Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo elenca Azure Policy definizioni di criteri predefinite correlate a Microsoft Cloud Security Benchmark v2 (anteprima). Ogni controllo del benchmark viene mappato a una o più definizioni di Azure Policy.
Compliant in Azure Policy fa riferimento solo alle definizioni dei criteri stesse. Ciò non garantisce la conformità completa a tutti i requisiti di un controllo. Lo standard di conformità include controlli non risolti da alcuna definizione di Azure Policy in questo momento. Pertanto, la conformità in Azure Policy è solo una visualizzazione parziale dello stato di conformità complessivo.
Le associazioni tra controlli e definizioni di Azure Policy per questo standard di conformità possono cambiare nel tempo.
AI-1: Garantire l'uso di modelli approvati
Per altre informazioni, vedere Artificial Intelligence Security: AI-1: Ensure use of approved models (Sicurezza dell'intelligenza artificiale: AI-1: Garantire l'uso dei modelli approvati).
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| [Anteprima]: le distribuzioni di Azure Machine Learning devono usare solo modelli del Registro di sistema approvati | Limitare la distribuzione dei modelli del Registro di sistema per controllare i modelli creati esternamente usati all'interno dell'organizzazione | Revisione; Negare; Disabile | 1.0.0-preview |
| [Anteprima]: le distribuzioni del Registro di sistema dei modelli di Azure Machine Learning sono limitate ad eccezione del Registro di sistema consentito | Distribuisci solo i modelli del Registro di sistema nel Registro di sistema consentito e che non sono limitati. | non disponibile | 1.0.0-preview |
AM-2: Usare solo i servizi approvati
Per altre informazioni, vedere Gestione asset: AM-2: Usare solo i servizi approvati.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Azure API Management versione della piattaforma deve essere stv2 | Azure API Management versione della piattaforma di calcolo stv1 verrà ritirata a partire dal 31 agosto 2024 e queste istanze devono essere migrate alla piattaforma di calcolo stv2 per il supporto continuo. Per altre informazioni, vedere ritiro della piattaforma API Management stv1 - Cloud Azure globale (agosto 2024) | Revisione; Negare; Disabile | 1.0.0 |
| Storage gli account devono essere migrati a nuove risorse di Azure Resource Manager | Usare nuove Azure Resource Manager per gli account storage per offrire miglioramenti alla sicurezza, ad esempio: access control (RBAC), controllo migliore, distribuzione e governance basata su Azure Resource Manager, access a identità gestite, access a key vault per segreti, autenticazione basata su AD Azure e supporto per tag e gruppi di risorse per semplificare la gestione della sicurezza | Revisione; Negare; Disabile | 1.0.0 |
| Storage gli account devono essere migrati a nuove risorse di Azure Resource Manager | Usare nuove Azure Resource Manager per gli account storage per offrire miglioramenti alla sicurezza, ad esempio: access control (RBAC), controllo migliore, distribuzione e governance basata su Azure Resource Manager, access a identità gestite, access a key vault per segreti, autenticazione basata su AD Azure e supporto per tag e gruppi di risorse per semplificare la gestione della sicurezza | Revisione; Negare; Disabile | 1.0.0 |
AM-3: Garantire la sicurezza della gestione del ciclo di vita degli asset
Per altre informazioni, vedere Gestione asset: AM-3: Garantire la sicurezza della gestione del ciclo di vita degli asset.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| gli endpoint API inutilizzati devono essere disabilitati e rimossi dal servizio Azure API Management | Come procedura consigliata per la sicurezza, gli endpoint API che non hanno ricevuto traffico per 30 giorni vengono considerati inutilizzati e devono essere rimossi dal servizio Azure API Management. Mantenere gli endpoint API inutilizzati può rappresentare un rischio per la sicurezza per l'organizzazione. Queste possono essere API che dovrebbero essere deprecate dal servizio Azure API Management, ma potrebbero essere state accidentalmente lasciate attive. Tali API in genere non ricevono la copertura di sicurezza più aggiornata. | AuditIfNotExists; Disabile | 1.0.1 |
BR-1: Garantire backup automatici regolari
Per altre informazioni, vedere Backup e ripristino: BR-1: Garantire backup automatici regolari.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Azure Backup deve essere abilitato per Virtual Machines | Assicurarsi di proteggere i Azure Virtual Machines abilitando Azure Backup. Azure Backup è una soluzione di protezione dei dati sicura e conveniente per Azure. | AuditIfNotExists; Disabile | 3.0.0 |
| È consigliabile abilitare il backup con ridondanza Geo per Azure Database for MariaDB | Azure Database for MariaDB consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato su un backup con ridondanza geografica storage in cui i dati non vengono archiviati solo all'interno dell'area in cui è ospitato il server, ma viene replicato anche in un'area abbinata per fornire l'opzione di ripristino in caso di errore dell'area. La configurazione di storage con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Revisione; Disabile | 1.0.1 |
| Per Azure Database for MySQL> | Azure Database for MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato su un backup con ridondanza geografica storage in cui i dati non vengono archiviati solo all'interno dell'area in cui è ospitato il server, ma viene replicato anche in un'area abbinata per fornire l'opzione di ripristino in caso di errore dell'area. La configurazione di storage con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Revisione; Disabile | 1.0.1 |
| Azure Database for PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato su un backup con ridondanza geografica storage in cui i dati non vengono archiviati solo all'interno dell'area in cui è ospitato il server, ma viene replicato anche in un'area abbinata per fornire l'opzione di ripristino in caso di errore dell'area. La configurazione di storage con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Revisione; Disabile | 1.0.1 |
BR-2: Proteggere i dati di backup e ripristino
Per altre informazioni, vedere Backup e ripristino: BR-2: Proteggere i dati di backup e ripristino.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Azure Backup deve essere abilitato per Virtual Machines | Assicurarsi di proteggere i Azure Virtual Machines abilitando Azure Backup. Azure Backup è una soluzione di protezione dei dati sicura e conveniente per Azure. | AuditIfNotExists; Disabile | 3.0.0 |
| È consigliabile abilitare il backup con ridondanza Geo per Azure Database for MariaDB | Azure Database for MariaDB consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato su un backup con ridondanza geografica storage in cui i dati non vengono archiviati solo all'interno dell'area in cui è ospitato il server, ma viene replicato anche in un'area abbinata per fornire l'opzione di ripristino in caso di errore dell'area. La configurazione di storage con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Revisione; Disabile | 1.0.1 |
| Per Azure Database for MySQL> | Azure Database for MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato su un backup con ridondanza geografica storage in cui i dati non vengono archiviati solo all'interno dell'area in cui è ospitato il server, ma viene replicato anche in un'area abbinata per fornire l'opzione di ripristino in caso di errore dell'area. La configurazione di storage con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Revisione; Disabile | 1.0.1 |
| Azure Database for PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato su un backup con ridondanza geografica storage in cui i dati non vengono archiviati solo all'interno dell'area in cui è ospitato il server, ma viene replicato anche in un'area abbinata per fornire l'opzione di ripristino in caso di errore dell'area. La configurazione di storage con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Revisione; Disabile | 1.0.1 | |
| [Anteprima]: L'immutabilità deve essere abilitata per gli insiemi di credenziali di Servizi di ripristino | Questo criterio controlla se la proprietà insiemi di credenziali non modificabili è abilitata per gli insiemi di credenziali di Servizi di ripristino nell'ambito. Ciò consente di proteggere i dati di backup dall'eliminazione prima della scadenza prevista. Per altre informazioni, vedere Concept of Immutable vault for Azure Backup( | Revisione; Disabile | 1.0.1-preview |
| [Anteprima]: L'immutabilità deve essere abilitata per gli insiemi di credenziali di backup | Questo criterio controlla se la proprietà insiemi di credenziali non modificabili è abilitata per gli insiemi di credenziali di backup nell'ambito. Ciò consente di proteggere i dati di backup dall'eliminazione prima della scadenza prevista. Per altre informazioni, vedere Concept of Immutable vault for Azure Backup( | Revisione; Disabile | 1.0.1-preview |
| [Anteprima]: l'eliminazione temporanea deve essere abilitata per gli insiemi di credenziali di backup | Questo criterio controlla se l'eliminazione temporanea è abilitata per gli insiemi di credenziali di backup nell'ambito. L'eliminazione temporanea consente di recuperare i dati dopo l'eliminazione. Per altre informazioni, vedere Panoramica dell'eliminazione temporanea avanzata per Azure Backup | Revisione; Disabile | 1.0.0-preview |
DP-1: individuare, classificare ed etichettare i dati sensibili
Per altre informazioni, vedere Protezione dei dati: DP-1: Individuare, classificare ed etichettare i dati sensibili.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| è necessario abilitare Microsoft Defender per le API | Microsoft Defender per le API offre nuove funzionalità di individuazione, protezione, rilevamento e copertura delle risposte per monitorare gli attacchi comuni basati su API e configurazioni errate della sicurezza. | AuditIfNotExists; Disabile | 1.0.3 |
DP-2: Monitorare le anomalie e le minacce destinate ai dati sensibili
Per altre informazioni, vedere Protezione dei dati: DP-2: Monitorare le anomalie e le minacce destinate ai dati sensibili.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| è necessario abilitare Azure Defender per i server Azure SQL Database | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | AuditIfNotExists; Disabile | 1.0.2 |
| è necessario abilitare Azure Defender per i server SQL nei computer | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | AuditIfNotExists; Disabile | 1.0.2 |
| Azure Defender per SQL deve essere abilitato per le istanze gestite di SQL non protette | Controlla ogni SQL Managed Instance senza sicurezza dei dati avanzata. | AuditIfNotExists; Disabile | 1.0.2 |
| Azure è necessario abilitare Defender per database relazionali open source | Azure Defender per database relazionali open source rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di access o exploit di database. Per altre informazioni sulle funzionalità di Azure Defender per database relazionali open source, vedere Panoramica di Defender per Open-Source database relazionali. Importante: l'abilitazione di questo piano comporterà degli addebiti per la protezione dei database relazionali open source. Informazioni sui prezzi nella pagina dei prezzi del Centro sicurezza: Pricing - Microsoft Defender for Cloud | AuditIfNotExists; Disabile | 1.0.0 |
| è necessario abilitare Microsoft Defender per le API | Microsoft Defender per le API offre nuove funzionalità di individuazione, protezione, rilevamento e copertura delle risposte per monitorare gli attacchi comuni basati su API e configurazioni errate della sicurezza. | AuditIfNotExists; Disabile | 1.0.3 |
| è necessario abilitare Microsoft Defender per Storage | Microsoft Defender per Storage rileva potenziali minacce agli account storage. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Storage include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account storage) per il controllo sulla copertura e sui costi. | AuditIfNotExists; Disabile | 1.0.0 |
DP-3: Crittografare i dati sensibili in transito
Per altre informazioni, vedere Protezione dei dati: DP-3: Crittografare i dati sensibili in transito.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| le API API Management devono usare solo protocolli crittografati | Per garantire la sicurezza dei dati in transito, le API devono essere disponibili solo tramite protocolli crittografati, ad esempio HTTPS o WSS. Evitare di usare protocolli non protetti, ad esempio HTTP o WS. | Revisione; Disabile; Negare | 2.0.2 |
| App Service Environment deve essere configurato con suite di crittografia TLS più complesse | Le due suite di crittografia più minime e forti necessarie per il corretto funzionamento di App Service Environment sono: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Revisione; Disabile | 1.0.0 |
| App Service Environment deve essere disabilitato TLS 1.0 e 1.1 | TLS 1.0 e 1.1 sono protocolli non aggiornati che non supportano algoritmi di crittografia moderni. La disabilitazione del traffico TLS 1.0 e 1.1 in ingresso consente di proteggere le app in un App Service Environment. | Revisione; Negare; Disabile | 2.0.1 |
| App Service Environment deve essere abilitata la crittografia interna | L'impostazione di InternalEncryption su true crittografa il file di paging, i dischi di lavoro e il traffico di rete interno tra i front-end e i ruoli di lavoro in un App Service Environment. Per altre informazioni, vedere Configurazione personalizzata per gli ambienti App Service. | Revisione; Disabile | 1.0.1 |
| App Service slot dell'app devono abilitare la crittografia end-to-end | L'abilitazione della crittografia end-to-end garantisce che il traffico all'interno del cluster front-end App Service e i ruoli di lavoro che eseguono carichi di lavoro dell'applicazione siano crittografati. | Revisione; Negare; Disabile | 1.0.0 |
| App Service slot delle app devono usare la versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per App Service app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists; Disabile | 1.2.0 |
| App Service le app devono abilitare la crittografia end-to-end | L'abilitazione della crittografia end-to-end garantisce che il traffico all'interno del cluster front-end App Service e i ruoli di lavoro che eseguono carichi di lavoro dell'applicazione siano crittografati. | Revisione; Negare; Disabile | 1.0.0 |
| App Service le app devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Revisione; Disabile; Negare | 4.0.0 |
| le app App Service devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | AuditIfNotExists; Disabile | 3.0.0 |
| App Service le app devono usare la versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per App Service app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists; Disabile | 2.2.0 |
| I pool di Azure Batch devono avere la crittografia del disco abilitata | L'abilitazione della crittografia del disco Azure Batch garantisce che i dati siano always encrypted inattivi nel nodo di calcolo Azure Batch. Altre informazioni sulla crittografia dei dischi in Batch sono disponibili in Creare un pool con crittografia dischi abilitata. | Revisione; Disabile; Negare | 1.0.0 |
| Azure Front Door Standard e Premium devono eseguire la versione minima di TLS 1.2 | L'impostazione della versione minima di TLS su 1.2 migliora la sicurezza assicurando che i domini personalizzati siano accessibili dai client che usano TLS 1.2 o versione successiva. L'uso di versioni di TLS inferiori a 1.2 non è consigliato perché sono deboli e non supportano algoritmi di crittografia moderni. | Revisione; Negare; Disabile | 1.0.0 |
| Azure i cluster HDInsight devono usare la crittografia in transito per crittografare la comunicazione tra i nodi del cluster HDInsight Azure | I dati possono essere manomessi durante la trasmissione tra Azure nodi del cluster HDInsight. L'abilitazione della crittografia in transito risolve i problemi di uso improprio e manomissione durante questa trasmissione. | Revisione; Negare; Disabile | 1.0.0 |
| Azure SQL Database deve eseguire TLS versione 1.2 o successiva | L'impostazione di TLS sulla versione 1.2 o successiva migliora la sicurezza assicurando che il Azure SQL Database sia accessibile solo dai client che usano TLS 1.2 o versione successiva. Non è consigliabile usare versioni di TLS precedenti alla versione 1.2 in quanto presentano vulnerabilità della sicurezza ben documentate. | Revisione; Disabile; Negare | 2.0.0 |
| Bot Service endpoint deve essere un URI HTTPS valido | I dati possono essere manomessi durante la trasmissione. Esistono protocolli che forniscono la crittografia per risolvere i problemi di uso improprio e manomissione. Per assicurarsi che i bot comunichino solo su canali crittografati, impostare l'endpoint su un URI HTTPS valido. In questo modo si garantisce che il protocollo HTTPS venga usato per crittografare i dati in transito ed è spesso un requisito per la conformità agli standard normativi o del settore. Visitare: linee guida per la sicurezza di Bot Framework. | revisione; Revisione; negare; Negare; disabile; Disabile | 1.1.0 |
| La connessione SSL DiEnforce deve essere abilitata per i server di database MySQL | Azure Database for MySQL supporta la connessione del server Azure Database for MySQL alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Revisione; Disabile | 1.0.1 |
| La connessione SSL DiEnforce deve essere abilitata per i server di database PostgreSQL | Azure Database for PostgreSQL supporta la connessione del server Azure Database for PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Revisione; Disabile | 1.0.1 |
| gli slot dell'app Function devono abilitare la crittografia end-to-end | L'abilitazione della crittografia end-to-end garantisce che il traffico all'interno del cluster front-end App Service e i ruoli di lavoro che eseguono carichi di lavoro dell'applicazione siano crittografati. | Revisione; Negare; Disabile | 1.1.0 |
| gli slot dell'app Function devono usare la versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists; Disabile | 1.3.0 |
| le app Function devono abilitare la crittografia end-to-end | L'abilitazione della crittografia end-to-end garantisce che il traffico all'interno del cluster front-end App Service e i ruoli di lavoro che eseguono carichi di lavoro dell'applicazione siano crittografati. | Revisione; Negare; Disabile | 1.1.0 |
| le app Function devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Revisione; Disabile; Negare | 5.1.0 |
| Le app Function devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | AuditIfNotExists; Disabile | 3.1.0 |
| le app Function devono usare la versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists; Disabile | 2.3.0 |
| I cluster Kubernetes devono essere accessibili solo tramite HTTPS | L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito da attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Azure Arc Kubernetes abilitato. Per altre informazioni, visitare Understand Azure Policy per i cluster Kubernetes | revisione; Revisione; negare; Negare; disabile; Disabile | 8.2.0 |
| Le connessioni sicure al Azure Cache for Redis devono essere abilitate | Controllare l'abilitazione solo delle connessioni tramite SSL per Azure Cache for Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Revisione; Negare; Disabile | 1.0.0 |
| i server flessibili PostgreSQL devono eseguire TLS versione 1.2 o successiva | Questo criterio consente di controllare tutti i server flessibili PostgreSQL nell'ambiente in esecuzione con la versione TLS precedente alla 1.2. | AuditIfNotExists; Disabile | 1.1.0 |
| SQL Managed Instance deve avere la versione minima di TLS 1.2 | L'impostazione della versione minima di TLS su 1.2 migliora la sicurezza assicurando che l'SQL Managed Instance sia accessibile solo dai client che usano TLS 1.2. Non è consigliabile usare versioni di TLS precedenti alla versione 1.2 in quanto presentano vulnerabilità della sicurezza ben documentate. | Revisione; Disabile | 1.0.1 |
| Il trasferimento sicuro agli account storage deve essere abilitato | Requisito di controllo del trasferimento sicuro nell'account storage. Il trasferimento sicuro è un'opzione che forza l'account storage ad accettare richieste solo da connessioni sicure (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Revisione; Negare; Disabile | 2.0.0 |
| gli account Storage devono avere la versione minima di TLS specificata | Configurare una versione minima di TLS per la comunicazione sicura tra l'applicazione client e l'account storage. Per ridurre al minimo il rischio di sicurezza, la versione minima di TLS consigliata è la versione più recente rilasciata, attualmente TLS 1.2. | Revisione; Negare; Disabile | 1.0.0 |
| I computer Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri | Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. | AuditIfNotExists; Disabile | 4.1.1 |
| [Anteprima]: le reti host e vm devono essere protette nei sistemi HCI Azure Stack | Proteggere i dati nella rete host HCI Azure Stack e nelle connessioni di rete delle macchine virtuali. | Revisione; Disabile; AuditIfNotExists | 1.0.0-preview |
DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita
Per altre informazioni, vedere Protezione dei dati: DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| A amministratore di Microsoft Entra deve essere sottoposto a provisioning per i server MySQL | Controllare il provisioning di un amministratore di Microsoft Entra per il server MySQL per abilitare l'autenticazione di Microsoft Entra. L'autenticazione di Microsoft Entra consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft | AuditIfNotExists; Disabile | 1.1.1 |
| Le variabili dell'account Automation devono essere crittografate | È importante abilitare la crittografia degli asset della variabile dell'account di Automazione quando si archiviano dati sensibili | Revisione; Negare; Disabile | 1.1.0 |
| Azure i processi di Data Box devono abilitare la doppia crittografia per i dati inattivi nel dispositivo | Abilitare un secondo livello di crittografia basata su software per i dati inattivi nel dispositivo. Il dispositivo è già protetto tramite crittografia avanzata standard a 256 bit per i dati inattivi. Questa opzione aggiunge un secondo livello di crittografia dei dati. | Revisione; Negare; Disabile | 1.0.0 |
| Azure i dispositivi Edge Hardware Center devono avere il supporto della crittografia doppia abilitato | Assicurarsi che i dispositivi ordinati da Azure Edge Hardware Center dispongano del supporto della doppia crittografia abilitato per proteggere i dati inattivi nel dispositivo. Questa opzione aggiunge un secondo livello di crittografia dei dati. | Revisione; Negare; Disabile | 2.0.0 |
| Azure i cluster HDInsight devono usare la crittografia nell'host per crittografare i dati inattivi | L'abilitazione della crittografia nell'host consente di proteggere e proteggere i dati per soddisfare gli impegni di sicurezza e conformità dell'organizzazione. Quando si abilita la crittografia nell'host, i dati archiviati nell'host della macchina virtuale vengono crittografati inattivi e i flussi crittografati nel servizio Storage. | Revisione; Negare; Disabile | 1.0.0 |
| Azure è necessario creare cluster di log di monitoraggio con la crittografia dell'infrastruttura abilitata (doppia crittografia) | Per garantire che la crittografia dei dati sicura sia abilitata a livello di servizio e a livello di infrastruttura con due algoritmi di crittografia diversi e due chiavi diverse, usare un cluster dedicato Azure Monitor. Questa opzione è abilitata per impostazione predefinita se supportata nell'area, vedere Azure Monitorare le chiavi gestite dal cliente. | revisione; Revisione; negare; Negare; disabile; Disabile | 1.1.0 |
| Azure server flessibile MySQL deve avere l'autenticazione solo Microsoft Entra abilitata | La disabilitazione dei metodi di autenticazione locale e la possibilità di consentire solo l'autenticazione di Microsoft Entra migliora la sicurezza assicurando che Azure server flessibile MySQL sia accessibile esclusivamente dalle identità di Microsoft Entra. | AuditIfNotExists; Disabile | 1.0.1 |
| Azure NetApp Files I volumi SMB devono usare la crittografia SMB3 | Non consentire la creazione di volumi SMB senza crittografia SMB3 per garantire l'integrità dei dati e la privacy dei dati. | Revisione; Negare; Disabile | 1.0.0 |
| Azure NetApp Files Volumi di tipo NFSv4.1 devono usare la crittografia dei dati Kerberos | Consentire solo l'uso della modalità di sicurezza Kerberos privacy (5p) per garantire che i dati siano crittografati. | Revisione; Negare; Disabile | 1.0.0 |
