l1Organizational.8-09.l 09.05 Informazioni di backup | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
16 Continuità aziendale e ripristino di emergenza | 1625.09l3Organizational.34-09.l | 1625.09l3Organizational.34-09.l 09.05 Informazioni di backup | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
16 Continuità aziendale e ripristino di emergenza | 1634.12b1Organizational.1-12.b | 1634.12b1Organizational.1-12.b 12.01 Aspetti della sicurezza delle informazioni della gestione della continuità aziendale | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
16 Continuità aziendale e ripristino di emergenza | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 Aspetti della gestione della continuità aziendale correlati alla sicurezza delle informazioni | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Console di ripristino di emergenza' | 3.0.0 |
16 Continuità aziendale e ripristino di emergenza | 1638.12b2Organizational.345-12.b | 1638.12b2Organizational.345-12.b 12.01 Aspetti della sicurezza delle informazioni della gestione della continuità aziendale | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
IRS 1075 settembre 2016
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - IRS 1075 settembre 2016. Per altre informazioni su questo standard di conformità, vedere IRS 1075 settembre 2016.
ISO 27001:2013
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - ISO 27001:2013. Per altre informazioni su questo standard di conformità, vedere ISO 27001:2013.
Criteri riservati di base di Microsoft Cloud for Sovereignty
Per esaminare il mapping delle impostazioni predefinite di Criteri di Azure disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per i criteri riservati della baseline di sovranità MCfS. Per altre informazioni su questo standard di conformità, vedere Portfolio di criteri di Microsoft Cloud for Sovereignty.
Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
---|---|---|---|---|
SO.3 - Chiavi gestite dal cliente | SO.3 | I prodotti Azure devono essere configurati per l'uso di chiavi gestite dal cliente, quando possibile. | I dischi gestiti devono essere crittografati due volte con chiavi gestite dalla piattaforma e gestite dal cliente | 1.0.0 |
SO.4 - Azure Confidential Computing | SO.4 | I prodotti Azure devono essere configurati per l'uso degli SKU di Confidential Computing di Azure, quando possibile. | SKU di dimensioni di macchine virtuali consentiti | 1.0.1 |
Microsoft Cloud Security Benchmark
Il benchmark della sicurezza cloud Microsoft fornisce raccomandazioni su come proteggere le soluzioni cloud in Azure. Per informazioni sul mapping completo di questo servizio al benchmark della sicurezza cloud Microsoft, vedere i file di mapping Azure Security Benchmark.
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - Microsoft Cloud Security Benchmark.
NIST SP 800-171 R2
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per NIST SP 800-171 R2. Per altre informazioni su questo standard di conformità, vedere NIST SP 800-171 R2.
Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
---|---|---|---|---|
Controllo dell’accesso | 3.1.1 | Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Controllo dell’accesso | 3.1.1 | Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Controllo dell’accesso | 3.1.1 | Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
Controllo dell’accesso | 3.1.1 | Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). | Controlla i computer Linux in cui sono presenti account senza password | 3.1.0 |
Controllo dell’accesso | 3.1.1 | Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). | L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH | 3.2.0 |
Controllo dell’accesso | 3.1.1 | Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). | Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | 3.1.0 |
Controllo dell’accesso | 3.1.1 | Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). | Le risorse di accesso al disco devono usare un collegamento privato | 1.0.0 |
Controllo dell’accesso | 3.1.1 | Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). | È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | 1.0.0 |
Controllo dell’accesso | 3.1.12 | Monitorare e controllare le sessioni di accesso remoto. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Controllo dell’accesso | 3.1.12 | Monitorare e controllare le sessioni di accesso remoto. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Controllo dell’accesso | 3.1.12 | Monitorare e controllare le sessioni di accesso remoto. | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
Controllo dell’accesso | 3.1.12 | Monitorare e controllare le sessioni di accesso remoto. | Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | 3.1.0 |
Controllo dell’accesso | 3.1.12 | Monitorare e controllare le sessioni di accesso remoto. | Le risorse di accesso al disco devono usare un collegamento privato | 1.0.0 |
Controllo dell’accesso | 3.1.13 | Usare meccanismi di crittografia per proteggere la riservatezza delle sessioni di accesso remoto. | Le risorse di accesso al disco devono usare un collegamento privato | 1.0.0 |
Controllo dell’accesso | 3.1.14 | Instradare l'accesso remoto tramite punti di controllo di accesso gestito. | Le risorse di accesso al disco devono usare un collegamento privato | 1.0.0 |
Controllo dell’accesso | 3.1.2 | Limitare l'accesso di sistema ai tipi di transazioni e alle funzioni che gli utenti autorizzati sono autorizzati ad eseguire. | È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | 1.0.0 |
Controllo dell’accesso | 3.1.3 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
Controllo dell’accesso | 3.1.3 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Controllo dell’accesso | 3.1.3 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | Le risorse di accesso al disco devono usare un collegamento privato | 1.0.0 |
Controllo dell’accesso | 3.1.3 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Controllo dell’accesso | 3.1.3 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
Controllo dell’accesso | 3.1.3 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Controllo dell’accesso | 3.1.3 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
Controllo dell’accesso | 3.1.3 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Controllo dell’accesso | 3.1.4 | Separare i compiti di singoli utenti per ridurre il rischio di attività nocive senza collusione. | Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators | 2.0.0 |
Controllo dell’accesso | 3.1.4 | Separare i compiti di singoli utenti per ridurre il rischio di attività nocive senza collusione. | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
Valutazione dei rischi | 3.11.2 | Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Valutazione dei rischi | 3.11.2 | Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | I risultati delle vulnerabilità devono essere risolti nei server SQL | 1.0.0 |
Valutazione dei rischi | 3.11.2 | Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
Valutazione dei rischi | 3.11.2 | Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Valutazione dei rischi | 3.11.2 | Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
Valutazione dei rischi | 3.11.3 | Correggere le vulnerabilità in conformità alla valutazione del rischio. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Valutazione dei rischi | 3.11.3 | Correggere le vulnerabilità in conformità alla valutazione del rischio. | I risultati delle vulnerabilità devono essere risolti nei server SQL | 1.0.0 |
Valutazione dei rischi | 3.11.3 | Correggere le vulnerabilità in conformità alla valutazione del rischio. | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
Valutazione dei rischi | 3.11.3 | Correggere le vulnerabilità in conformità alla valutazione del rischio. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Valutazione dei rischi | 3.11.3 | Correggere le vulnerabilità in conformità alla valutazione del rischio. | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.1 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.1 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.1 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Le risorse di accesso al disco devono usare un collegamento privato | 1.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.1 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.1 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.1 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.1 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.1 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.10 | Stabilire e gestire le chiavi di crittografia per la crittografia utilizzate nei sistemi aziendali. | I dischi gestiti devono essere crittografati due volte con chiavi gestite dalla piattaforma e gestite dal cliente | 1.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.10 | Stabilire e gestire le chiavi di crittografia per la crittografia utilizzate nei sistemi aziendali. | I dischi del sistema operativo e dei dati devono essere crittografati con una chiave gestita dal cliente | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.16 | Proteggere la riservatezza di CUI nello stato inattivo. | Le macchine virtuali e i set di scalabilità di macchine virtuali devono avere la crittografia abilitata per l'host | 1.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.16 | Proteggere la riservatezza di CUI nello stato inattivo. | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
Protezione del sistema e delle comunicazioni | 3.13.2 | Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.2 | Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.2 | Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. | Le risorse di accesso al disco devono usare un collegamento privato | 1.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.2 | Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.2 | Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.2 | Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.2 | Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.2 | Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.5 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.5 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.5 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | Le risorse di accesso al disco devono usare un collegamento privato | 1.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.5 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.5 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.5 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.5 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.5 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.6 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentirlo come eccezione (nega tutto, consenti come eccezione). | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.6 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentirlo come eccezione (nega tutto, consenti come eccezione). | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.6 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentirlo come eccezione (nega tutto, consenti come eccezione). | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.6 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentirlo come eccezione (nega tutto, consenti come eccezione). | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.6 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentirlo come eccezione (nega tutto, consenti come eccezione). | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.6 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentirlo come eccezione (nega tutto, consenti come eccezione). | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.8 | Implementare meccanismi di crittografia per impedire la divulgazione non autorizzata di CUI durante la trasmissione, a meno che non sia altrimenti protetta da misure fisiche alternative. | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
