Dettagli dell'iniziativa incorporata di conformità con le normative CIS Microsoft Azure Foundations Benchmark 1.1.0

L'articolo seguente definisce il mapping dell'iniziativa predefinita di conformità alle normative di Criteri di Azure ai domini di conformità e ai controlli di CIS Microsoft Azure Foundations Benchmark 1.1.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark 1.1.0. Per comprendere la Proprietà, esaminare il tipo di criterio e la responsabilità condivisa nel cloud.

I mapping seguenti sono relativi ai controlli di CIS Microsoft Azure Foundations Benchmark 1.1.0. Molti controlli vengono implementati con una definizione dell'iniziativa Criteri di Azure. Per esaminare la definizione dell'iniziativa completa, aprire Criteri nel portale di Azure e selezionare la pagina Definizioni. Quindi, trovare e selezionare la definizione dell'iniziativa predefinita di conformità alle normative per CIS Microsoft Azure Foundations Benchmark v1.1.0.

Importante

Ogni controllo tra quelli riportati di seguito è associato a una o più definizioni di Criteri di Azure. Questi criteri possono aiutare a valutare la conformità con il controllo. In molti casi tuttavia non si tratta di una corrispondenza uno-a-uno o completa tra un controllo e uno o più criteri. Di per sé, Conforme in Criteri di Azure si riferisce solo alle definizioni dei criteri e non garantisce che l'utente sia completamente conforme a tutti i requisiti di un controllo. Inoltre, in questo momento lo standard di conformità include controlli che non vengono gestiti da alcuna definizione di Criteri di Azure. La conformità in Criteri di Azure è quindi solo una visualizzazione parziale dello stato di conformità generale. Le associazioni tra domini di conformità, controlli e definizioni di Criteri di Azure per questo standard di conformità possono cambiare nel tempo. Per visualizzare la cronologia delle modifiche, vedere la cronologia dei commit di GitHub.

1 Gestione identità e accessi

Assicurarsi che la funzionalità di autenticazione a più fattori sia abilitata per tutti gli utenti con privilegi

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Per gli account con autorizzazioni di proprietario nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 1.0.0
Per gli account con autorizzazioni di scrittura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 1.0.0
Adottare meccanismi di autenticazione biometrica CMA_0005: adottare meccanismi di autenticazione biometrica Manuale, Disabilitato 1.1.0

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.10 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza CMA_0022 - Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza Manuale, Disabilitato 1.1.0
Autorizzare e gestire l'accesso CMA_0023 - Autorizzare e gestire l'accesso Manuale, Disabilitato 1.1.0
Imporre criteri di controllo degli accessi obbligatori e discrezionali CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali Manuale, Disabilitato 1.1.0

Assicurarsi che 'Gli utenti possano registrare le applicazioni' sia impostato su "No"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.11 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza CMA_0022 - Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza Manuale, Disabilitato 1.1.0
Autorizzare e gestire l'accesso CMA_0023 - Autorizzare e gestire l'accesso Manuale, Disabilitato 1.1.0
Imporre criteri di controllo degli accessi obbligatori e discrezionali CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali Manuale, Disabilitato 1.1.0

Verificare che "Le autorizzazioni degli utenti guest siano limitate" sia impostata su "Sì"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.12 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza CMA_0022 - Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza Manuale, Disabilitato 1.1.0
Autorizzare e gestire l'accesso CMA_0023 - Autorizzare e gestire l'accesso Manuale, Disabilitato 1.1.0
Progettare un modello di controllo degli accessi CMA_0129 - Progettare un modello di controllo degli accessi Manuale, Disabilitato 1.1.0
Utilizzare l'accesso con privilegi minimi CMA_0212 - Utilizzare l'accesso con privilegi minimi Manuale, Disabilitato 1.1.0
Imporre l'accesso logico CMA_0245 - Imporre l'accesso logico Manuale, Disabilitato 1.1.0
Imporre criteri di controllo degli accessi obbligatori e discrezionali CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali Manuale, Disabilitato 1.1.0
Richiedere l'approvazione per la creazione di account CMA_0431 - Richiedere l'approvazione per la creazione di account Manuale, Disabilitato 1.1.0
Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili Manuale, Disabilitato 1.1.0

Assicurarsi che "I membri possono invitare" sia impostato su "No"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.13 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza CMA_0022 - Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza Manuale, Disabilitato 1.1.0
Autorizzare e gestire l'accesso CMA_0023 - Autorizzare e gestire l'accesso Manuale, Disabilitato 1.1.0
Progettare un modello di controllo degli accessi CMA_0129 - Progettare un modello di controllo degli accessi Manuale, Disabilitato 1.1.0
Utilizzare l'accesso con privilegi minimi CMA_0212 - Utilizzare l'accesso con privilegi minimi Manuale, Disabilitato 1.1.0
Imporre l'accesso logico CMA_0245 - Imporre l'accesso logico Manuale, Disabilitato 1.1.0
Imporre criteri di controllo degli accessi obbligatori e discrezionali CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali Manuale, Disabilitato 1.1.0
Richiedere l'approvazione per la creazione di account CMA_0431 - Richiedere l'approvazione per la creazione di account Manuale, Disabilitato 1.1.0
Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili Manuale, Disabilitato 1.1.0

Assicurarsi che 'Gli utenti guest possono invitare' sia impostato su "No"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.14 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza CMA_0022 - Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza Manuale, Disabilitato 1.1.0
Autorizzare e gestire l'accesso CMA_0023 - Autorizzare e gestire l'accesso Manuale, Disabilitato 1.1.0
Progettare un modello di controllo degli accessi CMA_0129 - Progettare un modello di controllo degli accessi Manuale, Disabilitato 1.1.0
Utilizzare l'accesso con privilegi minimi CMA_0212 - Utilizzare l'accesso con privilegi minimi Manuale, Disabilitato 1.1.0
Imporre l'accesso logico CMA_0245 - Imporre l'accesso logico Manuale, Disabilitato 1.1.0
Imporre criteri di controllo degli accessi obbligatori e discrezionali CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali Manuale, Disabilitato 1.1.0
Richiedere l'approvazione per la creazione di account CMA_0431 - Richiedere l'approvazione per la creazione di account Manuale, Disabilitato 1.1.0
Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili Manuale, Disabilitato 1.1.0

Verificare che "Limita l'accesso al portale di amministrazione di Azure AD" sia impostato su "Sì"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.15 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza CMA_0022 - Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza Manuale, Disabilitato 1.1.0
Autorizzare e gestire l'accesso CMA_0023 - Autorizzare e gestire l'accesso Manuale, Disabilitato 1.1.0
Imporre l'accesso logico CMA_0245 - Imporre l'accesso logico Manuale, Disabilitato 1.1.0
Imporre criteri di controllo degli accessi obbligatori e discrezionali CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali Manuale, Disabilitato 1.1.0
Stabilire e documentare i processi di controllo delle modifiche CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche Manuale, Disabilitato 1.1.0
Richiedere l'approvazione per la creazione di account CMA_0431 - Richiedere l'approvazione per la creazione di account Manuale, Disabilitato 1.1.0
Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili Manuale, Disabilitato 1.1.0

Verificare che "Gestione dei gruppi self-service abilitata" sia impostata su "No"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.16 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza CMA_0022 - Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza Manuale, Disabilitato 1.1.0
Autorizzare e gestire l'accesso CMA_0023 - Autorizzare e gestire l'accesso Manuale, Disabilitato 1.1.0
Imporre criteri di controllo degli accessi obbligatori e discrezionali CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali Manuale, Disabilitato 1.1.0
Stabilire e documentare i processi di controllo delle modifiche CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche Manuale, Disabilitato 1.1.0

Verificare che "Gli utenti possono creare gruppi di sicurezza" sia impostato su "No"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.17 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza CMA_0022 - Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza Manuale, Disabilitato 1.1.0
Autorizzare e gestire l'accesso CMA_0023 - Autorizzare e gestire l'accesso Manuale, Disabilitato 1.1.0
Imporre criteri di controllo degli accessi obbligatori e discrezionali CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali Manuale, Disabilitato 1.1.0
Stabilire e documentare i processi di controllo delle modifiche CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche Manuale, Disabilitato 1.1.0

Verificare che "Utenti autorizzati a gestire gruppi di sicurezza" sia impostato su "Nessuno"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.18 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza CMA_0022 - Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza Manuale, Disabilitato 1.1.0
Autorizzare e gestire l'accesso CMA_0023 - Autorizzare e gestire l'accesso Manuale, Disabilitato 1.1.0
Imporre criteri di controllo degli accessi obbligatori e discrezionali CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali Manuale, Disabilitato 1.1.0
Stabilire e documentare i processi di controllo delle modifiche CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche Manuale, Disabilitato 1.1.0

Verificare che "Gli utenti possono creare gruppi di Office 365" sia impostato su "No"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.19 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza CMA_0022 - Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza Manuale, Disabilitato 1.1.0
Autorizzare e gestire l'accesso CMA_0023 - Autorizzare e gestire l'accesso Manuale, Disabilitato 1.1.0
Imporre criteri di controllo degli accessi obbligatori e discrezionali CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali Manuale, Disabilitato 1.1.0
Stabilire e documentare i processi di controllo delle modifiche CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche Manuale, Disabilitato 1.1.0

Assicurarsi che la funzionalità di autenticazione a più fattori sia abilitata per tutti gli utenti senza privilegi

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Per gli account con autorizzazioni di lettura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 1.0.0
Adottare meccanismi di autenticazione biometrica CMA_0005: adottare meccanismi di autenticazione biometrica Manuale, Disabilitato 1.1.0

Verificare che "Utenti che possono gestire i gruppi di Office 365" sia impostato su 'Nessuno'