| i dispositivi Azure Stack Edge devono usare la doppia crittografia | Per proteggere i dati inattivi nel dispositivo, assicurarsi che siano crittografati due volte, il access ai dati sia controllato e, una volta disattivato il dispositivo, i dati vengono cancellati in modo sicuro dai dischi dati. La doppia crittografia è l'uso di due livelli di crittografia: BitLocker XTS-AES crittografia a 256 bit nei volumi di dati e crittografia predefinita dei dischi rigidi. Per altre informazioni, vedere la documentazione sulla panoramica della sicurezza per il dispositivo Stack Edge specifico. | revisione; Revisione; negare; Negare; disabile; Disabile | 1.1.0 |
| La crittografia Disk deve essere abilitata in Azure Data Explorer | L'abilitazione della crittografia dei dischi consente di proteggere e proteggere i dati per soddisfare gli impegni di sicurezza e conformità dell'organizzazione. | Revisione; Negare; Disabile | 2.0.0 |
| È necessario abilitare la crittografia Double in Azure Data Explorer | L'abilitazione della doppia crittografia consente di proteggere e tutelare i dati per soddisfare gli impegni dell'organizzazione in termini di sicurezza e conformità. Quando è stata abilitata la doppia crittografia, i dati nell'account storage vengono crittografati due volte, una volta a livello di servizio e una volta a livello di infrastruttura, usando due algoritmi di crittografia diversi e due chiavi diverse. | Revisione; Negare; Disabile | 2.0.0 |
| Gli spazi dei nomi Event Hub devono avere la doppia crittografia abilitata | L'abilitazione della doppia crittografia consente di proteggere e tutelare i dati per soddisfare gli impegni dell'organizzazione in termini di sicurezza e conformità. Quando è stata abilitata la doppia crittografia, i dati nell'account storage vengono crittografati due volte, una volta a livello di servizio e una volta a livello di infrastruttura, usando due algoritmi di crittografia diversi e due chiavi diverse. | Revisione; Negare; Disabile | 1.0.0 |
| È necessario abilitare la crittografia Infrastructure per i server Azure Database for MySQL | Abilitare la crittografia dell'infrastruttura per i server Azure Database for MySQL per garantire una maggiore sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati inattivi vengono crittografati due volte usando chiavi gestite da Microsoft conformi a FIPS 140-2. | Revisione; Negare; Disabile | 1.0.0 |
| È necessario abilitare la crittografia Infrastructure per i server Azure Database for PostgreSQL | Abilitare la crittografia dell'infrastruttura per i server Azure Database for PostgreSQL per garantire una maggiore sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati inattivi vengono crittografati due volte usando chiavi gestite da Microsoft conformi a FIPS 140-2 | Revisione; Negare; Disabile | 1.0.0 |
| Linux virtual machines deve abilitare Azure Disk Encryption o EncryptionAtHost. | Anche se il sistema operativo e i dischi dati di una macchina virtuale sono crittografati inattivi per impostazione predefinita tramite chiavi gestite dalla piattaforma; i dischi delle risorse (dischi temporanei), le cache dei dati e il flusso di dati tra risorse di calcolo e Storage non vengono crittografati. Usare Azure Disk Encryption o EncryptionAtHost per correggere. Vedere Panoramica delle opzioni di crittografia dei dischi gestiti per confrontare le offerte di crittografia. Questo criterio richiede due prerequisiti da distribuire nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, visitare Understand Azure Machine Configuration. | AuditIfNotExists; Disabile | 1.2.1 |
| Managed disks deve essere crittografato con chiavi gestite dalla piattaforma e gestite dal cliente | I clienti sensibili alla sicurezza elevata che temono il rischio associato alla compromissione di un particolare algoritmo, implementazione o chiave di crittografia possono optare per un livello di crittografia aggiuntivo che utilizza un algoritmo/modalità di crittografia diverso a livello di infrastruttura, utilizzando chiavi di crittografia gestite dalla piattaforma. I set di crittografia del disco sono necessari per usare la doppia crittografia. Per altre informazioni, vedere Crittografazione lato server di Azure managed disks. | Revisione; Negare; Disabile | 1.0.0 |
| Gli spazi dei nomi Service Bus devono avere la doppia crittografia abilitata | L'abilitazione della doppia crittografia consente di proteggere e tutelare i dati per soddisfare gli impegni dell'organizzazione in termini di sicurezza e conformità. Quando è stata abilitata la doppia crittografia, i dati nell'account storage vengono crittografati due volte, una volta a livello di servizio e una volta a livello di infrastruttura, usando due algoritmi di crittografia diversi e due chiavi diverse. | Revisione; Negare; Disabile | 1.0.0 |
| I cluster di Service Fabric devono avere la proprietà ClusterProtectionLevel impostata su EncryptAndSign | Service Fabric offre tre livelli di protezione (None, Sign ed EncryptAndSign) per la comunicazione da nodo a nodo mediante un certificato cluster primario. Impostare il livello di protezione per garantire che tutti i messaggi da nodo a nodo vengano crittografati e firmati digitalmente | Revisione; Negare; Disabile | 1.1.0 |
| gli account Storage devono avere la crittografia dell'infrastruttura | Abilita la crittografia dell'infrastruttura per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati in un account storage vengono crittografati due volte. | Revisione; Negare; Disabile | 1.0.0 |
| i dischi Temp e la cache per i pool di nodi dell'agente nei cluster Azure Kubernetes Service devono essere crittografati in host | Per migliorare la sicurezza dei dati, i dati archiviati nell'host della macchina virtuale (VM) delle macchine virtuali dei nodi Azure Kubernetes Service devono essere crittografati inattivi. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. | Revisione; Negare; Disabile | 1.0.1 |
| Transparent Data Encryption deve essere abilitato per le istanze gestite di Arc SQL. | Abilitare transparent data encryption (TDE) inattivi in un SQL Managed Instance abilitato per Azure Arc. Per altre informazioni, vedere Crittografa un database con transparent data encryption manualmente in SQL Managed Instance abilitato da Azure Arc. | Revisione; Disabile | 1.0.0 |
| è necessario abilitare Transparent Data Encryption nei database SQL | Transparent data encryption devono essere abilitati per proteggere i dati inattivi e soddisfare i requisiti di conformità | AuditIfNotExists; Disabile | 2.0.0 |
| Virtual machines e virtual machine scale sets devono avere la crittografia abilitata per l'host | Usare la crittografia nell'host per ottenere la crittografia end-to-end per la macchina virtuale e i dati del set di scalabilità di macchine virtuali. La crittografia nell'host abilita la crittografia dei dati inattivi per le cache del disco temporaneo e del sistema operativo/disco dati. Quando è abilitata la crittografia nell'host, i dischi temporanei e del sistema operativo temporaneo vengono crittografati con chiavi gestite dalla piattaforma. Le cache del disco del sistema operativo/dati vengono crittografate inattive con chiave gestita dal cliente o gestita dalla piattaforma, a seconda del tipo di crittografia selezionato sul disco. Per altre informazioni, vedere Abilitare la crittografia end-to-end usando la crittografia nell'host. | Revisione; Negare; Disabile | 1.0.0 |
| Windows virtual machines deve abilitare Azure Disk Encryption o EncryptionAtHost. | Anche se il sistema operativo e i dischi dati di una macchina virtuale sono crittografati inattivi per impostazione predefinita tramite chiavi gestite dalla piattaforma; i dischi delle risorse (dischi temporanei), le cache dei dati e il flusso di dati tra risorse di calcolo e Storage non vengono crittografati. Usare Azure Disk Encryption o EncryptionAtHost per correggere. Vedere Panoramica delle opzioni di crittografia dei dischi gestiti per confrontare le offerte di crittografia. Questo criterio richiede due prerequisiti da distribuire nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, visitare Understand Azure Machine Configuration. | AuditIfNotExists; Disabile | 1.1.1 |
DP-5: usare l'opzione chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario
Per altre informazioni, vedere Protezione dei dati: DP-5: Usare l'opzione chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Azure AI Services le risorse devono crittografare i dati inattivi con una chiave gestita dal cliente (CMK) | L'uso di chiavi gestite dal cliente per crittografare i dati inattivi offre un maggiore controllo sul ciclo di vita delle chiavi, inclusa la rotazione e la gestione. Ciò è particolarmente rilevante per le organizzazioni con requisiti di conformità correlati. Ciò non viene valutato per impostazione predefinita e deve essere applicato solo quando richiesto dai requisiti dei criteri restrittivi o di conformità. Se non è abilitato, i dati verranno crittografati usando chiavi gestite dalla piattaforma. Per l'implementazione, aggiornare il parametro "Effect" nei criteri di sicurezza per l'ambito applicabile. | Revisione; Negare; Disabile | 2.2.0 |
| Azure API per FHIR deve usare una chiave gestita dal cliente per crittografare i dati inattivi | Usare una chiave gestita dal cliente per controllare la crittografia dei dati inattivi archiviati in Azure API per FHIR quando si tratta di un requisito normativo o di conformità. Le chiavi gestite dal cliente offrono anche la doppia crittografia aggiungendo un secondo livello di crittografia rispetto a quello predefinito eseguito con chiavi gestite dal servizio. | revisione; Revisione; disabile; Disabile | 1.1.0 |
| gli account Azure Automation devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi degli account Azure Automation. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere Encryption of secure assets in Azure Automation. | Revisione; Negare; Disabile | 1.0.0 |
| Azure Batch account deve usare chiavi gestite dal cliente per crittografare i dati | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dell'account Batch. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere Crittografia dei dati dell'account Batch. | Revisione; Negare; Disabile | 1.0.1 |
| Azure Cache for Redis Enterprise deve usare chiavi gestite dal cliente per crittografare i dati del disco | Usare le chiavi gestite dal cliente (CMK) per gestire la crittografia dei dati inattivi dei dati su disco. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite da piattaforma (PMK), ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere Configurare la crittografia del disco in Azure Cache for Redis. | Revisione; Negare; Disabile | 1.0.0 |
| Azure gruppo di contenitori dell'istanza del contenitore deve usare la chiave gestita dal cliente per la crittografia | Proteggere i contenitori con maggiore flessibilità usando chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare access alla chiave che crittografa i dati. L'utilizzo di chiavi gestite dal cliente offre ulteriori possibilità di controllare la rotazione della chiave di crittografia o di cancellare crittograficamente i dati. | Revisione; Disabile; Negare | 1.0.0 |
| Azure gli account Cosmos DB devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del Azure Cosmos DB. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere Configurare le chiavi Customer-Managed. | revisione; Revisione; negare; Negare; disabile; Disabile | 1.1.0 |
| Azure i processi di Data Box devono usare una chiave gestita dal cliente per crittografare la password di sblocco del dispositivo | Usare una chiave gestita dal cliente per controllare la crittografia della password di sblocco del dispositivo per Azure Data Box. Le chiavi gestite dal cliente consentono anche di gestire access alla password di sblocco del dispositivo tramite il servizio Data Box per preparare il dispositivo e copiare i dati in modo automatizzato. I dati nel dispositivo stesso sono già crittografati inattivi con crittografia avanzata a 256 bit e la password di sblocco del dispositivo viene crittografata per impostazione predefinita con una chiave gestita da Microsoft. | Revisione; Negare; Disabile | 1.0.0 |
| Azure Data Explorer la crittografia dei dati inattivi deve usare una chiave gestita dal cliente | L'abilitazione della crittografia dei dati inattivi tramite una chiave gestita dal cliente nel cluster Azure Data Explorer offre un controllo aggiuntivo sulla chiave usata dalla crittografia dei dati inattivi. Questa funzionalità è spesso applicabile ai clienti con requisiti di conformità speciali e richiede un Key Vault per gestire le chiavi. | Revisione; Negare; Disabile | 1.0.0 |
| Azure le aree di lavoro di Databricks devono essere SKU Premium che supporta funzionalità come private link, chiave gestita dal cliente per la crittografia | Consentire solo l'area di lavoro di Databricks con Sku Premium che l'organizzazione può distribuire per supportare funzionalità come Private Link, chiave gestita dal cliente per la crittografia. Per altre informazioni, vedere: Configurare la connettività privata back-end a Azure Databricks. | Revisione; Negare; Disabile | 1.0.1 |
| Azure gli account di Aggiornamento dispositivi devono usare la chiave gestita dal cliente per crittografare i dati inattivi | La crittografia dei dati inattivi in Azure Aggiornamento dispositivi con chiave gestita dal cliente aggiunge un secondo livello di crittografia oltre alle chiavi gestite dal servizio predefinite, consente al cliente di controllare le chiavi, i criteri di rotazione personalizzati e la possibilità di gestire i access ai dati tramite la chiave access control. Per altre informazioni, vedere:Crittografa dati per Aggiornamento dispositivi per IoT Hub. | Revisione; Negare; Disabile | 1.0.0 |
| Azure i cluster HDInsight devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia inattivi dei cluster HDInsight Azure. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere Crittografia doppia per i dati inattivi. | Revisione; Negare; Disabile | 1.0.1 |
| Azure i bot di integrità devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare chiavi gestite dal cliente (CMK) per gestire la crittografia dei dati inattivi dei healthbot. Per impostazione predefinita, i dati vengono crittografati inattivi con chiavi gestite dal servizio, ma cmk sono in genere necessari per soddisfare gli standard di conformità alle normative. La chiave gestita dal cliente consente di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere Configurare le chiavi gestite dal cliente per la crittografia dei dati nel servizio dell'agente sanitario | Revisione; Disabile | 1.0.0 |
| Azure Machine Learning le aree di lavoro devono essere crittografate con una chiave gestita dal cliente | Gestire la crittografia dei dati inattivi dell'area di lavoro Azure Machine Learning con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere Creare un'area di lavoro con Azure Resource Manager modello. | Revisione; Negare; Disabile | 1.1.0 |
| Azure Machine Learning le aree di lavoro devono essere crittografate con l'uso di una chiave gestita dal cliente | Gestire la crittografia dei dati inattivi dell'area di lavoro Azure Machine Learning con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere Creare un'area di lavoro con Azure Resource Manager modello. | AuditIfNotExists; Disabile | 1.0.0 |
| Azure I cluster di log di monitoraggio devono essere crittografati con la chiave gestita dal cliente | Creare un cluster di log di Azure Monitor con la crittografia delle chiavi gestite dal cliente. Per impostazione predefinita, i dati di log sono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare la conformità normativa. La chiave gestita dal cliente in Azure Monitor offre maggiore controllo sui dati access, vedere Configurare le chiavi gestite dal cliente in Azure Monitoraggio. | revisione; Revisione; negare; Negare; disabile; Disabile | 1.1.0 |
| Azure i processi di Analisi di flusso devono usare chiavi gestite dal cliente per crittografare i dati | Usare chiavi gestite dal cliente quando si vogliono archiviare in modo sicuro tutti i metadati e gli asset di dati privati dei processi di Analisi di flusso nell'account storage. In questo modo è possibile controllare in modo totale il modo in cui i dati di Analisi di flusso vengono crittografati. | revisione; Revisione; negare; Negare; disabile; Disabile | 1.1.0 |
| Azure Synapse le aree di lavoro devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare chiavi gestite dal cliente per controllare la crittografia dei dati inattivi archiviati nelle aree di lavoro Azure Synapse. Le chiavi gestite dal cliente offrono la doppia crittografia aggiungendo un secondo livello di crittografia sulla crittografia predefinita con chiavi gestite dal servizio. | Revisione; Negare; Disabile | 1.0.0 |
| Azure le data factory devono essere crittografate con una chiave gestita dal cliente | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del Azure Data Factory. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere Encrypt Azure Data Factory con chiave gestita dal cliente. | Revisione; Negare; Disabile | 1.0.1 |
| Azure load testing risorsa deve usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare chiavi gestite dal cliente (CMK) per gestire la crittografia dei dati inattivi per la risorsa Azure Load Testing. Per impostazione predefinita, la crittografia viene eseguita usando chiavi gestite dal servizio, le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere Configurare le chiavi gestite dal cliente per Azure Load Testing con Azure Key Vault. | Revisione; Negare; Disabile | 1.0.0 |
| Bot Service deve essere crittografato con una chiave gestita dal cliente | Azure Bot Service crittografa automaticamente la risorsa per proteggere i dati e soddisfare gli impegni di sicurezza e conformità dell'organizzazione. Per impostazione predefinita, vengono usate chiavi di crittografia gestite da Microsoft. Per una maggiore flessibilità nella gestione delle chiavi o nel controllo access alla sottoscrizione, selezionare chiavi gestite dal cliente, note anche come BRING Your Own Key (BYOK). Altre informazioni sulla crittografia Azure Bot Service: crittografia Azure AI Bot Service per i dati inattivi. | revisione; Revisione; negare; Negare; disabile; Disabile | 1.1.0 |
| I dischi dati e i sistemi operativiboth nei cluster Azure Kubernetes Service devono essere crittografati tramite chiavi gestite dal cliente | La crittografia dei dischi dati e del sistema operativo con chiavi gestite dal cliente offre maggiore controllo e flessibilità per la gestione delle chiavi. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. | Revisione; Negare; Disabile | 1.0.1 |
| I registri Container devono essere crittografati con una chiave gestita dal cliente | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del contenuto dei registri. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere Customer-Managed Chiavi per Azure Container Registry. | Revisione; Negare; Disabile | 1.1.2 |
| La crittografia della chiave gestitacustomer deve essere usata come parte della crittografia cmk per istanze gestite di SQL Arc. | Come parte della crittografia della chiave gestita dal cliente, è necessario usare la crittografia della chiave gestita dal cliente. Per altre informazioni, vedere Crittografa un database con transparent data encryption manualmente in SQL Managed Instance abilitato da Azure Arc. | Revisione; Disabile | 1.0.0 |
| DICOM Service deve usare una chiave gestita dal cliente per crittografare i dati inattivi | Usare una chiave gestita dal cliente per controllare la crittografia dei dati archiviati in Azure Health Data Services servizio DICOM quando si tratta di un requisito normativo o di conformità. Le chiavi gestite dal cliente offrono anche la doppia crittografia aggiungendo un secondo livello di crittografia rispetto a quello predefinito eseguito con chiavi gestite dal servizio. | Revisione; Disabile | 1.0.0 |
| ElasticSan Volume Group deve usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del volumeGroup. Per impostazione predefinita, i dati dei clienti vengono crittografati con chiavi gestite dalla piattaforma, ma i cmk sono comunemente necessari per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente, con controllo completo e responsabilità, inclusa la rotazione e la gestione. | Revisione; Disabile | 1.0.0 |
| gli spazi dei nomi dell'hub Event devono usare una chiave gestita dal cliente per la crittografia | Azure Event Hubs supporta la possibilità di crittografare i dati inattivi con chiavi gestite da Microsoft (impostazione predefinita) o chiavi gestite dal cliente. La scelta di crittografare i dati usando chiavi gestite dal cliente consente di assegnare, ruotare, disabilitare e revocare access alle chiavi che l'hub eventi userà per crittografare i dati nello spazio dei nomi. Si noti che Hub eventi supporta solo la crittografia con chiavi gestite dal cliente per gli spazi dei nomi nei cluster dedicati. | Revisione; Disabile | 1.0.0 |
| FHIR Service deve usare una chiave gestita dal cliente per crittografare i dati inattivi | Usare una chiave gestita dal cliente per controllare la crittografia dei dati inattivi archiviati in Azure Health Data Services servizio FHIR quando si tratta di un requisito normativo o di conformità. Le chiavi gestite dal cliente offrono anche la doppia crittografia aggiungendo un secondo livello di crittografia rispetto a quello predefinito eseguito con chiavi gestite dal servizio. | Revisione; Disabile | 1.0.0 |
| Fluid Relay deve usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del server di inoltro fluido. Per impostazione predefinita, i dati dei clienti vengono crittografati con chiavi gestite dal servizio, ma i cmk sono comunemente necessari per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente, con controllo completo e responsabilità, inclusa la rotazione e la gestione. Altre informazioni sono disponibili in Chiavi gestite dacustomer per la crittografia Azure Fluid Relay. | Revisione; Disabile | 1.0.0 |
| gli account HPC Cache devono usare la chiave gestita dal cliente per la crittografia | Gestire la crittografia dei dati inattivi di Azure HPC Cache con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | Revisione; Disabile; Negare | 2.0.0 |
| L'ambiente del servizio di integrazione di App per le app per la logica deve essere crittografato con chiavi gestite dal cliente | Eseguire la distribuzione nell'ambiente del servizio di integrazione per gestire la crittografia dei dati inattivi delle app per la logica usando chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | Revisione; Negare; Disabile | 1.0.0 |
| Managed disks deve essere crittografato con chiavi gestite dalla piattaforma e gestite dal cliente | I clienti sensibili alla sicurezza elevata che temono il rischio associato alla compromissione di un particolare algoritmo, implementazione o chiave di crittografia possono optare per un livello di crittografia aggiuntivo che utilizza un algoritmo/modalità di crittografia diverso a livello di infrastruttura, utilizzando chiavi di crittografia gestite dalla piattaforma. I set di crittografia del disco sono necessari per usare la doppia crittografia. Per altre informazioni, vedere Crittografazione lato server di Azure managed disks. | Revisione; Negare; Disabile | 1.0.0 |
| Managed disks deve usare un set specifico di set di crittografia dischi per la crittografia della chiave gestita dal cliente | La richiesta di un set specifico di set di crittografia del disco da usare con managed disks consente di controllare le chiavi usate per la crittografia dei dati inattivi. È possibile selezionare i set crittografati consentiti e tutti gli altri vengono rifiutati quando collegati a un disco. Per altre informazioni, vedere Crittografazione lato server di Azure managed disks. | Revisione; Negare; Disabile | 2.0.0 |
| i server MySQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei server MySQL. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | AuditIfNotExists; Disabile | 1.0.4 |
| OS e i dischi dati devono essere crittografati con una chiave gestita dal cliente | Usare le chiavi gestite dal cliente per gestire la crittografia inattivi del contenuto del managed disks. Per impostazione predefinita, i dati sono crittografati quando sono inattivi con chiavi gestite dalla piattaforma, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere Crittografazione lato server di Azure managed disks. | Revisione; Negare; Disabile | 3.0.0 |
| I server flessibili PostgreSQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei server flessibili PostgreSQL inattivi. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | Revisione; Negare; Disabile | 1.1.0 |
| I server PostgreSQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei server PostgreSQL. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | AuditIfNotExists; Disabile | 1.0.4 |