Integrità del sistema e delle informazioni | 3.14.1 | Identificare, segnalare e correggere gli errori di sistema in modo tempestivo. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Integrità del sistema e delle informazioni | 3.14.1 | Identificare, segnalare e correggere gli errori di sistema in modo tempestivo. | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
Integrità del sistema e delle informazioni | 3.14.1 | Identificare, segnalare e correggere gli errori di sistema in modo tempestivo. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Integrità del sistema e delle informazioni | 3.14.1 | Identificare, segnalare e correggere gli errori di sistema in modo tempestivo. | Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati | 3.0.0 |
Integrità del sistema e delle informazioni | 3.14.1 | Identificare, segnalare e correggere gli errori di sistema in modo tempestivo. | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
Integrità del sistema e delle informazioni | 3.14.1 | Identificare, segnalare e correggere gli errori di sistema in modo tempestivo. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Integrità del sistema e delle informazioni | 3.14.1 | Identificare, segnalare e correggere gli errori di sistema in modo tempestivo. | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
Integrità del sistema e delle informazioni | 3.14.1 | Identificare, segnalare e correggere gli errori di sistema in modo tempestivo. | Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali | 2.0.0 |
Integrità del sistema e delle informazioni | 3.14.2 | Fornire protezione da codice dannoso in posizioni designate all'interno di sistemi aziendali. | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
Integrità del sistema e delle informazioni | 3.14.2 | Fornire protezione da codice dannoso in posizioni designate all'interno di sistemi aziendali. | È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | 1.0.0 |
Integrità del sistema e delle informazioni | 3.14.2 | Fornire protezione da codice dannoso in posizioni designate all'interno di sistemi aziendali. | È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows | 1.1.0 |
Integrità del sistema e delle informazioni | 3.14.2 | Fornire protezione da codice dannoso in posizioni designate all'interno di sistemi aziendali. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Integrità del sistema e delle informazioni | 3.14.2 | Fornire protezione da codice dannoso in posizioni designate all'interno di sistemi aziendali. | Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali | 2.0.0 |
Integrità del sistema e delle informazioni | 3.14.3 | Monitorare gli avvisi e gli avvisi di sicurezza del sistema e intervenire in risposta. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Integrità del sistema e delle informazioni | 3.14.4 | Aggiornare i meccanismi di protezione da codice dannoso quando sono disponibili nuovi rilasci. | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
Integrità del sistema e delle informazioni | 3.14.4 | Aggiornare i meccanismi di protezione da codice dannoso quando sono disponibili nuovi rilasci. | È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | 1.0.0 |
Integrità del sistema e delle informazioni | 3.14.4 | Aggiornare i meccanismi di protezione da codice dannoso quando sono disponibili nuovi rilasci. | È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows | 1.1.0 |
Integrità del sistema e delle informazioni | 3.14.4 | Aggiornare i meccanismi di protezione da codice dannoso quando sono disponibili nuovi rilasci. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Integrità del sistema e delle informazioni | 3.14.4 | Aggiornare i meccanismi di protezione da codice dannoso quando sono disponibili nuovi rilasci. | Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali | 2.0.0 |
Integrità del sistema e delle informazioni | 3.14.5 | Eseguire analisi periodiche dei sistemi organizzativi e analisi in tempo reale di file da origini esterne quando i file vengono scaricati, aperti o eseguiti. | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
Integrità del sistema e delle informazioni | 3.14.5 | Eseguire analisi periodiche dei sistemi organizzativi e analisi in tempo reale di file da origini esterne quando i file vengono scaricati, aperti o eseguiti. | È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | 1.0.0 |
Integrità del sistema e delle informazioni | 3.14.5 | Eseguire analisi periodiche dei sistemi organizzativi e analisi in tempo reale di file da origini esterne quando i file vengono scaricati, aperti o eseguiti. | È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows | 1.1.0 |
Integrità del sistema e delle informazioni | 3.14.5 | Eseguire analisi periodiche dei sistemi organizzativi e analisi in tempo reale di file da origini esterne quando i file vengono scaricati, aperti o eseguiti. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Integrità del sistema e delle informazioni | 3.14.5 | Eseguire analisi periodiche dei sistemi organizzativi e analisi in tempo reale di file da origini esterne quando i file vengono scaricati, aperti o eseguiti. | Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali | 2.0.0 |
Integrità del sistema e delle informazioni | 3.14.6 | Monitorare i sistemi aziendali, incluso il traffico delle comunicazioni in ingresso e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | 1.0.2-preview |
Integrità del sistema e delle informazioni | 3.14.6 | Monitorare i sistemi aziendali, incluso il traffico delle comunicazioni in ingresso e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | 1.0.2-preview |
Integrità del sistema e delle informazioni | 3.14.6 | Monitorare i sistemi aziendali, incluso il traffico delle comunicazioni in ingresso e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | L'estensione configurazione guest deve essere installata nei computer | 1.0.3 |
Integrità del sistema e delle informazioni | 3.14.6 | Monitorare i sistemi aziendali, incluso il traffico delle comunicazioni in ingresso e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure | 1.0.0 |
Integrità del sistema e delle informazioni | 3.14.6 | Monitorare i sistemi aziendali, incluso il traffico delle comunicazioni in ingresso e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio del Centro sicurezza di Azure | 1.0.0 |
Integrità del sistema e delle informazioni | 3.14.6 | Monitorare i sistemi aziendali, incluso il traffico delle comunicazioni in ingresso e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema | 1.0.1 |
Integrità del sistema e delle informazioni | 3.14.7 | Identificare l'uso non autorizzato dei sistemi organizzativi. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | 1.0.2-preview |
Integrità del sistema e delle informazioni | 3.14.7 | Identificare l'uso non autorizzato dei sistemi organizzativi. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | 1.0.2-preview |
Integrità del sistema e delle informazioni | 3.14.7 | Identificare l'uso non autorizzato dei sistemi organizzativi. | L'estensione configurazione guest deve essere installata nei computer | 1.0.3 |
Integrità del sistema e delle informazioni | 3.14.7 | Identificare l'uso non autorizzato dei sistemi organizzativi. | L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure | 1.0.0 |
Integrità del sistema e delle informazioni | 3.14.7 | Identificare l'uso non autorizzato dei sistemi organizzativi. | L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio del Centro sicurezza di Azure | 1.0.0 |
Integrità del sistema e delle informazioni | 3.14.7 | Identificare l'uso non autorizzato dei sistemi organizzativi. | L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema | 1.0.1 |
Controllo e responsabilità | 3.3.1 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | 1.0.2-preview |
Controllo e responsabilità | 3.3.1 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | 1.0.2-preview |
Controllo e responsabilità | 3.3.1 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate | L'estensione configurazione guest deve essere installata nei computer | 1.0.3 |
Controllo e responsabilità | 3.3.1 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate | L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure | 1.0.0 |
Controllo e responsabilità | 3.3.1 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate | L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio del Centro sicurezza di Azure | 1.0.0 |
Controllo e responsabilità | 3.3.1 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate | L'estensione Log Analytics deve essere installata in set di scalabilità di macchine virtuali | 1.0.1 |
Controllo e responsabilità | 3.3.1 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate | Le macchine virtuali devono essere connesse a un'area di lavoro specificata | 1.1.0 |
Controllo e responsabilità | 3.3.1 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate | Per le macchine virtuali deve essere installata l'estensione Log Analytics | 1.0.1 |
Controllo e responsabilità | 3.3.1 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate | L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema | 1.0.1 |
Controllo e responsabilità | 3.3.2 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | 1.0.2-preview |
Controllo e responsabilità | 3.3.2 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | 1.0.2-preview |
Controllo e responsabilità | 3.3.2 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | L'estensione configurazione guest deve essere installata nei computer | 1.0.3 |
Controllo e responsabilità | 3.3.2 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure | 1.0.0 |
Controllo e responsabilità | 3.3.2 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio del Centro sicurezza di Azure | 1.0.0 |
Controllo e responsabilità | 3.3.2 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | L'estensione Log Analytics deve essere installata in set di scalabilità di macchine virtuali | 1.0.1 |
Controllo e responsabilità | 3.3.2 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | Le macchine virtuali devono essere connesse a un'area di lavoro specificata | 1.1.0 |
Controllo e responsabilità | 3.3.2 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | Per le macchine virtuali deve essere installata l'estensione Log Analytics | 1.0.1 |
Controllo e responsabilità | 3.3.2 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema | 1.0.1 |
Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Calcolo di Azure | 2.2.0 |
Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I computer Windows devono soddisfare i requisiti della baseline di sicurezza di Calcolo di Azure | 2.0.0 |
Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Calcolo di Azure | 2.2.0 |
Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | I computer Windows devono soddisfare i requisiti della baseline di sicurezza di Calcolo di Azure | 2.0.0 |
Gestione della configurazione | 3.4.6 | Avvalersi del principio di meno funzionalità configurando sistemi aziendali in modo da fornire solo funzionalità essenziali. | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