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.20 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza CMA_0022 - Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza Manuale, Disabilitato 1.1.0
Autorizzare e gestire l'accesso CMA_0023 - Autorizzare e gestire l'accesso Manuale, Disabilitato 1.1.0
Imporre criteri di controllo degli accessi obbligatori e discrezionali CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali Manuale, Disabilitato 1.1.0
Stabilire e documentare i processi di controllo delle modifiche CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche Manuale, Disabilitato 1.1.0

Verificare che l'opzione "Richiedi Multi-Factor Auth per l'aggiunta ai dispositivi" sia impostata su "Sì"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.22 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Adottare meccanismi di autenticazione biometrica CMA_0005: adottare meccanismi di autenticazione biometrica Manuale, Disabilitato 1.1.0
Autorizzare l'accesso remoto CMA_0024 - Autorizzare l'accesso remoto Manuale, Disabilitato 1.1.0
Documentare la formazione sulla mobilità CMA_0191 - Documentare la formazione sulla mobilità Manuale, Disabilitato 1.1.0
Documentare le linee guida di accesso remoto CMA_0196 - Documentare le linee guida di accesso remoto Manuale, Disabilitato 1.1.0
Identificare e autenticare i dispositivi di rete CMA_0296 - Identificare e autenticare i dispositivi di rete Manuale, Disabilitato 1.1.0
Implementare i controlli per proteggere i siti di lavoro alternativi CMA_0315 - Implementare i controlli per proteggere siti di lavoro alternativi Manuale, Disabilitato 1.1.0
Fornire training sulla privacy CMA_0415 - Fornire formazione sulla privacy Manuale, Disabilitato 1.1.0
Soddisfare i requisiti di qualità dei token CMA_0487: soddisfare i requisiti di qualità dei token Manuale, Disabilitato 1.1.0

Assicurarsi che non siano stati creati ruoli di proprietario della sottoscrizione personalizzati

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.23 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza CMA_0022 - Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza Manuale, Disabilitato 1.1.0
Autorizzare e gestire l'accesso CMA_0023 - Autorizzare e gestire l'accesso Manuale, Disabilitato 1.1.0
Progettare un modello di controllo degli accessi CMA_0129 - Progettare un modello di controllo degli accessi Manuale, Disabilitato 1.1.0
Utilizzare l'accesso con privilegi minimi CMA_0212 - Utilizzare l'accesso con privilegi minimi Manuale, Disabilitato 1.1.0
Imporre criteri di controllo degli accessi obbligatori e discrezionali CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali Manuale, Disabilitato 1.1.0
Stabilire e documentare i processi di controllo delle modifiche CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche Manuale, Disabilitato 1.1.0

Assicurarsi che non siano presenti utenti guest

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare lo stato dell'account utente CMA_0020 - Controllare lo stato dell'account utente Manuale, Disabilitato 1.1.0
Gli account guest con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. AuditIfNotExists, Disabled 1.0.0
Gli account guest con autorizzazioni di lettura nelle risorse di Azure devono essere rimossi È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato. AuditIfNotExists, Disabled 1.0.0
Gli account guest con autorizzazioni di scrittura nelle risorse di Azure devono essere rimossi È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato. AuditIfNotExists, Disabled 1.0.0
Riassegnare o rimuovere i privilegi utente in base alle esigenze CMA_C1040 - Riassegnare o rimuovere i privilegi utente in base alle esigenze Manuale, Disabilitato 1.1.0
Esaminare i log di provisioning account CMA_0460 - Esaminare i log di provisioning account Manuale, Disabilitato 1.1.0
Esaminare gli account utente CMA_0480 - Esaminare gli account utente Manuale, Disabilitato 1.1.0
Esaminare i privilegi utente CMA_C1039 - Esaminare i privilegi utente Manuale, Disabilitato 1.1.0

Assicurarsi che 'Consenti agli utenti di ricordare l'autenticazione a più fattori nei dispositivi che considera attendibili' sia "Disabilitato"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Adottare meccanismi di autenticazione biometrica CMA_0005: adottare meccanismi di autenticazione biometrica Manuale, Disabilitato 1.1.0
Identificare e autenticare i dispositivi di rete CMA_0296 - Identificare e autenticare i dispositivi di rete Manuale, Disabilitato 1.1.0
Soddisfare i requisiti di qualità dei token CMA_0487: soddisfare i requisiti di qualità dei token Manuale, Disabilitato 1.1.0

Verificare che "Numero di giorni prima che agli utenti venga chiesto di confermare di nuovo le informazioni di autenticazione" non sia impostato su "0"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.6 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Automatizzare la gestione degli account CMA_0026 - Automatizzare la gestione degli account Manuale, Disabilitato 1.1.0
Gestire gli account di sistema e amministratore CMA_0368 - Gestire gli account di sistema e amministratore Manuale, Disabilitato 1.1.0
Monitorare l'accesso nell'organizzazione CMA_0376 - Monitorare l'accesso nell'organizzazione Manuale, Disabilitato 1.1.0
Inviare una notifica per gli account non necessari CMA_0383 - Inviare una notifica per gli account non necessari Manuale, Disabilitato 1.1.0

Assicurarsi che "Notificare agli utenti le reimpostazioni della password?" sia impostato su "Sì"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.7 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Automatizzare la gestione degli account CMA_0026 - Automatizzare la gestione degli account Manuale, Disabilitato 1.1.0
Implementare il training per la protezione degli autenticatori CMA_0329 - Implementare il training per la protezione degli autenticatori Manuale, Disabilitato 1.1.0
Gestire gli account di sistema e amministratore CMA_0368 - Gestire gli account di sistema e amministratore Manuale, Disabilitato 1.1.0
Monitorare l'accesso nell'organizzazione CMA_0376 - Monitorare l'accesso nell'organizzazione Manuale, Disabilitato 1.1.0
Inviare una notifica per gli account non necessari CMA_0383 - Inviare una notifica per gli account non necessari Manuale, Disabilitato 1.1.0

Assicurarsi che ’Notificare agli amministratori quando altri amministratori reimpostano le proprie password?’ sia impostato su "Sì"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.8 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare le funzioni con privilegi CMA_0019 - Controllare le funzioni con privilegi Manuale, Disabilitato 1.1.0
Automatizzare la gestione degli account CMA_0026 - Automatizzare la gestione degli account Manuale, Disabilitato 1.1.0
Implementare il training per la protezione degli autenticatori CMA_0329 - Implementare il training per la protezione degli autenticatori Manuale, Disabilitato 1.1.0
Gestire gli account di sistema e amministratore CMA_0368 - Gestire gli account di sistema e amministratore Manuale, Disabilitato 1.1.0
Monitorare l'accesso nell'organizzazione CMA_0376 - Monitorare l'accesso nell'organizzazione Manuale, Disabilitato 1.1.0
Monitorare l'assegnazione di ruoli con privilegi CMA_0378 - Monitorare l'assegnazione di ruoli con privilegi Manuale, Disabilitato 1.1.0
Inviare una notifica per gli account non necessari CMA_0383 - Inviare una notifica per gli account non necessari Manuale, Disabilitato 1.1.0
Limitare l'accesso agli account con privilegi CMA_0446 - Limitare l'accesso agli account con privilegi Manuale, Disabilitato 1.1.0
Revocare i ruoli con privilegi in base alle esigenze CMA_0483 - Revocare i ruoli con privilegi in base alle esigenze Manuale, Disabilitato 1.1.0
Usare Privileged Identity Management CMA_0533 - Usare Privileged Identity Management Manuale, Disabilitato 1.1.0

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.9 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza CMA_0022 - Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza Manuale, Disabilitato 1.1.0
Autorizzare e gestire l'accesso CMA_0023 - Autorizzare e gestire l'accesso Manuale, Disabilitato 1.1.0
Imporre criteri di controllo degli accessi obbligatori e discrezionali CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali Manuale, Disabilitato 1.1.0

2 Centro sicurezza

Assicurarsi che sia selezionato il piano tariffario Standard

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 2.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server di database SQL di Azure deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Bloccare i processi non attendibili e non firmati eseguiti da USB CMA_0050 - Bloccare i processi non attendibili e non firmati eseguiti da USB Manuale, Disabilitato 1.1.0
Rilevare i servizi di rete non autorizzati o approvati CMA_C1700: rilevare i servizi di rete non autorizzati o approvati Manuale, Disabilitato 1.1.0
Gestire i gateway CMA_0363 - Gestire i gateway Manuale, Disabilitato 1.1.0
Microsoft Defender per contenitori deve essere abilitato Microsoft Defender per contenitori offre protezione avanzata, valutazione della vulnerabilità e protezione in fase di esecuzione per gli ambienti Kubernetes Azure, ibrido e multi-cloud. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender per archiviazione deve essere abilitato Microsoft Defender per archiviazione rileva potenziali minacce per gli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano di Defender per archiviazione include l'analisi del malware e il rilevamento delle minacce per i dati sensibili. Questo piano fornisce anche una struttura prezzi stimabile (per account di archiviazione) per avere controllo sulla copertura e sui costi. AuditIfNotExists, Disabled 1.0.0
Eseguire un'analisi delle tendenze per le minacce CMA_0389 - Eseguire un'analisi delle tendenze per le minacce Manuale, Disabilitato 1.1.0
Eseguire analisi delle vulnerabilità CMA_0393 - Eseguire analisi delle vulnerabilità Manuale, Disabilitato 1.1.0
Esaminare il report sui rilevamenti di malware ogni settimana CMA_0475 - Esaminare il report sui rilevamenti di malware ogni settimana Manuale, Disabilitato 1.1.0
Esaminare lo stato della protezione dalla minacce ogni settimana CMA_0479 - Esaminare lo stato della protezione dalle minacce ogni settimana Manuale, Disabilitato 1.1.0
Aggiornare le definizioni antivirus CMA_0517 - Aggiornare le definizioni antivirus Manuale, Disabilitato 1.1.0

Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora la valutazione della vulnerabilità" non sia disabilitata

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 2.10 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. AuditIfNotExists, Disabled 3.0.0