| Queue Storage deve usare la chiave gestita dal cliente per la crittografia | Proteggere la coda storage con maggiore flessibilità usando chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare access alla chiave che crittografa i dati. L'utilizzo di chiavi gestite dal cliente offre ulteriori possibilità di controllare la rotazione della chiave di crittografia o di cancellare crittograficamente i dati. | Revisione; Negare; Disabile | 1.0.0 |
| le istanze gestite di SQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi | L'implementazione di Transparent Data Encryption (TDE) con la propria chiave offre maggiore trasparenza e controllo sulla protezione TDE, maggiore sicurezza con un servizio esterno supportato da HSM e promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. | Revisione; Negare; Disabile | 2.0.0 |
| I server SQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi | L'implementazione di Transparent Data Encryption (TDE) con la propria chiave offre maggiore trasparenza e controllo sulla protezione TDE, maggiore sicurezza con un servizio esterno supportato da HSM e promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. | Revisione; Negare; Disabile | 2.0.1 |
| gli spazi dei nomi Service Bus Premium devono usare una chiave gestita dal cliente per la crittografia | Azure Service Bus supporta la possibilità di crittografare i dati inattivi con chiavi gestite da Microsoft (impostazione predefinita) o chiavi gestite dal cliente. La scelta di crittografare i dati usando chiavi gestite dal cliente consente di assegnare, ruotare, disabilitare e revocare access alle chiavi che Service Bus useranno per crittografare i dati nello spazio dei nomi. Si noti che Service Bus supporta solo la crittografia con chiavi gestite dal cliente per gli spazi dei nomi Premium. | Revisione; Disabile | 1.0.0 |
| Storage gli ambiti di crittografia dell'account devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia inattivi degli ambiti di crittografia dell'account storage. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave dell'insieme di credenziali delle chiavi Azure creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni sugli ambiti di crittografia dell'account storage, vedere Ambiti di crittografia per Blob storage. | Revisione; Negare; Disabile | 1.0.0 |
| Storage gli ambiti di crittografia dell'account devono usare la doppia crittografia per i dati inattivi | Abilitare la crittografia dell'infrastruttura per la crittografia dei dati inattivi dei storage ambiti di crittografia dell'account per una maggiore sicurezza. La crittografia dell'infrastruttura garantisce che i dati vengano crittografati due volte. | Revisione; Negare; Disabile | 1.0.0 |
| gli account Storage devono usare la chiave gestita dal cliente per la crittografia | Proteggere il BLOB e il file storage account con maggiore flessibilità usando chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare access alla chiave che crittografa i dati. L'utilizzo di chiavi gestite dal cliente offre ulteriori possibilità di controllare la rotazione della chiave di crittografia o di cancellare crittograficamente i dati. | Revisione; Disabile | 1.0.3 |
| Table Storage deve usare la chiave gestita dal cliente per la crittografia | Proteggere la tabella storage con maggiore flessibilità usando le chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare access alla chiave che crittografa i dati. L'utilizzo di chiavi gestite dal cliente offre ulteriori possibilità di controllare la rotazione della chiave di crittografia o di cancellare crittograficamente i dati. | Revisione; Negare; Disabile | 1.0.0 |
| [Deprecato]: il gruppo SIM deve usare chiavi gestite dal cliente per crittografare i dati inattivi | Questo criterio è deprecato perché il provider di risorse Microsoft.MobileNetwork è stato rimosso senza sostituzione. È consigliabile rimuovere tutte le assegnazioni di questo criterio e tutti i riferimenti ad esso dalle iniziative. Altre informazioni sulla deprecazione della definizione dei criteri sono disponibili in aka.ms/policydefdeprecation. | Revisione; Negare; Disabile | 1.1.0-deprecato |
| [Anteprima]: i sistemi HCI Azure Stack devono avere volumi crittografati | Usare BitLocker per crittografare i volumi di dati e del sistema operativo nei sistemi HCI Azure Stack. | Revisione; Disabile; AuditIfNotExists | 1.0.0-preview |
DP-6: Usare un processo di gestione delle chiavi sicuro
Per altre informazioni, vedere Protezione dei dati: DP-6: Usare un processo di gestione delle chiavi sicuro.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| API Management i valori denominati del segreto devono essere archiviati in Azure Key Vault | I valori denominati sono una raccolta di coppie nome e valore in ogni servizio API Management. I valori dei segreti possono essere archiviati come testo crittografato in API Management (segreti personalizzati) o facendo riferimento ai segreti in Azure Key Vault. Per migliorare la sicurezza di API Management e segreti, fare riferimento ai valori denominati segreti da Azure Key Vault. Azure Key Vault supporta criteri granulari di gestione e rotazione dei segreti access. | Revisione; Disabile; Negare | 1.0.2 |
| Azure gli account Cosmos DB non devono superare il numero massimo di giorni consentiti dall'ultima rigenerazione della chiave dell'account. | Rigenerare le chiavi nel tempo specificato per mantenere i dati più protetti. | Revisione; Disabile | 1.0.0 |
| le chiavi Key Vault devono avere una data di scadenza | Le chiavi di crittografia devono avere una data di scadenza definita e non devono essere permanenti. Le chiavi sempre valide offrono a un potenziale utente malintenzionato più tempo per comprometterle. Impostare le date di scadenza per le chiavi di crittografia è una procedura di sicurezza consigliata. | Revisione; Negare; Disabile | 1.0.2 |
| Key Vault i segreti devono avere una data di scadenza | I segreti devono avere una data di scadenza definita e non devono essere permanenti. I segreti validi a tempo indefinito forniscono ai potenziali utenti malintenzionati più tempo per comprometterli. Impostare le date di scadenza per i segreti è una procedura di sicurezza consigliata. | Revisione; Negare; Disabile | 1.0.2 |
| Keys deve disporre di criteri di rotazione per assicurarsi che la rotazione sia pianificata entro il numero specificato di giorni dopo la creazione. | Gestire i requisiti di conformità dell'organizzazione specificando il numero massimo di giorni dopo la creazione della chiave fino a quando non deve essere ruotato. | Revisione; Disabile | 1.0.0 |
| Keys deve avere il periodo di validità massimo specificato | Gestire i requisiti di conformità dell'organizzazione specificando la quantità massima di tempo in giorni in cui una chiave può essere valida entro il key vault. | Revisione; Negare; Disabile | 1.0.1 |
| Keys non deve essere attivo per più tempo del numero specificato di giorni | Specificare il numero di giorni durante i quali una chiave deve essere attiva. Le chiavi usate per un periodo prolungato di tempo aumentano la probabilità che un utente malintenzionato possa comprometterle. Come procedura di sicurezza efficace, verificare che le chiavi non siano attive per più di due anni. | Revisione; Negare; Disabile | 1.0.1 |
| Secrets deve avere più del numero specificato di giorni prima della scadenza | Se un segreto è troppo vicino alla scadenza, un ritardo dell'organizzazione nel ruotarlo può generare un'interruzione. I segreti devono essere ruotati un numero specificato di giorni prima della scadenza per fornire tempo sufficiente per rispondere a un errore. | Revisione; Negare; Disabile | 1.0.1 |
| Secrets deve avere il periodo di validità massimo specificato | Gestire i requisiti di conformità dell'organizzazione specificando la quantità massima di tempo in giorni in cui un segreto può essere valido entro il key vault. | Revisione; Negare; Disabile | 1.0.1 |
| Secrets non deve essere attivo per più tempo del numero specificato di giorni | Se i segreti sono stati creati con una data di attivazione impostata nel futuro, è necessario assicurarsi che i segreti non siano stati attivi per un periodo maggiore rispetto alla durata specificata. | Revisione; Negare; Disabile | 1.0.1 |
| Storage le chiavi dell'account non devono essere scadute | Assicurarsi che l'utente storage le chiavi dell'account non siano scadute quando vengono impostati i criteri di scadenza della chiave, per migliorare la sicurezza delle chiavi dell'account eseguendo un'azione quando le chiavi sono scadute. | Revisione; Negare; Disabile | 3.0.0 |
DP-7: Usare un processo di gestione dei certificati sicuro
Per altre informazioni, vedere Protezione dei dati: DP-7: Usare un processo di gestione dei certificati sicuro.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Certificates deve avere il periodo di validità massimo specificato | Gestire i requisiti di conformità dell'organizzazione specificando la quantità massima di tempo per cui un certificato può essere valido all'interno del key vault. | revisione; Revisione; negare; Negare; disabile; Disabile | 2.2.1 |
| Certificates deve avere il periodo di validità massimo specificato | Gestire i requisiti di conformità dell'organizzazione specificando la quantità massima di tempo per cui un certificato può essere valido all'interno del key vault. | revisione; Revisione; negare; Negare; disabile; Disabile | 2.2.1 |
| Certificates non deve scadere entro il numero specificato di giorni | Consente di gestire i certificati che scadranno entro un numero di giorni specificato per garantire che l'organizzazione disponga di tempo sufficiente per ruotare il certificato prima della scadenza. | revisione; Revisione; negare; Negare; disabile; Disabile | 2.1.1 |
DP-8: Garantire la sicurezza della chiave e del repository di certificati
Per altre informazioni, vedere Protezione dei dati: DP-8: Garantire la sicurezza del repository di chiavi e certificati.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Azure Defender per Key Vault deve essere abilitato | Azure Defender per Key Vault offre un livello aggiuntivo di protezione e intelligence per la sicurezza rilevando tentativi insoliti e potenzialmente dannosi di access o sfruttare gli account key vault. | AuditIfNotExists; Disabile | 1.0.3 |
| Azure Key Vault deve essere abilitato il firewall o la rete pubblica access disabilitata | Abilitare il firewall key vault in modo che l'key vault non sia accessibile per impostazione predefinita a tutti gli INDIRIZZI IP pubblici o disabilitare i access di rete pubblica per il key vault in modo che non sia accessibile tramite Internet pubblico. Facoltativamente, è possibile configurare intervalli IP specifici per limitare access a tali reti. Per altre informazioni, vedere: Security for Azure Key Vault and Integrate Key Vault with Azure Private Link | Revisione; Negare; Disabile | 3.3.0 |
| Azure Gli insiemi di credenziali delle chiavi devono usare private link | Azure Private Link consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati a key vault, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni sui collegamenti privati, vedere: Integrate Key Vault con Azure Private Link. | Revisione; Negare; Disabile | 1.2.1 |
| Gli insiemi di credenziali Key devono avere la protezione dell'eliminazione abilitata | L'eliminazione dannosa di un key vault può causare una perdita permanente di dati. È possibile evitare la perdita permanente dei dati abilitando la protezione dall'eliminazione temporanea e l'eliminazione temporanea. La protezione dalla rimozione definitiva consente di rispondere a questi tipi di attacco imponendo un periodo di conservazione obbligatorio per gli insiemi di credenziali delle chiavi eliminati temporaneamente. Nessuno all'interno dell'organizzazione né Microsoft sarà in grado di rimuovere definitivamente gli insiemi di credenziali delle chiavi durante il periodo di conservazione associato all'eliminazione temporanea. Tenere presente che gli insiemi di credenziali delle chiavi creati dopo il 1° settembre 2019 hanno l'eliminazione temporanea abilitata per impostazione predefinita. | Revisione; Negare; Disabile | 2.1.0 |
| Gli insiemi di credenziali Key devono avere l'eliminazione temporanea abilitata | L'eliminazione di un key vault senza eliminazione temporanea abilitata elimina definitivamente tutti i segreti, le chiavi e i certificati archiviati nel key vault. L'eliminazione accidentale di un key vault può causare una perdita di dati permanente. L'eliminazione temporanea consente di recuperare un key vault eliminato accidentalmente per un periodo di conservazione configurabile. | Revisione; Negare; Disabile | 3.1.0 |
| È necessario abilitare i log di Resource in Key Vault | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists; Disabile | 5.0.0 |
DS-6: Proteggere il ciclo di vita del carico di lavoro
Per altre informazioni, vedere DevOps Security: DS-6: Proteggere il ciclo di vita del carico di lavoro.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Azure le immagini del contenitore del Registro di sistema devono avere vulnerabilità risolte (basate su Microsoft Defender Vulnerability Management) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. La risoluzione delle vulnerabilità può migliorare notevolmente il comportamento di sicurezza, assicurandosi che le immagini siano sicure da usare prima della distribuzione. | AuditIfNotExists; Disabile | 1.0.1 |
| Azure le immagini del contenitore in esecuzione devono avere vulnerabilità risolte (basate su Microsoft Defender Vulnerability Management) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente il surface di attacco per i carichi di lavoro in contenitori. | AuditIfNotExists; Disabile | 1.0.1 |
ES-1: Usare il rilevamento e la risposta degli endpoint (EDR)
Per altre informazioni, vedere Endpoint Security: ES-1: Use Endpoint Detection and Response (EDR).
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Azure Defender per i server deve essere abilitato | Azure Defender per i server offre protezione dalle minacce in tempo reale per i carichi di lavoro del server e genera raccomandazioni sulla protezione avanzata, nonché avvisi sulle attività sospette. | AuditIfNotExists; Disabile | 1.0.3 |
ES-2: Usare software antimalware moderno
Per altre informazioni, vedere Endpoint Security: ES-2: Usare software antimalware moderno.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Windows Defender Exploit Guard deve essere abilitato nei computer | Windows Defender Exploit Guard usa l'agente di configurazione guest Azure Policy. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows). | AuditIfNotExists; Disabile | 2.0.0 |
IM-1: Centralizzare l'identità e l'autenticazione garantendo al tempo stesso l'isolamento
Per altre informazioni, vedere Identity Management: IM-1: Centralizzare l'identità e l'autenticazione garantendo al tempo stesso l'isolamento.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| A amministratore di Microsoft Entra deve essere sottoposto a provisioning per i server PostgreSQL | Controllare il provisioning di un amministratore di Microsoft Entra per il server PostgreSQL per abilitare l'autenticazione di Microsoft Entra. L'autenticazione di Microsoft Entra consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft | AuditIfNotExists; Disabile | 1.0.1 |
| Il provisioning dell'amministratore di Azure Active Directory per i server SQL | Controllare il provisioning di un amministratore di Azure Active Directory per l'SQL server per abilitare l'autenticazione di Azure AD. Azure l'autenticazione di Active Directory consente la gestione semplificata delle autorizzazioni e la gestione centralizzata delle identità degli utenti del database e di altri servizi Microsoft | AuditIfNotExists; Disabile | 1.0.0 |
| App Service le app devono avere metodi di autenticazione locali disabilitati per le distribuzioni FTP | La disabilitazione dei metodi di autenticazione locale per le distribuzioni FTP migliora la sicurezza assicurando che i servizi app richiedano esclusivamente identità Microsoft Entra per l'autenticazione. Per altre informazioni, vedere: | AuditIfNotExists; Disabile | 1.0.3 |
| App Service le app devono avere metodi di autenticazione locale disabilitati per le distribuzioni del sito SCM | La disabilitazione dei metodi di autenticazione locale per i siti di Gestione certificati migliora la sicurezza assicurando che i servizi app richiedano esclusivamente le identità di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere: | AuditIfNotExists; Disabile | 1.0.3 |
| i componenti di Application Insights devono bloccare i componenti di inserimento non basati su Azure Active Directory | L'applicazione dell'inserimento dei log per richiedere l'autenticazione Azure Active Directory impedisce i log non autenticati da un utente malintenzionato che potrebbe causare uno stato errato, falsi avvisi e log non corretti archiviati nel sistema. | Negare; Revisione; Disabile | 1.0.0 |
| Azure AI Services le risorse devono avere la chiave access disabilitata (disabilitare l'autenticazione locale) | È consigliabile disabilitare la chiave access (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede access chiave e non funzionerà se la chiave access è disabilitata. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo access, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere Autenticazione in Foundry Tools | Revisione; Negare; Disabile | 1.1.0 |
| I cluster Azure Kubernetes Service devono abilitare l'integrazione Microsoft Entra ID | L'integrazione di Microsoft Entra ID gestita dal servizio Azure Kubernetes può gestire il access ai cluster configurando l'access control basata sui ruoli di Kubernetes (Controllo degli accessi in base al ruolo) in base all'identità o all'appartenenza a un gruppo di directory dell'utente. Per altre informazioni, vedere: integrazione di Microsoft Entra gestita dal servizio Azure Kubernetes Enable in un cluster Azure Kubernetes Service. | Revisione; Disabile | 1.0.2 |
| Azure Machine Learning I calcoli devono avere metodi di autenticazione locali disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che Machine Learning le risorse di calcolo richiedano Azure Active Directory identità esclusivamente per l'autenticazione. Per altre informazioni, vedere: Azure Policy Controlli di conformità alle normative per Azure Machine Learning. | Revisione; Negare; Disabile | 2.1.0 |
| Azure SQL Database deve essere abilitata l'autenticazione solo Entra-only | Richiedere Azure SQL server logici per usare l'autenticazione solo Entra di Microsoft. Questo criterio non impedisce la creazione dei server con l'autenticazione locale abilitata. Impedisce l'abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere : Creare un server con l'autenticazione di Microsoft Entra-Only abilitata. | Revisione; Negare; Disabile | 1.0.0 |
| Azure SQL Database deve essere abilitata l'autenticazione solo Entra-only durante la creazione | Richiedere Azure SQL server logici da creare con l'autenticazione solo Entra di Microsoft. Questo criterio non impedisce la ri-abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere : Creare un server con l'autenticazione di Microsoft Entra-Only abilitata. | Revisione; Negare; Disabile | 1.2.0 |
| Azure SQL Managed Instance deve essere abilitata l'autenticazione solo Entra-only | Richiedere Azure SQL Managed Instance di usare l'autenticazione solo Entra di Microsoft. Questo criterio non impedisce la creazione di istanze gestite Azure SQL con l'autenticazione locale abilitata. Impedisce l'abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere : Creare un server con l'autenticazione di Microsoft Entra-Only abilitata. | Revisione; Negare; Disabile | 1.0.0 |
| Azure SQL Istanze gestite deve essere abilitata l'autenticazione solo Entra-only durante la creazione | Richiedere la creazione di Azure SQL Managed Instance con l'autenticazione solo Entra di Microsoft. Questo criterio non impedisce la ri-abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere : Creare un server con l'autenticazione di Microsoft Entra-Only abilitata. | Revisione; Negare; Disabile | 1.2.0 |
| Configurare le risorse di Azure AI Services per disabilitare access chiave locale (disabilitare l'autenticazione locale) | È consigliabile disabilitare la chiave access (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede access chiave e non funzionerà se la chiave access è disabilitata. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo access, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere Autenticazione in Foundry Tools | DeployIfNotExists; Disabile | 1.0.0 |
| I registri Container devono avere un account amministratore locale disabilitato. | Disabilitare l'account amministratore per il Registro di sistema in modo che non sia accessibile dall'amministratore locale. La disabilitazione di metodi di autenticazione locali come l'utente amministratore, i token con ambito repository access e il pull anonimo migliorano la sicurezza assicurando che i registri contenitori richiedano esclusivamente identità Azure Active Directory per l'autenticazione. Per altre informazioni, vedere: Azure Container Registry Opzioni di autenticazione illustrate. | Revisione; Negare; Disabile | 1.0.1 |
| Gli account di database dbCosmos devono avere metodi di autenticazione locali disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurandosi che gli account di database Cosmos DB richiedano esclusivamente Azure Active Directory identità per l'autenticazione. Per altre informazioni, vedere: Connect to Azure Cosmos DB for NoSQL using role-based access control and Microsoft Entra ID( | Revisione; Negare; Disabile | 1.1.0 |
| I cluster di Service Fabric devono usare solo Azure Active Directory per l'autenticazione client | Controllare l'utilizzo dell'autenticazione client solo tramite Azure Active Directory in Service Fabric | Revisione; Negare; Disabile | 1.1.0 |
| gli account |
Requisito di controllo di Azure Active Directory (Azure AD) per autorizzare le richieste per l'account storage. Per impostazione predefinita, le richieste possono essere autorizzate con credenziali Azure Active Directory oppure usando l'account access chiave per l'autorizzazione con chiave condivisa. Di questi due tipi di autorizzazione, Azure AD offre maggiore sicurezza e facilità d'uso tramite chiave condivisa ed è consigliato da Microsoft. | Revisione; Negare; Disabile | 2.0.0 |
| gli account Storage devono impedire access chiave condivisa (esclusi gli account storage creati da Databricks) | Requisito di controllo di Azure Active Directory (Azure AD) per autorizzare le richieste per l'account storage. Per impostazione predefinita, le richieste possono essere autorizzate con credenziali Azure Active Directory oppure usando l'account access chiave per l'autorizzazione con chiave condivisa. Di questi due tipi di autorizzazione, Azure AD offre maggiore sicurezza e facilità d'uso tramite chiave condivisa ed è consigliato da Microsoft. | Revisione; Negare; Disabile | 1.0.0 |
| Le aree di lavoro di Synapse devono avere l'autenticazione solo Entra di Microsoft abilitata | Richiedere alle aree di lavoro di Synapse di usare l'autenticazione solo Entra di Microsoft. Questo criterio non impedisce la creazione delle aree di lavoro con l'autenticazione locale abilitata. Impedisce l'abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere: Azure Synapse Analytics. | Revisione; Negare; Disabile | 1.0.0 |
| Le aree di lavoro Synapse devono usare solo le identità di Microsoft Entra per l'autenticazione durante la creazione dell'area di lavoro | Richiedere la creazione delle aree di lavoro di Synapse con l'autenticazione solo Entra di Microsoft. Questo criterio non impedisce la ri-abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere: Azure Synapse Analytics. | Revisione; Negare; Disabile | 1.2.0 |
| i gateway VPN devono usare solo l'autenticazione Azure Active Directory (Azure AD) per gli utenti da punto a sito | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che i gateway VPN usino solo identità Azure Active Directory per l'autenticazione. Per altre informazioni sull'autenticazione Azure AD, vedere Configurare VPN gateway P2S per l'autenticazione Microsoft Entra ID | Revisione; Negare; Disabile | 1.0.0 |
| [Anteprima]: Azure server flessibile PostgreSQL deve avere l'autenticazione microsoft Entra Only Authentication abilitata | Disabilitando i metodi di autenticazione locale e consentendo solo l'autenticazione di Microsoft Entra, è possibile garantire che Azure server flessibile PostgreSQL sia accessibile esclusivamente dalle identità di Microsoft Entra. | Revisione; Disabile | 1.0.0-preview |