Gestione della configurazione | 3.4.6 | Avvalersi del principio di meno funzionalità configurando sistemi aziendali in modo da fornire solo funzionalità essenziali. | Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | 3.0.0 |
Gestione della configurazione | 3.4.7 | Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
Gestione della configurazione | 3.4.7 | Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | 3.0.0 |
Gestione della configurazione | 3.4.8 | Applicare i criteri deny-by-exception (inclusione nell'elenco di elementi non consentiti) per impedire l'uso di software non autorizzato o i criteri deny-all, permit-by-exception (inclusione nell'elenco di elementi consentiti) per consentire l'esecuzione di software autorizzato. | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
Gestione della configurazione | 3.4.8 | Applicare i criteri deny-by-exception (inclusione nell'elenco di elementi non consentiti) per impedire l'uso di software non autorizzato o i criteri deny-all, permit-by-exception (inclusione nell'elenco di elementi consentiti) per consentire l'esecuzione di software autorizzato. | Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | 3.0.0 |
Gestione della configurazione | 3.4.9 | Controllare e monitorare il software installato dall'utente. | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
Gestione della configurazione | 3.4.9 | Controllare e monitorare il software installato dall'utente. | Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | 3.0.0 |
Identificazione e autenticazione | 3.5.10 | Archiviare e trasmettere solo le password protette con crittografia. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Identificazione e autenticazione | 3.5.10 | Archiviare e trasmettere solo le password protette con crittografia. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Identificazione e autenticazione | 3.5.10 | Archiviare e trasmettere solo le password protette con crittografia. | Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 | 3.1.0 |
Identificazione e autenticazione | 3.5.10 | Archiviare e trasmettere solo le password protette con crittografia. | Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | 2.0.0 |
Identificazione e autenticazione | 3.5.10 | Archiviare e trasmettere solo le password protette con crittografia. | Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | 3.1.0 |
Identificazione e autenticazione | 3.5.10 | Archiviare e trasmettere solo le password protette con crittografia. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Identificazione e autenticazione | 3.5.10 | Archiviare e trasmettere solo le password protette con crittografia. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
Identificazione e autenticazione | 3.5.2 | Autenticare (o verificare) le identità di utenti, processi o dispositivi come prerequisito per consentire l'accesso ai sistemi aziendali. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Identificazione e autenticazione | 3.5.2 | Autenticare (o verificare) le identità di utenti, processi o dispositivi come prerequisito per consentire l'accesso ai sistemi aziendali. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Identificazione e autenticazione | 3.5.2 | Autenticare (o verificare) le identità di utenti, processi o dispositivi come prerequisito per consentire l'accesso ai sistemi aziendali. | Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 | 3.1.0 |
Identificazione e autenticazione | 3.5.2 | Autenticare (o verificare) le identità di utenti, processi o dispositivi come prerequisito per consentire l'accesso ai sistemi aziendali. | Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | 2.0.0 |
Identificazione e autenticazione | 3.5.2 | Autenticare (o verificare) le identità di utenti, processi o dispositivi come prerequisito per consentire l'accesso ai sistemi aziendali. | L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH | 3.2.0 |
Identificazione e autenticazione | 3.5.2 | Autenticare (o verificare) le identità di utenti, processi o dispositivi come prerequisito per consentire l'accesso ai sistemi aziendali. | Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | 3.1.0 |
Identificazione e autenticazione | 3.5.2 | Autenticare (o verificare) le identità di utenti, processi o dispositivi come prerequisito per consentire l'accesso ai sistemi aziendali. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Identificazione e autenticazione | 3.5.4 | Usare meccanismi di autenticazione che eseguano la riproduzione per l'accesso di rete ad account privilegiati e non. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
Identificazione e autenticazione | 3.5.7 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Identificazione e autenticazione | 3.5.7 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Identificazione e autenticazione | 3.5.7 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Controlla i computer Windows in cui non è abilitata l'impostazione relativa alla complessità della password | 2.0.0 |
Identificazione e autenticazione | 3.5.7 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Controlla i computer Windows in cui la lunghezza minima della password non è limitata a un numero specificato di caratteri | 2.1.0 |
Identificazione e autenticazione | 3.5.7 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Identificazione e autenticazione | 3.5.8 | Proibire il riutilizzo delle password per un numero specificato di generazioni. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Identificazione e autenticazione | 3.5.8 | Proibire il riutilizzo delle password per un numero specificato di generazioni. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Identificazione e autenticazione | 3.5.8 | Proibire il riutilizzo delle password per un numero specificato di generazioni. | Controlla i computer Windows che consentono il riutilizzo delle password dopo il numero specificato di password univoche | 2.1.0 |
Identificazione e autenticazione | 3.5.8 | Proibire il riutilizzo delle password per un numero specificato di generazioni. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Protezione dei supporti | 3.8.9 | Proteggere la riservatezza dei backup CUI nelle posizioni di archiviazione. | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
NIST SP 800-53 Rev. 4
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - NIST SP 800-53 Rev. 4. Per altre informazioni su questo standard di conformità, vedere NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - NIST SP 800-53 Rev. 5. Per altre informazioni su questo standard di conformità, vedere NIST SP 800-53 Rev. 5.
NL BIO Cloud Theme
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per NL BIO Cloud Theme. Per altre informazioni su questo standard di conformità, vedere Baseline Information Security Cybersecurity - Digital Government (Sicurezza delle informazioni di base Cybersecurity del governo - Governo digitale) (digitaleoverheid.nl).
Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
---|---|---|---|---|
C.04.3 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.3 | Se la probabilità di abuso e il danno previsto sono entrambi elevati, le patch vengono installate non più tardi di una settimana. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
C.04.3 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.3 | Se la probabilità di abuso e il danno previsto sono entrambi elevati, le patch vengono installate non più tardi di una settimana. | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
C.04.3 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.3 | Se la probabilità di abuso e il danno previsto sono entrambi elevati, le patch vengono installate non più tardi di una settimana. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
C.04.3 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.3 | Se la probabilità di abuso e il danno previsto sono entrambi elevati, le patch vengono installate non più tardi di una settimana. | Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati | 3.0.0 |
C.04.3 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.3 | Se la probabilità di abuso e il danno previsto sono entrambi elevati, le patch vengono installate non più tardi di una settimana. | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
C.04.3 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.3 | Se la probabilità di abuso e il danno previsto sono entrambi elevati, le patch vengono installate non più tardi di una settimana. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
C.04.3 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.3 | Se la probabilità di abuso e il danno previsto sono entrambi elevati, le patch vengono installate non più tardi di una settimana. | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
C.04.3 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.3 | Se la probabilità di abuso e il danno previsto sono entrambi elevati, le patch vengono installate non più tardi di una settimana. | Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali | 2.0.0 |
C.04.6 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.6 | I punti deboli tecnici possono essere risolti eseguendo la gestione delle patch in modo tempestivo. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
C.04.6 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.6 | I punti deboli tecnici possono essere risolti eseguendo la gestione delle patch in modo tempestivo. | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
C.04.6 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.6 | I punti deboli tecnici possono essere risolti eseguendo la gestione delle patch in modo tempestivo. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
C.04.6 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.6 | I punti deboli tecnici possono essere risolti eseguendo la gestione delle patch in modo tempestivo. | Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati | 3.0.0 |
C.04.6 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.6 | I punti deboli tecnici possono essere risolti eseguendo la gestione delle patch in modo tempestivo. | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
C.04.6 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.6 | I punti deboli tecnici possono essere risolti eseguendo la gestione delle patch in modo tempestivo. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
C.04.6 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.6 | I punti deboli tecnici possono essere risolti eseguendo la gestione delle patch in modo tempestivo. | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
C.04.6 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.6 | I punti deboli tecnici possono essere risolti eseguendo la gestione delle patch in modo tempestivo. | Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali | 2.0.0 |
C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati | 3.0.0 |
C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali | 2.0.0 |
C.04.8 Gestione delle vulnerabilità tecniche - Valutato | C.04.8 | I report di valutazione contengono suggerimenti per il miglioramento e vengono comunicati con manager/proprietari. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
C.04.8 Gestione delle vulnerabilità tecniche - Valutato | C.04.8 | I report di valutazione contengono suggerimenti per il miglioramento e vengono comunicati con manager/proprietari. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