Assicurarsi che l'impostazione predefinita del criterio di ASC 'Monitoraggio Crittografia BLOB archiviazione' non sia "Disabilitata"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 2.11 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Stabilire una procedura di gestione delle perdite di dati CMA_0255: stabilire una procedura di gestione delle perdite di dati Manuale, Disabilitato 1.1.0
Implementare i controlli per proteggere tutti i supporti CMA_0314 - Implementare i controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0
Proteggere i dati in movimento mediante la crittografia CMA_0403 - Proteggere i dati in movimento mediante la crittografia Manuale, Disabilitato 1.1.0
Proteggere le informazioni speciali CMA_0409: proteggere le informazioni speciali Manuale, Disabilitato 1.1.0

Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora accesso JIT alla rete" non sia disabilitata

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 2.12 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Rilevare i servizi di rete non autorizzati o approvati CMA_C1700: rilevare i servizi di rete non autorizzati o approvati Manuale, Disabilitato 1.1.0
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.0.0

Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora controllo SQL" non sia disabilitata

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 2.14 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare le funzioni con privilegi CMA_0019 - Controllare le funzioni con privilegi Manuale, Disabilitato 1.1.0
Controllare lo stato dell'account utente CMA_0020 - Controllare lo stato dell'account utente Manuale, Disabilitato 1.1.0
È consigliabile abilitare il controllo in SQL Server Abilitare il controllo in SQL Server per verificare le attività del database in tutti i database sul server e salvarle in un log di controllo. AuditIfNotExists, Disabled 2.0.0
Determinare gli eventi controllabili CMA_0137 - Determinare gli eventi controllabili Manuale, Disabilitato 1.1.0
Rivedere i dati di audit CMA_0466 - Rivedere i dati di audit Manuale, Disabilitato 1.1.0

Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora crittografia SQL" non sia disabilitata

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 2.15 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Stabilire una procedura di gestione delle perdite di dati CMA_0255: stabilire una procedura di gestione delle perdite di dati Manuale, Disabilitato 1.1.0
Implementare i controlli per proteggere tutti i supporti CMA_0314 - Implementare i controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0
Proteggere i dati in movimento mediante la crittografia CMA_0403 - Proteggere i dati in movimento mediante la crittografia Manuale, Disabilitato 1.1.0
Proteggere le informazioni speciali CMA_0409: proteggere le informazioni speciali Manuale, Disabilitato 1.1.0
È consigliabile abilitare Transparent Data Encryption nei database SQL Abilitare Transparent Data Encryption per proteggere i dati inattivi e rispettare i requisiti relativi alla conformità AuditIfNotExists, Disabled 2.0.0

Assicurarsi che il criterio "Indirizzi di posta elettronica dei contatti di sicurezza" sia configurato

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 2.16 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. AuditIfNotExists, Disabled 1.0.1

Assicurarsi che il criterio "Invia una notifica tramite posta elettronica per avvisi con gravità elevata" sia impostato su "Sì"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 2.18 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. AuditIfNotExists, Disabled 1.2.0

Assicurarsi che "Invia un messaggio di posta elettronica anche ai proprietari della sottoscrizione" sia impostata su 'Sì'

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 2.19 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. AuditIfNotExists, Disabled 2.1.0

Assicurarsi che "Provisioning automatico dell'agente di monitoraggio" sia impostata su "Sì"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 2.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Documentare le operazioni di sicurezza CMA_0202 - Documentare le operazioni di sicurezza Manuale, Disabilitato 1.1.0
Abilitare i sensori per la soluzione di sicurezza degli endpoint CMA_0514 - Abilitare i sensori per la soluzione di sicurezza degli endpoint Manuale, Disabilitato 1.1.0

Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora aggiornamenti del sistema" non sia disabilitata

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 2.3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Correggere i difetti del sistema informativo CMA_0427 - Correggere i difetti del sistema informativo Manuale, Disabilitato 1.1.0

Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora vulnerabilità del sistema operativo" non sia disabilitata

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 2.4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Eseguire analisi delle vulnerabilità CMA_0393 - Eseguire analisi delle vulnerabilità Manuale, Disabilitato 1.1.0
Correggere i difetti del sistema informativo CMA_0427 - Correggere i difetti del sistema informativo Manuale, Disabilitato 1.1.0
Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte I server che non soddisfano la baseline configurata verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.1.0

Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora protezione endpoint" non sia disabilitata

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 2.5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Bloccare i processi non attendibili e non firmati eseguiti da USB CMA_0050 - Bloccare i processi non attendibili e non firmati eseguiti da USB Manuale, Disabilitato 1.1.0
Gestire i gateway CMA_0363 - Gestire i gateway Manuale, Disabilitato 1.1.0
Eseguire un'analisi delle tendenze per le minacce CMA_0389 - Eseguire un'analisi delle tendenze per le minacce Manuale, Disabilitato 1.1.0
Eseguire analisi delle vulnerabilità CMA_0393 - Eseguire analisi delle vulnerabilità Manuale, Disabilitato 1.1.0
Esaminare il report sui rilevamenti di malware ogni settimana CMA_0475 - Esaminare il report sui rilevamenti di malware ogni settimana Manuale, Disabilitato 1.1.0
Esaminare lo stato della protezione dalla minacce ogni settimana CMA_0479 - Esaminare lo stato della protezione dalle minacce ogni settimana Manuale, Disabilitato 1.1.0
Aggiornare le definizioni antivirus CMA_0517 - Aggiornare le definizioni antivirus Manuale, Disabilitato 1.1.0

Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora crittografia disco" non sia disabilitata

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 2.6 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Stabilire una procedura di gestione delle perdite di dati CMA_0255: stabilire una procedura di gestione delle perdite di dati Manuale, Disabilitato 1.1.0
Implementare i controlli per proteggere tutti i supporti CMA_0314 - Implementare i controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0
Proteggere i dati in movimento mediante la crittografia CMA_0403 - Proteggere i dati in movimento mediante la crittografia Manuale, Disabilitato 1.1.0
Proteggere le informazioni speciali CMA_0409: proteggere le informazioni speciali Manuale, Disabilitato 1.1.0

Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora gruppi di sicurezza di rete" non sia disabilitata

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 2.7 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare il flusso di informazioni CMA_0079 - Controllare il flusso di informazioni Manuale, Disabilitato 1.1.0
Utilizzare meccanismi di controllo di flusso delle informazioni crittografate CMA_0211 - Utilizzare meccanismi di controllo di flusso delle informazioni crittografate Manuale, Disabilitato 1.1.0

Verificare che l'impostazione predefinita del criterio di ASC "Monitora firewall applicazione Web" non sia "Disabilitata"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 2.8 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare il flusso di informazioni CMA_0079 - Controllare il flusso di informazioni Manuale, Disabilitato 1.1.0
Utilizzare meccanismi di controllo di flusso delle informazioni crittografate CMA_0211 - Utilizzare meccanismi di controllo di flusso delle informazioni crittografate Manuale, Disabilitato 1.1.0

Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Abilita monitoraggio firewall di nuova generazione" non sia disabilitata

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 2.9 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare il flusso di informazioni CMA_0079 - Controllare il flusso di informazioni Manuale, Disabilitato 1.1.0
Utilizzare meccanismi di controllo di flusso delle informazioni crittografate CMA_0211 - Utilizzare meccanismi di controllo di flusso delle informazioni crittografate Manuale, Disabilitato 1.1.0
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Le subnet devono essere associate a un gruppo di sicurezza di rete È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. AuditIfNotExists, Disabled 3.0.0

3 account di archiviazione

Assicurarsi che l'opzione "Trasferimento sicuro obbligatorio" sia impostata su "Abilitato".

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 3.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Configurare le workstation per il controllo dei certificati digitali CMA_0073 - Configurare le workstation per il controllo dei certificati digitali Manuale, Disabilitato 1.1.0
Proteggere i dati in movimento mediante la crittografia CMA_0403 - Proteggere i dati in movimento mediante la crittografia Manuale, Disabilitato 1.1.0
Proteggere le password con la crittografia CMA_0408 - Proteggere le password con la crittografia Manuale, Disabilitato 1.1.0
È consigliabile abilitare il trasferimento sicuro agli account di archiviazione Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione Audit, Deny, Disabled 2.0.0

Verificare che le chiavi di accesso dell'account di archiviazione siano rigenerate periodicamente

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 3.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Definire un processo di gestione delle chiavi fisiche CMA_0115 - Definire un processo di gestione delle chiavi fisiche Manuale, Disabilitato 1.1.0
Definire l'utilizzo della crittografia CMA_0120 - Definire l'utilizzo della crittografia Manuale, Disabilitato 1.1.0
Definire i requisiti aziendali per la gestione delle chiavi crittografiche CMA_0123 - Definire i requisiti aziendali per la gestione delle chiavi crittografiche Manuale, Disabilitato 1.1.0
Determinare i requisiti di asserzione CMA_0136 - Determinare i requisiti di asserzione Manuale, Disabilitato 1.1.0
Rilasciare certificati a chiave pubblica CMA_0347 - Rilasciare certificati a chiave pubblica Manuale, Disabilitato 1.1.0
Gestire le chiavi crittografiche simmetriche CMA_0367 - Gestire le chiavi crittografiche simmetriche Manuale, Disabilitato 1.1.0
Limitare l'accesso alle chiavi private CMA_0445 - Limitare l'accesso alle chiavi private Manuale, Disabilitato 1.1.0

Verificare che la registrazione di archiviazione sia abilitata per il servizio di accodamento per le richieste di lettura, scrittura ed eliminazione

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 3.3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare le funzioni con privilegi CMA_0019 - Controllare le funzioni con privilegi Manuale, Disabilitato 1.1.0
Controllare lo stato dell'account utente CMA_0020 - Controllare lo stato dell'account utente Manuale, Disabilitato 1.1.0
Configurare le funzionalità di audit di Azure CMA_C1108 - Configurare le funzionalità di audit di Azure Manuale, Disabilitato 1.1.1
Determinare gli eventi controllabili CMA_0137 - Determinare gli eventi controllabili Manuale, Disabilitato 1.1.0
Rivedere i dati di audit CMA_0466 - Rivedere i dati di audit Manuale, Disabilitato 1.1.0