IM-2: Proteggere i sistemi di identità e autenticazione
Per altre informazioni, vedere Identity Management: IM-2: Proteggere i sistemi di identità e autenticazione.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Users deve eseguire l'autenticazione a più fattori per creare o aggiornare le risorse | Questa definizione di criteri blocca le operazioni di creazione e aggiornamento delle risorse quando il chiamante non viene autenticato tramite MFA. Per altre informazioni, vedere Pianificare l'autenticazione a più fattori (MFA) obbligatoria di Microsoft Entra. | Revisione; Negare; Disabile | 1.0.1 |
IM-3: Gestire le identità dell'applicazione in modo sicuro e automatico
Per altre informazioni, vedere Identity Management: IM-3: Gestire le identità delle applicazioni in modo sicuro e automatico.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| App Service gli slot dell'app devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists; Disabile | 1.0.0 |
| App Service le app devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists; Disabile | 3.0.0 |
| Account diautomation deve avere un'identità gestita | Usare identità gestite come metodo consigliato per l'autenticazione con le risorse Azure dai runbook. L'identità gestita per l'autenticazione è più sicura ed elimina il sovraccarico di gestione associato all'uso dell'account RunAs nel codice del runbook. | Revisione; Disabile | 1.0.0 |
| Azure Data Factory i servizi collegati devono usare l'autenticazione dell'identità gestita assegnata dal sistema quando è supportata | L'uso dell'identità gestita assegnata dal sistema durante la comunicazione con gli archivi dati tramite servizi collegati evita l'uso di credenziali meno protette, ad esempio password o stringhe di connessione. | Revisione; Negare; Disabile | 2.1.0 |
| Azure Machine Learning le aree di lavoro devono usare l'identità gestita assegnata dall'utente | Manange access per Azure'area di lavoro ml e le risorse associate, Azure Container Registry, KeyVault, Storage e App Insights usando l'identità gestita assegnata dall'utente. Per impostazione predefinita, l'identità gestita assegnata dal sistema viene usata da Azure'area di lavoro ml per access le risorse associate. L'identità gestita assegnata dall'utente consente di creare l'identità come risorsa Azure e mantenere il ciclo di vita di tale identità. Per altre informazioni, vedere Configura l'autenticazione tra Azure Machine Learning e altri servizi. | Revisione; Negare; Disabile | 1.0.0 |
| gli account Cognitive Services devono usare un'identità gestita | L'assegnazione di un'identità gestita all'account di Servizi cognitivi consente di garantire l'autenticazione sicura. Questa identità viene usata da questo account del servizio cognitivo per comunicare con altri servizi di Azure, ad esempio Azure Key Vault, in modo sicuro senza dover gestire le credenziali. | Revisione; Negare; Disabile | 1.0.0 |
| Risorsa del servizio di comunicazione deve usare un'identità gestita | L'assegnazione di un'identità gestita alla risorsa del servizio di comunicazione consente di garantire l'autenticazione sicura. Questa identità viene usata da questa risorsa del servizio di comunicazione per comunicare con altri servizi Azure, ad esempio Azure Storage, in modo sicuro senza dover gestire le credenziali. | Revisione; Negare; Disabile | 1.0.0 |
| Le app Function devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists; Disabile | 3.1.0 |
| Identità gestita deve essere abilitata per Le app contenitore | L'applicazione dell'identità gestita garantisce che le app contenitore possano eseguire l'autenticazione sicura in qualsiasi risorsa che supporti l'autenticazione di Azure AD | Revisione; Negare; Disabile | 1.0.1 |
| Processo di Analisi di flusso deve usare l'identità gestita per autenticare gli endpoint | Assicurarsi che i processi di Analisi di flusso si connettano solo agli endpoint usando l'autenticazione dell'identità gestita. | Negare; Disabile; Revisione | 1.0.0 |
| L'estensione configurazione guest di Virtual machines deve essere distribuita con l'identità gestita assegnata dal sistema | L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Azure virtual machines nell'ambito di questo criterio non sarà conforme quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni, vedere Understand Azure Machine Configuration | AuditIfNotExists; Disabile | 1.0.1 |
| [Anteprima]: è necessario abilitare un'identità gestita nei computer | Le risorse gestite da Gestione automatica devono avere un'identità gestita. | Revisione; Disabile | 1.0.0-preview |
| [Anteprima]: Le credenziali federate dell'identità gestita da Azure Kubernetes devono essere provenienti da origini attendibili | Questo criterio limita la federeation con Azure cluster Kubernetes solo a cluster provenienti da tenant approvati, aree approvate e un elenco specifico di eccezioni di cluster aggiuntivi. | Revisione; Disabile; Negare | 1.0.0-preview |
| [Anteprima]: le credenziali federate dell'identità gestita da GitHub devono essere di proprietari di repository attendibili | Questo criterio limita la federazione con GitHub repos solo ai proprietari di repository approvati. | Revisione; Disabile; Negare | 1.0.1-preview |
| [Anteprima]: Le credenziali federate dell'identità gestita devono essere provenienti dai tipi di autorità di certificazione consentiti | Questo criterio limita se le identità gestite possono usare credenziali federate, quali tipi di autorità di certificazione comuni sono consentiti e fornisce un elenco di eccezioni emittente consentite. | Revisione; Disabile; Negare | 1.0.0-preview |
IM-4: Autenticare server e servizi
Per altre informazioni, vedere Identity Management: IM-4: Authenticate server and services .For more information, see Identity Management: IM-4: Authenticate server and services.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| API Management le chiamate ai back-end API devono essere autenticate | Le chiamate da API Management ai back-end devono usare una forma di autenticazione, sia tramite certificati che credenziali. Non si applica ai back-end di Service Fabric. | Revisione; Disabile; Negare | 1.0.1 |
| API Management le chiamate ai back-end API non devono ignorare l'identificazione personale o la convalida del nome del certificato | Per migliorare la sicurezza dell'API, API Management deve convalidare il certificato del server back-end per tutte le chiamate API. Abilitare l'identificazione personale del certificato SSL e la convalida del nome. | Revisione; Disabile; Negare | 1.0.2 |
| Gli endpoint API in Azure API Management devono essere autenticati | Gli endpoint API pubblicati all'interno di Azure API Management devono applicare l'autenticazione per ridurre al minimo i rischi di sicurezza. I meccanismi di autenticazione vengono talvolta implementati in modo non corretto o mancanti. Ciò consente agli utenti malintenzionati di sfruttare i difetti di implementazione e di access dati. Altre informazioni sulla minaccia dell'API OWASP per l'autenticazione utente interrotta sono disponibili qui: Recommendations per attenuare le minacce principali della sicurezza dell'API OWASP 10 usando API Management | AuditIfNotExists; Disabile | 1.0.1 |
| Azure SQL Database deve eseguire TLS versione 1.2 o successiva | L'impostazione di TLS sulla versione 1.2 o successiva migliora la sicurezza assicurando che il Azure SQL Database sia accessibile solo dai client che usano TLS 1.2 o versione successiva. Non è consigliabile usare versioni di TLS precedenti alla versione 1.2 in quanto presentano vulnerabilità della sicurezza ben documentate. | Revisione; Disabile; Negare | 2.0.0 |
IM-6: Usare controlli di autenticazione avanzata
Per altre informazioni, vedere Identity Management: IM-6: Usare controlli di autenticazione avanzata.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Authentication nei computer Linux deve richiedere chiavi SSH | Sebbene SSH stesso fornisca una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Altre informazioni: Detailed steps: Create and manage SSH keys for authentication to a Linux VM in Azure. | AuditIfNotExists; Disabile | 3.2.0 |
IM-8: limitare l'esposizione di credenziali e segreti
Per altre informazioni, vedere Identity Management: IM-8: Limitare l'esposizione di credenziali e segreti.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| API Management i valori denominati del segreto devono essere archiviati in Azure Key Vault | I valori denominati sono una raccolta di coppie nome e valore in ogni servizio API Management. I valori dei segreti possono essere archiviati come testo crittografato in API Management (segreti personalizzati) o facendo riferimento ai segreti in Azure Key Vault. Per migliorare la sicurezza di API Management e segreti, fare riferimento ai valori denominati segreti da Azure Key Vault. Azure Key Vault supporta criteri granulari di gestione e rotazione dei segreti access. | Revisione; Disabile; Negare | 1.0.2 |
| Machines dovrebbe avere risultati segreti risolti | Controlla virtual machines per rilevare se contengono risultati segreti dalle soluzioni di analisi dei segreti nel virtual machines. | AuditIfNotExists; Disabile | 1.0.2 |
IR-2: Preparazione - Configurare la notifica dell'evento imprevisto
Per altre informazioni, vedere Risposta agli eventi imprevisti: IR-2: Preparazione - notifica degli eventi imprevisti di configurazione.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists; Disabile | 1.2.0 |
| Email notifica al proprietario della sottoscrizione per gli avvisi con gravità elevata deve essere abilitata | Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists; Disabile | 2.1.0 |
| Subscriptions deve avere un indirizzo di posta elettronica di contatto per i problemi di sicurezza | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. | AuditIfNotExists; Disabile | 1.0.1 |
IR-3: Rilevamento e analisi - Creare eventi imprevisti basati su avvisi di alta qualità
Per altre informazioni, vedere Risposta agli eventi imprevisti: IR-3: Rilevamento e analisi- Creare eventi imprevisti in base ad avvisi di alta qualità.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Azure Defender per App Service deve essere abilitato | Azure Defender per App Service sfrutta la scalabilità del cloud e la visibilità che Azure ha come provider di servizi cloud, per monitorare gli attacchi comuni alle app Web. | AuditIfNotExists; Disabile | 1.0.3 |
| è necessario abilitare Azure Defender per i server Azure SQL Database | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | AuditIfNotExists; Disabile | 1.0.2 |
| Azure Defender per Key Vault deve essere abilitato | Azure Defender per Key Vault offre un livello aggiuntivo di protezione e intelligence per la sicurezza rilevando tentativi insoliti e potenzialmente dannosi di access o sfruttare gli account key vault. | AuditIfNotExists; Disabile | 1.0.3 |
| Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi sull'attività sospetta. Per altre informazioni sulle funzionalità di Azure Defender per Resource Manager, vedere Microsoft Defender per Resource Manager - Vantaggi e funzionalità . L'abilitazione di questo piano Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: Pricing - Microsoft Defender for Cloud . | AuditIfNotExists; Disabile | 1.0.0 |
| è necessario abilitare Azure Defender per i server SQL nei computer | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | AuditIfNotExists; Disabile | 1.0.2 |
| Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists; Disabile | 2.0.1 |
| Azure Defender per SQL deve essere abilitato per i server flessibili MySQL non protetti | Controllare i server flessibili MySQL senza Sicurezza dei dati avanzata | AuditIfNotExists; Disabile | 1.0.0 |
| Azure Defender per SQL deve essere abilitato per i server flessibili PostgreSQL non protetti | Controllare i server flessibili PostgreSQL senza Sicurezza dei dati avanzata | AuditIfNotExists; Disabile | 1.0.0 |
| Azure Defender per SQL deve essere abilitato per le istanze gestite di SQL non protette | Controlla ogni SQL Managed Instance senza sicurezza dei dati avanzata. | AuditIfNotExists; Disabile | 1.0.2 |
| Azure è necessario abilitare Defender per database relazionali open source | Azure Defender per database relazionali open source rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di access o exploit di database. Per altre informazioni sulle funzionalità di Azure Defender per database relazionali open source, vedere Panoramica di Defender per Open-Source database relazionali. Importante: l'abilitazione di questo piano comporterà degli addebiti per la protezione dei database relazionali open source. Informazioni sui prezzi nella pagina dei prezzi del Centro sicurezza: Pricing - Microsoft Defender for Cloud | AuditIfNotExists; Disabile | 1.0.0 |
| Azure Defender per i server deve essere abilitato | Azure Defender per i server offre protezione dalle minacce in tempo reale per i carichi di lavoro del server e genera raccomandazioni sulla protezione avanzata, nonché avvisi sulle attività sospette. | AuditIfNotExists; Disabile | 1.0.3 |
| Microsoft Defender CSPM deve essere abilitato | Defender Cloud Security Posture Management (CSPM) offre funzionalità di comportamento avanzate e un nuovo grafico di sicurezza del cloud intelligente per identificare, classificare in ordine di priorità e ridurre i rischi. Oltre alle funzionalità di sicurezza di base gratuite attivate per impostazione predefinita in Defender per il cloud è disponibile anche Defender CSPM. | AuditIfNotExists; Disabile | 1.0.0 |
| è necessario abilitare Microsoft Defender per le API | Microsoft Defender per le API offre nuove funzionalità di individuazione, protezione, rilevamento e copertura delle risposte per monitorare gli attacchi comuni basati su API e configurazioni errate della sicurezza. | AuditIfNotExists; Disabile | 1.0.3 |
| è necessario abilitare Microsoft Defender per i contenitori | Microsoft Defender per i contenitori offre protezione avanzata, valutazione delle vulnerabilità e runtime per gli ambienti Kubernetes Azure, ibridi e multi-cloud. | AuditIfNotExists; Disabile | 1.0.0 |
| Microsoft Defender per SQL deve essere abilitato per le aree di lavoro Synapse non protette | Abilitare Defender per SQL per proteggere le aree di lavoro di Synapse. Defender per SQL monitora Synapse SQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di access o exploit dei database. | AuditIfNotExists; Disabile | 1.0.0 |
| Microsoft Defender per lo stato SQL deve essere protetto per SQL Server abilitati per Arc | Microsoft Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL, l'individuazione e la classificazione dei dati sensibili. Dopo l'abilitazione, lo stato di protezione indica che la risorsa viene monitorata attivamente. Anche quando Defender è abilitato, è necessario convalidare più impostazioni di configurazione nell'agente, nel computer, nell'area di lavoro e SQL server per garantire la protezione attiva. | Revisione; Disabile | 1.1.0 |
| è necessario abilitare Microsoft Defender per Storage | Microsoft Defender per Storage rileva potenziali minacce agli account storage. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Storage include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account storage) per il controllo sulla copertura e sui costi. | AuditIfNotExists; Disabile | 1.0.0 |
| SQL server il provisioning automatico di destinazione deve essere abilitato per i server SQL nel piano computer | Per assicurarsi che le macchine virtuali SQL e i server SQL abilitati per Arc siano protetti, assicurarsi che l'agente di monitoraggio di Azure di destinazione SQL sia configurato per la distribuzione automatica. Questa operazione è necessaria anche se è stato configurato in precedenza il provisioning automatico di Microsoft Monitoring Agent, in quanto tale componente è deprecato. Altre informazioni: Eseguire la migrazione a Defender per SQL nei computer con AMA | AuditIfNotExists; Disabile | 1.0.0 |
IR-4: Rilevamento e analisi - Analizzare un evento imprevisto
Per altre informazioni, vedere Risposta agli eventi imprevisti: IR-4: Rilevamento e analisi- analizzare un evento imprevisto.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| è necessario abilitare Network Watcher | Network Watcher è un servizio a livello di area che consente di monitorare e diagnosticare le condizioni a livello di scenario di rete in, a e da Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario avere un gruppo di risorse network watcher da creare in ogni area in cui è presente un virtual network. Un avviso viene abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | AuditIfNotExists; Disabile | 3.0.0 |
IR-5: Rilevamento e analisi - Assegnare la priorità agli eventi imprevisti
Per altre informazioni, vedere Risposta agli eventi imprevisti: IR-5: Rilevamento e analisi - definizione delle priorità degli eventi imprevisti.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Azure Defender per App Service deve essere abilitato | Azure Defender per App Service sfrutta la scalabilità del cloud e la visibilità che Azure ha come provider di servizi cloud, per monitorare gli attacchi comuni alle app Web. | AuditIfNotExists; Disabile | 1.0.3 |
| è necessario abilitare Azure Defender per i server Azure SQL Database | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | AuditIfNotExists; Disabile | 1.0.2 |
| Azure Defender per Key Vault deve essere abilitato | Azure Defender per Key Vault offre un livello aggiuntivo di protezione e intelligence per la sicurezza rilevando tentativi insoliti e potenzialmente dannosi di access o sfruttare gli account key vault. | AuditIfNotExists; Disabile | 1.0.3 |
| Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi sull'attività sospetta. Per altre informazioni sulle funzionalità di Azure Defender per Resource Manager, vedere Microsoft Defender per Resource Manager - Vantaggi e funzionalità . L'abilitazione di questo piano Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: Pricing - Microsoft Defender for Cloud . | AuditIfNotExists; Disabile | 1.0.0 |
| è necessario abilitare Azure Defender per i server SQL nei computer | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | AuditIfNotExists; Disabile | 1.0.2 |
| Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists; Disabile | 2.0.1 |
| Azure Defender per SQL deve essere abilitato per i server flessibili MySQL non protetti | Controllare i server flessibili MySQL senza Sicurezza dei dati avanzata | AuditIfNotExists; Disabile | 1.0.0 |
| Azure Defender per SQL deve essere abilitato per i server flessibili PostgreSQL non protetti | Controllare i server flessibili PostgreSQL senza Sicurezza dei dati avanzata | AuditIfNotExists; Disabile | 1.0.0 |
| Azure Defender per SQL deve essere abilitato per le istanze gestite di SQL non protette | Controlla ogni SQL Managed Instance senza sicurezza dei dati avanzata. | AuditIfNotExists; Disabile | 1.0.2 |
| Azure è necessario abilitare Defender per database relazionali open source | Azure Defender per database relazionali open source rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di access o exploit di database. Per altre informazioni sulle funzionalità di Azure Defender per database relazionali open source, vedere Panoramica di Defender per Open-Source database relazionali. Importante: l'abilitazione di questo piano comporterà degli addebiti per la protezione dei database relazionali open source. Informazioni sui prezzi nella pagina dei prezzi del Centro sicurezza: Pricing - Microsoft Defender for Cloud | AuditIfNotExists; Disabile | 1.0.0 |
| Azure Defender per i server deve essere abilitato | Azure Defender per i server offre protezione dalle minacce in tempo reale per i carichi di lavoro del server e genera raccomandazioni sulla protezione avanzata, nonché avvisi sulle attività sospette. | AuditIfNotExists; Disabile | 1.0.3 |
| Microsoft Defender CSPM deve essere abilitato | Defender Cloud Security Posture Management (CSPM) offre funzionalità di comportamento avanzate e un nuovo grafico di sicurezza del cloud intelligente per identificare, classificare in ordine di priorità e ridurre i rischi. Oltre alle funzionalità di sicurezza di base gratuite attivate per impostazione predefinita in Defender per il cloud è disponibile anche Defender CSPM. | AuditIfNotExists; Disabile | 1.0.0 |
| è necessario abilitare Microsoft Defender per le API | Microsoft Defender per le API offre nuove funzionalità di individuazione, protezione, rilevamento e copertura delle risposte per monitorare gli attacchi comuni basati su API e configurazioni errate della sicurezza. | AuditIfNotExists; Disabile | 1.0.3 |
| è necessario abilitare Microsoft Defender per i contenitori | Microsoft Defender per i contenitori offre protezione avanzata, valutazione delle vulnerabilità e runtime per gli ambienti Kubernetes Azure, ibridi e multi-cloud. | AuditIfNotExists; Disabile | 1.0.0 |
| Microsoft Defender per SQL deve essere abilitato per le aree di lavoro Synapse non protette | Abilitare Defender per SQL per proteggere le aree di lavoro di Synapse. Defender per SQL monitora Synapse SQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di access o exploit dei database. | AuditIfNotExists; Disabile | 1.0.0 |
| Microsoft Defender per lo stato SQL deve essere protetto per SQL Server abilitati per Arc | Microsoft Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL, l'individuazione e la classificazione dei dati sensibili. Dopo l'abilitazione, lo stato di protezione indica che la risorsa viene monitorata attivamente. Anche quando Defender è abilitato, è necessario convalidare più impostazioni di configurazione nell'agente, nel computer, nell'area di lavoro e SQL server per garantire la protezione attiva. | Revisione; Disabile | 1.1.0 |
| è necessario abilitare Microsoft Defender per Storage | Microsoft Defender per Storage rileva potenziali minacce agli account storage. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Storage include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account storage) per il controllo sulla copertura e sui costi. | AuditIfNotExists; Disabile | 1.0.0 |
| SQL server il provisioning automatico di destinazione deve essere abilitato per i server SQL nel piano computer | Per assicurarsi che le macchine virtuali SQL e i server SQL abilitati per Arc siano protetti, assicurarsi che l'agente di monitoraggio di Azure di destinazione SQL sia configurato per la distribuzione automatica. Questa operazione è necessaria anche se è stato configurato in precedenza il provisioning automatico di Microsoft Monitoring Agent, in quanto tale componente è deprecato. Altre informazioni: Eseguire la migrazione a Defender per SQL nei computer con AMA | AuditIfNotExists; Disabile | 1.0.0 |
LT-1: Abilitare le funzionalità di rilevamento delle minacce
Per altre informazioni, vedere Registrazione e rilevamento delle minacce: LT-1: Abilitare le funzionalità di rilevamento delle minacce.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Azure Defender per App Service deve essere abilitato | Azure Defender per App Service sfrutta la scalabilità del cloud e la visibilità che Azure ha come provider di servizi cloud, per monitorare gli attacchi comuni alle app Web. | AuditIfNotExists; Disabile | 1.0.3 |
| è necessario abilitare Azure Defender per i server Azure SQL Database | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | AuditIfNotExists; Disabile | 1.0.2 |
| Azure Defender per Key Vault deve essere abilitato | Azure Defender per Key Vault offre un livello aggiuntivo di protezione e intelligence per la sicurezza rilevando tentativi insoliti e potenzialmente dannosi di access o sfruttare gli account key vault. | AuditIfNotExists; Disabile | 1.0.3 |
| Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi sull'attività sospetta. Per altre informazioni sulle funzionalità di Azure Defender per Resource Manager, vedere Microsoft Defender per Resource Manager - Vantaggi e funzionalità . L'abilitazione di questo piano Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: Pricing - Microsoft Defender for Cloud . | AuditIfNotExists; Disabile | 1.0.0 |
| è necessario abilitare Azure Defender per i server SQL nei computer | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | AuditIfNotExists; Disabile | 1.0.2 |
| Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists; Disabile | 2.0.1 |
| Azure Defender per SQL deve essere abilitato per i server flessibili MySQL non protetti | Controllare i server flessibili MySQL senza Sicurezza dei dati avanzata | AuditIfNotExists; Disabile | 1.0.0 |
| Azure Defender per SQL deve essere abilitato per i server flessibili PostgreSQL non protetti | Controllare i server flessibili PostgreSQL senza Sicurezza dei dati avanzata | AuditIfNotExists; Disabile | 1.0.0 |