C.04.8 Gestione delle vulnerabilità tecniche - Valutato | C.04.8 | I report di valutazione contengono suggerimenti per il miglioramento e vengono comunicati con manager/proprietari. | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
C.04.8 Gestione delle vulnerabilità tecniche - Valutato | C.04.8 | I report di valutazione contengono suggerimenti per il miglioramento e vengono comunicati con manager/proprietari. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
U.03.1 Business Continuity Services - Ridondanza | U.03.1 | La continuità concordata è garantita da funzioni di sistema sufficientemente logiche o fisiche. | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
U.03.1 Business Continuity Services - Ridondanza | U.03.1 | La continuità concordata è garantita da funzioni di sistema sufficientemente logiche o fisiche. | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
U.03.2 Business Continuity Services - Requisiti di continuità | U.03.2 | I requisiti di continuità per i servizi cloud concordati con il CSC sono assicurati dall'architettura di sistema. | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
U.03.2 Business Continuity Services - Requisiti di continuità | U.03.2 | I requisiti di continuità per i servizi cloud concordati con il CSC sono assicurati dall'architettura di sistema. | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
U.04.1 Ripristino dati e servizi cloud - Funzione di ripristino | U.04.1 | I dati e i servizi cloud vengono ripristinati entro il periodo concordato e con la massima perdita di dati e resi disponibili al CSC. | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
U.04.2 Ripristino dati e servizi cloud - Funzione di ripristino | U.04.2 | Viene monitorato il processo continuo di protezione recuperabile dei dati. | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
U.04.3 Ripristino dati e servizi cloud - Testato | U.04.3 | Il funzionamento delle funzioni di ripristino viene testato periodicamente e i risultati vengono condivisi con il CSC. | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
U.05.1 Protezione dei dati - Misure crittografiche | U.05.1 | Il trasporto dei dati viene protetto con la crittografia in cui la gestione delle chiavi viene eseguita dal CSC stesso, se possibile. | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
U.05.1 Protezione dei dati - Misure crittografiche | U.05.1 | Il trasporto dei dati viene protetto con la crittografia in cui la gestione delle chiavi viene eseguita dal CSC stesso, se possibile. | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | [Anteprima]: L'estensione attestazione guest deve essere installata nelle macchine virtuali Linux supportate | 6.0.0-preview |
U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | [Anteprima]: L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali Linux supportati | 5.1.0-preview |
U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | [Anteprima]: L'estensione attestazione guest deve essere installata nelle macchine virtuali Windows supportate | 4.0.0-preview |
U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | [Anteprima]: L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali Windows supportati | 3.1.0-preview |
U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | [Anteprima]: l'avvio protetto deve essere abilitato nelle macchine virtuali Windows supportate | 4.0.0-preview |
U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | [Anteprima]: vTPM deve essere abilitato nelle macchine virtuali supportate | 2.0.0-preview |
U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | I dischi gestiti devono essere crittografati due volte con chiavi gestite dalla piattaforma e gestite dal cliente | 1.0.0 |
U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | I dischi del sistema operativo e dei dati devono essere crittografati con una chiave gestita dal cliente | 3.0.0 |
U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | Le macchine virtuali e i set di scalabilità di macchine virtuali devono avere la crittografia abilitata per l'host | 1.0.0 |
U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
U.07.1 Separazione dei dati - Isolato | U.07.1 | L'isolamento permanente dei dati è un'architettura multi-tenant. Le patch vengono realizzate in modo controllato. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
U.07.1 Separazione dei dati - Isolato | U.07.1 | L'isolamento permanente dei dati è un'architettura multi-tenant. Le patch vengono realizzate in modo controllato. | Le risorse di accesso al disco devono usare un collegamento privato | 1.0.0 |
U.07.1 Separazione dei dati - Isolato | U.07.1 | L'isolamento permanente dei dati è un'architettura multi-tenant. Le patch vengono realizzate in modo controllato. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
U.07.1 Separazione dei dati - Isolato | U.07.1 | L'isolamento permanente dei dati è un'architettura multi-tenant. Le patch vengono realizzate in modo controllato. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
U.07.1 Separazione dei dati - Isolato | U.07.1 | L'isolamento permanente dei dati è un'architettura multi-tenant. Le patch vengono realizzate in modo controllato. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
U.07.1 Separazione dei dati - Isolato | U.07.1 | L'isolamento permanente dei dati è un'architettura multi-tenant. Le patch vengono realizzate in modo controllato. | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
U.07.1 Separazione dei dati - Isolato | U.07.1 | L'isolamento permanente dei dati è un'architettura multi-tenant. Le patch vengono realizzate in modo controllato. | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati | 3.0.0 |
U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali | 2.0.0 |
U.10.2 Accesso ai servizi e ai dati IT - Utenti | U.10.2 | Secondo quanto previsto dalla responsabilità del CSP, l'accesso è concesso agli amministratori. | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
U.10.2 Accesso ai servizi e ai dati IT - Utenti | U.10.2 | Secondo quanto previsto dalla responsabilità del CSP, l'accesso è concesso agli amministratori. | Controlla i computer Linux in cui sono presenti account senza password | 3.1.0 |
U.10.2 Accesso ai servizi e ai dati IT - Utenti | U.10.2 | Secondo quanto previsto dalla responsabilità del CSP, l'accesso è concesso agli amministratori. | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
U.10.2 Accesso ai servizi e ai dati IT - Utenti | U.10.2 | Secondo quanto previsto dalla responsabilità del CSP, l'accesso è concesso agli amministratori. | È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | 1.0.0 |
U.10.3 Accesso ai servizi e ai dati IT - Utenti | U.10.3 | Solo gli utenti con apparecchiature autenticate possono accedere ai servizi e ai dati IT. | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
U.10.3 Accesso ai servizi e ai dati IT - Utenti | U.10.3 | Solo gli utenti con apparecchiature autenticate possono accedere ai servizi e ai dati IT. | Controlla i computer Linux in cui sono presenti account senza password | 3.1.0 |
U.10.3 Accesso ai servizi e ai dati IT - Utenti | U.10.3 | Solo gli utenti con apparecchiature autenticate possono accedere ai servizi e ai dati IT. | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
U.10.3 Accesso ai servizi e ai dati IT - Utenti | U.10.3 | Solo gli utenti con apparecchiature autenticate possono accedere ai servizi e ai dati IT. | È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | 1.0.0 |
U.10.5 Accesso ai servizi e ai dati IT - Competenza | U.10.5 | L'accesso ai servizi IT e ai dati è limitato da misure tecniche ed è stato implementato. | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
U.10.5 Accesso ai servizi e ai dati IT - Competenza | U.10.5 | L'accesso ai servizi IT e ai dati è limitato da misure tecniche ed è stato implementato. | Controlla i computer Linux in cui sono presenti account senza password | 3.1.0 |
U.10.5 Accesso ai servizi e ai dati IT - Competenza | U.10.5 | L'accesso ai servizi IT e ai dati è limitato da misure tecniche ed è stato implementato. | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
U.10.5 Accesso ai servizi e ai dati IT - Competenza | U.10.5 | L'accesso ai servizi IT e ai dati è limitato da misure tecniche ed è stato implementato. | È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | 1.0.0 |
U.11.1 Criptoservizi - Criteri | U.11.1 | Nella politica crittografica, almeno i soggetti in conformità con BIO sono stati elaborati. | Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | 2.0.0 |
U.11.1 Criptoservizi - Criteri | U.11.1 | Nella politica crittografica, almeno i soggetti in conformità con BIO sono stati elaborati. | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
U.11.1 Criptoservizi - Criteri | U.11.1 | Nella politica crittografica, almeno i soggetti in conformità con BIO sono stati elaborati. | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
U.11.2 Criptoservizi - Misure crittografiche | U.11.2 | In caso di certificati PKIoverheid, usare i requisiti PKIoverheid per la gestione delle chiavi. In altre situazioni usare ISO11770. | Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | 2.0.0 |
U.11.2 Criptoservizi - Misure crittografiche | U.11.2 | In caso di certificati PKIoverheid, usare i requisiti PKIoverheid per la gestione delle chiavi. In altre situazioni usare ISO11770. | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
U.11.2 Criptoservizi - Misure crittografiche | U.11.2 | In caso di certificati PKIoverheid, usare i requisiti PKIoverheid per la gestione delle chiavi. In altre situazioni usare ISO11770. | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | [Anteprima]: L'estensione attestazione guest deve essere installata nelle macchine virtuali Linux supportate | 6.0.0-preview |
U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | [Anteprima]: L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali Linux supportati | 5.1.0-preview |
U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | [Anteprima]: L'estensione attestazione guest deve essere installata nelle macchine virtuali Windows supportate | 4.0.0-preview |
U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | [Anteprima]: L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali Windows supportati | 3.1.0-preview |
U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | [Anteprima]: l'avvio protetto deve essere abilitato nelle macchine virtuali Windows supportate | 4.0.0-preview |
U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | [Anteprima]: vTPM deve essere abilitato nelle macchine virtuali supportate | 2.0.0-preview |
U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | I dischi gestiti devono essere crittografati due volte con chiavi gestite dalla piattaforma e gestite dal cliente | 1.0.0 |
U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | I dischi del sistema operativo e dei dati devono essere crittografati con una chiave gestita dal cliente | 3.0.0 |
U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | Le macchine virtuali e i set di scalabilità di macchine virtuali devono avere la crittografia abilitata per l'host | 1.0.0 |
U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
Interfacce U.12.1 - Connessioni di rete | U.12.1 | Nei punti di connessione con zone esterne o non attendibili, vengono adottate misure contro gli attacchi. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Interfacce U.12.1 - Connessioni di rete | U.12.1 | Nei punti di connessione con zone esterne o non attendibili, vengono adottate misure contro gli attacchi. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