Assicurarsi che i token della firma di accesso condiviso scadano entro un'ora

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 3.4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Disabilitare gli autenticatori alla chiusura CMA_0169 - Disabilitare gli autenticatori alla chiusura Manuale, Disabilitato 1.1.0
Revocare i ruoli con privilegi in base alle esigenze CMA_0483 - Revocare i ruoli con privilegi in base alle esigenze Manuale, Disabilitato 1.1.0
Terminare automaticamente la sessione utente CMA_C1054 - Terminare automaticamente la sessione utente Manuale, Disabilitato 1.1.0

Verificare che i token di firma di accesso condiviso siano consentiti solo su https

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 3.5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Configurare le workstation per il controllo dei certificati digitali CMA_0073 - Configurare le workstation per il controllo dei certificati digitali Manuale, Disabilitato 1.1.0
Proteggere i dati in movimento mediante la crittografia CMA_0403 - Proteggere i dati in movimento mediante la crittografia Manuale, Disabilitato 1.1.0
Proteggere le password con la crittografia CMA_0408 - Proteggere le password con la crittografia Manuale, Disabilitato 1.1.0

Verificare che "Livello di accesso pubblico" sia impostato su Privato per i contenitori BLOB

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 3.6 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Anteprima]: L'accesso pubblico agli account di archiviazione non deve essere consentito L'accesso in lettura pubblico anonimo a contenitori e BLOB in Archiviazione di Azure è un metodo pratico per condividere i dati, ma potrebbe comportare rischi per la sicurezza. Per evitare violazioni dei dati provocate da accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che non sia richiesto dallo scenario. audit, Audit, Deny, Deny, disabled, Disabled 3.1.0-anteprima
Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza CMA_0022 - Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza Manuale, Disabilitato 1.1.0
Autorizzare e gestire l'accesso CMA_0023 - Autorizzare e gestire l'accesso Manuale, Disabilitato 1.1.0
Imporre l'accesso logico CMA_0245 - Imporre l'accesso logico Manuale, Disabilitato 1.1.0
Imporre criteri di controllo degli accessi obbligatori e discrezionali CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali Manuale, Disabilitato 1.1.0
Richiedere l'approvazione per la creazione di account CMA_0431 - Richiedere l'approvazione per la creazione di account Manuale, Disabilitato 1.1.0
Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili Manuale, Disabilitato 1.1.0

Assicurarsi che la regola di accesso alla rete predefinita per gli account di archiviazione sia impostata su Nega

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 3.7 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Gli account di archiviazione devono limitare l'accesso alla rete L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire le connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici Audit, Deny, Disabled 1.1.1

Assicurarsi che il criterio "Servizi Microsoft attendibili" sia abilitato per l'accesso all'account di archiviazione

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 3.8 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare il flusso di informazioni CMA_0079 - Controllare il flusso di informazioni Manuale, Disabilitato 1.1.0
Utilizzare meccanismi di controllo di flusso delle informazioni crittografate CMA_0211 - Utilizzare meccanismi di controllo di flusso delle informazioni crittografate Manuale, Disabilitato 1.1.0
Stabilire gli standard di configurazione del firewall e del router CMA_0272 - Stabilire gli standard di configurazione del firewall e del router Manuale, Disabilitato 1.1.0
Stabilire la segmentazione della rete per l'ambiente dei dati dei titolari di carte CMA_0273 - Stabilire la segmentazione della rete per l'ambiente dei dati dei titolari di carte Manuale, Disabilitato 1.1.0
Identificare e gestire gli scambi di informazioni downstream CMA_0298 - Identificare e gestire gli scambi di informazioni downstream Manuale, Disabilitato 1.1.0
Gli account di archiviazione devono consentire l'accesso da servizi Microsoft attendibili Alcuni servizi Microsoft che interagiscono con gli account di archiviazione vengono eseguiti da reti alle quali non è possibile concedere l'accesso tramite le regole di rete. Per far sì che questo tipo di servizi funzioni come previsto, consentire al set di servizi Microsoft attendibili di ignorare le regole di rete. Questi servizi usano quindi l'autenticazione avanzata per accedere all'account di archiviazione. Audit, Deny, Disabled 1.0.0

4 Servizi di database

Assicurarsi che "Controllo" sia impostato su "Attivato"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 4.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare le funzioni con privilegi CMA_0019 - Controllare le funzioni con privilegi Manuale, Disabilitato 1.1.0
Controllare lo stato dell'account utente CMA_0020 - Controllare lo stato dell'account utente Manuale, Disabilitato 1.1.0
È consigliabile abilitare il controllo in SQL Server Abilitare il controllo in SQL Server per verificare le attività del database in tutti i database sul server e salvarle in un log di controllo. AuditIfNotExists, Disabled 2.0.0
Determinare gli eventi controllabili CMA_0137 - Determinare gli eventi controllabili Manuale, Disabilitato 1.1.0
Rivedere i dati di audit CMA_0466 - Rivedere i dati di audit Manuale, Disabilitato 1.1.0

Assicurarsi che la protezione TDE di SQL Server sia crittografata con BYOK (Bring Your Own Key)

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 4.10 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Stabilire una procedura di gestione delle perdite di dati CMA_0255: stabilire una procedura di gestione delle perdite di dati Manuale, Disabilitato 1.1.0
Implementare i controlli per proteggere tutti i supporti CMA_0314 - Implementare i controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0
Proteggere i dati in movimento mediante la crittografia CMA_0403 - Proteggere i dati in movimento mediante la crittografia Manuale, Disabilitato 1.1.0
Proteggere le informazioni speciali CMA_0409: proteggere le informazioni speciali Manuale, Disabilitato 1.1.0
Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. Audit, Deny, Disabled 2.0.0
I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. Audit, Deny, Disabled 2.0.1

Assicurarsi che il criterio "Imponi connessione SSL" sia abilitato per il server di database MySQL

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 4.11 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Configurare le workstation per il controllo dei certificati digitali CMA_0073 - Configurare le workstation per il controllo dei certificati digitali Manuale, Disabilitato 1.1.0
Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL Database di Azure per il server MySQL supporta la connessione alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. Audit, Disabled 1.0.1
Proteggere i dati in movimento mediante la crittografia CMA_0403 - Proteggere i dati in movimento mediante la crittografia Manuale, Disabilitato 1.1.0
Proteggere le password con la crittografia CMA_0408 - Proteggere le password con la crittografia Manuale, Disabilitato 1.1.0

Assicurarsi che il parametro del server "log_checkpoints" sia impostato su "Sì" per il server di database PostgreSQL

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 4.12 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare le funzioni con privilegi CMA_0019 - Controllare le funzioni con privilegi Manuale, Disabilitato 1.1.0
Controllare lo stato dell'account utente CMA_0020 - Controllare lo stato dell'account utente Manuale, Disabilitato 1.1.0
Determinare gli eventi controllabili CMA_0137 - Determinare gli eventi controllabili Manuale, Disabilitato 1.1.0
L'impostazione di registrazione dei punti di controllo deve essere abilitata per i server di database PostgreSQL Questo criterio consente di controllare i database PostgreSQL nell'ambiente corrente in cui l'impostazione log_checkpoints non è abilitata. AuditIfNotExists, Disabled 1.0.0
Rivedere i dati di audit CMA_0466 - Rivedere i dati di audit Manuale, Disabilitato 1.1.0

Assicurarsi che il criterio "Imponi connessione SSL" sia abilitato per il server di database PostgreSQL

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 4.13 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Configurare le workstation per il controllo dei certificati digitali CMA_0073 - Configurare le workstation per il controllo dei certificati digitali Manuale, Disabilitato 1.1.0
Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL Il database di Azure per PostgreSQL supporta la connessione del server di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. Audit, Disabled 1.0.1
Proteggere i dati in movimento mediante la crittografia CMA_0403 - Proteggere i dati in movimento mediante la crittografia Manuale, Disabilitato 1.1.0
Proteggere le password con la crittografia CMA_0408 - Proteggere le password con la crittografia Manuale, Disabilitato 1.1.0

Assicurarsi che il parametro del server "log_connections" sia impostato su "Sì" per il server di database PostgreSQL

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 4.14 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare le funzioni con privilegi CMA_0019 - Controllare le funzioni con privilegi Manuale, Disabilitato 1.1.0
Controllare lo stato dell'account utente CMA_0020 - Controllare lo stato dell'account utente Manuale, Disabilitato 1.1.0
Determinare gli eventi controllabili CMA_0137 - Determinare gli eventi controllabili Manuale, Disabilitato 1.1.0
L'impostazione di registrazione delle connessioni deve essere abilitata per i server di database PostgreSQL Questo criterio consente di controllare i database PostgreSQL nell'ambiente corrente in cui l'impostazione log_connections non è abilitata. AuditIfNotExists, Disabled 1.0.0
Rivedere i dati di audit CMA_0466 - Rivedere i dati di audit Manuale, Disabilitato 1.1.0

Assicurarsi che il parametro del server "log_disconnections" sia impostato su "Sì" per il server di database PostgreSQL

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 4.15 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare le funzioni con privilegi CMA_0019 - Controllare le funzioni con privilegi Manuale, Disabilitato 1.1.0
Controllare lo stato dell'account utente CMA_0020 - Controllare lo stato dell'account utente Manuale, Disabilitato 1.1.0
Determinare gli eventi controllabili CMA_0137 - Determinare gli eventi controllabili Manuale, Disabilitato 1.1.0
L'impostazione di registrazione delle disconnessioni deve essere abilitata per i server di database PostgreSQL. Questo criterio consente di controllare i database PostgreSQL nell'ambiente corrente in cui l'impostazione log_disconnections non è abilitata. AuditIfNotExists, Disabled 1.0.0
Rivedere i dati di audit CMA_0466 - Rivedere i dati di audit Manuale, Disabilitato 1.1.0