| Azure Defender per SQL deve essere abilitato per le istanze gestite di SQL non protette | Controlla ogni SQL Managed Instance senza sicurezza dei dati avanzata. | AuditIfNotExists; Disabile | 1.0.2 |
| Azure è necessario abilitare Defender per database relazionali open source | Azure Defender per database relazionali open source rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di access o exploit di database. Per altre informazioni sulle funzionalità di Azure Defender per database relazionali open source, vedere Panoramica di Defender per Open-Source database relazionali. Importante: l'abilitazione di questo piano comporterà degli addebiti per la protezione dei database relazionali open source. Informazioni sui prezzi nella pagina dei prezzi del Centro sicurezza: Pricing - Microsoft Defender for Cloud | AuditIfNotExists; Disabile | 1.0.0 |
| Azure Defender per i server deve essere abilitato | Azure Defender per i server offre protezione dalle minacce in tempo reale per i carichi di lavoro del server e genera raccomandazioni sulla protezione avanzata, nonché avvisi sulle attività sospette. | AuditIfNotExists; Disabile | 1.0.3 |
| Azure Kubernetes Service i cluster devono avere il profilo Defender abilitato | Microsoft Defender per contenitori offre funzionalità di sicurezza Kubernetes native del cloud, tra cui protezione avanzata dell'ambiente, protezione del carico di lavoro e protezione in fase di esecuzione. Quando si abilita SecurityProfile.AzureDefender nel cluster Azure Kubernetes Service, un agente viene distribuito nel cluster per raccogliere i dati degli eventi di sicurezza. Altre informazioni sulle Microsoft Defender per i contenitori in Gestisci le raccomandazioni MCSB in Defender for Cloud | Revisione; Disabile | 2.0.1 |
| Microsoft Defender CSPM deve essere abilitato | Defender Cloud Security Posture Management (CSPM) offre funzionalità di comportamento avanzate e un nuovo grafico di sicurezza del cloud intelligente per identificare, classificare in ordine di priorità e ridurre i rischi. Oltre alle funzionalità di sicurezza di base gratuite attivate per impostazione predefinita in Defender per il cloud è disponibile anche Defender CSPM. | AuditIfNotExists; Disabile | 1.0.0 |
| è necessario abilitare Microsoft Defender per le API | Microsoft Defender per le API offre nuove funzionalità di individuazione, protezione, rilevamento e copertura delle risposte per monitorare gli attacchi comuni basati su API e configurazioni errate della sicurezza. | AuditIfNotExists; Disabile | 1.0.3 |
| è necessario abilitare Microsoft Defender per i contenitori | Microsoft Defender per i contenitori offre protezione avanzata, valutazione delle vulnerabilità e runtime per gli ambienti Kubernetes Azure, ibridi e multi-cloud. | AuditIfNotExists; Disabile | 1.0.0 |
| Microsoft Defender per SQL deve essere abilitato per le aree di lavoro Synapse non protette | Abilitare Defender per SQL per proteggere le aree di lavoro di Synapse. Defender per SQL monitora Synapse SQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di access o exploit dei database. | AuditIfNotExists; Disabile | 1.0.0 |
| Microsoft Defender per lo stato SQL deve essere protetto per SQL Server abilitati per Arc | Microsoft Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL, l'individuazione e la classificazione dei dati sensibili. Dopo l'abilitazione, lo stato di protezione indica che la risorsa viene monitorata attivamente. Anche quando Defender è abilitato, è necessario convalidare più impostazioni di configurazione nell'agente, nel computer, nell'area di lavoro e SQL server per garantire la protezione attiva. | Revisione; Disabile | 1.1.0 |
| è necessario abilitare Microsoft Defender per Storage | Microsoft Defender per Storage rileva potenziali minacce agli account storage. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Storage include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account storage) per il controllo sulla copertura e sui costi. | AuditIfNotExists; Disabile | 1.0.0 |
| SQL server il provisioning automatico di destinazione deve essere abilitato per i server SQL nel piano computer | Per assicurarsi che le macchine virtuali SQL e i server SQL abilitati per Arc siano protetti, assicurarsi che l'agente di monitoraggio di Azure di destinazione SQL sia configurato per la distribuzione automatica. Questa operazione è necessaria anche se è stato configurato in precedenza il provisioning automatico di Microsoft Monitoring Agent, in quanto tale componente è deprecato. Altre informazioni: Eseguire la migrazione a Defender per SQL nei computer con AMA | AuditIfNotExists; Disabile | 1.0.0 |
| Windows Defender Exploit Guard deve essere abilitato nei computer | Windows Defender Exploit Guard usa l'agente di configurazione guest Azure Policy. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows). | AuditIfNotExists; Disabile | 2.0.0 |
| [Anteprima]: Azure Arc cluster Kubernetes abilitati devono avere Microsoft Defender for Cloud estensione installata | Microsoft Defender for Cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes con abilitazione di Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per ulteriori analisi. Per altre informazioni, vedere ScoreSecure in Defender for Cloud. | AuditIfNotExists; Disabile | 6.0.0-preview |
LT-2: Abilitare il rilevamento delle minacce per la gestione di identità e access
Per altre informazioni, vedere Logging and Threat Detection: LT-2: Enable threat detection for identity and access management.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Azure Defender per App Service deve essere abilitato | Azure Defender per App Service sfrutta la scalabilità del cloud e la visibilità che Azure ha come provider di servizi cloud, per monitorare gli attacchi comuni alle app Web. | AuditIfNotExists; Disabile | 1.0.3 |
| è necessario abilitare Azure Defender per i server Azure SQL Database | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | AuditIfNotExists; Disabile | 1.0.2 |
| Azure Defender per Key Vault deve essere abilitato | Azure Defender per Key Vault offre un livello aggiuntivo di protezione e intelligence per la sicurezza rilevando tentativi insoliti e potenzialmente dannosi di access o sfruttare gli account key vault. | AuditIfNotExists; Disabile | 1.0.3 |
| Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi sull'attività sospetta. Per altre informazioni sulle funzionalità di Azure Defender per Resource Manager, vedere Microsoft Defender per Resource Manager - Vantaggi e funzionalità . L'abilitazione di questo piano Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: Pricing - Microsoft Defender for Cloud . | AuditIfNotExists; Disabile | 1.0.0 |
| è necessario abilitare Azure Defender per i server SQL nei computer | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | AuditIfNotExists; Disabile | 1.0.2 |
| Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists; Disabile | 2.0.1 |
| Azure Defender per SQL deve essere abilitato per i server flessibili MySQL non protetti | Controllare i server flessibili MySQL senza Sicurezza dei dati avanzata | AuditIfNotExists; Disabile | 1.0.0 |
| Azure Defender per SQL deve essere abilitato per i server flessibili PostgreSQL non protetti | Controllare i server flessibili PostgreSQL senza Sicurezza dei dati avanzata | AuditIfNotExists; Disabile | 1.0.0 |
| Azure Defender per SQL deve essere abilitato per le istanze gestite di SQL non protette | Controlla ogni SQL Managed Instance senza sicurezza dei dati avanzata. | AuditIfNotExists; Disabile | 1.0.2 |
| Azure è necessario abilitare Defender per database relazionali open source | Azure Defender per database relazionali open source rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di access o exploit di database. Per altre informazioni sulle funzionalità di Azure Defender per database relazionali open source, vedere Panoramica di Defender per Open-Source database relazionali. Importante: l'abilitazione di questo piano comporterà degli addebiti per la protezione dei database relazionali open source. Informazioni sui prezzi nella pagina dei prezzi del Centro sicurezza: Pricing - Microsoft Defender for Cloud | AuditIfNotExists; Disabile | 1.0.0 |
| Azure Defender per i server deve essere abilitato | Azure Defender per i server offre protezione dalle minacce in tempo reale per i carichi di lavoro del server e genera raccomandazioni sulla protezione avanzata, nonché avvisi sulle attività sospette. | AuditIfNotExists; Disabile | 1.0.3 |
| Azure Kubernetes Service i cluster devono avere il profilo Defender abilitato | Microsoft Defender per contenitori offre funzionalità di sicurezza Kubernetes native del cloud, tra cui protezione avanzata dell'ambiente, protezione del carico di lavoro e protezione in fase di esecuzione. Quando si abilita SecurityProfile.AzureDefender nel cluster Azure Kubernetes Service, un agente viene distribuito nel cluster per raccogliere i dati degli eventi di sicurezza. Altre informazioni sulle Microsoft Defender per i contenitori in Gestisci le raccomandazioni MCSB in Defender for Cloud | Revisione; Disabile | 2.0.1 |
| Microsoft Defender CSPM deve essere abilitato | Defender Cloud Security Posture Management (CSPM) offre funzionalità di comportamento avanzate e un nuovo grafico di sicurezza del cloud intelligente per identificare, classificare in ordine di priorità e ridurre i rischi. Oltre alle funzionalità di sicurezza di base gratuite attivate per impostazione predefinita in Defender per il cloud è disponibile anche Defender CSPM. | AuditIfNotExists; Disabile | 1.0.0 |
| è necessario abilitare Microsoft Defender per i contenitori | Microsoft Defender per i contenitori offre protezione avanzata, valutazione delle vulnerabilità e runtime per gli ambienti Kubernetes Azure, ibridi e multi-cloud. | AuditIfNotExists; Disabile | 1.0.0 |
| Microsoft Defender per SQL deve essere abilitato per le aree di lavoro Synapse non protette | Abilitare Defender per SQL per proteggere le aree di lavoro di Synapse. Defender per SQL monitora Synapse SQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di access o exploit dei database. | AuditIfNotExists; Disabile | 1.0.0 |
| Microsoft Defender per lo stato SQL deve essere protetto per SQL Server abilitati per Arc | Microsoft Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL, l'individuazione e la classificazione dei dati sensibili. Dopo l'abilitazione, lo stato di protezione indica che la risorsa viene monitorata attivamente. Anche quando Defender è abilitato, è necessario convalidare più impostazioni di configurazione nell'agente, nel computer, nell'area di lavoro e SQL server per garantire la protezione attiva. | Revisione; Disabile | 1.1.0 |
| è necessario abilitare Microsoft Defender per Storage | Microsoft Defender per Storage rileva potenziali minacce agli account storage. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Storage include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account storage) per il controllo sulla copertura e sui costi. | AuditIfNotExists; Disabile | 1.0.0 |
| SQL server il provisioning automatico di destinazione deve essere abilitato per i server SQL nel piano computer | Per assicurarsi che le macchine virtuali SQL e i server SQL abilitati per Arc siano protetti, assicurarsi che l'agente di monitoraggio di Azure di destinazione SQL sia configurato per la distribuzione automatica. Questa operazione è necessaria anche se è stato configurato in precedenza il provisioning automatico di Microsoft Monitoring Agent, in quanto tale componente è deprecato. Altre informazioni: Eseguire la migrazione a Defender per SQL nei computer con AMA | AuditIfNotExists; Disabile | 1.0.0 |
| Windows Defender Exploit Guard deve essere abilitato nei computer | Windows Defender Exploit Guard usa l'agente di configurazione guest Azure Policy. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows). | AuditIfNotExists; Disabile | 2.0.0 |
| [Anteprima]: Azure Arc cluster Kubernetes abilitati devono avere Microsoft Defender for Cloud estensione installata | Microsoft Defender for Cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes con abilitazione di Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per ulteriori analisi. Per altre informazioni, vedere ScoreSecure in Defender for Cloud. | AuditIfNotExists; Disabile | 6.0.0-preview |
LT-3: Abilitare la registrazione per l'analisi della sicurezza
Per altre informazioni, vedere Registrazione e rilevamento delle minacce: LT-3: Abilitare la registrazione per l'analisi della sicurezza.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| App Service le app devono avere i log delle risorse abilitati | Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un evento imprevisto della sicurezza o la rete viene compromessa. | AuditIfNotExists; Disabile | 2.0.1 |
| Auditing su SQL server deve essere abilitato | Il controllo sul SQL Server deve essere abilitato per tenere traccia delle attività del database in tutti i database nel server e salvarle in un log di controllo. | AuditIfNotExists; Disabile | 2.0.0 |
| Azure Front Door devono essere abilitati i log delle risorse | Abilitare i log delle risorse per Azure Front Door (più WAF) e trasmettere a un'area di lavoro Log Analytics. Ottenere visibilità dettagliata sul traffico Web in ingresso e sulle azioni eseguite per attenuare gli attacchi. | AuditIfNotExists; Disabile | 1.0.0 |
| È necessario abilitare i log Diagnostic nelle risorse di Azure AI services | Abilitare i log per le risorse Azure AI services. Ciò consente di ricreare la traccia delle attività per scopi di analisi quando si verifica un evento imprevisto della sicurezza o la rete viene compromessa | AuditIfNotExists; Disabile | 1.0.0 |
| È necessario abilitare i log di Risorse in Azure Data Lake Store | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists; Disabile | 5.0.0 |
| È necessario abilitare i log di Risorse nelle aree di lavoro di Databricks Azure | I registri delle risorse consentono di ricreare i tracciati delle attività da utilizzare per le indagini quando si verifica un incidente di sicurezza o quando la rete è compromessa. | AuditIfNotExists; Disabile | 1.0.1 |
| È necessario abilitare i log di Resource in Azure Kubernetes Service | i log delle risorse di Azure Kubernetes Service consentono di ricreare i percorsi attività durante l'analisi degli eventi imprevisti di sicurezza. Abilitarlo per assicurarsi che i log esistano quando necessario | AuditIfNotExists; Disabile | 1.0.0 |
| È necessario abilitare i log di Resource nelle aree di lavoro Azure Machine Learning | I registri delle risorse consentono di ricreare i tracciati delle attività da utilizzare per le indagini quando si verifica un incidente di sicurezza o quando la rete è compromessa. | AuditIfNotExists; Disabile | 1.0.1 |
| È necessario abilitare i log di Resource in Analisi di flusso di Azure | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists; Disabile | 5.0.0 |
| È necessario abilitare i log di Resource negli account Batch | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists; Disabile | 5.0.0 |
| È necessario abilitare i log di Resource in Data Lake Analytics | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists; Disabile | 5.0.0 |
| È necessario abilitare i log di Resource nell'hub eventi | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists; Disabile | 5.0.0 |
| È necessario abilitare i log di Resource in IoT Hub | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists; Disabile | 3.1.0 |
| È necessario abilitare i log di Resource in Key Vault | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists; Disabile | 5.0.0 |
| È necessario abilitare i log di Risorse in App per la logica | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists; Disabile | 5.1.0 |
| È necessario abilitare i log di Resource nei servizi di ricerca | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists; Disabile | 5.0.0 |
| È necessario abilitare i log di < Service Bus>Resource | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists; Disabile | 5.0.0 |
LT-4: Abilitare la registrazione di rete per l'analisi della sicurezza
Per altre informazioni, vedere Registrazione e rilevamento delle minacce: LT-4: Abilitare la registrazione di rete per l'analisi della sicurezza.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| I log di Flow devono essere configurati per ogni gruppo di sicurezza di rete | Controllare i gruppi di sicurezza di rete per verificare se sono considerati i log dei flussi. I log dei flussi consentono di registrare le informazioni sul flusso del traffico IP tramite il gruppo di sicurezza di rete. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | Revisione; Disabile | 1.1.0 |
| [Anteprima]: l'agente di raccolta dati del traffico di rete deve essere installato in Linux virtual machines | Il Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati del traffico di rete dai Azure virtual machines per abilitare funzionalità avanzate di protezione della rete, ad esempio la visualizzazione del traffico sulla mappa di rete, raccomandazioni per la protezione avanzata della rete e minacce di rete specifiche. | AuditIfNotExists; Disabile | 1.0.2-preview |
| [Anteprima]: l'agente di raccolta dati del traffico di rete deve essere installato in Windows virtual machines | Il Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati del traffico di rete dai Azure virtual machines per abilitare funzionalità avanzate di protezione della rete, ad esempio la visualizzazione del traffico sulla mappa di rete, raccomandazioni per la protezione avanzata della rete e minacce di rete specifiche. | AuditIfNotExists; Disabile | 1.0.2-preview |
LT-5: Centralizzare la gestione e l'analisi dei log di sicurezza
Per altre informazioni, vedere Registrazione e rilevamento delle minacce: LT-5: Centralizzare la gestione e l'analisi dei log di sicurezza.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Saved-query in Azure Monitor devono essere salvate nell'account storage del cliente per la crittografia dei log | Collegare storage account all'area di lavoro Log Analytics per proteggere le query salvate con la crittografia dell'account storage. Le chiavi gestite dal cliente sono in genere necessarie per soddisfare la conformità alle normative e per un maggiore controllo sui access alle query salvate in Azure Monitor. Per altri dettagli su quanto sopra, vedere Chiave gestita daCustomer per le query salvate in Azure Monitoraggio. | revisione; Revisione; negare; Negare; disabile; Disabile | 1.1.0 |
| [Anteprima]: l'estensione Log Analytics deve essere installata nei computer Linux Azure Arc | Questo criterio controlla i computer Linux Azure Arc se l'estensione Log Analytics non è installata. | AuditIfNotExists; Disabile | 1.0.1-preview |
| [Anteprima]: l'estensione Log Analytics deve essere installata nei computer Windows Azure Arc | Questo criterio controlla i computer Windows Azure Arc se l'estensione Log Analytics non è installata. | AuditIfNotExists; Disabile | 1.0.1-preview |
LT-6: Configurare la conservazione dei log storage
Per altre informazioni, vedere Logging and Threat Detection: LT-6: Configure log storage retention.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| I server SQL con controllo per storage destinazione dell'account devono essere configurati con conservazione di 90 giorni o superiore | Ai fini dell'indagine sugli eventi imprevisti, è consigliabile impostare la conservazione dei dati per il controllo dell'SQL Server su storage destinazione dell'account su almeno 90 giorni. Verificare di soddisfare le regole di conservazione necessarie per le aree in cui si lavora. Ciò è talvolta necessario per la conformità agli standard normativi. | AuditIfNotExists; Disabile | 3.0.0 |
NS-1: Stabilire limiti di segmentazione di rete
Per altre informazioni, vedere Sicurezza di rete: NS-1: Stabilire limiti di segmentazione di rete.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Tutte le porte di rete devono essere limitate ai gruppi di sicurezza di rete associati alla macchina virtuale | Azure Security Center ha identificato alcune delle regole in ingresso dei gruppi di sicurezza di rete troppo permissive. Le regole in ingresso non devono consentire access da intervalli 'Any' o 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. | AuditIfNotExists; Disabile | 3.0.0 |
| Internet-facing virtual machines deve essere protetto con i gruppi di sicurezza di rete | Proteggere i virtual machines da potenziali minacce limitando access a tali access con i gruppi di sicurezza di rete. Altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete sono disponibili in Azure panoramica dei gruppi di sicurezza di rete | AuditIfNotExists; Disabile | 3.0.0 |
| I virtual machines con connessione Internet non devono essere protetti con gruppi di sicurezza di rete | Proteggere i virtual machines non con connessione Internet da potenziali minacce limitando access con i gruppi di sicurezza di rete. Altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete sono disponibili in Azure panoramica dei gruppi di sicurezza di rete | AuditIfNotExists; Disabile | 3.0.0 |
| Subnets deve essere associato a un gruppo di sicurezza di rete | Proteggere la subnet da potenziali minacce limitando access a tale subnet con un gruppo di sicurezza di rete.Protect your subnet from potential threats by restricting access to it with a network security group (NSG). I gruppi di sicurezza di rete contengono un elenco di regole elenco di Access Control che consentono o negano il traffico di rete verso la subnet. | AuditIfNotExists; Disabile | 3.0.0 |
NS-2: Proteggere i servizi nativi del cloud con controlli di rete
Per altre informazioni, vedere Sicurezza di rete: NS-2: Proteggere i servizi nativi del cloud con i controlli di rete.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| API Management i servizi devono usare un virtual network | Azure Virtual Network distribuzione offre sicurezza avanzata, isolamento e consente di posizionare il servizio API Management in una rete instradabile non Internet a cui si controlla access. Queste reti possono quindi essere connesse alle reti locali usando varie tecnologie VPN, che consentono di access ai servizi back-end all'interno della rete e/o in locale. Il portale per sviluppatori e il gateway API possono essere configurati per essere accessibili da Internet o solo all'interno del virtual network. | Revisione; Negare; Disabile | 1.0.2 |
| API Management deve disabilitare i access di rete pubblica agli endpoint di configurazione del servizio | Per migliorare la sicurezza dei servizi di API Management, limitare la connettività agli endpoint di configurazione del servizio, ad esempio l'API di gestione diretta access, l'endpoint di gestione della configurazione Git o l'endpoint di configurazione dei gateway self-hosted. | AuditIfNotExists; Disabile | 1.0.1 |
| App Configuration disabilitare la rete pubblica access | La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere: Usare gli endpoint privati per Azure App Configuration. | Revisione; Negare; Disabile | 1.0.0 |
| App Configuration deve usare uno SKU che supporta private link | Quando si usa uno SKU supportato, Azure Private Link consente di connettere il virtual network ai servizi Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma private link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati alle istanze di app configuration anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere: Usare gli endpoint privati per Azure App Configuration. | Revisione; Negare; Disabile | 1.0.0 |
| App Configuration deve usare private link | Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma private link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati alle istanze di app configuration anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere: Usare gli endpoint privati per Azure App Configuration. | AuditIfNotExists; Disabile | 1.0.2 |
| App Service Environment le app non devono essere raggiungibili tramite Internet pubblico | Per assicurarsi che le app distribuite in un App Service Environment non siano accessibili tramite Internet pubblico, è necessario distribuire App Service Environment con un indirizzo IP in virtual network. Per impostare l'indirizzo IP su un indirizzo IP virtual network, è necessario distribuire il App Service Environment con un load balancer interno. | Revisione; Negare; Disabile | 3.0.0 |
| La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che il App Service non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di un App Service. Per altre informazioni, vedere : Usare endpoint privati per le app. | Revisione; Disabile; Negare | 1.0.0 | |