Interfacce U.12.2 - Connessioni di rete | U.12.2 | I componenti di rete sono tali che le connessioni di rete tra reti attendibili e non attendibili sono limitate. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Interfacce U.12.2 - Connessioni di rete | U.12.2 | I componenti di rete sono tali che le connessioni di rete tra reti attendibili e non attendibili sono limitate. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | [Anteprima]: L'estensione Log Analytics deve essere abilitata per le immagini delle macchine virtuali elencate | 2.0.1-preview |
U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | 1.0.2-preview |
U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | 1.0.2-preview |
U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | L'agente di dipendenza deve essere abilitato per le immagini delle macchine virtuali elencate | 2.0.0 |
U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | L'agente di dipendenza deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali elencate | 2.0.0 |
U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | L'estensione configurazione guest deve essere installata nei computer | 1.0.3 |
U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure | 1.0.0 |
U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio del Centro sicurezza di Azure | 1.0.0 |
U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | L'estensione Log Analytics deve essere abilitata nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali elencate | 2.0.1 |
U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema | 1.0.1 |
U.15.3 Registrazione e monitoraggio - Eventi registrati | U.15.3 | CSP gestisce un elenco di tutti gli asset critici in termini di registrazione e monitoraggio ed esamina questo elenco. | [Anteprima]: L'estensione Log Analytics deve essere abilitata per le immagini delle macchine virtuali elencate | 2.0.1-preview |
U.15.3 Registrazione e monitoraggio - Eventi registrati | U.15.3 | CSP gestisce un elenco di tutti gli asset critici in termini di registrazione e monitoraggio ed esamina questo elenco. | L'agente di dipendenza deve essere abilitato per le immagini delle macchine virtuali elencate | 2.0.0 |
U.15.3 Registrazione e monitoraggio - Eventi registrati | U.15.3 | CSP gestisce un elenco di tutti gli asset critici in termini di registrazione e monitoraggio ed esamina questo elenco. | L'agente di dipendenza deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali elencate | 2.0.0 |
U.15.3 Registrazione e monitoraggio - Eventi registrati | U.15.3 | CSP gestisce un elenco di tutti gli asset critici in termini di registrazione e monitoraggio ed esamina questo elenco. | L'estensione Log Analytics deve essere abilitata nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali elencate | 2.0.1 |
Architettura multi-tenant U.17.1 - Crittografata | U.17.1 | I dati CSC sul trasporto e inattivi vengono crittografati. | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
Architettura multi-tenant U.17.1 - Crittografata | U.17.1 | I dati CSC sul trasporto e inattivi vengono crittografati. | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
PCI DSS 3.2.1
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere PCI DSS 3.2.1. Per altre informazioni su questo standard di conformità, vedere PCI DSS 3.2.1.
PCI DSS v4.0
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per PCI DSS v4.0. Per altre informazioni su questo standard di conformità, vedere PCI DSS v4.0.
Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
---|---|---|---|---|
Requisito 01: Installare e gestire i controlli di sicurezza di rete | 1.3.2 | L'accesso alla rete da e verso l'ambiente dati dei titolari di carte è limitato | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Requisito 01: Installare e gestire i controlli di sicurezza di rete | 1.4.2 | Le connessioni di rete tra reti attendibili e non attendibili sono controllate | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Requisito 10: registrare e monitorare tutti gli accessi ai componenti di sistema e ai dati di titolari di carte | 10.2.2 | I log di controllo vengono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi | È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | 1.0.0 |
Requisito 10: registrare e monitorare tutti gli accessi ai componenti di sistema e ai dati di titolari di carte | 10.3.3 | I log di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate | È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | 1.0.0 |
Requisito 11: testare regolarmente la sicurezza dei sistemi e delle reti | 11.3.1 | Le vulnerabilità esterne e interne vengono identificate regolarmente, classificate in ordine di priorità e risolte | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Requisito 11: testare regolarmente la sicurezza dei sistemi e delle reti | 11.3.1 | Le vulnerabilità esterne e interne vengono identificate regolarmente, classificate in ordine di priorità e risolte | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Requisito 11: testare regolarmente la sicurezza dei sistemi e delle reti | 11.3.1 | Le vulnerabilità esterne e interne vengono identificate regolarmente, classificate in ordine di priorità e risolte | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
Requisito 11: testare regolarmente la sicurezza dei sistemi e delle reti | 11.3.1 | Le vulnerabilità esterne e interne vengono identificate regolarmente, classificate in ordine di priorità e risolte | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Requisito 03: Proteggere i dati dell'account archiviati | 3.5.1 | Il numero del conto primario (PAN) è protetto ovunque sia archiviato | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
Requisito 05: proteggere tutti i sistemi e le reti da software dannosi | 5.2.1 | I software dannosi (malware) vengono impediti o rilevati e risolti | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Requisito 05: proteggere tutti i sistemi e le reti da software dannosi | 5.2.1 | I software dannosi (malware) vengono impediti o rilevati e risolti | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Requisito 05: proteggere tutti i sistemi e le reti da software dannosi | 5.2.1 | I software dannosi (malware) vengono impediti o rilevati e risolti | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
Requisito 05: proteggere tutti i sistemi e le reti da software dannosi | 5.2.1 | I software dannosi (malware) vengono impediti o rilevati e risolti | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Requisito 05: proteggere tutti i sistemi e le reti da software dannosi | 5.2.2 | I software dannosi (malware) vengono impediti o rilevati e risolti | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Requisito 05: proteggere tutti i sistemi e le reti da software dannosi | 5.2.2 | I software dannosi (malware) vengono impediti o rilevati e risolti | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Requisito 05: proteggere tutti i sistemi e le reti da software dannosi | 5.2.2 | I software dannosi (malware) vengono impediti o rilevati e risolti | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
Requisito 05: proteggere tutti i sistemi e le reti da software dannosi | 5.2.2 | I software dannosi (malware) vengono impediti o rilevati e risolti | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Requisito 05: proteggere tutti i sistemi e le reti da software dannosi | 5.2.3 | I software dannosi (malware) vengono impediti o rilevati e risolti | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Requisito 05: proteggere tutti i sistemi e le reti da software dannosi | 5.2.3 | I software dannosi (malware) vengono impediti o rilevati e risolti | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Requisito 05: proteggere tutti i sistemi e le reti da software dannosi | 5.2.3 | I software dannosi (malware) vengono impediti o rilevati e risolti | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
Requisito 05: proteggere tutti i sistemi e le reti da software dannosi | 5.2.3 | I software dannosi (malware) vengono impediti o rilevati e risolti | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Requisito 06: sviluppare e gestire sistemi e software sicuri | 6.2.4 | I software personalizzati e su misura vengono sviluppati in modo sicuro | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
Requisito 06: sviluppare e gestire sistemi e software sicuri | 6.3.3 | Le vulnerabilità di sicurezza vengono identificate e risolte | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Requisito 06: sviluppare e gestire sistemi e software sicuri | 6.3.3 | Le vulnerabilità di sicurezza vengono identificate e risolte | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Requisito 06: sviluppare e gestire sistemi e software sicuri | 6.3.3 | Le vulnerabilità di sicurezza vengono identificate e risolte | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
Requisito 06: sviluppare e gestire sistemi e software sicuri | 6.3.3 | Le vulnerabilità di sicurezza vengono identificate e risolte | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Requisito 06: sviluppare e gestire sistemi e software sicuri | 6.4.1 | Le applicazioni Web pubbliche sono protette dagli attacchi | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Requisito 06: sviluppare e gestire sistemi e software sicuri | 6.4.1 | Le applicazioni Web pubbliche sono protette dagli attacchi | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Requisito 06: sviluppare e gestire sistemi e software sicuri | 6.4.1 | Le applicazioni Web pubbliche sono protette dagli attacchi | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
Requisito 06: sviluppare e gestire sistemi e software sicuri | 6.4.1 | Le applicazioni Web pubbliche sono protette dagli attacchi | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Requisito 08: Identificare gli utenti e autenticare l'accesso ai componenti di sistema | 8.3.6 | Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Requisito 08: Identificare gli utenti e autenticare l'accesso ai componenti di sistema | 8.3.6 | Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Requisito 08: Identificare gli utenti e autenticare l'accesso ai componenti di sistema | 8.3.6 | Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori | Controlla i computer Windows che consentono il riutilizzo delle password dopo il numero specificato di password univoche | 2.1.0 |
Requisito 08: Identificare gli utenti e autenticare l'accesso ai componenti di sistema | 8.3.6 | Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori | Controlla i computer Windows che non hanno la validità massima della password impostata sul numero specificato di giorni | 2.1.0 |
Requisito 08: Identificare gli utenti e autenticare l'accesso ai componenti di sistema | 8.3.6 | Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori | Controlla i computer Windows in cui la lunghezza minima della password non è limitata a un numero specificato di caratteri | 2.1.0 |
Requisito 08: Identificare gli utenti e autenticare l'accesso ai componenti di sistema | 8.3.6 | Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Reserve Bank of India - IT Framework for NBFC
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - Reserve Bank of India - IT Framework for NBFC. Per altre informazioni su questo standard di conformità, vedere Reserve Bank of India - IT Framework for NBFC.