Assicurarsi che il parametro del server 'log_duration' sia impostato su 'Sì' per il server di database PostgreSQL

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 4.16 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare le funzioni con privilegi CMA_0019 - Controllare le funzioni con privilegi Manuale, Disabilitato 1.1.0
Controllare lo stato dell'account utente CMA_0020 - Controllare lo stato dell'account utente Manuale, Disabilitato 1.1.0
Determinare gli eventi controllabili CMA_0137 - Determinare gli eventi controllabili Manuale, Disabilitato 1.1.0
Rivedere i dati di audit CMA_0466 - Rivedere i dati di audit Manuale, Disabilitato 1.1.0

Assicurarsi che il parametro del server "connection_throttling" sia impostato su "Sì" per il server di database PostgreSQL

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 4.17 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare le funzioni con privilegi CMA_0019 - Controllare le funzioni con privilegi Manuale, Disabilitato 1.1.0
Controllare lo stato dell'account utente CMA_0020 - Controllare lo stato dell'account utente Manuale, Disabilitato 1.1.0
La limitazione delle connessioni per i server di database PostgreSQL deve essere abilitata Questo criterio consente di controllare gli eventuali database PostgreSQL per cui non è abilitata la limitazione delle connessioni nell'ambiente corrente. Questa impostazione abilita la limitazione delle connessioni temporanea per indirizzo IP nel caso di un numero eccessivo di errori di accesso con password non valida. AuditIfNotExists, Disabled 1.0.0
Determinare gli eventi controllabili CMA_0137 - Determinare gli eventi controllabili Manuale, Disabilitato 1.1.0
Rivedere i dati di audit CMA_0466 - Rivedere i dati di audit Manuale, Disabilitato 1.1.0

Verificare che il parametro server "log_retention_days" sia maggiore di 3 giorni per il server di database PostgreSQL

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 4.18 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Rispettare i periodi di conservazione definiti CMA_0004 - Rispettare i periodi di conservazione definiti Manuale, Disabilitato 1.1.0
Gestire e monitorare le attività di elaborazione dei controlli CMA_0289 - Gestire e monitorare le attività di elaborazione dei controlli Manuale, Disabilitato 1.1.0
Mantenere criteri e procedure di sicurezza CMA_0454 - Mantenere criteri e procedure di sicurezza Manuale, Disabilitato 1.1.0
Conservare i dati degli utenti terminati CMA_0455 - Conservare i dati degli utenti terminati Manuale, Disabilitato 1.1.0

Assicurarsi che l'amministratore di Azure Active Directory sia configurato

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 4.19 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Automatizzare la gestione degli account CMA_0026 - Automatizzare la gestione degli account Manuale, Disabilitato 1.1.0
Gestire gli account di sistema e amministratore CMA_0368 - Gestire gli account di sistema e amministratore Manuale, Disabilitato 1.1.0
Monitorare l'accesso nell'organizzazione CMA_0376 - Monitorare l'accesso nell'organizzazione Manuale, Disabilitato 1.1.0
Inviare una notifica per gli account non necessari CMA_0383 - Inviare una notifica per gli account non necessari Manuale, Disabilitato 1.1.0

Assicurarsi che "AuditActionGroups" nel criterio "controllo" per un server SQL sia impostato correttamente

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 4.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare le funzioni con privilegi CMA_0019 - Controllare le funzioni con privilegi Manuale, Disabilitato 1.1.0
Controllare lo stato dell'account utente CMA_0020 - Controllare lo stato dell'account utente Manuale, Disabilitato 1.1.0
Determinare gli eventi controllabili CMA_0137 - Determinare gli eventi controllabili Manuale, Disabilitato 1.1.0
Rivedere i dati di audit CMA_0466 - Rivedere i dati di audit Manuale, Disabilitato 1.1.0
Le impostazioni di controllo SQL devono avere gruppi di azione configurati per acquisire attività critiche La proprietà AuditActionsAndGroups deve contenere almeno SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP per garantire una registrazione di controllo accurata AuditIfNotExists, Disabled 1.0.0

Assicurarsi che il periodo di conservazione dei dati di controllo sia "superiore a 90 giorni"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 4.3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Rispettare i periodi di conservazione definiti CMA_0004 - Rispettare i periodi di conservazione definiti Manuale, Disabilitato 1.1.0
Gestire e monitorare le attività di elaborazione dei controlli CMA_0289 - Gestire e monitorare le attività di elaborazione dei controlli Manuale, Disabilitato 1.1.0
Mantenere criteri e procedure di sicurezza CMA_0454 - Mantenere criteri e procedure di sicurezza Manuale, Disabilitato 1.1.0
Conservare i dati degli utenti terminati CMA_0455 - Conservare i dati degli utenti terminati Manuale, Disabilitato 1.1.0
I server SQL con il controllo nella destinazione dell'account di archiviazione devono essere configurati con un periodo di conservazione di 90 giorni o superiore Ai fini dell'indagine degli eventi imprevisti, è consigliabile impostare la conservazione dei dati per il controllo di SQL Server sulla destinazione dell'account di archiviazione su almeno 90 giorni. Verificare di soddisfare le regole di conservazione necessarie per le aree in cui si lavora. Ciò è talvolta necessario per la conformità agli standard normativi. AuditIfNotExists, Disabled 3.0.0

Assicurarsi che "Sicurezza dei dati avanzata" in un server SQL sia impostata su "Attivata"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 4.4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti Controlla server SQL senza Sicurezza dei dati avanzata AuditIfNotExists, Disabled 2.0.1
Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. AuditIfNotExists, Disabled 1.0.2
Eseguire un'analisi delle tendenze per le minacce CMA_0389 - Eseguire un'analisi delle tendenze per le minacce Manuale, Disabilitato 1.1.0

Assicurarsi che "Tipi di rilevamento minacce" sia impostato su "Tutti"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 4.5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Eseguire un'analisi delle tendenze per le minacce CMA_0389 - Eseguire un'analisi delle tendenze per le minacce Manuale, Disabilitato 1.1.0

Assicurarsi che "Invia avvisi a" sia impostato

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 4.6 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Avvisare il personale in merito alla fuga di informazioni CMA_0007: Avvisare il personale della perdita di informazioni Manuale, Disabilitato 1.1.0
Sviluppare un piano di risposta agli eventi imprevisti CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0
Imposta le notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione CMA_0495 - Impostare notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione Manuale, Disabilitato 1.1.0

Assicurarsi che "Invio di un messaggio di posta elettronica al servizio e ai coamministratori" sia "Abilitato"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 4.7 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Avvisare il personale in merito alla fuga di informazioni CMA_0007: Avvisare il personale della perdita di informazioni Manuale, Disabilitato 1.1.0
Sviluppare un piano di risposta agli eventi imprevisti CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0
Imposta le notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione CMA_0495 - Impostare notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione Manuale, Disabilitato 1.1.0

Assicurarsi che l'amministratore di Azure Active Directory sia configurato

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 4.8 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft AuditIfNotExists, Disabled 1.0.0
Automatizzare la gestione degli account CMA_0026 - Automatizzare la gestione degli account Manuale, Disabilitato 1.1.0
Gestire gli account di sistema e amministratore CMA_0368 - Gestire gli account di sistema e amministratore Manuale, Disabilitato 1.1.0
Monitorare l'accesso nell'organizzazione CMA_0376 - Monitorare l'accesso nell'organizzazione Manuale, Disabilitato 1.1.0
Inviare una notifica per gli account non necessari CMA_0383 - Inviare una notifica per gli account non necessari Manuale, Disabilitato 1.1.0

Assicurarsi che "Crittografia dati" sia impostato su "Attivato" in un database SQL

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 4.9 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Stabilire una procedura di gestione delle perdite di dati CMA_0255: stabilire una procedura di gestione delle perdite di dati Manuale, Disabilitato 1.1.0
Implementare i controlli per proteggere tutti i supporti CMA_0314 - Implementare i controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0
Proteggere i dati in movimento mediante la crittografia CMA_0403 - Proteggere i dati in movimento mediante la crittografia Manuale, Disabilitato 1.1.0
Proteggere le informazioni speciali CMA_0409: proteggere le informazioni speciali Manuale, Disabilitato 1.1.0
È consigliabile abilitare Transparent Data Encryption nei database SQL Abilitare Transparent Data Encryption per proteggere i dati inattivi e rispettare i requisiti relativi alla conformità AuditIfNotExists, Disabled 2.0.0

5 Registrazione e monitoraggio

Assicurarsi che esista un profilo di log

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 5.1.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Rispettare i periodi di conservazione definiti CMA_0004 - Rispettare i periodi di conservazione definiti Manuale, Disabilitato 1.1.0
Le sottoscrizioni di Azure devono avere un profilo di log per il log attività Questo criterio verifica se è abilitato un profilo di log per l'esportazione dei log attività. Controlla se non è stato creato un profilo di log per esportare i log in un account di archiviazione o in un hub eventi. AuditIfNotExists, Disabled 1.0.0
Gestire e monitorare le attività di elaborazione dei controlli CMA_0289 - Gestire e monitorare le attività di elaborazione dei controlli Manuale, Disabilitato 1.1.0
Mantenere criteri e procedure di sicurezza CMA_0454 - Mantenere criteri e procedure di sicurezza Manuale, Disabilitato 1.1.0
Conservare i dati degli utenti terminati CMA_0455 - Conservare i dati degli utenti terminati Manuale, Disabilitato 1.1.0

Assicurarsi che la conservazione del log attività sia impostata su un valore di 365 giorni o superiore