| App Service le app devono disabilitare la rete pubblica access | La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che il App Service non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di un App Service. Per altre informazioni, vedere : Usare endpoint privati per le app. | Revisione; Disabile; Negare | 1.1.0 |
| App Service le app devono usare uno SKU che supporta private link | Con gli SKU supportati, Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati alle app, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni sui collegamenti privati, vedere Usare endpoint privati per le app. | Revisione; Negare; Disabile | 4.3.0 |
| App Service le app devono usare private link | Azure Private Link consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati a App Service, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni sui collegamenti privati, vedere Usare endpoint privati per le app. | AuditIfNotExists; Disabile | 1.0.1 |
| i componenti di Application Insights devono bloccare l'inserimento dei log e l'esecuzione di query da reti pubbliche | Migliorare la sicurezza di Application Insights bloccando l'inserimento dei log e l'esecuzione di query da reti pubbliche. Solo le reti connesse a collegamento privato potranno inserire ed eseguire query sui log di questo componente. Per altre informazioni, vedere Usare Azure Private Link per connettere le reti a Azure Monitoraggio. | revisione; Revisione; negare; Negare; disabile; Disabile | 1.1.0 |
| Intervalli IP non autorizzati devono essere definiti nei servizi Kubernetes | Limitare access all'API di gestione dei servizi Kubernetes concedendo all'API access solo agli indirizzi IP in intervalli specifici. È consigliabile limitare access agli intervalli IP autorizzati per garantire che solo le applicazioni provenienti da reti consentite possano access il cluster. | Revisione; Disabile | 2.0.1 |
| gli account Automation devono disabilitare la rete pubblica access | La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse dell'account di Automazione creando invece endpoint privati. Per altre informazioni, vedere: Use Azure Private Link per connettere in modo sicuro le reti a Azure Automation. | Revisione; Negare; Disabile | 1.0.0 |
| Azure Search service di intelligenza artificiale deve usare uno SKU che supporta private link | Con gli SKU supportati di Azure AI Search, Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma private link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati alla Search service, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere: Creare un endpoint privato per una connessione sicura. | Revisione; Negare; Disabile | 1.0.1 |
| Azure AI Search i servizi devono disabilitare la rete pubblica access | La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che il Search service di intelligenza artificiale di Azure non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione del Search service. Per altre informazioni, vedere: Creare un endpoint privato per una connessione sicura. | Revisione; Negare; Disabile | 1.0.1 |
| Limitando le access di rete, è possibile assicurarsi che solo le reti consentite possano access il servizio. A tale scopo, è possibile configurare le regole di rete in modo che solo le applicazioni provenienti da reti consentite possano accedere allo strumento Microsoft Foundry. | Revisione; Negare; Disabile | 3.3.0 | |
| Azure AI Services le risorse devono usare Azure Private Link | Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link riduce i rischi di perdita di dati gestendo la connettività tra il consumer e i servizi tramite la rete backbone Azure. Per altre informazioni sui collegamenti privati, vedere: Che è Azure Private Link? | Revisione; Disabile | 1.0.0 |
| Azure API per FHIR deve usare private link | Azure'API per FHIR deve avere almeno una connessione endpoint privato approvata. I client in un virtual network possono access risorse che dispongono di connessioni endpoint private tramite collegamenti privati. Per altre informazioni, vedere: Configurare Private Link per Azure Health Data Services. | Revisione; Disabile | 1.0.0 |
| Azure Arc Private Link Gli ambiti devono essere configurati con un endpoint privato | Azure Private Link consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati agli ambiti di Azure Arc Private Link, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere: Use Azure Private Link to Connect Servers to Azure Arc by Using a Private Endpoint. | Revisione; Disabile | 1.0.0 |
| Azure Arc Private Link Gli ambiti devono disabilitare la rete pubblica access | La disabilitazione della rete pubblica access migliora la sicurezza assicurando che Azure Arc risorse non possano connettersi tramite Internet pubblico. La creazione di endpoint privati può limitare l'esposizione delle risorse Azure Arc. Per altre informazioni, vedere: Use Azure Private Link to Connect Servers to Azure Arc by Using a Private Endpoint. | Revisione; Negare; Disabile | 1.0.0 |
| I cluster kubernetes abilitati per Azure Arc devono essere configurati con un ambito Azure Arc Private Link | Azure Private Link consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping Azure Arc server abilitati a un ambito Azure Arc Private Link configurato con un endpoint privato, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere: Use Azure Private Link to Connect Servers to Azure Arc by Using a Private Endpoint. | Revisione; Negare; Disabile | 1.0.0 |
| I server abilitati per Azure Arc devono essere configurati con un ambito Azure Arc Private Link | Azure Private Link consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping Azure Arc server abilitati a un ambito Azure Arc Private Link configurato con un endpoint privato, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere: Use Azure Private Link to Connect Servers to Azure Arc by Using a Private Endpoint. | Revisione; Negare; Disabile | 1.0.0 |
| Azure Attestation provider devono disabilitare la rete pubblica access | Per migliorare la sicurezza del servizio Azure Attestation, assicurarsi che non sia esposto a Internet pubblico e che sia accessibile solo da un endpoint privato. Disabilitare la proprietà access di rete pubblica come descritto in aka.ms/azureattestation. Questa opzione disabilita access da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP Azure e nega tutti gli account di accesso che corrispondono a IP o regole del firewall basate su virtual network. In questo modo si riducono i rischi di perdita dei dati. | Revisione; Negare; Disabile | 1.0.0 |
| Azure Cache for Redis Enterprise deve usare private link | Gli endpoint privati consentono di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. Eseguendo il mapping degli endpoint privati alle istanze di Azure Cache for Redis Enterprise, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere: Che è Azure Cache for Redis con Azure Private Link?. | AuditIfNotExists; Disabile | 1.0.0 |
| Azure Cache for Redis deve disabilitare la rete pubblica access | La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che il Azure Cache for Redis non sia esposto su Internet pubblico. È possibile limitare l'esposizione dei Azure Cache for Redis creando invece endpoint privati. Per altre informazioni, vedere: Che è Azure Cache for Redis con Azure Private Link?. | Revisione; Negare; Disabile | 1.0.0 |
| Azure Cache for Redis deve usare private link | Gli endpoint privati consentono di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. Eseguendo il mapping degli endpoint privati alle istanze di Azure Cache for Redis, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere: Che è Azure Cache for Redis con Azure Private Link?. | AuditIfNotExists; Disabile | 1.0.0 |
| Azure gli account Cosmos DB devono avere regole del firewall | Le regole del firewall devono essere definite nei Azure account Cosmos DB per impedire il traffico da origini non autorizzate. Gli account con almeno una regola IP definita con il filtro virtual network abilitato vengono considerati conformi. Anche gli account che disabilitano i access pubblici vengono considerati conformi. | Revisione; Negare; Disabile | 2.1.0 |
| Azure Cosmos DB deve disabilitare la rete pubblica access | La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che l'account CosmosDB non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione dell'account CosmosDB. Per altre informazioni, vedere: Blocking public network access durante Azure creazione di account Cosmos DB. | Revisione; Negare; Disabile | 1.0.0 |
| Azure Data Explorer cluster deve usare private link | Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati al cluster Azure Data Explorer, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere: EndpointPrivate per Azure Data Explorer. | Revisione; Disabile | 1.0.0 |
| Azure Data Explorer deve usare uno SKU che supporta private link | Con gli SKU supportati, Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati alle app, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni sui collegamenti privati, vedere Usare endpoint privati per le app. | Revisione; Negare; Disabile | 1.0.0 |
| Azure Data Factory deve usare private link | Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati a Azure Data Factory, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere: Azure Private Link per Azure Data Factory. | AuditIfNotExists; Disabile | 1.0.0 |
| Azure i cluster Databricks devono disabilitare l'indirizzo IP pubblico | La disabilitazione dell'indirizzo IP pubblico dei cluster in Azure aree di lavoro di Databricks migliora la sicurezza assicurando che i cluster non siano esposti su Internet pubblico. Per altre informazioni, vedere: Enable secure cluster connectivity. | Revisione; Negare; Disabile | 1.0.1 |
| Azure Le aree di lavoro di Databricks devono trovarsi in un virtual network | Azure Le reti virtuali offrono sicurezza e isolamento avanzati per le aree di lavoro di Databricks Azure, nonché le subnet, i criteri di access control e altre funzionalità per limitare ulteriormente access. Per altre informazioni, vedere: Deploy Azure Databricks nel Azure virtual network (VNet injection). | Revisione; Negare; Disabile | 1.0.2 |
| Azure Le aree di lavoro di Databricks devono disabilitare la rete pubblica access | La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile controllare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere: Azure Private Link concetti. | Revisione; Negare; Disabile | 1.0.1 |
| Azure Le aree di lavoro di Databricks devono usare private link | Azure Private Link consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati alle Azure aree di lavoro di Databricks, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni sui collegamenti privati, vedere: Configurare la connettività privata back-end a Azure Databricks. | Revisione; Disabile | 1.0.2 |
| Azure le aree di lavoro di Databricks devono essere SKU Premium che supporta funzionalità come private link, chiave gestita dal cliente per la crittografia | Consentire solo l'area di lavoro di Databricks con Sku Premium che l'organizzazione può distribuire per supportare funzionalità come Private Link, chiave gestita dal cliente per la crittografia. Per altre informazioni, vedere: Configurare la connettività privata back-end a Azure Databricks. | Revisione; Negare; Disabile | 1.0.1 |
| Azure Aggiornamento dispositivi per gli account IoT Hub devono usare private link | Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati a Azure Aggiornamento del dispositivo per gli account IoT Hub, i rischi di perdita dei dati vengono ridotti. | AuditIfNotExists; Disabile | 1.0.0 |
| Azure Event Grid i domini devono disabilitare la rete pubblica access | La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere Configurare endpoint privati per argomenti o domini. | Revisione; Negare; Disabile | 1.0.0 |
| Azure Event Grid i domini devono usare private link | Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Mappando gli endpoint privati sul proprio dominio della Griglia di eventi invece che sull'intero servizio, sarà possibile essere protetti anche dai rischi di perdita di dati. Per altre informazioni, vedere Configurare endpoint privati per argomenti o domini. | Revisione; Disabile | 1.0.2 |
| Azure Event Grid broker MQTT dello spazio dei nomi deve usare private link | Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati allo spazio dei nomi di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere Configurare endpoint privati per argomenti o domini. | Revisione; Disabile | 1.0.0 |
| Azure Event Grid gestore di argomenti dello spazio dei nomi deve usare private link | Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati allo spazio dei nomi di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere Configurare endpoint privati per argomenti o domini. | Revisione; Disabile | 1.0.0 |
| gli spazi dei nomi Azure Event Grid devono disabilitare la rete pubblica access | La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere Configurare endpoint privati per argomenti o domini. | Revisione; Negare; Disabile | 1.0.0 |
| La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere Configurare endpoint privati per argomenti o domini. | Revisione; Negare; Disabile | 1.0.0 | |
| Azure Event Grid gli argomenti devono usare private link | Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Mappando gli endpoint privati sul vostro argomento della Griglia di eventi invece che sull'intero servizio, sarete protetti anche dai rischi di perdita di dati. Per altre informazioni, vedere Configurare endpoint privati per argomenti o domini. | Revisione; Disabile | 1.0.2 |
| Azure File Sync deve usare private link | La creazione di un endpoint privato per la risorsa del servizio di sincronizzazione indicata Storage consente di gestire la risorsa del servizio di sincronizzazione Storage dall'interno dello spazio indirizzi IP privato della rete dell'organizzazione, anziché tramite l'endpoint pubblico accessibile da Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. | AuditIfNotExists; Disabile | 1.0.0 |
| i profili Azure Front Door devono usare il livello Premium che supporta regole WAF gestite e private link | Azure Front Door Premium supporta Azure regole WAF gestite e private link alle origini Azure supportate. | Revisione; Negare; Disabile | 1.0.0 |
| Azure HDInsight deve usare private link | Azure Private Link consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati a Azure cluster HDInsight, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni sui collegamenti privati, vedere: Enable Private Link in un cluster HDInsight Azure. | AuditIfNotExists; Disabile | 1.0.0 |
| Azure Health Data Services servizio di de-identificazione deve disabilitare la rete pubblica access | La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. | Revisione; Disabile | 1.0.0 |
| Azure Health Data Services servizio di de-identificazione deve usare private link | Azure Health Data Services servizio di de-identificazione deve avere almeno una connessione endpoint privato approvata. I client in un virtual network possono access risorse che dispongono di connessioni endpoint private tramite collegamenti privati. | Revisione; Disabile | 1.0.0 |
| Azure Health Data Services'area di lavoro deve usare private link | L'area di lavoro di Health Data Services deve avere almeno una connessione endpoint privato approvata. I client in un virtual network possono access risorse che dispongono di connessioni endpoint private tramite collegamenti privati. Per altre informazioni, vedere: Configurare Private Link per Azure Health Data Services. | Revisione; Disabile | 1.0.0 |
| Azure Key Vault deve disabilitare la rete pubblica access | Disabilitare access di rete pubblica per il key vault in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere: Integrate Key Vault con Azure Private Link. | Revisione; Negare; Disabile | 1.1.0 |
| Azure Key Vault deve essere abilitato il firewall o la rete pubblica access disabilitata | Abilitare il firewall key vault in modo che l'key vault non sia accessibile per impostazione predefinita a tutti gli INDIRIZZI IP pubblici o disabilitare i access di rete pubblica per il key vault in modo che non sia accessibile tramite Internet pubblico. Facoltativamente, è possibile configurare intervalli IP specifici per limitare access a tali reti. Per altre informazioni, vedere: Security for Azure Key Vault and Integrate Key Vault with Azure Private Link | Revisione; Negare; Disabile | 3.3.0 |
| Azure Gli insiemi di credenziali delle chiavi devono usare private link | Azure Private Link consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati a key vault, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni sui collegamenti privati, vedere: Integrate Key Vault con Azure Private Link. | Revisione; Negare; Disabile | 1.2.1 |
| Azure Machine Learning le risorse di calcolo devono trovarsi in un virtual network | Azure reti virtuali offrono sicurezza e isolamento avanzati per i cluster di calcolo e le istanze di Azure Machine Learning, nonché le subnet, i criteri access control e altre funzionalità per limitare ulteriormente access. Quando un ambiente di calcolo è configurato con un virtual network, non è indirizzabile pubblicamente e può essere accessibile solo da virtual machines e applicazioni all'interno del virtual network. | Revisione; Disabile | 1.0.1 |
| Azure Machine Learning Le aree di lavoro devono disabilitare la rete pubblica access | La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che le aree di lavoro Machine Learning non siano esposte su Internet pubblico. È possibile controllare l'esposizione delle aree di lavoro creando invece endpoint privati. Per altre informazioni, vedere: Configurare un endpoint privato per un'area di lavoro Azure Machine Learning. | Revisione; Negare; Disabile | 2.0.1 |
| Azure Machine Learning e Ai Studio devono usare la modalità di rete virtuale gestita approvata solo in uscita | L'isolamento della rete virtuale gestita semplifica e automatizza la configurazione dell'isolamento della rete con una rete virtuale gestita a livello di area di lavoro predefinita Azure Machine Learning. La rete virtuale gestita protegge le risorse di Azure Machine Learning gestite, ad esempio istanze di calcolo, cluster di calcolo, calcolo serverless ed endpoint online gestiti. | Revisione; Negare; Disabile | 1.0.0 |
| Azure Machine Learning le aree di lavoro devono usare private link | Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere: Configurare un endpoint privato per un'area di lavoro Azure Machine Learning. | Revisione; Disabile | 1.0.0 |
| Azure Managed Grafana le aree di lavoro devono disabilitare la rete pubblica access | La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che l'area di lavoro Azure Managed Grafana non sia esposta su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione delle aree di lavoro. | Revisione; Negare; Disabile | 1.0.0 |
| Azure Managed Grafana le aree di lavoro devono usare private link | Azure Private Link consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati a Managed Grafana, è possibile ridurre i rischi di perdita dei dati. | Revisione; Disabile | 1.0.1 |
| Azure Monitor Private Link Scope deve bloccare access a risorse non private link | Azure Private Link consente di connettere le reti virtuali alle risorse di Azure tramite un endpoint privato a un ambito Azure Monitor Private Link (AMPLS). Private Link Access modalità sono impostate su AMPLS per controllare se le richieste di inserimento e query dalle reti possono raggiungere tutte le risorse o solo Private Link risorse (per impedire l'esfiltrazione di dati). Altre informazioni sui collegamenti privati sono disponibili in: modalità Azure Private Link access (solo privato e aperto). | Revisione; Negare; Disabile | 1.0.0 |
| Azure Monitor Private Link Scope deve usare private link | Azure Private Link consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati a Azure Monitorare l'ambito dei collegamenti privati, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni sui collegamenti privati, vedere: Usare Azure Private Link per connettere le reti a Azure Monitoraggio. | AuditIfNotExists; Disabile | 1.0.0 |
| Azure gli account Purview devono usare private link | Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma private link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati agli account Azure Purview anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere: Usare gli endpoint privati nel portale di governance di Microsoft Purview classico. | Revisione; Disabile | 1.0.0 |
| Azure SQL Istanze gestite deve disabilitare la rete pubblica access | La disabilitazione di access di rete pubblica (endpoint pubblico) in istanze gestite di Azure SQL migliora la sicurezza assicurando che sia possibile accedervi solo dall'interno delle reti virtuali o tramite endpoint privati. Per altre informazioni sulle access di rete pubblica, visitare Configurare l'endpoint pubblico. | Revisione; Negare; Disabile | 1.0.0 |
| gli spazi dei nomi Azure Service Bus devono usare private link | Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi Service Bus, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere: Allow access per Azure Service Bus spazi dei nomi tramite endpoint privati. | AuditIfNotExists; Disabile | 1.0.0 |
| Azure SignalR Service disabilitare la rete pubblica access | Per migliorare la sicurezza della risorsa Azure SignalR Service, assicurarsi che non sia esposta a Internet pubblico e che sia accessibile solo da un endpoint privato. Disabilitare la proprietà access di rete pubblica come descritto in Configurare la rete access control. Questa opzione disabilita access da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP Azure e nega tutti gli account di accesso che corrispondono a IP o regole del firewall basate su virtual network. In questo modo si riducono i rischi di perdita dei dati. | Revisione; Negare; Disabile | 1.2.0 |
| Azure SignalR Service deve usare uno SKU abilitato per Private Link | Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione che proteggono le risorse dai rischi di perdita di dati pubblici. I criteri limitano Private Link SKU abilitati per Azure SignalR Service. Per altre informazioni sulle private link, vedere: Use private endpoints. | Revisione; Negare; Disabile | 1.0.0 |
| Azure SignalR Service deve usare private link | Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma private link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati alla risorsa Azure SignalR Service anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in : Usare endpoint privati. | Revisione; Disabile | 1.0.0 |
| Azure Spring Cloud deve usare l'inserimento di rete | Azure istanze di Spring Cloud devono usare virtual network injection ai fini seguenti: 1. Isolare Azure Spring Cloud da Internet. 2. Abilitare Azure Spring Cloud per interagire con i sistemi nei data center locali o Azure servizio in altre reti virtuali. 3. Consentire ai clienti di controllare le comunicazioni di rete in ingresso e in uscita per Azure Spring Cloud. | Revisione; Disabile; Negare | 1.2.0 |
| Azure Synapse le aree di lavoro devono disabilitare la rete pubblica access | La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che l'area di lavoro di Synapse non sia esposta su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione delle aree di lavoro di Synapse. Per altre informazioni, vedere: Azure Synapse Analytics connectivity settings.Learn more at: Azure Synapse Analytics connectivity settings. | Revisione; Negare; Disabile | 1.0.0 |
| Azure Synapse le aree di lavoro devono usare private link | Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati a Azure Synapse'area di lavoro, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere: Connettersi all'area di lavoro Azure Synapse usando collegamenti privati. | Revisione; Disabile | 1.0.1 |
| Azure i pool di host di Desktop virtuale devono disabilitare la rete pubblica access | La disabilitazione della rete pubblica access migliora la sicurezza e mantiene i dati al sicuro assicurandosi che access al servizio Desktop virtuale Azure non sia esposto alla rete Internet pubblica. Per altre informazioni, vedere: Impostare Private Link con Desktop virtuale Azure. | Revisione; Negare; Disabile | 1.0.0 |
| Azure i pool di host di Desktop virtuale devono disabilitare access di rete pubblica solo sugli host sessione | La disabilitazione dei access di rete pubblica per gli host sessione del pool di host di Desktop virtuale Azure, ma consentendo access pubblici per gli utenti finali migliora la sicurezza limitando l'esposizione a Internet pubblico. Per altre informazioni, vedere: Impostare Private Link con Desktop virtuale Azure. | Revisione; Negare; Disabile | 1.0.0 |
| Azure servizio Desktop virtuale deve usare private link | L'uso di Azure Private Link con le risorse di Desktop virtuale Azure può migliorare la sicurezza e mantenere i dati al sicuro. Per altre informazioni sui collegamenti privati, vedere: Configura Private Link con Desktop virtuale Azure. | Revisione; Disabile | 1.0.0 |
| Azure le aree di lavoro di Desktop virtuale devono disabilitare la rete pubblica access | La disabilitazione dei access di rete pubblica per la risorsa dell'area di lavoro di Desktop virtuale Azure impedisce l'accessibilità del feed tramite La rete Internet pubblica. Consentire solo la rete privata access migliora la sicurezza e mantiene i dati al sicuro. Per altre informazioni, vedere: Impostare Private Link con Desktop virtuale Azure. | Revisione; Negare; Disabile | 1.0.0 |
| Azure Web PubSub Il servizio deve disabilitare la rete pubblica access | La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che Azure Web PubSub servizio non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di Azure Web PubSub servizio. Per altre informazioni, vedere: Azure Web PubSub network access control. | Revisione; Negare; Disabile | 1.0.0 |
| Azure Web PubSub Service deve usare uno SKU che supporta private link | Con lo SKU supportato, Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati a Azure Web PubSub servizio, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: Azure Web PubSub endpoint privato del servizio. | Revisione; Negare; Disabile | 1.0.0 |
| Azure Web PubSub Il servizio deve usare private link | Azure Private Link consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma private link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati al servizio Azure Web PubSub, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: Azure Web PubSub endpoint privato del servizio. | Revisione; Disabile | 1.0.0 |
| Bot Service deve essere disabilitata access rete pubblica | I bot devono essere impostati sulla modalità "solo isolato". Questa impostazione consente di configurare Bot Service canali che richiedono la disattivazione del traffico su Internet pubblico. | Revisione; Negare; Disabile | 1.0.0 |
| Le risorse di BotService devono usare private link | Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati alla risorsa BotService, i rischi di perdita dei dati vengono ridotti. | Revisione; Disabile | 1.0.0 |
| L'ambiente app contenitore deve disabilitare l'accesso alla rete pubblica | Disabilitare i access di rete pubblica per migliorare la sicurezza esponendo l'ambiente app contenitore tramite un load balancer interno. In questo modo viene rimossa la necessità di un indirizzo IP pubblico e viene impedito l'accesso a Internet access a tutte le app contenitore all'interno dell'ambiente. | Revisione; Negare; Disabile | 1.1.0 |
| i registri Container devono avere SKU che supportano collegamenti privati | Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma private link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati ai registri contenitori anziché all'intero servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere: Impostare un endpoint privato con Private Link per Registro Azure Container. | Revisione; Negare; Disabile | 1.0.0 |
| I registri |
Azure registri contenitori per impostazione predefinita accettano connessioni tramite Internet dagli host in qualsiasi rete. Per proteggere i registri da potenziali minacce, consentire access solo da endpoint privati specifici, indirizzi IP pubblici o intervalli di indirizzi. Se il Registro di sistema non dispone di regole di rete configurate, verrà visualizzato nelle risorse non integre. Altre informazioni sulle regole di rete del Registro Container sono disponibili qui: Impostare un endpoint privato con Private Link per Registro Azure Container, Configurare Access del Registro di sistema pubblico in Azure e Restrict Access per Azure Container Registry tramite endpoint di servizio. | Revisione; Negare; Disabile | 2.0.0 |
| I registri Container devono usare private link | Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma private link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati ai registri contenitori anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere: Impostare un endpoint privato con Private Link per Registro Azure Container. | Revisione; Disabile | 1.0.1 |
| Gli account CosmosDB devono usare private link | Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere: Configurare Azure Private Link per un account Cosmos DB Azure. | Revisione; Disabile | 1.0.0 |
| le risorse di access Disk devono usare private link | Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere: Restrict import/export access to managed disks. | AuditIfNotExists; Disabile | 1.0.0 |
| ElasticSan deve disabilitare la rete pubblica access | Disabilitare la rete pubblica access per ElasticSan in modo che non sia accessibile tramite la rete Internet pubblica. Ciò può ridurre il rischio di perdita dei dati. | Revisione; Negare; Disabile | 1.0.0 |
| Gli spazi dei nomi dell'hub eventi devono disabilitare l'accesso alla rete pubblica | Azure Hub eventi deve avere access di rete pubblica disabilitata. La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere: Allow access agli spazi dei nomi Azure Event Hubs tramite endpoint privati | Revisione; Negare; Disabile | 1.0.0 |
| Gli spazi dei nomi Event Hub devono usare private link | Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi dell'hub eventi, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere: Allow access per Azure Event Hubs spazi dei nomi tramite endpoint privati. | AuditIfNotExists; Disabile | 1.0.0 |
| gli slot dell'app |
La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che l'app per le funzioni non sia esposta su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di un'app per le funzioni. Per altre informazioni, vedere : Usare endpoint privati per le app. | Revisione; Disabile; Negare | 1.1.0 |
| le app |
La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che l'app per le funzioni non sia esposta su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di un'app per le funzioni. Per altre informazioni, vedere : Usare endpoint privati per le app. | Revisione; Disabile; Negare | 1.1.0 |
| IoT Central deve usare private link | Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma private link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati all'applicazione IoT Central anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in Sicurezza di rete con endpoint privati in IoT Central. | Revisione; Negare; Disabile | 1.0.0 |
| La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che IoT Hub'istanza del servizio device provisioning non sia esposta sulla rete Internet pubblica. La creazione di endpoint privati può limitare l'esposizione delle istanze di provisioning dei dispositivi IoT Hub. Per altre informazioni, vedere: Virtual network connessioni per DPS. | Revisione; Negare; Disabile | 1.0.0 | |
| IoT Hub le istanze del servizio device provisioning devono usare private link | Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati al servizio di provisioning di dispositivi IoT Hub, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: Virtual network connessioni per DPS. | Revisione; Disabile | 1.0.0 |
| le aree di lavoro di Log Analytics devono bloccare l'inserimento dei log e l'esecuzione di query da reti pubbliche | Migliorare la sicurezza dell'area di lavoro bloccando l'inserimento dei log e l'esecuzione di query da reti pubbliche. Solo le reti connesse a collegamento privato potranno inserire ed eseguire query sui log in questa area di lavoro. Per altre informazioni, vedere Usare Azure Private Link per connettere le reti a Azure Monitoraggio. | revisione; Revisione; negare; Negare; disabile; Disabile | 1.1.0 |
| Managed disks deve disabilitare la rete pubblica access | La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che un disco gestito non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di managed disks. Per altre informazioni, vedere: Restrict import/export access in managed disks. | Revisione; Negare; Disabile | 2.1.0 |
| È necessario abilitare le connessioni endpoint Private in Azure SQL Database | Le connessioni endpoint private applicano la comunicazione sicura abilitando la connettività privata alle Azure SQL Database. | Revisione; Disabile | 1.1.0 |
| EndpointPrivate deve essere abilitato per i server MariaDB | Le connessioni endpoint private applicano la comunicazione sicura abilitando la connettività privata per Azure Database for MariaDB. Configurare una connessione endpoint privato per consentire access al traffico proveniente solo da reti note e impedire access da tutti gli altri indirizzi IP, inclusi i Azure. | AuditIfNotExists; Disabile | 1.0.2 |
| EndpointPrivate deve essere abilitato per i server MySQL | Le connessioni endpoint private applicano la comunicazione sicura abilitando la connettività privata a Azure Database for MySQL. Configurare una connessione endpoint privato per consentire access al traffico proveniente solo da reti note e impedire access da tutti gli altri indirizzi IP, inclusi i Azure. | AuditIfNotExists; Disabile | 1.0.2 |
| EndpointPrivate deve essere abilitato per i server PostgreSQL | Le connessioni endpoint private applicano la comunicazione sicura abilitando la connettività privata alle Azure Database for PostgreSQL. Configurare una connessione endpoint privato per consentire access al traffico proveniente solo da reti note e impedire access da tutti gli altri indirizzi IP, inclusi i Azure. | AuditIfNotExists; Disabile | 1.0.2 |
| Public network access for Azure Device Update for IoT Hub account devono essere disabilitati | La disabilitazione della proprietà access di rete pubblica migliora la sicurezza assicurando che l'aggiornamento del dispositivo Azure per gli account IoT Hub sia accessibile solo da un endpoint privato. | Revisione; Negare; Disabile | 1.0.0 |
| Public network access in Azure Data Explorer devono essere disabilitati | La disabilitazione della proprietà access di rete pubblica migliora la sicurezza assicurando che Azure Data Explorer sia accessibile solo da un endpoint privato. Questa configurazione nega tutti gli account di accesso che corrispondono a IP o virtual network regole del firewall basate su . | Revisione; Negare; Disabile | 1.0.0 |
| Public network access in Azure Data Factory devono essere disabilitati | La disabilitazione della proprietà access di rete pubblica migliora la sicurezza assicurando che l'Azure Data Factory sia accessibile solo da un endpoint privato. | Revisione; Negare; Disabile | 1.0.0 |
| Public network access in Azure IoT Hub devono essere disabilitati | La disabilitazione della proprietà access di rete pubblica migliora la sicurezza assicurando che l'Azure IoT Hub sia accessibile solo da un endpoint privato. | Revisione; Negare; Disabile | 1.0.0 |
| Public network access in Azure SQL Database devono essere disabilitati | La disabilitazione della proprietà access di rete pubblica migliora la sicurezza assicurando che l'Azure SQL Database sia accessibile solo da un endpoint privato. Questa configurazione nega tutti gli account di accesso che corrispondono a IP o virtual network regole del firewall basate su . | Revisione; Negare; Disabile | 1.1.0 |
| Public network access deve essere disabilitato per Azure File Sync | La disabilitazione dell'endpoint pubblico consente di limitare access alla risorsa del servizio di sincronizzazione Storage alle richieste destinate agli endpoint privati approvati nella rete dell'organizzazione. Non c'è nulla di intrinsecamente insicuro per consentire le richieste all'endpoint pubblico, tuttavia, è possibile disabilitarlo per soddisfare i requisiti normativi, legali o dei criteri dell'organizzazione. È possibile disabilitare l'endpoint pubblico per un servizio di sincronizzazione Storage impostando incomingTrafficPolicy della risorsa su AllowVirtualNetworksOnly. | Revisione; Negare; Disabile | 1.0.0 |
| Public network access deve essere disabilitato per gli account Batch | La disabilitazione dei access di rete pubblica in un account Batch migliora la sicurezza assicurando che l'account Batch sia accessibile solo da un endpoint privato. Per altre informazioni sulla disabilitazione dei access di rete pubblica, vedere Usare gli endpoint privati con account Azure Batch. | Revisione; Negare; Disabile | 1.0.0 |
| Public network access deve essere disabilitato per i registri contenitori | La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che i registri contenitori non siano esposti sulla rete Internet pubblica. La creazione di endpoint privati può limitare l'esposizione delle risorse del registro contenitori. Per altre informazioni, vedere: Configurare Access del Registro di sistema pubblico in Azure e Impostare l'endpoint privato con Private Link per Registro Azure Container. | Revisione; Negare; Disabile | 1.0.0 |
| Public network access deve essere disabilitato per IoT Central | Per migliorare la sicurezza di IoT Central, assicurarsi che non sia esposto alla rete Internet pubblica e che sia accessibile solo da un endpoint privato. Disabilitare la proprietà access di rete pubblica come descritto in Creare un endpoint privato per Azure IoT Central. Questa opzione disabilita access da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP Azure e nega tutti gli account di accesso che corrispondono a IP o regole del firewall basate su virtual network. In questo modo si riducono i rischi di perdita dei dati. | Revisione; Negare; Disabile | 1.0.0 |
| Public network access deve essere disabilitato per i server MariaDB | Disabilitare la proprietà access della rete pubblica per migliorare la sicurezza e assicurarsi che l'Azure Database for MariaDB sia accessibile solo da un endpoint privato. Questa configurazione disabilita rigorosamente access da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP di Azure e nega tutti gli account di accesso che corrispondono a ip o regole del firewall basate su virtual network. | Revisione; Negare; Disabile | 2.0.0 |
| Public network access deve essere disabilitato per i server MariaDB | Disabilitare la proprietà access della rete pubblica per migliorare la sicurezza e assicurarsi che l'Azure Database for MariaDB sia accessibile solo da un endpoint privato. Questa configurazione disabilita rigorosamente access da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP di Azure e nega tutti gli account di accesso che corrispondono a ip o regole del firewall basate su virtual network. | Revisione; Negare; Disabile | 2.0.0 |
| Public network access deve essere disabilitato per i server flessibili MySQL | La disabilitazione della proprietà access di rete pubblica migliora la sicurezza assicurando che i server flessibili Azure Database for MySQL possano essere accessibili solo da un endpoint privato. Questa configurazione disabilita rigorosamente access da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP di Azure e nega tutti gli account di accesso che corrispondono a regole del firewall basate su IP o virtual network. | Revisione; Negare; Disabile | 2.3.0 |
| Public network access deve essere disabilitato per i server MySQL | Disabilitare la proprietà access di rete pubblica per migliorare la sicurezza e assicurarsi che l'Azure Database for MySQL sia accessibile solo da un endpoint privato. Questa configurazione disabilita rigorosamente access da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP di Azure e nega tutti gli account di accesso che corrispondono a ip o regole del firewall basate su virtual network. | Revisione; Negare; Disabile | 2.0.0 |
| Public network access deve essere disabilitato per i server flessibili PostgreSQL | La disabilitazione della proprietà access di rete pubblica migliora la sicurezza assicurando che i server flessibili Azure Database for PostgreSQL possano essere accessibili solo da un endpoint privato. Questa configurazione disabilita rigorosamente access da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP di Azure e nega tutti gli account di accesso che corrispondono alle regole del firewall basate su IP. | Revisione; Negare; Disabile | 3.1.0 |
| Public network access deve essere disabilitato per i server PostgreSQL | Disabilitare la proprietà access di rete pubblica per migliorare la sicurezza e assicurarsi che l'Azure Database for PostgreSQL sia accessibile solo da un endpoint privato. Questa configurazione disabilita access da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP di Azure e nega tutti gli account di accesso che corrispondono alle regole del firewall basate su IP o virtual network. | Revisione; Negare; Disabile | 2.0.1 |
| Service Bus Gli spazi dei nomi devono disabilitare la rete pubblica access | Azure Service Bus deve essere disabilitata access rete pubblica. La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere: Allow access per Azure Service Bus spazi dei nomi tramite endpoint privati | Revisione; Negare; Disabile | 1.1.0 |
| Storage'account pubblico access non deve essere consentito | L'accesso pubblico anonimo access ai contenitori e ai BLOB in Azure Storage è un modo pratico per condividere i dati, ma potrebbe presentare rischi per la sicurezza. Per evitare violazioni dei dati causate da access anonime indesiderate, Microsoft consiglia di impedire access pubblici a un account storage, a meno che lo scenario non lo richieda. | revisione; Revisione; negare; Negare; disabile; Disabile | 3.1.1 |
| Storage gli account devono disabilitare la rete pubblica access | Per migliorare la sicurezza degli account di Storage, assicurarsi che non siano esposti a Internet pubblico e che sia accessibile solo da un endpoint privato. Disabilitare la proprietà access di rete pubblica come descritto in Storage rete pubblica dell'account access. Questa opzione disabilita access da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP Azure e nega tutti gli account di accesso che corrispondono a IP o regole del firewall basate su virtual network. In questo modo si riducono i rischi di perdita dei dati. | Revisione; Negare; Disabile | 1.0.1 |
| Le access di rete per storage account devono essere limitate. Configurare le regole di rete in modo che solo le applicazioni delle reti consentite possano access l'account storage. Per consentire connessioni da client Internet o locali specifici, è possibile concedere access al traffico da reti virtuali Azure specifiche o a intervalli di indirizzi IP Internet pubblici | Revisione; Negare; Disabile | 1.1.1 | |
| gli account Storage devono limitare le access di rete usando regole di virtual network | Proteggere gli account storage da potenziali minacce usando regole di virtual network come metodo preferito invece del filtro basato su IP. La disabilitazione del filtro basato su IP impedisce agli indirizzi IP pubblici di accedere agli account storage. | Revisione; Negare; Disabile | 1.0.1 |
| Storage gli account devono limitare le access di rete usando regole di virtual network (esclusi gli account storage creati da Databricks) | Proteggere gli account storage da potenziali minacce usando regole di virtual network come metodo preferito invece del filtro basato su IP. La disabilitazione del filtro basato su IP impedisce agli indirizzi IP pubblici di accedere agli account storage. | Revisione; Negare; Disabile | 1.0.0 |
| gli account Storage devono usare private link | Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati all'account storage, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere - Che è Azure Private Link? | AuditIfNotExists; Disabile | 2.0.0 |
| Storage gli account devono usare private link (esclusi gli account storage creati da Databricks) | Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati all'account storage, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere - Che è Azure Private Link? | AuditIfNotExists; Disabile | 1.0.0 |
| I modelli di Image Builder VM devono usare private link | Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: Azure opzioni di rete di Image Builder della macchina virtuale - Distribuire usando una rete virtuale esistente. | Revisione; Disabile; Negare | 1.1.0 |
| [Anteprima]: Azure Key Vault modulo di protezione hardware gestito deve disabilitare la rete pubblica access | Disabilitare access di rete pubblica per il modulo di protezione hardware gestito Azure Key Vault in modo che non sia accessibile tramite La rete Internet pubblica. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere: Allow trusted services to access Managed HSM. | Revisione; Negare; Disabile | 1.0.0-preview |
| [Anteprima]: Azure Key Vault modulo di protezione hardware gestito deve usare private link | Private link consente di connettere Azure Key Vault modulo di protezione hardware gestito alle risorse Azure senza inviare traffico su Internet pubblico. Private link fornisce protezione avanzata dall'esfiltrazione dei dati. Per altre informazioni, vedere: Integrate Managed HSM con Azure Private Link | Revisione; Disabile | 1.0.0-preview |
| [Anteprima]: Azure insiemi di credenziali di Servizi di ripristino devono usare private link per il backup | Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati a Azure insiemi di credenziali di Servizi di ripristino, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere: Creare e usare endpoint privati per Azure Backup. | Revisione; Disabile | 2.0.0-preview |
| [Anteprima]: Gli insiemi di credenziali di Servizi di ripristino devono usare private link | Azure Private Link consente di connettere il virtual network ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati a Azure insiemi di credenziali di Servizi di ripristino, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati per Azure Site Recovery, vedere: replica Enable per computer locali con endpoint privati e Abilitare la replica per endpoint privati in Azure Site Recovery. | Revisione; Disabile | 1.0.0-preview |
NS-3: Implementare il firewall ai bordi della rete aziendale
Per altre informazioni, vedere Sicurezza di rete: NS-3: Distribuire il firewall nella rete perimetrale della rete aziendale.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Ip Forwarding nella macchina virtuale deve essere disabilitato | L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. | AuditIfNotExists; Disabile | 3.0.0 |
| le porte |
Le possibili access JIT (Just In Time) di rete verranno monitorate da Azure Security Center come raccomandazioni | AuditIfNotExists; Disabile | 3.0.0 |
| le porte Management devono essere chiuse nel virtual machines | Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet Questi attacchi tentano di forza bruta le credenziali per ottenere access amministratore al computer. | AuditIfNotExists; Disabile | 3.0.0 |
| Azure Security Center ha rilevato che alcune subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitando access a tali subnet con Azure Firewall o un firewall di nuova generazione supportato | AuditIfNotExists; Disabile | 3.0.0-preview |
NS-5: Distribuire la protezione DDoS
Per altre informazioni, vedere Sicurezza di rete: NS-5: Distribuire la protezione DDOS.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Azure DDoS Protection deve essere abilitato | La protezione DDoS deve essere abilitata per tutte le reti virtuali con una subnet che fa parte di un application gateway con un indirizzo IP pubblico. | AuditIfNotExists; Disabile | 3.0.1 |
| Le reti virtuali devono essere protette da Azure DDoS Protection | Proteggere le reti virtuali da attacchi volumetrici e protocolli con Azure DDoS Protection. Per altre informazioni, visitare Azure DDoS Protection Panoramica. | Modificare; Revisione; Disabile | 1.0.1 |
NS-6: Distribuire web application firewall
Per altre informazioni, vedere Network Security: NS-6: Deploy web application firewall.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Azure Web Application Firewall deve essere abilitato per Azure Front Door punti di ingresso | Distribuire Azure Web Application Firewall (WAF) davanti alle applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) offre una protezione centralizzata delle applicazioni Web da exploit e vulnerabilità comuni, ad esempio attacchi SQL injection, scripting tra siti, esecuzioni di file locali e remote. È anche possibile limitare access alle applicazioni Web in base a paesi/aree geografiche, intervalli di indirizzi IP e altri parametri HTTP tramite regole personalizzate. | Revisione; Negare; Disabile | 1.0.2 |
| Web Application Firewall (WAF) deve essere abilitato per Application Gateway | Distribuire Azure Web Application Firewall (WAF) davanti alle applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) offre una protezione centralizzata delle applicazioni Web da exploit e vulnerabilità comuni, ad esempio attacchi SQL injection, scripting tra siti, esecuzioni di file locali e remote. È anche possibile limitare access alle applicazioni Web in base a paesi/aree geografiche, intervalli di indirizzi IP e altri parametri HTTP tramite regole personalizzate. | Revisione; Negare; Disabile | 2.0.0 |
NS-8: rilevare e disabilitare i servizi e i protocolli non sicuri
Per altre informazioni, vedere Sicurezza di rete: NS-8: Rilevare e disabilitare i servizi e i protocolli non sicuri.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| App Service le app devono usare la versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per App Service app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists; Disabile | 2.2.0 |
| le app Function devono usare la versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists; Disabile | 2.3.0 |
PA-1: separare e limitare utenti con privilegi elevati/amministratori
Per altre informazioni, vedere Privileged Access: PA-1: Separare e limitare utenti con privilegi elevati/amministrativi.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| A massimo di 3 proprietari deve essere designato per la sottoscrizione | È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. | AuditIfNotExists; Disabile | 3.0.0 |
| Gli account Blocked con autorizzazioni di proprietario per le risorse Azure devono essere rimossi | Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists; Disabile | 1.0.0 |
| Gli account Guest con autorizzazioni di proprietario per le risorse Azure devono essere rimossi | Gli account esterni con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione per evitare access non monitorati. | AuditIfNotExists; Disabile | 1.0.0 |
| There deve essere assegnato più di un proprietario alla sottoscrizione | È consigliabile designare più di un proprietario della sottoscrizione per avere l'amministratore access ridondanza. | AuditIfNotExists; Disabile | 3.0.0 |
PA-2: evitare access permanenti per gli account utente e le autorizzazioni
Per altre informazioni, vedere Privileged Access: PA-2: Evitare access permanenti per gli account utente e le autorizzazioni.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| le porte |
Le possibili access JIT (Just In Time) di rete verranno monitorate da Azure Security Center come raccomandazioni | AuditIfNotExists; Disabile | 3.0.0 |
PA-4: Rivedere e riconciliare regolarmente gli utenti access
Per altre informazioni, vedere Privileged Access: PA-4: Review and riconcilia user access regolarmente.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Gli account Blocked con autorizzazioni di proprietario per le risorse Azure devono essere rimossi | Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists; Disabile | 1.0.0 |
| Gli account Blocked con autorizzazioni di lettura e scrittura per le risorse di Azure devono essere rimossi | È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists; Disabile | 1.0.0 |
| Gli account Guest con autorizzazioni di proprietario per le risorse Azure devono essere rimossi | Gli account esterni con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione per evitare access non monitorati. | AuditIfNotExists; Disabile | 1.0.0 |
| è necessario rimuovere gli account Guest con autorizzazioni di lettura per le risorse Azure | Gli account esterni con privilegi di lettura devono essere rimossi dalla sottoscrizione per evitare access non monitorati. | AuditIfNotExists; Disabile | 1.0.0 |
| è necessario rimuovere gli account Guest con autorizzazioni di scrittura per le risorse Azure | Gli account esterni con privilegi di scrittura devono essere rimossi dalla sottoscrizione per evitare access non monitorati. | AuditIfNotExists; Disabile | 1.0.0 |
PA-7: Seguire il principio di amministrazione sufficiente (privilegio minimo)
Per altre informazioni, vedere Privileged Access: PA-7: Seguire il principio di amministrazione (privilegio minimo) sufficiente.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| API Management le sottoscrizioni non devono essere con ambito tutte le API | API Management le sottoscrizioni devono essere incluse nell'ambito di un prodotto o di una singola API invece di tutte le API, il che potrebbe comportare un'esposizione eccessiva dei dati. | Revisione; Disabile; Negare | 1.1.0 |
| Audit utilizzo dei ruoli controllo degli accessi in base al ruolo personalizzati | Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce | Revisione; Disabile | 1.0.1 |
| Azure Key Vault deve usare il modello di autorizzazione RBAC | Abilitare il modello di autorizzazione controllo degli accessi in base al ruolo tra Key Vault. Per altre informazioni, vedere: Migrate dal criterio di access dell'insieme di credenziali a un modello di autorizzazione access control basato su ruoli Azure | Revisione; Negare; Disabile | 1.0.1 |
| Role-Based Access Control (RBAC) deve essere usato nei servizi Kubernetes | Per fornire un filtro granulare sulle azioni che gli utenti possono eseguire, usare Role-Based Access Control (RBAC) per gestire le autorizzazioni nei cluster del servizio Kubernetes e configurare i criteri di autorizzazione pertinenti. | Revisione; Disabile | 1.1.0 |
PV-2: Controllare e applicare configurazioni sicure
Per altre informazioni, vedere Comportamento e gestione delle vulnerabilità: PV-2: Controllare e applicare configurazioni sicure.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| API Management endpoint di gestione diretta non deve essere abilitato | L'API REST di gestione diretta in Azure API Management ignora Azure Resource Manager meccanismi di access control, autorizzazione e limitazione dei ruoli, aumentando così la vulnerabilità del servizio. | Revisione; Disabile; Negare | 1.0.2 |
| App Service le app devono avere certificati client (certificati client in ingresso) abilitati | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. | AuditIfNotExists; Disabile | 1.0.0 |
| App Service le app devono avere il debug remoto disattivato | Il debug remoto richiede l'apertura delle porte in ingresso in un'app App Service. Il debug remoto deve essere disattivato. | AuditIfNotExists; Disabile | 2.0.0 |
| App Service le app non devono avere CORS configurato per consentire a ogni risorsa di access le app | La condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di access'app. Consentire solo ai domini necessari di interagire con l'app. | AuditIfNotExists; Disabile | 2.0.0 |
| Azure API Management versione della piattaforma deve essere stv2 | Azure API Management versione della piattaforma di calcolo stv1 verrà ritirata a partire dal 31 agosto 2024 e queste istanze devono essere migrate alla piattaforma di calcolo stv2 per il supporto continuo. Per altre informazioni, vedere ritiro della piattaforma API Management stv1 - Cloud Azure globale (agosto 2024) | Revisione; Negare; Disabile | 1.0.0 |
| Azure Arc i cluster Kubernetes abilitati devono avere l'estensione Azure Policy installata | L'estensione Azure Policy per Azure Arc offre misure di sicurezza e imposizione su larga scala nei cluster Kubernetes con abilitazione di Arc in modo centralizzato e coerente. Per altre informazioni, vedere Understand Azure Policy per i cluster Kubernetes. | AuditIfNotExists; Disabile | 1.1.0 |
| Azure Machine Learning le istanze di calcolo devono essere ricreate per ottenere gli aggiornamenti software più recenti | Assicurarsi che Azure Machine Learning istanze di calcolo vengano eseguite nel sistema operativo più recente disponibile. La sicurezza è migliorata e le vulnerabilità sono ridotte eseguendo con le patch di sicurezza più recenti. Per altre informazioni, vedere Gestione delle vulnerabilità. | non disponibile | 1.0.3 |
| Azure Policy componente aggiuntivo per il servizio Kubernetes deve essere installato e abilitato nei cluster | Azure Policy componente aggiuntivo per il servizio Kubernetes estende Gatekeeper v3, un webhook del controller di ammissione per Open Policy Agent (OPA), per applicare le imposizione e le misure di sicurezza su larga scala nei cluster in modo centralizzato e coerente. | Revisione; Disabile | 1.0.2 |
| le app Function devono avere certificati client (certificati client in ingresso) abilitati | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. | AuditIfNotExists; Disabile | 1.1.0 |
| le app Function devono avere il debug remoto disattivato | Il debug remoto richiede che vengano aperte le porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. | AuditIfNotExists; Disabile | 2.1.0 |
| App di funzioni non devono avere CORS configurato per consentire a ogni risorsa di access le app | La condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di access'app per le funzioni. Consentire solo ai domini necessari di interagire con l'app per le funzioni dell'utente. | AuditIfNotExists; Disabile | 2.1.0 |
| Kubernetes i limiti di CPU e risorse di memoria del cluster non devono superare i limiti specificati | Applicare i limiti delle risorse di CPU e memoria dei contenitori per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per altre informazioni, vedere Understand Azure Policy per i cluster Kubernetes. | revisione; Revisione; negare; Negare; disabile; Disabile | 9.3.0 |
| I contenitori del cluster Kubernetes non devono condividere spazi dei nomi host | Impedisce ai contenitori di pod di condividere lo spazio dei nomi ID processo host, lo spazio dei nomi IPC host e lo spazio dei nomi della rete host in un cluster Kubernetes. Questa raccomandazione è allineata agli standard di sicurezza dei pod Kubernetes per gli spazi dei nomi host e fa parte di CIS 5.2.1, 5.2.2 e 5.2.3 che sono destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per altre informazioni, vedere Understand Azure Policy per i cluster Kubernetes. | Revisione; Negare; Disabile | 6.0.0 |
| i contenitori di cluster Kubernetes devono usare solo i profili AppArmor consentiti | I contenitori devono usare solo i profili AppArmor consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per altre informazioni, vedere Understand Azure Policy per i cluster Kubernetes. | revisione; Revisione; negare; Negare; disabile; Disabile | 6.2.1 |
| I contenitori del cluster Kubernetes devono usare solo le funzionalità consentite | Limitare le funzionalità per ridurre il surface di attacco dei contenitori in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.8 e CIS 5.2.9, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per altre informazioni, vedere Understand Azure Policy per i cluster Kubernetes. | revisione; Revisione; negare; Negare; disabile; Disabile | 6.2.0 |
| I contenitori del cluster Kubernetes devono usare solo immagini consentite | Usare immagini di registri attendibili per ridurre il rischio di esposizione del cluster Kubernetes a vulnerabilità sconosciute, problemi di sicurezza e immagini dannose. Per altre informazioni, vedere Understand Azure Policy per i cluster Kubernetes. | revisione; Revisione; negare; Negare; disabile; Disabile | 9.3.0 |
| I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura | Eseguire contenitori con un file system radice di sola lettura per proteggersi dalle modifiche in fase di esecuzione con file binari dannosi aggiunti a PATH in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per altre informazioni, vedere Understand Azure Policy per i cluster Kubernetes. | revisione; Revisione; negare; Negare; disabile; Disabile | 6.3.0 |
| I volumi hostPath del cluster Kubernetes devono usare solo percorsi host consentiti | Limitare i montaggi del volume HostPath dei pod ai percorsi host consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e Azure Arc Kubernetes abilitato. Per altre informazioni, vedere Understand Azure Policy per i cluster Kubernetes. | revisione; Revisione; negare; Negare; disabile; Disabile | 6.3.0 |
| i pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | Controllare gli ID degli utenti, dei gruppi primari, dei gruppi supplementari e dei gruppi di file system che i pod e i container possono usare per funzionare in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per altre informazioni, vedere Understand Azure Policy per i cluster Kubernetes. | revisione; Revisione; negare; Negare; disabile; Disabile | 6.2.0 |
| i pod del cluster Kubernetes devono usare solo la rete host approvata e l'elenco di porte | Limitare i pod access alla rete host e alle porte host consentite in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.4, progettato per migliorare la sicurezza degli ambienti Kubernetes e allineato agli standard di sicurezza dei pod (PSS) per hostPorts. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per altre informazioni, vedere Understand Azure Policy per i cluster Kubernetes. | Revisione; Negare; Disabile | 7.0.0 |
| I servizi cluster Kubernetes devono essere in ascolto solo sulle porte consentite | Limitare i servizi per l'ascolto solo sulle porte consentite per proteggere access al cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per altre informazioni, vedere Understand Azure Policy per i cluster Kubernetes. | revisione; Revisione; negare; Negare; disabile; Disabile | 8.2.0 |
| il cluster Kubernetes non deve consentire contenitori con privilegi | Non consentire la creazione di contenitori privilegiati in un cluster Kubernetes. Questo consiglio fa parte di CIS 5.2.1, destinato a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per altre informazioni, vedere Understand Azure Policy per i cluster Kubernetes. | revisione; Revisione; negare; Negare; disabile; Disabile | 9.2.0 |
| i cluster Kubernetes devono disabilitare le credenziali api di montaggio automatico | Disabilita il montaggio automatico delle credenziali API per impedire a una risorsa pod potenzialmente compromessa di eseguire i comandi dell'API sui cluster Kubernetes. Per altre informazioni, vedere Understand Azure Policy per i cluster Kubernetes. | revisione; Revisione; negare; Negare; disabile; Disabile | 4.2.0 |
| I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori | Non consentire l'esecuzione dei contenitori con escalation dei privilegi alla radice in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.5, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per altre informazioni, vedere Understand Azure Policy per i cluster Kubernetes. | Revisione; Negare; Disabile | 8.0.0 |
| I cluster Kubernetes non devono concedere funzionalità di sicurezza CAP_SYS_ADMIN | Per ridurre il surface di attacco dei contenitori, limitare le funzionalità di CAP_SYS_ADMIN Linux. Per altre informazioni, vedere Understand Azure Policy per i cluster Kubernetes. | revisione; Revisione; negare; Negare; disabile; Disabile | 5.1.0 |
| I cluster Kubernetes non devono usare lo spazio dei nomi predefinito | Impedire l'utilizzo dello spazio dei nomi predefinito nei cluster Kubernetes per proteggersi da access non autorizzati per i tipi di risorse ConfigMap, Pod, Secret, Service e ServiceAccount. Per altre informazioni, vedere Understand Azure Policy per i cluster Kubernetes. | revisione; Revisione; negare; Negare; disabile; Disabile | 4.2.0 |
PV-4: Controllare e applicare configurazioni sicure per le risorse di calcolo
Per altre informazioni, vedere Comportamento e gestione delle vulnerabilità: PV-4: Controllare e applicare configurazioni sicure per le risorse di calcolo.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| E extension configuration deve essere installata nei computer | Per garantire configurazioni sicure delle impostazioni all'interno del sistema guest del computer, installare l'estensione Guest Configuration. Le impostazioni in guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili criteri per i guest, ad esempio 'Windows Exploit Guard deve essere abilitato'. Per altre informazioni, vedere Understand Azure Machine Configuration. | AuditIfNotExists; Disabile | 1.0.3 |
| I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di calcolo Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, visitare Understand Azure Machine Configuration. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo Azure. | AuditIfNotExists; Disabile | 2.3.0 |
| L'estensione configurazione guest di Virtual machines deve essere distribuita con l'identità gestita assegnata dal sistema | L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Azure virtual machines nell'ambito di questo criterio non sarà conforme quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni, vedere Understand Azure Machine Configuration | AuditIfNotExists; Disabile | 1.0.1 |
| i computer Windows devono soddisfare i requisiti della baseline di sicurezza di calcolo Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, visitare Understand Azure Machine Configuration. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo Azure. | AuditIfNotExists; Disabile | 2.1.0 |
| [Anteprima]: i server HCI Azure Stack devono applicare in modo coerente i criteri di controllo delle applicazioni | Applicare almeno i criteri di base Microsoft WDAC in modalità applicata in tutti i server HCI Azure Stack. I criteri Windows Defender Application Control (WDAC) applicati devono essere coerenti tra server nello stesso cluster. | Revisione; Disabile; AuditIfNotExists | 1.0.0-preview |
| [Anteprima]: Azure Stack server HCI devono soddisfare i requisiti di base protetti | Assicurarsi che tutti i server HCI Azure Stack soddisfino i requisiti di base protetti. Per abilitare i requisiti del server di memoria centrale protetta: 1. Nella pagina Azure Stack cluster HCI passare a Windows Admin Center e selezionare Connetti. 2. Passare all'estensione Sicurezza e selezionare memoria centrale protetta (Secured-core). 3. Selezionare qualsiasi impostazione non abilitata e fare clic su Abilita. | Revisione; Disabile; AuditIfNotExists | 1.0.0-preview |
| Installare l'estensione Attestazione guest in virtual machines Linux supportata per consentire alle Azure Security Center di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica a Avvio attendibile e virtual machines Linux riservato. | AuditIfNotExists; Disabile | 6.0.0-preview | |
| [Anteprima]: L'estensione attestazione guest deve essere installata nei set di scalabilità linux virtual machines supportati | Installare l'estensione Attestazione guest in set di scalabilità di virtual machines Linux supportati per consentire alle Azure Security Center di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica ai virtual machine scale sets Di avvio attendibile e Confidential Linux. | AuditIfNotExists; Disabile | 5.1.0-preview |
| Installare l'estensione attestazione guest nelle virtual machines supportate per consentire Azure Security Center di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica a Avvio attendibile e Windows virtual machines riservato. | AuditIfNotExists; Disabile | 4.0.0-preview | |
| [Anteprima]: L'estensione attestazione guest deve essere installata nei set di scalabilità Windows virtual machines supportati | Installare l'estensione Attestazione guest nei set di scalabilità di virtual machines supportati per consentire Azure Security Center di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica all'virtual machine scale sets Di avvio attendibile e a Windows riservato. | AuditIfNotExists; Disabile | 3.1.0-preview |
| [Preview]: Linux virtual machines deve usare solo componenti di avvio firmati e attendibili | Tutti i componenti di avvio del sistema operativo (caricatore di avvio, kernel, driver kernel) devono essere firmati da autori attendibili. Defender for Cloud ha identificato componenti di avvio del sistema operativo non attendibili in uno o più computer Linux. Per proteggere i computer da componenti potenzialmente dannosi, aggiungerli all'elenco di elementi consentiti o rimuovere i componenti identificati. | AuditIfNotExists; Disabile | 1.0.0-preview |
| Abilitare l'avvio protetto nei Windows virtual machines supportati per attenuare le modifiche dannose e non autorizzate alla catena di avvio. Dopo l'abilitazione, solo i bootloader attendibili, i kernel e i driver kernel saranno autorizzati a essere eseguiti. Questa valutazione si applica a Avvio attendibile e Windows virtual machines riservato. | Revisione; Disabile | 4.0.0-preview | |
| Abilitare il dispositivo TPM virtuale nelle virtual machines supportate per facilitare l'avvio misurato e altre funzionalità di sicurezza del sistema operativo che richiedono un TPM. Dopo l'abilitazione, vTPM può essere usato per attestare l'integrità dell'avvio. Questa valutazione si applica solo alle virtual machines abilitate per l'avvio attendibile. | Revisione; Disabile | 2.0.0-preview |
PV-5: Eseguire valutazioni delle vulnerabilità
Per altre informazioni, vedere Posture and Vulnerability Management: PV-5: Eseguire valutazioni delle vulnerabilità.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| A soluzione di valutazione della vulnerabilità deve essere abilitata nel virtual machines | Controlla virtual machines per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. il piano tariffario standard di Azure Security Center include l'analisi delle vulnerabilità per l'virtual machines senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. | AuditIfNotExists; Disabile | 3.0.0 |
| Machines dovrebbe avere risultati segreti risolti | Controlla virtual machines per rilevare se contengono risultati segreti dalle soluzioni di analisi dei segreti nel virtual machines. | AuditIfNotExists; Disabile | 1.0.2 |
| Valutazione dellavulnerability deve essere abilitata in SQL Managed Instance | Controlla ogni SQL Managed Instance che non dispone di analisi ricorrenti della valutazione delle vulnerabilità abilitate. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. | AuditIfNotExists; Disabile | 1.0.1 |
| Valutazione dellavulnerability deve essere abilitata nei server SQL | Controllare Azure SQL server che non dispongono di una valutazione della vulnerabilità configurata correttamente. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. | AuditIfNotExists; Disabile | 3.0.0 |
PV-6: correggere rapidamente e automaticamente le vulnerabilità
Per altre informazioni, vedere Posture and Vulnerability Management: PV-6: Rapid and automatically remediare le vulnerabilità.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Azure le immagini del contenitore del Registro di sistema devono avere vulnerabilità risolte (basate su Microsoft Defender Vulnerability Management) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. La risoluzione delle vulnerabilità può migliorare notevolmente il comportamento di sicurezza, assicurandosi che le immagini siano sicure da usare prima della distribuzione. | AuditIfNotExists; Disabile | 1.0.1 |
| Azure le immagini del contenitore in esecuzione devono avere vulnerabilità risolte (basate su Microsoft Defender Vulnerability Management) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente il surface di attacco per i carichi di lavoro in contenitori. | AuditIfNotExists; Disabile | 1.0.1 |
| Machines deve essere configurato per verificare periodicamente la presenza di aggiornamenti di sistema mancanti | Per garantire che le valutazioni periodiche per gli aggiornamenti di sistema mancanti vengano attivate automaticamente ogni 24 ore, la proprietà AssessmentMode deve essere impostata su "AutomaticByPlatform". Altre informazioni sulla proprietà AssessmentMode per Windows: modalità di valutazione delle patch di Windows per Linux: modalità di valutazione delle patch linux. | Revisione; Negare; Disabile | 3.9.0 |
| I database SQL devono essere risolti | Consente di monitorare i consigli e i risultati dell'analisi della valutazione della vulnerabilità per informazioni su come correggere le vulnerabilità del database. | AuditIfNotExists; Disabile | 4.1.0 |
| I server SQL nei computer devono avere i risultati della vulnerabilità risolti | Valutazione della vulnerabilità di SQL analizza il database per individuare vulnerabilità a livello di sicurezza ed espone eventuali scostamenti dalle procedure consigliate, ad esempio configurazioni errate, autorizzazioni eccessive e dati sensibili non protetti. La risoluzione delle vulnerabilità rilevate può migliorare significativamente il comportamento di sicurezza del database. | AuditIfNotExists; Disabile | 1.0.0 |
| Gli aggiornamenti del sistema devono essere installati nei computer (con tecnologia Update Center) | Nei computer mancano aggiornamenti di sistema, di sicurezza e critici. Gli aggiornamenti software spesso includono patch critiche per i problemi di sicurezza. Tali vulnerabilità vengono spesso sfruttate in attacchi di malware, quindi è fondamentale tenere aggiornato il software. Per installare tutte le patch in sospeso e proteggere i computer, seguire la procedura di correzione. | AuditIfNotExists; Disabile | 1.0.1 |
Passaggi successivi
- Per altre informazioni sui dettagli del controllo, vedere < microsoft cloud security benchmark.
- Assegnare criteri tramite Azure portal
- Altre informazioni su Azure Policy