Reserve Bank of India IT - Framework for Banks v2016
Per informazioni sul mapping delle impostazioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - RBI ITF Banks v2016. Per altre informazioni su questo standard di conformità, vedere RBI ITF Banks v2016 (PDF).
RMIT Malaysia
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per RMIT Malaysia. Per altre informazioni su questo standard di conformità, vedere RMIT Malaysia.
SWIFT CSP-CSCF v2021
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per SWIFT CSP-CSCF v2021. Per altre informazioni su questo standard di conformità, vedere SWIFT CSP CSCF v2021.
SWIFT CSP-CSCF v2022
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per SWIFT CSP-CSCF v2022. Per altre informazioni su questo standard di conformità, vedere SWIFT CSP CSCF v2022.
Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
---|---|---|---|---|
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.1 | Garantire la protezione dell'infrastruttura SWIFT locale dell'utente da elementi potenzialmente compromessi dell'ambiente IT generale e dell'ambiente esterno. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | 1.0.2-preview |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.1 | Garantire la protezione dell'infrastruttura SWIFT locale dell'utente da elementi potenzialmente compromessi dell'ambiente IT generale e dell'ambiente esterno. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | 1.0.2-preview |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.1 | Garantire la protezione dell'infrastruttura SWIFT locale dell'utente da elementi potenzialmente compromessi dell'ambiente IT generale e dell'ambiente esterno. | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.1 | Garantire la protezione dell'infrastruttura SWIFT locale dell'utente da elementi potenzialmente compromessi dell'ambiente IT generale e dell'ambiente esterno. | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.1 | Garantire la protezione dell'infrastruttura SWIFT locale dell'utente da elementi potenzialmente compromessi dell'ambiente IT generale e dell'ambiente esterno. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.1 | Garantire la protezione dell'infrastruttura SWIFT locale dell'utente da elementi potenzialmente compromessi dell'ambiente IT generale e dell'ambiente esterno. | Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | 3.0.0 |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.1 | Garantire la protezione dell'infrastruttura SWIFT locale dell'utente da elementi potenzialmente compromessi dell'ambiente IT generale e dell'ambiente esterno. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.1 | Garantire la protezione dell'infrastruttura SWIFT locale dell'utente da elementi potenzialmente compromessi dell'ambiente IT generale e dell'ambiente esterno. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.2 | Limitare e controllare l'allocazione e l'utilizzo degli account del sistema operativo a livello di amministratore. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.3 | Proteggere la piattaforma di virtualizzazione e le macchine virtuali che ospitano componenti correlati a SWIFT allo stesso livello dei sistemi fisici. | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.4 | Controllare/proteggere l'accesso a Internet da PC e sistemi dell'operatore all'interno della zona sicura. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.4 | Controllare/proteggere l'accesso a Internet da PC e sistemi dell'operatore all'interno della zona sicura. | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.5A | Garantire la protezione dell'infrastruttura di connettività del cliente dall'ambiente esterno e da elementi potenzialmente compromessi dell'ambiente IT generale. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | 1.0.2-preview |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.5A | Garantire la protezione dell'infrastruttura di connettività del cliente dall'ambiente esterno e da elementi potenzialmente compromessi dell'ambiente IT generale. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | 1.0.2-preview |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.5A | Garantire la protezione dell'infrastruttura di connettività del cliente dall'ambiente esterno e da elementi potenzialmente compromessi dell'ambiente IT generale. | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.5A | Garantire la protezione dell'infrastruttura di connettività del cliente dall'ambiente esterno e da elementi potenzialmente compromessi dell'ambiente IT generale. | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.5A | Garantire la protezione dell'infrastruttura di connettività del cliente dall'ambiente esterno e da elementi potenzialmente compromessi dell'ambiente IT generale. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.5A | Garantire la protezione dell'infrastruttura di connettività del cliente dall'ambiente esterno e da elementi potenzialmente compromessi dell'ambiente IT generale. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.5A | Garantire la protezione dell'infrastruttura di connettività del cliente dall'ambiente esterno e da elementi potenzialmente compromessi dell'ambiente IT generale. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.1 | Garantire la riservatezza, l'integrità e l'autenticità dei flussi di dati delle applicazioni tra i componenti locali correlati a SWIFT. | L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH | 3.2.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.1 | Garantire la riservatezza, l'integrità e l'autenticità dei flussi di dati delle applicazioni tra i componenti locali correlati a SWIFT. | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.2 | Ridurre al minimo il verificarsi di vulnerabilità tecniche note nei PC degli operatori e nell'infrastruttura SWIFT locale, garantendo il supporto dei fornitori, applicando aggiornamenti software obbligatori e applicando aggiornamenti di sicurezza tempestivi allineati al rischio valutato. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.2 | Ridurre al minimo il verificarsi di vulnerabilità tecniche note nei PC degli operatori e nell'infrastruttura SWIFT locale, garantendo il supporto dei fornitori, applicando aggiornamenti software obbligatori e applicando aggiornamenti di sicurezza tempestivi allineati al rischio valutato. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.2 | Ridurre al minimo il verificarsi di vulnerabilità tecniche note nei PC degli operatori e nell'infrastruttura SWIFT locale, garantendo il supporto dei fornitori, applicando aggiornamenti software obbligatori e applicando aggiornamenti di sicurezza tempestivi allineati al rischio valutato. | Controlla le macchine virtuali Windows in attesa di riavvio | 2.0.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.2 | Ridurre al minimo il verificarsi di vulnerabilità tecniche note nei PC degli operatori e nell'infrastruttura SWIFT locale, garantendo il supporto dei fornitori, applicando aggiornamenti software obbligatori e applicando aggiornamenti di sicurezza tempestivi allineati al rischio valutato. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.2 | Ridurre al minimo il verificarsi di vulnerabilità tecniche note nei PC degli operatori e nell'infrastruttura SWIFT locale, garantendo il supporto dei fornitori, applicando aggiornamenti software obbligatori e applicando aggiornamenti di sicurezza tempestivi allineati al rischio valutato. | Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati | 3.0.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.2 | Ridurre al minimo il verificarsi di vulnerabilità tecniche note nei PC degli operatori e nell'infrastruttura SWIFT locale, garantendo il supporto dei fornitori, applicando aggiornamenti software obbligatori e applicando aggiornamenti di sicurezza tempestivi allineati al rischio valutato. | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.3 | Ridurre la superficie di cyberattacco dei componenti correlati a SWIFT eseguendo la protezione avanzata del sistema. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.3 | Ridurre la superficie di cyberattacco dei componenti correlati a SWIFT eseguendo la protezione avanzata del sistema. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.3 | Ridurre la superficie di cyberattacco dei componenti correlati a SWIFT eseguendo la protezione avanzata del sistema. | Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 | 3.1.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.3 | Ridurre la superficie di cyberattacco dei componenti correlati a SWIFT eseguendo la protezione avanzata del sistema. | Controlla i computer Windows che contengono certificati in scadenza entro il numero di giorni specificato | 2.0.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.3 | Ridurre la superficie di cyberattacco dei componenti correlati a SWIFT eseguendo la protezione avanzata del sistema. | Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | 2.0.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.3 | Ridurre la superficie di cyberattacco dei componenti correlati a SWIFT eseguendo la protezione avanzata del sistema. | Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | 3.1.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.3 | Ridurre la superficie di cyberattacco dei componenti correlati a SWIFT eseguendo la protezione avanzata del sistema. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.3 | Ridurre la superficie di cyberattacco dei componenti correlati a SWIFT eseguendo la protezione avanzata del sistema. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.4A | Sicurezza del flusso di dati di back-office | L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH | 3.2.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.4A | Sicurezza del flusso di dati di back-office | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.5A | Protezione dei dati personali dalla trasmissione esterna | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.5A | Protezione dei dati personali dalla trasmissione esterna | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.5A | Protezione dei dati personali dalla trasmissione esterna | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.5A | Protezione dei dati personali dalla trasmissione esterna | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.6 | Proteggere la riservatezza e l'integrità delle sessioni interattive degli operatori che si connettono all'infrastruttura SWIFT locale o remota (gestita da un provider di servizi) o alle applicazioni correlate a SWIFT del provider di servizi | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.6 | Proteggere la riservatezza e l'integrità delle sessioni interattive degli operatori che si connettono all'infrastruttura SWIFT locale o remota (gestita da un provider di servizi) o alle applicazioni correlate a SWIFT del provider di servizi | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.6 | Proteggere la riservatezza e l'integrità delle sessioni interattive degli operatori che si connettono all'infrastruttura SWIFT locale o remota (gestita da un provider di servizi) o alle applicazioni correlate a SWIFT del provider di servizi | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.6 | Proteggere la riservatezza e l'integrità delle sessioni interattive degli operatori che si connettono all'infrastruttura SWIFT locale o remota (gestita da un provider di servizi) o alle applicazioni correlate a SWIFT del provider di servizi | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.6 | Proteggere la riservatezza e l'integrità delle sessioni interattive degli operatori che si connettono all'infrastruttura SWIFT locale o remota (gestita da un provider di servizi) o alle applicazioni correlate a SWIFT del provider di servizi | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso interattivo' | 3.0.