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 5.1.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Il log attività deve essere conservato per almeno un anno Questo criterio controlla il log attività per verificare se la conservazione è impostata o meno su 365 giorni o per sempre (giorni di conservazione impostati su 0). AuditIfNotExists, Disabled 1.0.0
Rispettare i periodi di conservazione definiti CMA_0004 - Rispettare i periodi di conservazione definiti Manuale, Disabilitato 1.1.0
Mantenere criteri e procedure di sicurezza CMA_0454 - Mantenere criteri e procedure di sicurezza Manuale, Disabilitato 1.1.0
Conservare i dati degli utenti terminati CMA_0455 - Conservare i dati degli utenti terminati Manuale, Disabilitato 1.1.0

Assicurarsi che il profilo di controllo acquisisca tutte le attività

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 5.1.3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Rispettare i periodi di conservazione definiti CMA_0004 - Rispettare i periodi di conservazione definiti Manuale, Disabilitato 1.1.0
Il profilo di log di Monitoraggio di Azure deve raccogliere i log per le categorie 'scrittura', 'eliminazione' e 'azione' Questo criterio garantisce che un profilo di log raccolga i log per le categorie 'scrittura, 'eliminazione' e 'azione' AuditIfNotExists, Disabled 1.0.0
Gestire e monitorare le attività di elaborazione dei controlli CMA_0289 - Gestire e monitorare le attività di elaborazione dei controlli Manuale, Disabilitato 1.1.0
Mantenere criteri e procedure di sicurezza CMA_0454 - Mantenere criteri e procedure di sicurezza Manuale, Disabilitato 1.1.0
Conservare i dati degli utenti terminati CMA_0455 - Conservare i dati degli utenti terminati Manuale, Disabilitato 1.1.0

Assicurarsi che il profilo di log acquisisca i log attività per tutte le aree, incluse quelle globali

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 5.1.4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Rispettare i periodi di conservazione definiti CMA_0004 - Rispettare i periodi di conservazione definiti Manuale, Disabilitato 1.1.0
Monitoraggio di Azure deve raccogliere i log attività da tutte le aree Questo criterio controlla il profilo del log di Monitoraggio di Azure che non esporta le attività da tutte le aree supportate da Azure, incluse quelle globali. AuditIfNotExists, Disabled 2.0.0
Gestire e monitorare le attività di elaborazione dei controlli CMA_0289 - Gestire e monitorare le attività di elaborazione dei controlli Manuale, Disabilitato 1.1.0
Mantenere criteri e procedure di sicurezza CMA_0454 - Mantenere criteri e procedure di sicurezza Manuale, Disabilitato 1.1.0
Conservare i dati degli utenti terminati CMA_0455 - Conservare i dati degli utenti terminati Manuale, Disabilitato 1.1.0

Verificare che il contenitore di archiviazione in cui sono archiviati i log attività non sia accessibile pubblicamente

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 5.1.5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Anteprima]: L'accesso pubblico agli account di archiviazione non deve essere consentito L'accesso in lettura pubblico anonimo a contenitori e BLOB in Archiviazione di Azure è un metodo pratico per condividere i dati, ma potrebbe comportare rischi per la sicurezza. Per evitare violazioni dei dati provocate da accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che non sia richiesto dallo scenario. audit, Audit, Deny, Deny, disabled, Disabled 3.1.0-anteprima
Abilitare l'autorizzazione doppia o congiunta CMA_0226 - Abilitare l'autorizzazione doppia o congiunta Manuale, Disabilitato 1.1.0
Proteggere le informazioni di audit CMA_0401 - Proteggere le informazioni di audit Manuale, Disabilitato 1.1.0

Assicurarsi che l'account di archiviazione contenente il contenitore con i log attività sia crittografato con BYOK (Bring Your Own Key)

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 5.1.6 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Abilitare l'autorizzazione doppia o congiunta CMA_0226 - Abilitare l'autorizzazione doppia o congiunta Manuale, Disabilitato 1.1.0
Mantenere l'integrità del sistema di controllo CMA_C1133: mantenere l'integrità del sistema di controllo Manuale, Disabilitato 1.1.0
Proteggere le informazioni di audit CMA_0401 - Proteggere le informazioni di audit Manuale, Disabilitato 1.1.0
L'account di archiviazione che include il contenitore con i log attività deve essere crittografato tramite BYOK Questo criterio verifica se l'account di archiviazione che include il contenitore con i log attività è crittografato tramite BYOK. Il criterio funziona solo se l'account di archiviazione risiede nella stessa sottoscrizione dei log attività per impostazione predefinita. Per altre informazioni sulla crittografia dei dati inattivi in Archiviazione di Azure, vedere https://aka.ms/azurestoragebyok. AuditIfNotExists, Disabled 1.0.0

Assicurarsi che la registrazione per l'insieme di credenziali delle credenziali di Azure sia abilitata

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 5.1.7 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare le funzioni con privilegi CMA_0019 - Controllare le funzioni con privilegi Manuale, Disabilitato 1.1.0
Controllare lo stato dell'account utente CMA_0020 - Controllare lo stato dell'account utente Manuale, Disabilitato 1.1.0
Determinare gli eventi controllabili CMA_0137 - Determinare gli eventi controllabili Manuale, Disabilitato 1.1.0
I log delle risorse devono essere abilitati nei moduli di protezione hardware gestiti di Azure Key Vault Per ricreare i percorsi di attività a scopo di indagine quando si verifica un evento imprevisto di sicurezza o quando la rete è compromessa, è consigliabile controllare abilitando i log delle risorse nei moduli di protezione hardware gestiti. Seguire le istruzioni indicate qui: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. AuditIfNotExists, Disabled 1.1.0
I log delle risorse devono essere abilitati in Key Vault Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
Rivedere i dati di audit CMA_0466 - Rivedere i dati di audit Manuale, Disabilitato 1.1.0

Assicurarsi che esista un avviso del log attività per l'assegnazione di criteri di creazione

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 5.2.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Avvisare il personale in merito alla fuga di informazioni CMA_0007: Avvisare il personale della perdita di informazioni Manuale, Disabilitato 1.1.0
Per operazioni dei criteri specifiche deve esistere un avviso del log attività Questo criterio controlla operazioni dei criteri specifiche per cui non sono configurati avvisi del log attività. AuditIfNotExists, Disabled 3.0.0
Sviluppare un piano di risposta agli eventi imprevisti CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0
Imposta le notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione CMA_0495 - Impostare notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione Manuale, Disabilitato 1.1.0

Assicurarsi che esista un avviso del log attività per la creazione o l'aggiornamento del gruppo di sicurezza di rete

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 5.2.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Avvisare il personale in merito alla fuga di informazioni CMA_0007: Avvisare il personale della perdita di informazioni Manuale, Disabilitato 1.1.0
Per operazioni amministrative specifiche deve esistere un avviso del log attività Questo criterio controlla operazioni amministrative specifiche per cui non sono configurati avvisi del log attività. AuditIfNotExists, Disabled 1.0.0
Sviluppare un piano di risposta agli eventi imprevisti CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0
Imposta le notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione CMA_0495 - Impostare notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione Manuale, Disabilitato 1.1.0

Assicurarsi che esista un avviso del log attività per l'eliminazione del gruppo di sicurezza di rete

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 5.2.3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Avvisare il personale in merito alla fuga di informazioni CMA_0007: Avvisare il personale della perdita di informazioni Manuale, Disabilitato 1.1.0
Per operazioni amministrative specifiche deve esistere un avviso del log attività Questo criterio controlla operazioni amministrative specifiche per cui non sono configurati avvisi del log attività. AuditIfNotExists, Disabled 1.0.0
Sviluppare un piano di risposta agli eventi imprevisti CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0
Imposta le notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione CMA_0495 - Impostare notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione Manuale, Disabilitato 1.1.0

Assicurarsi che esista un avviso del log attività per la creazione o l'aggiornamento di una regola del gruppo di sicurezza di rete

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 5.2.4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Avvisare il personale in merito alla fuga di informazioni CMA_0007: Avvisare il personale della perdita di informazioni Manuale, Disabilitato 1.1.0
Per operazioni amministrative specifiche deve esistere un avviso del log attività Questo criterio controlla operazioni amministrative specifiche per cui non sono configurati avvisi del log attività. AuditIfNotExists, Disabled 1.0.0
Sviluppare un piano di risposta agli eventi imprevisti CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0
Imposta le notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione CMA_0495 - Impostare notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione Manuale, Disabilitato 1.1.0

Assicurarsi che esista un avviso del log attività per l'eliminazione di una regola del gruppo di sicurezza di rete

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 5.2.5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Avvisare il personale in merito alla fuga di informazioni CMA_0007: Avvisare il personale della perdita di informazioni Manuale, Disabilitato 1.1.0
Per operazioni amministrative specifiche deve esistere un avviso del log attività Questo criterio controlla operazioni amministrative specifiche per cui non sono configurati avvisi del log attività. AuditIfNotExists, Disabled 1.0.0
Sviluppare un piano di risposta agli eventi imprevisti CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0
Imposta le notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione CMA_0495 - Impostare notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione Manuale, Disabilitato 1.1.0

Assicurarsi che esista un avviso del log attività per la creazione o l'aggiornamento di una soluzione di sicurezza

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 5.2.6 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Avvisare il personale in merito alla fuga di informazioni CMA_0007: Avvisare il personale della perdita di informazioni Manuale, Disabilitato 1.1.0
Per operazioni di sicurezza specifiche deve esistere un avviso del log attività Questo criterio controlla operazioni di sicurezza specifiche per cui non sono configurati avvisi del log attività. AuditIfNotExists, Disabled 1.0.0
Sviluppare un piano di risposta agli eventi imprevisti CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0
Imposta le notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione CMA_0495 - Impostare notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione Manuale, Disabilitato 1.1.0

Assicurarsi che esista un avviso del log attività per l'eliminazione di una soluzione di sicurezza

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 5.2.7 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Avvisare il personale in merito alla fuga di informazioni CMA_0007: Avvisare il personale della perdita di informazioni Manuale, Disabilitato 1.1.0
Per operazioni di sicurezza specifiche deve esistere un avviso del log attività Questo criterio controlla operazioni di sicurezza specifiche per cui non sono configurati avvisi del log attività. AuditIfNotExists, Disabled 1.0.0
Sviluppare un piano di risposta agli eventi imprevisti CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0
Imposta le notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione CMA_0495 - Impostare notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione Manuale, Disabilitato 1.1.0

Assicurarsi che esista un avviso del log attività per la creazione, l'aggiornamento o l'eliminazione di una regola del firewall di SQL Server

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 5.2.8 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Avvisare il personale in merito alla fuga di informazioni CMA_0007: Avvisare il personale della perdita di informazioni Manuale, Disabilitato 1.1.0
Per operazioni amministrative specifiche deve esistere un avviso del log attività Questo criterio controlla operazioni amministrative specifiche per cui non sono configurati avvisi del log attività. AuditIfNotExists, Disabled 1.0.0
Sviluppare un piano di risposta agli eventi imprevisti CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0
Imposta le notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione CMA_0495 - Impostare notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione Manuale, Disabilitato 1.1.0

Assicurarsi che esista un avviso del log attività per l'aggiornamento dei criteri di sicurezza

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 5.2.9 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Avvisare il personale in merito alla fuga di informazioni CMA_0007: Avvisare il personale della perdita di informazioni Manuale, Disabilitato 1.1.0
Per operazioni di sicurezza specifiche deve esistere un avviso del log attività Questo criterio controlla operazioni di sicurezza specifiche per cui non sono configurati avvisi del log attività. AuditIfNotExists, Disabled 1.0.0
Sviluppare un piano di risposta agli eventi imprevisti CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0
Imposta le notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione CMA_0495 - Impostare notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione Manuale, Disabilitato 1.1.0

6 Rete

Assicurarsi che nessun database SQL consenta l'ingresso 0.0.0.0/0 (QUALSIASI IP)

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 6.3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare il flusso di informazioni CMA_0079 - Controllare il flusso di informazioni Manuale, Disabilitato 1.1.0
Utilizzare meccanismi di controllo di flusso delle informazioni crittografate CMA_0211 - Utilizzare meccanismi di controllo di flusso delle informazioni crittografate Manuale, Disabilitato 1.1.0

Verificare che il periodo di conservazione del log di flusso del gruppo di sicurezza di rete sia "superiore a 90 giorni"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 6.4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Rispettare i periodi di conservazione definiti CMA_0004 - Rispettare i periodi di conservazione definiti Manuale, Disabilitato 1.1.0
Mantenere criteri e procedure di sicurezza CMA_0454 - Mantenere criteri e procedure di sicurezza Manuale, Disabilitato 1.1.0
Conservare i dati degli utenti terminati CMA_0455 - Conservare i dati degli utenti terminati Manuale, Disabilitato 1.1.0

Assicurarsi che Network Watcher sia abilitato

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 6.5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
È consigliabile abilitare Network Watcher Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. AuditIfNotExists, Disabled 3.0.0
Verificare le funzioni di sicurezza CMA_C1708: verificare le funzioni di sicurezza Manuale, Disabilitato 1.1.0

7 macchine virtuali

Assicurarsi che il "Disco del sistema operativo" sia crittografato

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 7.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Stabilire una procedura di gestione delle perdite di dati CMA_0255: stabilire una procedura di gestione delle perdite di dati Manuale, Disabilitato 1.1.0
Implementare i controlli per proteggere tutti i supporti CMA_0314 - Implementare i controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0
Proteggere i dati in movimento mediante la crittografia CMA_0403 - Proteggere i dati in movimento mediante la crittografia Manuale, Disabilitato 1.1.0
Proteggere le informazioni speciali CMA_0409: proteggere le informazioni speciali Manuale, Disabilitato 1.1.0

Assicurarsi che i "Dischi dati" siano crittografati

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 7.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Stabilire una procedura di gestione delle perdite di dati CMA_0255: stabilire una procedura di gestione delle perdite di dati Manuale, Disabilitato 1.1.0
Implementare i controlli per proteggere tutti i supporti CMA_0314 - Implementare i controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0
Proteggere i dati in movimento mediante la crittografia CMA_0403 - Proteggere i dati in movimento mediante la crittografia Manuale, Disabilitato 1.1.0
Proteggere le informazioni speciali CMA_0409: proteggere le informazioni speciali Manuale, Disabilitato 1.1.0

Assicurarsi che i "Dischi non collegati" siano crittografati

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 7.3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Stabilire una procedura di gestione delle perdite di dati CMA_0255: stabilire una procedura di gestione delle perdite di dati Manuale, Disabilitato 1.1.0
Implementare i controlli per proteggere tutti i supporti CMA_0314 - Implementare i controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0
Proteggere i dati in movimento mediante la crittografia CMA_0403 - Proteggere i dati in movimento mediante la crittografia Manuale, Disabilitato 1.1.0
Proteggere le informazioni speciali CMA_0409: proteggere le informazioni speciali Manuale, Disabilitato 1.1.0

Assicurarsi che siano installate solo le estensioni approvate

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 7.4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Devono essere installate solo le estensioni macchina virtuale approvate Questo criterio regolamenta le estensioni macchina virtuale non approvate. Audit, Deny, Disabled 1.0.0

Assicurarsi che vengano applicate le patch più recenti del sistema operativo per tutte le macchine virtuali

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 7.5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Correggere i difetti del sistema informativo CMA_0427 - Correggere i difetti del sistema informativo Manuale, Disabilitato 1.1.0

Assicurarsi che venga installata la protezione endpoint per tutte le Macchine virtuali di Microsoft Azure

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 7.6 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Bloccare i processi non attendibili e non firmati eseguiti da USB CMA_0050 - Bloccare i processi non attendibili e non firmati eseguiti da USB Manuale, Disabilitato 1.1.0
Documentare le operazioni di sicurezza CMA_0202 - Documentare le operazioni di sicurezza Manuale, Disabilitato 1.1.0
Gestire i gateway CMA_0363 - Gestire i gateway Manuale, Disabilitato 1.1.0
Eseguire un'analisi delle tendenze per le minacce CMA_0389 - Eseguire un'analisi delle tendenze per le minacce Manuale, Disabilitato 1.1.0
Eseguire analisi delle vulnerabilità CMA_0393 - Eseguire analisi delle vulnerabilità Manuale, Disabilitato 1.1.0
Esaminare il report sui rilevamenti di malware ogni settimana CMA_0475 - Esaminare il report sui rilevamenti di malware ogni settimana Manuale, Disabilitato 1.1.0
Esaminare lo stato della protezione dalla minacce ogni settimana CMA_0479 - Esaminare lo stato della protezione dalle minacce ogni settimana Manuale, Disabilitato 1.1.0
Abilitare i sensori per la soluzione di sicurezza degli endpoint CMA_0514 - Abilitare i sensori per la soluzione di sicurezza degli endpoint Manuale, Disabilitato 1.1.0
Aggiornare le definizioni antivirus CMA_0517 - Aggiornare le definizioni antivirus Manuale, Disabilitato 1.1.0
Verificare l'integrità di software, firmware e informazioni CMA_0542 - Verificare l'integrità di software, firmware e informazioni Manuale, Disabilitato 1.1.0

8 Altre considerazioni sulla sicurezza

Assicurarsi che la data di scadenza sia impostata su tutte le chiavi

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 8.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Definire un processo di gestione delle chiavi fisiche CMA_0115 - Definire un processo di gestione delle chiavi fisiche Manuale, Disabilitato 1.1.0
Definire l'utilizzo della crittografia CMA_0120 - Definire l'utilizzo della crittografia Manuale, Disabilitato 1.1.0
Definire i requisiti aziendali per la gestione delle chiavi crittografiche CMA_0123 - Definire i requisiti aziendali per la gestione delle chiavi crittografiche Manuale, Disabilitato 1.1.0
Determinare i requisiti di asserzione CMA_0136 - Determinare i requisiti di asserzione Manuale, Disabilitato 1.1.0
Rilasciare certificati a chiave pubblica CMA_0347 - Rilasciare certificati a chiave pubblica Manuale, Disabilitato 1.1.0
Le chiavi degli insiemi di credenziali delle chiavi devono avere una data di scadenza Le chiavi di crittografia devono avere una data di scadenza definita e non devono essere permanenti. Le chiavi sempre valide offrono a un potenziale utente malintenzionato più tempo per comprometterle. Impostare le date di scadenza per le chiavi di crittografia è una procedura di sicurezza consigliata. Audit, Deny, Disabled 1.0.2
Gestire le chiavi crittografiche simmetriche CMA_0367 - Gestire le chiavi crittografiche simmetriche Manuale, Disabilitato 1.1.0
Limitare l'accesso alle chiavi private CMA_0445 - Limitare l'accesso alle chiavi private Manuale, Disabilitato 1.1.0

Assicurarsi che la data di scadenza sia impostata su tutti i segreti

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 8.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Definire un processo di gestione delle chiavi fisiche CMA_0115 - Definire un processo di gestione delle chiavi fisiche Manuale, Disabilitato 1.1.0
Definire l'utilizzo della crittografia CMA_0120 - Definire l'utilizzo della crittografia Manuale, Disabilitato 1.1.0
Definire i requisiti aziendali per la gestione delle chiavi crittografiche CMA_0123 - Definire i requisiti aziendali per la gestione delle chiavi crittografiche Manuale, Disabilitato 1.1.0
Determinare i requisiti di asserzione CMA_0136 - Determinare i requisiti di asserzione Manuale, Disabilitato 1.1.0
Rilasciare certificati a chiave pubblica CMA_0347 - Rilasciare certificati a chiave pubblica Manuale, Disabilitato 1.1.0
I segreti degli insiemi di credenziali delle chiavi devono avere una data di scadenza I segreti devono avere una data di scadenza definita e non devono essere permanenti. I segreti validi a tempo indefinito forniscono ai potenziali utenti malintenzionati più tempo per comprometterli. Impostare le date di scadenza per i segreti è una procedura di sicurezza consigliata. Audit, Deny, Disabled 1.0.2
Gestire le chiavi crittografiche simmetriche CMA_0367 - Gestire le chiavi crittografiche simmetriche Manuale, Disabilitato 1.1.0
Limitare l'accesso alle chiavi private CMA_0445 - Limitare l'accesso alle chiavi private Manuale, Disabilitato 1.1.0