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.7 | Identificare le vulnerabilità note all'interno dell'ambiente SWIFT locale implementando un normale processo di analisi delle vulnerabilità e agire sui risultati. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.7 | Identificare le vulnerabilità note all'interno dell'ambiente SWIFT locale implementando un normale processo di analisi delle vulnerabilità e agire sui risultati. | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.7 | Identificare le vulnerabilità note all'interno dell'ambiente SWIFT locale implementando un normale processo di analisi delle vulnerabilità e agire sui risultati. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.7 | Identificare le vulnerabilità note all'interno dell'ambiente SWIFT locale implementando un normale processo di analisi delle vulnerabilità e agire sui risultati. | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
3. Proteggere fisicamente l'ambiente | 3.1 | Impedire l'accesso fisico non autorizzato a apparecchiature sensibili, ambienti di lavoro, siti di hosting e archiviazione. | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
4. Impedire la compromissione delle credenziali | 4.1 | Garantire che le password siano sufficientemente resistenti ai comuni attacchi alle password implementando e applicando criteri validi per le password. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
4. Impedire la compromissione delle credenziali | 4.1 | Garantire che le password siano sufficientemente resistenti ai comuni attacchi alle password implementando e applicando criteri validi per le password. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
4. Impedire la compromissione delle credenziali | 4.1 | Garantire che le password siano sufficientemente resistenti ai comuni attacchi alle password implementando e applicando criteri validi per le password. | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
4. Impedire la compromissione delle credenziali | 4.1 | Garantire che le password siano sufficientemente resistenti ai comuni attacchi alle password implementando e applicando criteri validi per le password. | Controlla i computer Linux in cui sono presenti account senza password | 3.1.0 |
4. Impedire la compromissione delle credenziali | 4.1 | Garantire che le password siano sufficientemente resistenti ai comuni attacchi alle password implementando e applicando criteri validi per le password. | Controlla i computer Windows che consentono il riutilizzo delle password dopo il numero specificato di password univoche | 2.1.0 |
4. Impedire la compromissione delle credenziali | 4.1 | Garantire che le password siano sufficientemente resistenti ai comuni attacchi alle password implementando e applicando criteri validi per le password. | Controlla i computer Windows che non hanno la validità massima della password impostata sul numero specificato di giorni | 2.1.0 |
4. Impedire la compromissione delle credenziali | 4.1 | Garantire che le password siano sufficientemente resistenti ai comuni attacchi alle password implementando e applicando criteri validi per le password. | Controlla i computer Windows che non hanno la validità minima della password impostata sul numero specificato di giorni | 2.1.0 |
4. Impedire la compromissione delle credenziali | 4.1 | Garantire che le password siano sufficientemente resistenti ai comuni attacchi alle password implementando e applicando criteri validi per le password. | Controlla i computer Windows in cui non è abilitata l'impostazione relativa alla complessità della password | 2.0.0 |
4. Impedire la compromissione delle credenziali | 4.1 | Garantire che le password siano sufficientemente resistenti ai comuni attacchi alle password implementando e applicando criteri validi per le password. | Controlla i computer Windows in cui la lunghezza minima della password non è limitata a un numero specificato di caratteri | 2.1.0 |
4. Impedire la compromissione delle credenziali | 4.1 | Garantire che le password siano sufficientemente resistenti ai comuni attacchi alle password implementando e applicando criteri validi per le password. | Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | 3.1.0 |
4. Impedire la compromissione delle credenziali | 4.1 | Garantire che le password siano sufficientemente resistenti ai comuni attacchi alle password implementando e applicando criteri validi per le password. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
5. Gestire le identità e separare i privilegi | 5.1 | Applicare i principi di sicurezza dell'accesso necessario, dei privilegi minimi e della separazione dei compiti per gli account operatore. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
5. Gestire le identità e separare i privilegi | 5.1 | Applicare i principi di sicurezza dell'accesso necessario, dei privilegi minimi e della separazione dei compiti per gli account operatore. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
5. Gestire le identità e separare i privilegi | 5.1 | Applicare i principi di sicurezza dell'accesso necessario, dei privilegi minimi e della separazione dei compiti per gli account operatore. | Controlla i computer Windows che contengono certificati in scadenza entro il numero di giorni specificato | 2.0.0 |
5. Gestire le identità e separare i privilegi | 5.1 | Applicare i principi di sicurezza dell'accesso necessario, dei privilegi minimi e della separazione dei compiti per gli account operatore. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
5. Gestire le identità e separare i privilegi | 5,2 | Verificare la corretta gestione, il rilevamento e l'uso dell'autenticazione hardware connessa e disconnessa o dei token personali (quando vengono usati i token). | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
5. Gestire le identità e separare i privilegi | 5.4 | Proteggere fisicamente e logicamente il repository di password registrate. | Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | 2.0.0 |
6. Rilevare attività anomale a sistemi o record delle transazioni | 6.1 | Assicurarsi che l'infrastruttura SWIFT locale sia protetta da malware e agisca sui risultati. | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
6. Rilevare attività anomale a sistemi o record delle transazioni | 6.1 | Assicurarsi che l'infrastruttura SWIFT locale sia protetta da malware e agisca sui risultati. | È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | 1.0.0 |
6. Rilevare attività anomale a sistemi o record delle transazioni | 6.1 | Assicurarsi che l'infrastruttura SWIFT locale sia protetta da malware e agisca sui risultati. | È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows | 1.1.0 |
6. Rilevare attività anomale a sistemi o record delle transazioni | 6.1 | Assicurarsi che l'infrastruttura SWIFT locale sia protetta da malware e agisca sui risultati. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
6. Rilevare attività anomale a sistemi o record delle transazioni | 6.4 | Registrare gli eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | [Anteprima]: L'estensione Log Analytics deve essere abilitata per le immagini delle macchine virtuali elencate | 2.0.1-preview |
6. Rilevare attività anomale a sistemi o record delle transazioni | 6.4 | Registrare gli eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | 1.0.2-preview |
6. Rilevare attività anomale a sistemi o record delle transazioni | 6.4 | Registrare gli eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | 1.0.2-preview |
6. Rilevare attività anomale a sistemi o record delle transazioni | 6.4 | Registrare gli eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
6. Rilevare attività anomale a sistemi o record delle transazioni | 6.4 | Registrare gli eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
6. Rilevare attività anomale a sistemi o record delle transazioni | 6.4 | Registrare gli eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
6. Rilevare attività anomale a sistemi o record delle transazioni | 6.4 | Registrare gli eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
6. Rilevare attività anomale a sistemi o record delle transazioni | 6.4 | Registrare gli eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
6. Rilevare attività anomale a sistemi o record delle transazioni | 6.4 | Registrare gli eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | L'estensione Log Analytics deve essere abilitata nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali elencate | 2.0.1 |
6. Rilevare attività anomale a sistemi o record delle transazioni | 6.4 | Registrare gli eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | L'estensione Log Analytics deve essere installata in set di scalabilità di macchine virtuali | 1.0.1 |
6. Rilevare attività anomale a sistemi o record delle transazioni | 6.4 | Registrare gli eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | Per le macchine virtuali deve essere installata l'estensione Log Analytics | 1.0.1 |
6. Rilevare attività anomale a sistemi o record delle transazioni | 6.5A | Rilevare e contenere attività di rete anomale in e all'interno dell'ambiente SWIFT locale o remoto. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | 1.0.2-preview |
6. Rilevare attività anomale a sistemi o record delle transazioni | 6.5A | Rilevare e contenere attività di rete anomale in e all'interno dell'ambiente SWIFT locale o remoto. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | 1.0.2-preview |
6. Rilevare attività anomale a sistemi o record delle transazioni | 6.5A | Rilevare e contenere attività di rete anomale in e all'interno dell'ambiente SWIFT locale o remoto. | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
Controlli di sistema e organizzazione (SOC) 2
Per esaminare il modo in cui i Criteri di Azure predefiniti disponibili per tutti i servizi di Azure eseguono il mapping a questo standard di conformità, vedere Criteri di Azure dettagli sulla conformità alle normative per i controlli di sistema e organizzazione (SOC) 2. Per altre informazioni su questo standard di conformità, vedere System and Organization Controls (SOC) 2.
Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
---|---|---|---|---|
Criteri aggiuntivi per la disponibilità | A1.2 | Protezione ambientale, software, processi di backup dei dati e infrastruttura di ripristino | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
Valutazione dei rischi | CC3.2 | Principio COSO 7 | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Controllo di accesso logiche e fisiche | CC6.1 | Software, infrastruttura e architetture per la sicurezza dell'accesso logico | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
Controllo di accesso logiche e fisiche | CC6.1 | Software, infrastruttura e architetture per la sicurezza dell'accesso logico | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Controllo di accesso logiche e fisiche | CC6.1 | Software, infrastruttura e architetture per la sicurezza dell'accesso logico | L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH | 3.2.0 |
Controllo di accesso logiche e fisiche | CC6.1 | Software, infrastruttura e architetture per la sicurezza dell'accesso logico | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Controllo di accesso logiche e fisiche | CC6.1 | Software, infrastruttura e architetture per la sicurezza dell'accesso logico | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Controllo di accesso logiche e fisiche | CC6.1 | Software, infrastruttura e architetture per la sicurezza dell'accesso logico | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
Controllo di accesso logiche e fisiche | CC6.1 | Software, infrastruttura e architetture per la sicurezza dell'accesso logico | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Controllo di accesso logiche e fisiche | CC6.1 | Software, infrastruttura e architetture per la sicurezza dell'accesso logico | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
Controllo di accesso logiche e fisiche | CC6.1 | Software, infrastruttura e architetture per la sicurezza dell'accesso logico | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
Controllo di accesso logiche e fisiche | CC6.6 | Misure di sicurezza contro le minacce esterne ai limiti del sistema | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
Controllo di accesso logiche e fisiche | CC6.6 | Misure di sicurezza contro le minacce esterne ai limiti del sistema | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Controllo di accesso logiche e fisiche | CC6.6 | Misure di sicurezza contro le minacce esterne ai limiti del sistema | L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH | 3.2.0 |
Controllo di accesso logiche e fisiche | CC6.6 | Misure di sicurezza contro le minacce esterne ai limiti del sistema | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Controllo di accesso logiche e fisiche | CC6.6 | Misure di sicurezza contro le minacce esterne ai limiti del sistema | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
Controllo di accesso logiche e fisiche | CC6.6 | Misure di sicurezza contro le minacce esterne ai limiti del sistema | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Controllo di accesso logiche e fisiche | CC6.6 | Misure di sicurezza contro le minacce esterne ai limiti del sistema | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
Controllo di accesso logiche e fisiche | CC6.6 | Misure di sicurezza contro le minacce esterne ai limiti del sistema | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Controllo di accesso logiche e fisiche | CC6.6 | Misure di sicurezza contro le minacce esterne ai limiti del sistema | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
Controllo di accesso logiche e fisiche | CC6.7 | Limitare lo spostamento delle informazioni agli utenti autorizzati | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
Controllo di accesso logiche e fisiche | CC6.7 | Limitare lo spostamento delle informazioni agli utenti autorizzati | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Controllo di accesso logiche e fisiche | CC6.7 | Limitare lo spostamento delle informazioni agli utenti autorizzati | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Controllo di accesso logiche e fisiche | CC6.7 | Limitare lo spostamento delle informazioni agli utenti autorizzati | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Controllo di accesso logiche e fisiche | CC6.7 | Limitare lo spostamento delle informazioni agli utenti autorizzati | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
Controllo di accesso logiche e fisiche | CC6.7 | Limitare lo spostamento delle informazioni agli utenti autorizzati | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Controllo di accesso logiche e fisiche | CC6.7 | Limitare lo spostamento delle informazioni agli utenti autorizzati | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
Controllo di accesso logiche e fisiche | CC6.8 | Impedire o rilevare software non autorizzato o dannoso | [Anteprima]: L'estensione attestazione guest deve essere installata nelle macchine virtuali Linux supportate | 6.0.0-preview |
Controllo di accesso logiche e fisiche | CC6.8 | Impedire o rilevare software non autorizzato o dannoso | [Anteprima]: L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali Linux supportati | 5.1.0-preview |
Controllo di accesso logiche e fisiche | CC6.8 | Impedire o rilevare software non autorizzato o dannoso | [Anteprima]: L'estensione attestazione guest deve essere installata nelle macchine virtuali Windows supportate | 4.0.0-preview |
Controllo di accesso logiche e fisiche | CC6.8 | Impedire o rilevare software non autorizzato o dannoso | [Anteprima]: L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali Windows supportati | 3.1.0-preview |
Controllo di accesso logiche e fisiche | CC6.8 | Impedire o rilevare software non autorizzato o dannoso | [Anteprima]: l'avvio protetto deve essere abilitato nelle macchine virtuali Windows supportate | 4.0.0-preview |
Controllo di accesso logiche e fisiche | CC6.8 | Impedire o rilevare software non autorizzato o dannoso | [Anteprima]: vTPM deve essere abilitato nelle macchine virtuali supportate | 2.0.0-preview |
Controllo di accesso logiche e fisiche | CC6.8 | Impedire o rilevare software non autorizzato o dannoso | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
Controllo di accesso logiche e fisiche | CC6.8 | Impedire o rilevare software non autorizzato o dannoso | Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | 3.0.0 |
Controllo di accesso logiche e fisiche | CC6.8 | Impedire o rilevare software non autorizzato o dannoso | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
Controllo di accesso logiche e fisiche | CC6.8 | Impedire o rilevare software non autorizzato o dannoso | È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer | 1.0.0 |
Controllo di accesso logiche e fisiche | CC6.8 | Impedire o rilevare software non autorizzato o dannoso | È necessario installare Endpoint Protection nei computer | 1.0.0 |
Controllo di accesso logiche e fisiche | CC6.8 | Impedire o rilevare software non autorizzato o dannoso | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
Controllo di accesso logiche e fisiche | CC6.8 | Impedire o rilevare software non autorizzato o dannoso | L'estensione configurazione guest deve essere installata nei computer | 1.0.3 |
Controllo di accesso logiche e fisiche | CC6.8 | Impedire o rilevare software non autorizzato o dannoso | I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Calcolo di Azure | 2.2.0 |
Controllo di accesso logiche e fisiche | CC6.8 | Impedire o rilevare software non autorizzato o dannoso | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Controllo di accesso logiche e fisiche | CC6.8 | Impedire o rilevare software non autorizzato o dannoso | Devono essere installate solo le estensioni macchina virtuale approvate | 1.0.0 |
Controllo di accesso logiche e fisiche | CC6.8 | Impedire o rilevare software non autorizzato o dannoso | L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema | 1.0.1 |
Controllo di accesso logiche e fisiche | CC6.8 | Impedire o rilevare software non autorizzato o dannoso | I computer Windows devono soddisfare i requisiti della baseline di sicurezza di Calcolo di Azure | 2.0.0 |
Operazioni di sistema | CC7.1 | Rilevamento e monitoraggio delle nuove vulnerabilità | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Operazioni di sistema | CC7.1 | Rilevamento e monitoraggio delle nuove vulnerabilità | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
Operazioni di sistema | CC7.1 | Rilevamento e monitoraggio delle nuove vulnerabilità | Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | 3.0.0 |
Operazioni di sistema | CC7.2 | Monitorare i componenti di sistema per il comportamento anomalo | Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali | 2.0.0 |
Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | [Anteprima]: L'estensione attestazione guest deve essere installata nelle macchine virtuali Linux supportate | 6.0.0-preview |
Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | [Anteprima]: L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali Linux supportati | 5.1.0-preview |
Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | [Anteprima]: L'estensione attestazione guest deve essere installata nelle macchine virtuali Windows supportate | 4.0.0-preview |
Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | [Anteprima]: L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali Windows supportati | 3.1.0-preview |
Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | [Anteprima]: l'avvio protetto deve essere abilitato nelle macchine virtuali Windows supportate | 4.0.0-preview |
Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | [Anteprima]: vTPM deve essere abilitato nelle macchine virtuali supportate | 2.0.0-preview |
Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | L'estensione configurazione guest deve essere installata nei computer | 1.0.3 |
Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Calcolo di Azure | 2.2.0 |
Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | Devono essere installate solo le estensioni macchina virtuale approvate | 1.0.0 |
Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema | 1.0.1 |
Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | I computer Windows devono soddisfare i requisiti della baseline di sicurezza di Calcolo di Azure | 2.0.0 |
Criteri aggiuntivi per l'integrità dell'elaborazione | PI1.5 | Archiviare completamente input e output, in modo accurato e tempestivo | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
UK OFFICIAL e UK NHS
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - UK OFFICIAL e UK NHS. Per altre informazioni su questo standard di conformità, vedere UK OFFICIAL.
Passaggi successivi
- Altre informazioni sulla conformità alle normative di Criteri di Azure.
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.