Assicurarsi che i blocchi risorse siano impostati per le risorse di Azure cruciali

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 8.3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Stabilire e documentare i processi di controllo delle modifiche CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche Manuale, Disabilitato 1.1.0

Assicurarsi che l'insieme di credenziali delle chiavi sia recuperabile

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 8.4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Per il modulo di protezione hardware gestito di Azure Key Vault deve essere abilitata la protezione dalla rimozione definitiva L'eliminazione dannosa di un modulo di protezione hardware gestito di Azure Key Vault può causare una perdita permanente di dati. Un malintenzionato all'interno dell'organizzazione può potenzialmente eliminare e cancellare HSM gestito di Azure Key Vault. La protezione dalla rimozione definitiva consente di rispondere a questi tipi di attacco imponendo un periodo di conservazione obbligatorio per HSM gestito di Azure Key Vault. Nessuno all'interno dell'organizzazione né Microsoft sarà in grado di rimuovere definitivamente HSM gestito di Azure Key Vault durante il periodo di conservazione associato all'eliminazione temporanea. Audit, Deny, Disabled 1.0.0
È consigliabile che la protezione dall'eliminazione sia abilitata per gli insiemi di credenziali delle chiavi L'eliminazione dolosa di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. È possibile evitare la perdita permanente dei dati abilitando la protezione dall'eliminazione temporanea e l'eliminazione temporanea. La protezione dalla rimozione definitiva consente di rispondere a questi tipi di attacco imponendo un periodo di conservazione obbligatorio per gli insiemi di credenziali delle chiavi eliminati temporaneamente. Nessuno all'interno dell'organizzazione né Microsoft sarà in grado di rimuovere definitivamente gli insiemi di credenziali delle chiavi durante il periodo di conservazione associato all'eliminazione temporanea. Tenere presente che gli insiemi di credenziali delle chiavi creati dopo il 1° settembre 2019 hanno l'eliminazione temporanea abilitata per impostazione predefinita. Audit, Deny, Disabled 2.1.0
Mantenere la disponibilità delle informazioni CMA_C1644: mantenere la disponibilità delle informazioni Manuale, Disabilitato 1.1.0

Abilitare il controllo degli accessi in base al ruolo con il servizio Azure Kubernetes

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 8.5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza CMA_0022 - Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza Manuale, Disabilitato 1.1.0
Autorizzare e gestire l'accesso CMA_0023 - Autorizzare e gestire l'accesso Manuale, Disabilitato 1.1.0
Imporre l'accesso logico CMA_0245 - Imporre l'accesso logico Manuale, Disabilitato 1.1.0
Imporre criteri di controllo degli accessi obbligatori e discrezionali CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali Manuale, Disabilitato 1.1.0
Richiedere l'approvazione per la creazione di account CMA_0431 - Richiedere l'approvazione per la creazione di account Manuale, Disabilitato 1.1.0
Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili Manuale, Disabilitato 1.1.0
Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo Per garantire un filtro granulare per le azioni che gli utenti possono eseguire, usare il controllo degli accessi in base al ruolo per gestire le autorizzazioni nei cluster del servizio Kubernetes e configurare i criteri di autorizzazione pertinenti. Audit, Disabled 1.0.4

9 AppService

Assicurarsi che l'autenticazione del servizio app sia impostata nel servizio app di Azure

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 9.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Nelle app del Servizio app deve essere abilitata l'autenticazione L'autenticazione del Servizio app di Azure è una funzionalità che può impedire alle richieste HTTP anonime di raggiungere l'app Web o autenticare coloro che dispongono dei token prima che raggiungano l'app Web. AuditIfNotExists, Disabled 2.0.1
Eseguire l'autenticazione al modulo di crittografia CMA_0021 - Eseguire l'autenticazione al modulo di crittografia Manuale, Disabilitato 1.1.0
Imporre l'univocità dell'utente CMA_0250 - Imporre l’univocità dell’utente Manuale, Disabilitato 1.1.0
Nelle app per le funzioni deve essere abilitata l'autenticazione L'autenticazione del Servizio app di Azure è una funzionalità che può impedire alle richieste HTTP anonime di raggiungere l'app per le funzioni o autenticare coloro che dispongono dei token prima che raggiungano l'app per le funzioni. AuditIfNotExists, Disabled 3.0.0
Supportare le credenziali personali di verifica rilasciate dalle autorità competenti CMA_0507 - Supportare le credenziali personali di verifica emesse dalle autorità competenti Manuale, Disabilitato 1.1.0

Assicurarsi che la "versione di HTTP" sia la più recente, se usata per eseguire l'app Web

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 9.10 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Le app del Servizio app devono usare la "versione HTTP" più recente Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. AuditIfNotExists, Disabled 4.0.0
Le app per le funzioni devono usare la "versione HTTP" più recente Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. AuditIfNotExists, Disabled 4.0.0
Correggere i difetti del sistema informativo CMA_0427 - Correggere i difetti del sistema informativo Manuale, Disabilitato 1.1.0

Assicurarsi che l'app Web reindirizzi tutto il traffico HTTP a HTTPS nel servizio app Azure

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 9.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Il Servizio app deve essere accessibile solo tramite HTTPS L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. Audit, Disabled, Deny 4.0.0
Configurare le workstation per il controllo dei certificati digitali CMA_0073 - Configurare le workstation per il controllo dei certificati digitali Manuale, Disabilitato 1.1.0
Proteggere i dati in movimento mediante la crittografia CMA_0403 - Proteggere i dati in movimento mediante la crittografia Manuale, Disabilitato 1.1.0
Proteggere le password con la crittografia CMA_0408 - Proteggere le password con la crittografia Manuale, Disabilitato 1.1.0

Assicurarsi che l'app Web usi la versione più recente della crittografia TLS

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 9.3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Le app del servizio app devono usare la versione TLS più recente Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app del servizio app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. AuditIfNotExists, Disabled 2.1.0
Configurare le workstation per il controllo dei certificati digitali CMA_0073 - Configurare le workstation per il controllo dei certificati digitali Manuale, Disabilitato 1.1.0
Le app per le funzioni devono usare la versione TLS più recente Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. AuditIfNotExists, Disabled 2.1.0
Proteggere i dati in movimento mediante la crittografia CMA_0403 - Proteggere i dati in movimento mediante la crittografia Manuale, Disabilitato 1.1.0
Proteggere le password con la crittografia CMA_0408 - Proteggere le password con la crittografia Manuale, Disabilitato 1.1.0

Assicurarsi che l'opzione "Certificati client (certificati client in ingresso)" dell'app Web sia impostata su "Sì"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 9.4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Deprecato]: le app per le funzioni devono avere l’abilitazione per i "Certificati client (certificati client in ingresso)" I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con certificati validi potranno raggiungere l'app. Questo criterio è stato sostituito da uno nuovo, con stesso nome, perché HTTP 2.0 non supporta i certificati client. Audit, Disabled 3.1.0-deprecated
Per le App del servizio app deve essere abilitata l'opzione Certificati client (certificati client in ingresso) I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. AuditIfNotExists, Disabled 1.0.0
Eseguire l'autenticazione al modulo di crittografia CMA_0021 - Eseguire l'autenticazione al modulo di crittografia Manuale, Disabilitato 1.1.0

Assicurarsi che l'opzione Registra con Azure Active Directory sia abilitata nel Servizio app

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 9.5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Le app del servizio app devono usare l'identità gestita Usare un'identità gestita per la protezione avanzata dell'autenticazione AuditIfNotExists, Disabled 3.0.0
Automatizzare la gestione degli account CMA_0026 - Automatizzare la gestione degli account Manuale, Disabilitato 1.1.0
Le app per le funzioni devono usare l'identità gestita Usare un'identità gestita per la protezione avanzata dell'autenticazione AuditIfNotExists, Disabled 3.0.0
Gestire gli account di sistema e amministratore CMA_0368 - Gestire gli account di sistema e amministratore Manuale, Disabilitato 1.1.0
Monitorare l'accesso nell'organizzazione CMA_0376 - Monitorare l'accesso nell'organizzazione Manuale, Disabilitato 1.1.0
Inviare una notifica per gli account non necessari CMA_0383 - Inviare una notifica per gli account non necessari Manuale, Disabilitato 1.1.0

Assicurarsi che la versione di ".NET Framework" sia la più recente, se usata come parte dell'app Web

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 9.6 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Correggere i difetti del sistema informativo CMA_0427 - Correggere i difetti del sistema informativo Manuale, Disabilitato 1.1.0

Assicurarsi che la "versione di PHP" sia la più recente, se usata per eseguire l'app Web

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 9.7 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Correggere i difetti del sistema informativo CMA_0427 - Correggere i difetti del sistema informativo Manuale, Disabilitato 1.1.0

Assicurarsi che la "versione di Python" sia la più recente, se usata per eseguire l'app Web

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 9.8 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Correggere i difetti del sistema informativo CMA_0427 - Correggere i difetti del sistema informativo Manuale, Disabilitato 1.1.0

Assicurarsi che la "versione di Java" sia la più recente, se usata per eseguire l'app Web

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 9.9 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Correggere i difetti del sistema informativo CMA_0427 - Correggere i difetti del sistema informativo Manuale, Disabilitato 1.1.0

Passaggi successivi

Articoli aggiuntivi su Criteri di Azure: