Dettagli dell'iniziativa predefinita di conformità alle normative SOC (System and Organization Controls) 2 (Azure per enti pubblici)

Articolo
11/04/2024

L'articolo seguente definisce il mapping della definizione dell'iniziativa predefinita di conformità alle normative di Criteri di Azure con domini di conformità e controlli in SOC (System and Organization Controls) 2 (Azure per enti pubblici). Per altre informazioni su questo standard di conformità, vedere Controlli del sistema e dell’organizzazione (SOC) 2. Per comprendere la Proprietà, esaminare il tipo di criterio e la responsabilità condivisa nel cloud.

I mapping seguenti sono relativi ai controlli SOC (System and Organization Controls) 2. Molti controlli vengono implementati con una definizione dell'iniziativa Criteri di Azure. Per esaminare la definizione dell'iniziativa completa, aprire Criteri nel portale di Azure e selezionare la pagina Definizioni. Quindi, trovare e selezionare la definizione dell'iniziativa predefinita di conformità alle normative SOC 2 Tipo 2.

Importante

Ogni controllo tra quelli riportati di seguito è associato a una o più definizioni di Criteri di Azure. Questi criteri possono aiutare a valutare la conformità con il controllo. In molti casi tuttavia non si tratta di una corrispondenza uno-a-uno o completa tra un controllo e uno o più criteri. Di per sé, Conforme in Criteri di Azure si riferisce solo alle definizioni dei criteri e non garantisce che l'utente sia completamente conforme a tutti i requisiti di un controllo. Inoltre, in questo momento lo standard di conformità include controlli che non vengono gestiti da alcuna definizione di Criteri di Azure. La conformità in Criteri di Azure è quindi solo una visualizzazione parziale dello stato di conformità generale. Le associazioni tra domini di conformità, controlli e definizioni di Criteri di Azure per questo standard di conformità possono cambiare nel tempo. Per visualizzare la cronologia delle modifiche, vedere la cronologia dei commit di GitHub.

Criteri aggiuntivi per la disponibilità

Gestione della capacità

ID: SOC 2 Tipo 2 A1.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Eseguire la pianificazione della capacità	CMA_C1252 - Eseguire la pianificazione della capacità	Manuale, Disabilitato	1.1.0

Protezioni dell'ambiente, software, processi di backup dei dati e infrastruttura di ripristino

ID: SOC 2 Tipo 2 A1.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
La soluzione Backup di Azure deve essere abilitata per le macchine virtuali	È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente.	AuditIfNotExists, Disabled	3.0.0
Utilizzare l'illuminazione di emergenza automatica	CMA_0209 - Utilizzare l'illuminazione di emergenza automatica	Manuale, Disabilitato	1.1.0
Stabilire un sito di elaborazione alternativo	CMA_0262 - Stabilire un sito di elaborazione alternativo	Manuale, Disabilitato	1.1.0
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MariaDB	Il database di Azure per MariaDB consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server.	Audit, Disabled	1.0.1
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL	Il database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server.	Audit, Disabled	1.0.1
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per PostgreSQL	Il database di Azure per PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server.	Audit, Disabled	1.0.1
Implementare una metodologia per i test di penetrazione	CMA_0306 - Implementare una metodologia per i test di penetrazione	Manuale, Disabilitato	1.1.0
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure	CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree protette	Manuale, Disabilitato	1.1.0
Installare un sistema di allarme	CMA_0338 - Installare un sistema di allarme	Manuale, Disabilitato	1.1.0
Recuperare e ricostituire le risorse in seguito a interruzioni del servizio	CMA_C1295 - Recuperare e ricostituire le risorse in seguito a un’interruzione	Manuale, Disabilitato	1.1.1
Eseguire attacchi di simulazione	CMA_0486 - Eseguire attacchi di simulazione	Manuale, Disabilitato	1.1.0
Archiviare separatamente le informazioni di backup	CMA_C1293 - Archiviare separatamente le informazioni di backup	Manuale, Disabilitato	1.1.0
Trasferire le informazioni di backup in un sito di archiviazione alternativo	CMA_C1294 -Trasferire le informazioni di backup in un sito di archiviazione alternativo	Manuale, Disabilitato	1.1.0

Test del piano di ripristino

ID: SOC 2 Tipo 2 A1.3 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Coordinare i piani di emergenza con i piani correlati	CMA_0086 - Coordinare i piani di emergenza con i piani correlati	Manuale, Disabilitato	1.1.0
Avviare azioni correttive sul test del piano di emergenza	CMA_C1263 - Avviare azioni correttive sul test del piano di emergenza	Manuale, Disabilitato	1.1.0
Esaminare i risultati dei test del piano di emergenza	CMA_C1262 - Esaminare i risultati dei test del piano di emergenza	Manuale, Disabilitato	1.1.0
Testare la continuità aziendale e il piano di ripristino di emergenza	CMA_0509 - Testare la continuità aziendale e il piano di ripristino di emergenza	Manuale, Disabilitato	1.1.0

Criteri aggiuntivi per la riservatezza

Protezione delle informazioni riservate

ID: SOC 2 Tipo 2 C1.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Controllare l'accesso fisico	CMA_0081 - Controllare l'accesso fisico	Manuale, Disabilitato	1.1.0
Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	CMA_0369 - Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	Manuale, Disabilitato	1.1.0
Rivedere attività e analisi delle etichette	CMA_0474 - Rivedere attività e analisi delle etichette	Manuale, Disabilitato	1.1.0

Eliminazione di informazioni riservate

ID: SOC 2 Tipo 2 C1.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Controllare l'accesso fisico	CMA_0081 - Controllare l'accesso fisico	Manuale, Disabilitato	1.1.0
Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	CMA_0369 - Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	Manuale, Disabilitato	1.1.0
Rivedere attività e analisi delle etichette	CMA_0474 - Rivedere attività e analisi delle etichette	Manuale, Disabilitato	1.1.0

Ambiente di controllo

COSO Principle 1

ID: SOC 2 Tipo 2 CC1.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Sviluppare procedure e criteri di utilizzo accettabili	CMA_0143 - Sviluppare procedure e criteri di utilizzo accettabili	Manuale, Disabilitato	1.1.0
Sviluppare le norme del codice di comportamento aziendale	CMA_0159 - Sviluppare le norme del codice di comportamento aziendale	Manuale, Disabilitato	1.1.0
Documentare l'accettazione dei requisiti sulla privacy da parte del personale	CMA_0193 - Documentare l'accettazione dei requisiti sulla privacy da parte del personale	Manuale, Disabilitato	1.1.0
Imporre regole di comportamento e accordi di accesso	CMA_0248 - Imporre regole di comportamento e accordi di accesso	Manuale, Disabilitato	1.1.0
Vietare le pratiche sleali	CMA_0396 - Vietare le pratiche sleali	Manuale, Disabilitato	1.1.0
Esaminare e firmare le regole di comportamento riviste	CMA_0465 - Esaminare e firmare le regole di comportamento riviste	Manuale, Disabilitato	1.1.0
Aggiornare le regole di comportamento e i contratti di accesso	CMA_0521 - Aggiornare le regole di comportamento e i contratti di accesso	Manuale, Disabilitato	1.1.0
Aggiornare le regole di comportamento e i contratti di accesso ogni 3 anni	CMA_0522 - Aggiornare le regole di comportamento e i contratti di accesso ogni 3 anni	Manuale, Disabilitato	1.1.0

COSO Principle 2

ID: SOC 2 Tipo 2 CC1.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Nominare un responsabile senior della sicurezza delle informazioni	CMA_C1733 - Nominare un responsabile senior della sicurezza delle informazioni	Manuale, Disabilitato	1.1.0
Sviluppare e definire un piano di sicurezza del sistema	CMA_0151 - Sviluppare e definire un piano di sicurezza del sistema	Manuale, Disabilitato	1.1.0
Definire una strategia di gestione dei rischi	CMA_0258 - Definire una strategia di gestione dei rischi	Manuale, Disabilitato	1.1.0
Stabilire i requisiti di sicurezza per la produzione di dispositivi connessi	CMA_0279 - Stabilire i requisiti di sicurezza per la produzione di dispositivi connessi	Manuale, Disabilitato	1.1.0
Implementare i principi di ingegneria della sicurezza dei sistemi informativi	CMA_0325 - Implementare i principi di ingegneria della sicurezza dei sistemi informativi	Manuale, Disabilitato	1.1.0

COSO Principle 3

ID: SOC 2 Tipo 2 CC1.3 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Nominare un responsabile senior della sicurezza delle informazioni	CMA_C1733 - Nominare un responsabile senior della sicurezza delle informazioni	Manuale, Disabilitato	1.1.0
Sviluppare e definire un piano di sicurezza del sistema	CMA_0151 - Sviluppare e definire un piano di sicurezza del sistema	Manuale, Disabilitato	1.1.0
Definire una strategia di gestione dei rischi	CMA_0258 - Definire una strategia di gestione dei rischi	Manuale, Disabilitato	1.1.0
Stabilire i requisiti di sicurezza per la produzione di dispositivi connessi	CMA_0279 - Stabilire i requisiti di sicurezza per la produzione di dispositivi connessi	Manuale, Disabilitato	1.1.0
Implementare i principi di ingegneria della sicurezza dei sistemi informativi	CMA_0325 - Implementare i principi di ingegneria della sicurezza dei sistemi informativi	Manuale, Disabilitato	1.1.0

COSO Principle 4

ID: SOC 2 Tipo 2 CC1.4 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Erogare formazione periodica sulla sicurezza basata sui ruoli	CMA_C1095 - Erogare formazione periodica sulla sicurezza basata sui ruoli	Manuale, Disabilitato	1.1.0
Erogare formazione periodica di sensibilizzazione sulla sicurezza	CMA_C1091 - Erogare formazione periodica di sensibilizzazione sulla sicurezza	Manuale, Disabilitato	1.1.0
Fornire esercizi pratici basati sul ruolo	CMA_C1096 - Fornire esercizi pratici basati sul ruolo	Manuale, Disabilitato	1.1.0
Fornire la formazione sulla sicurezza prima di concedere l'accesso	CMA_0418 - Erogare la formazione sulla sicurezza prima di concedere l'accesso	Manuale, Disabilitato	1.1.0
Erogare la formazione sulla sicurezza per i nuovi utenti	CMA_0419 - Erogare la formazione sulla sicurezza per i nuovi utenti	Manuale, Disabilitato	1.1.0

COSO Principle 5

ID: SOC 2 Tipo 2 CC1.5 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Sviluppare procedure e criteri di utilizzo accettabili	CMA_0143 - Sviluppare procedure e criteri di utilizzo accettabili	Manuale, Disabilitato	1.1.0
Imporre regole di comportamento e accordi di accesso	CMA_0248 - Imporre regole di comportamento e accordi di accesso	Manuale, Disabilitato	1.1.0
Implementare il processo per sanzioni formali	CMA_0317 - Implementare il processo per sanzioni formali	Manuale, Disabilitato	1.1.0
Avvisare il personale in caso di sanzioni	CMA_0380 - Avvisare il personale in caso di sanzioni	Manuale, Disabilitato	1.1.0

Comunicazione e informazioni

COSO Principle 13

ID: SOC 2 Tipo 2 CC2.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Controllare l'accesso fisico	CMA_0081 - Controllare l'accesso fisico	Manuale, Disabilitato	1.1.0
Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	CMA_0369 - Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	Manuale, Disabilitato	1.1.0
Rivedere attività e analisi delle etichette	CMA_0474 - Rivedere attività e analisi delle etichette	Manuale, Disabilitato	1.1.0

COSO Principle 14

ID: SOC 2 Tipo 2 CC2.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Sviluppare procedure e criteri di utilizzo accettabili	CMA_0143 - Sviluppare procedure e criteri di utilizzo accettabili	Manuale, Disabilitato	1.1.0
È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta	Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza.	AuditIfNotExists, Disabled	1.0.1
È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta	Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza.	AuditIfNotExists, Disabled	2.0.0
Imporre regole di comportamento e accordi di accesso	CMA_0248 - Imporre regole di comportamento e accordi di accesso	Manuale, Disabilitato	1.1.0
Erogare formazione periodica sulla sicurezza basata sui ruoli	CMA_C1095 - Erogare formazione periodica sulla sicurezza basata sui ruoli	Manuale, Disabilitato	1.1.0
Erogare formazione periodica di sensibilizzazione sulla sicurezza	CMA_C1091 - Erogare formazione periodica di sensibilizzazione sulla sicurezza	Manuale, Disabilitato	1.1.0
Fornire la formazione sulla sicurezza prima di concedere l'accesso	CMA_0418 - Erogare la formazione sulla sicurezza prima di concedere l'accesso	Manuale, Disabilitato	1.1.0
Erogare la formazione sulla sicurezza per i nuovi utenti	CMA_0419 - Erogare la formazione sulla sicurezza per i nuovi utenti	Manuale, Disabilitato	1.1.0
Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza	Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza.	AuditIfNotExists, Disabled	1.0.1

COSO Principle 15

ID: SOC 2 Tipo 2 CC2.3 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Definire i compiti dei processori	CMA_0127 - Definire i compiti dei processori	Manuale, Disabilitato	1.1.0
Recapitare i risultati della valutazione della sicurezza	CMA_C1147 - Recapitare i risultati della valutazione della sicurezza	Manuale, Disabilitato	1.1.0
Sviluppare e definire un piano di sicurezza del sistema	CMA_0151 - Sviluppare e definire un piano di sicurezza del sistema	Manuale, Disabilitato	1.1.0
È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta	Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza.	AuditIfNotExists, Disabled	1.0.1
È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta	Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza.	AuditIfNotExists, Disabled	2.0.0
Stabilire i requisiti di sicurezza per la produzione di dispositivi connessi	CMA_0279 - Stabilire i requisiti di sicurezza per la produzione di dispositivi connessi	Manuale, Disabilitato	1.1.0
Stabilire i requisiti di sicurezza del personale di terze parti	CMA_C1529 - Stabilire i requisiti di sicurezza del personale di terze parti	Manuale, Disabilitato	1.1.0
Implementare metodi di distribuzione dell'informativa sulla privacy	CMA_0324 - Implementare metodi di distribuzione dell'informativa sulla privacy	Manuale, Disabilitato	1.1.0
Implementare i principi di ingegneria della sicurezza dei sistemi informativi	CMA_0325 - Implementare i principi di ingegneria della sicurezza dei sistemi informativi	Manuale, Disabilitato	1.1.0
Generare il report di valutazione della sicurezza	CMA_C1146 - Generare il report di valutazione della sicurezza	Manuale, Disabilitato	1.1.0
Fornire l'informativa sulla privacy	CMA_0414 - Fornire l'informativa sulla privacy	Manuale, Disabilitato	1.1.0
Richiedere ai fornitori di terze parti di rispettare i criteri e le procedure di sicurezza del personale	CMA_C1530 - Richiedere ai fornitori di terze parti di rispettare i criteri e le procedure di sicurezza del personale	Manuale, Disabilitato	1.1.0
Limitare le comunicazioni	CMA_0449 - Limitare le comunicazioni	Manuale, Disabilitato	1.1.0
Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza	Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza.	AuditIfNotExists, Disabled	1.0.1

Valutazione dei rischi

COSO Principle 6

ID: SOC 2 Tipo 2 CC3.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Classificare le informazioni	CMA_0052 - Classificare le informazioni	Manuale, Disabilitato	1.1.0
Determinare le esigenze di protezione delle informazioni	CMA_C1750 - Determinare i requisiti di protezione delle informazioni	Manuale, Disabilitato	1.1.0
Sviluppare schemi di classificazione commerciale	CMA_0155 - Sviluppare schemi di classificazione commerciale	Manuale, Disabilitato	1.1.0
Sviluppare fornitori di servizi condivisi che soddisfano i criteri	CMA_C1492 - Sviluppare fornitori di servizi condivisi che soddisfano i criteri	Manuale, Disabilitato	1.1.0
Definire una strategia di gestione dei rischi	CMA_0258 - Definire una strategia di gestione dei rischi	Manuale, Disabilitato	1.1.0
Eseguire una valutazione dei rischi	CMA_0388 - Eseguire una valutazione dei rischi	Manuale, Disabilitato	1.1.0
Rivedere attività e analisi delle etichette	CMA_0474 - Rivedere attività e analisi delle etichette	Manuale, Disabilitato	1.1.0

COSO Principle 7

ID: SOC 2 Tipo 2 CC3.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Classificare le informazioni	CMA_0052 - Classificare le informazioni	Manuale, Disabilitato	1.1.0
Determinare le esigenze di protezione delle informazioni	CMA_C1750 - Determinare i requisiti di protezione delle informazioni	Manuale, Disabilitato	1.1.0
Sviluppare schemi di classificazione commerciale	CMA_0155 - Sviluppare schemi di classificazione commerciale	Manuale, Disabilitato	1.1.0
Definire una strategia di gestione dei rischi	CMA_0258 - Definire una strategia di gestione dei rischi	Manuale, Disabilitato	1.1.0
Eseguire una valutazione dei rischi	CMA_0388 - Eseguire una valutazione dei rischi	Manuale, Disabilitato	1.1.0
Eseguire analisi delle vulnerabilità	CMA_0393 - Eseguire analisi delle vulnerabilità	Manuale, Disabilitato	1.1.0
Correggere i difetti del sistema informativo	CMA_0427 - Correggere i difetti del sistema informativo	Manuale, Disabilitato	1.1.0
Rivedere attività e analisi delle etichette	CMA_0474 - Rivedere attività e analisi delle etichette	Manuale, Disabilitato	1.1.0
La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL	Controlla ogni istanza gestita di SQL in cui non sono abilitate analisi di valutazione della vulnerabilità ricorrenti. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database.	AuditIfNotExists, Disabled	1.0.1
È consigliabile abilitare la valutazione della vulnerabilità nei server SQL	Controllare i server di Azure SQL in cui non è stata configurata adeguatamente la valutazione della vulnerabilità. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database.	AuditIfNotExists, Disabled	3.0.0

COSO Principle 8

ID: SOC 2 Type 2 CC3.3 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Eseguire una valutazione dei rischi	CMA_0388 - Eseguire una valutazione dei rischi	Manuale, Disabilitato	1.1.0

Principio 9 COSO

ID: SOC 2 Tipo 2 CC3.4 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Valutare i rischi nelle relazioni con terze parti	CMA_0014 - Valutare i rischi nelle relazioni con terze parti	Manuale, Disabilitato	1.1.0
Definire i requisiti per la fornitura di beni e servizi	CMA_0126 - Definire i requisiti per la fornitura di beni e servizi	Manuale, Disabilitato	1.1.0
Determinare gli obblighi contrattuali dei fornitori	CMA_0140 - Determinare gli obblighi contrattuali dei fornitori	Manuale, Disabilitato	1.1.0
Definire una strategia di gestione dei rischi	CMA_0258 - Definire una strategia di gestione dei rischi	Manuale, Disabilitato	1.1.0
Stabilire criteri per la gestione dei rischi della catena di approvvigionamento	CMA_0275 - Stabilire criteri per la gestione dei rischi della catena di approvvigionamento	Manuale, Disabilitato	1.1.0
Eseguire una valutazione dei rischi	CMA_0388 - Eseguire una valutazione dei rischi	Manuale, Disabilitato	1.1.0

Attività di monitoraggio

COSO Principle 16

ID: SOC 2 Tipo 2 CC4.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Valutare i controlli di sicurezza	CMA_C1145 - Valutare i controlli di sicurezza	Manuale, Disabilitato	1.1.0
Sviluppare un piano di valutazione della sicurezza	CMA_C1144 - Sviluppare un piano di valutazione della sicurezza	Manuale, Disabilitato	1.1.0
Selezionare test aggiuntivi per le valutazioni dei controlli di sicurezza	CMA_C1149 - Selezionare test aggiuntivi per le valutazioni dei controlli di sicurezza	Manuale, Disabilitato	1.1.0

COSO Principle 17

ID: SOC 2 Tipo 2 CC4.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Recapitare i risultati della valutazione della sicurezza	CMA_C1147 - Recapitare i risultati della valutazione della sicurezza	Manuale, Disabilitato	1.1.0
Generare il report di valutazione della sicurezza	CMA_C1146 - Generare il report di valutazione della sicurezza	Manuale, Disabilitato	1.1.0

Attività di controllo

COSO Principle 10

ID: SOC 2 Tipo 2 CC5.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Definire una strategia di gestione dei rischi	CMA_0258 - Definire una strategia di gestione dei rischi	Manuale, Disabilitato	1.1.0
Eseguire una valutazione dei rischi	CMA_0388 - Eseguire una valutazione dei rischi	Manuale, Disabilitato	1.1.0

COSO Principle 11

ID: SOC 2 Tipo 2 CC5.2 Proprietà: Condiviso

COSO Principle 12

ID: SOC 2 Tipo 2 CC5.3 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Configurare l'elenco elementi consentiti per il rilevamento	CMA_0068 - Configurare l'elenco elementi consentiti per il rilevamento	Manuale, Disabilitato	1.1.0
Eseguire una valutazione dei rischi	CMA_0388 - Eseguire una valutazione dei rischi	Manuale, Disabilitato	1.1.0
Abilitare i sensori per la soluzione di sicurezza degli endpoint	CMA_0514 - Abilitare i sensori per la soluzione di sicurezza degli endpoint	Manuale, Disabilitato	1.1.0
Sottoporsi a una revisione indipendente della sicurezza	CMA_0515 - Sottoporsi a una revisione indipendente della sicurezza	Manuale, Disabilitato	1.1.0

Controlli di accesso logici e fisici

Software di sicurezza, infrastruttura e architetture per l'accesso logico

ID: SOC 2 Tipo 2 CC6.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Per la sottoscrizione devono essere designati al massimo 3 proprietari	È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso.	AuditIfNotExists, Disabled	3.0.0
Per gli account con autorizzazioni di proprietario nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori	È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse.	AuditIfNotExists, Disabled	1.0.0
Per gli account con autorizzazioni di lettura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori	È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse.	AuditIfNotExists, Disabled	1.0.0
Per gli account con autorizzazioni di scrittura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori	È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse.	AuditIfNotExists, Disabled	1.0.0
Adottare meccanismi di autenticazione biometrica	CMA_0005: adottare meccanismi di autenticazione biometrica	Manuale, Disabilitato	1.1.0
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale	Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse.	AuditIfNotExists, Disabled	3.0.0
Il Servizio app deve essere accessibile solo tramite HTTPS	L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete.	Audit, Disabled, Deny	4.0.0
Le app del servizio app devono richiedere solo FTPS	Abilitare imposizione FTPS per la protezione avanzata.	AuditIfNotExists, Disabled	3.0.0
L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH	Sebbene SSH stesso fornisca una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux di Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Altre informazioni: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed	AuditIfNotExists, Disabled	2.4.0
Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza	CMA_0022 - Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza	Manuale, Disabilitato	1.1.0
Autorizzare e gestire l'accesso	CMA_0023 - Autorizzare e gestire l'accesso	Manuale, Disabilitato	1.1.0
Autorizzare l'accesso remoto	CMA_0024 - Autorizzare l'accesso remoto	Manuale, Disabilitato	1.1.0
Le variabili dell'account di automazione devono essere crittografate	È importante abilitare la crittografia degli asset della variabile dell'account di Automazione quando si archiviano dati sensibili	Audit, Deny, Disabled	1.1.0
Le risorse di Servizi di Azure AI devono crittografare i dati inattivi con una chiave gestita dal cliente (CMK)	L'uso di chiavi gestite dal cliente per crittografare i dati inattivi offre un maggiore controllo sul ciclo di vita delle chiavi, inclusa la rotazione e la gestione. Ciò è particolarmente rilevante per le organizzazioni con requisiti di conformità correlati. Ciò non viene valutato per impostazione predefinita e deve essere applicato solo quando richiesto dai requisiti dei criteri restrittivi o di conformità. Se non è abilitato, i dati verranno crittografati usando chiavi gestite dalla piattaforma. Per l'implementazione, aggiornare il parametro "Effect" nei criteri di sicurezza per l'ambito applicabile.	Audit, Deny, Disabled	2.2.0
Gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi	Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi di Azure Cosmos DB. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/cosmosdb-cmk.	audit, Audit, Deny, Deny, disabled, Disabled	1.1.0
Le aree di lavoro di Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente	Gestire la crittografia inattiva dei dati dello spazio di lavoro Azure Machine Learning con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/azureml-workspaces-cmk.	Audit, Deny, Disabled	1.1.0
Gli account bloccati con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi	Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso.	AuditIfNotExists, Disabled	1.0.0
I registri contenitori devono essere crittografati con una chiave gestita dal cliente	Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del contenuto dei registri. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/acr/CMK.	Audit, Deny, Disabled	1.1.2
Controllare il flusso di informazioni	CMA_0079 - Controllare il flusso di informazioni	Manuale, Disabilitato	1.1.0
Controllare l'accesso fisico	CMA_0081 - Controllare l'accesso fisico	Manuale, Disabilitato	1.1.0
Creare un inventario dati	CMA_0096 - Creare un inventario dati	Manuale, Disabilitato	1.1.0
Definire un processo di gestione delle chiavi fisiche	CMA_0115 - Definire un processo di gestione delle chiavi fisiche	Manuale, Disabilitato	1.1.0
Definire l'utilizzo della crittografia	CMA_0120 - Definire l'utilizzo della crittografia	Manuale, Disabilitato	1.1.0
Definire i requisiti aziendali per la gestione delle chiavi crittografiche	CMA_0123 - Definire i requisiti aziendali per la gestione delle chiavi crittografiche	Manuale, Disabilitato	1.1.0
Progettare un modello di controllo degli accessi	CMA_0129 - Progettare un modello di controllo degli accessi	Manuale, Disabilitato	1.1.0
Determinare i requisiti di asserzione	CMA_0136 - Determinare i requisiti di asserzione	Manuale, Disabilitato	1.1.0
Documentare la formazione sulla mobilità	CMA_0191 - Documentare la formazione sulla mobilità	Manuale, Disabilitato	1.1.0
Documentare le linee guida di accesso remoto	CMA_0196 - Documentare le linee guida di accesso remoto	Manuale, Disabilitato	1.1.0
Utilizzare meccanismi di controllo di flusso delle informazioni crittografate	CMA_0211 - Utilizzare meccanismi di controllo di flusso delle informazioni crittografate	Manuale, Disabilitato	1.1.0
Utilizzare l'accesso con privilegi minimi	CMA_0212 - Utilizzare l'accesso con privilegi minimi	Manuale, Disabilitato	1.1.0
Imporre l'accesso logico	CMA_0245 - Imporre l'accesso logico	Manuale, Disabilitato	1.1.0
Imporre criteri di controllo degli accessi obbligatori e discrezionali	CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali	Manuale, Disabilitato	1.1.0
Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL	Database di Azure per il server MySQL supporta la connessione alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database.	Audit, Disabled	1.0.1
Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL	Il database di Azure per PostgreSQL supporta la connessione del server di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database.	Audit, Disabled	1.0.1
Stabilire una procedura di gestione delle perdite di dati	CMA_0255: stabilire una procedura di gestione delle perdite di dati	Manuale, Disabilitato	1.1.0
Stabilire gli standard di configurazione del firewall e del router	CMA_0272 - Stabilire gli standard di configurazione del firewall e del router	Manuale, Disabilitato	1.1.0
Stabilire la segmentazione della rete per l'ambiente dei dati dei titolari di carte	CMA_0273 - Stabilire la segmentazione della rete per l'ambiente dei dati dei titolari di carte	Manuale, Disabilitato	1.1.0
Le app per le funzioni devono essere accessibili solo tramite HTTPS	L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete.	Audit, Disabled, Deny	5.0.0
Le app per le funzioni devono richiedere solo FTPS	Abilitare imposizione FTPS per la protezione avanzata.	AuditIfNotExists, Disabled	3.0.0
Le app per le funzioni devono usare la versione TLS più recente	Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente.	AuditIfNotExists, Disabled	2.1.0
Gli account guest con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi	È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato.	AuditIfNotExists, Disabled	1.0.0
Identificare e gestire gli scambi di informazioni downstream	CMA_0298 - Identificare e gestire gli scambi di informazioni downstream	Manuale, Disabilitato	1.1.0
Implementare i controlli per proteggere i siti di lavoro alternativi	CMA_0315 - Implementare i controlli per proteggere siti di lavoro alternativi	Manuale, Disabilitato	1.1.0
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure	CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree protette	Manuale, Disabilitato	1.1.0
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete	Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc	AuditIfNotExists, Disabled	3.0.0
Rilasciare certificati a chiave pubblica	CMA_0347 - Rilasciare certificati a chiave pubblica	Manuale, Disabilitato	1.1.0
È consigliabile che la protezione dall'eliminazione sia abilitata per gli insiemi di credenziali delle chiavi	L'eliminazione dolosa di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. È possibile evitare la perdita permanente dei dati abilitando la protezione dall'eliminazione temporanea e l'eliminazione temporanea. La protezione dalla rimozione definitiva consente di rispondere a questi tipi di attacco imponendo un periodo di conservazione obbligatorio per gli insiemi di credenziali delle chiavi eliminati temporaneamente. Nessuno all'interno dell'organizzazione né Microsoft sarà in grado di rimuovere definitivamente gli insiemi di credenziali delle chiavi durante il periodo di conservazione associato all'eliminazione temporanea. Tenere presente che gli insiemi di credenziali delle chiavi creati dopo il 1° settembre 2019 hanno l'eliminazione temporanea abilitata per impostazione predefinita.	Audit, Deny, Disabled	2.1.0
Negli insiemi di credenziali delle chiavi deve essere abilitata la funzionalità di eliminazione temporanea	L'eliminazione di un insieme di credenziali delle chiavi senza eliminazione temporanea abilitata elimina definitivamente tutti i segreti, le chiavi e i certificati archiviati nell'insieme di credenziali delle chiavi. L'eliminazione accidentale di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. L'eliminazione temporanea consente di ripristinare un insieme di credenziali delle chiavi eliminato accidentalmente per un periodo di conservazione configurabile.	Audit, Deny, Disabled	3.0.0
I cluster Kubernetes devono essere accessibili solo tramite HTTPS	L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito da attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Kubernetes con abilitazione di Azure Arc. Per altre info, visitare https://aka.ms/kubepolicydoc	controllare, Audit, Nega, Nega, disabilitato, Disabilitato	9.1.0
Gestire i record dell'elaborazione dei dati personali	CMA_0353 - Gestire i record dell'elaborazione dei dati personali	Manuale, Disabilitato	1.1.0
Gestire le chiavi crittografiche simmetriche	CMA_0367 - Gestire le chiavi crittografiche simmetriche	Manuale, Disabilitato	1.1.0
Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	CMA_0369 - Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	Manuale, Disabilitato	1.1.0
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT	I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti	AuditIfNotExists, Disabled	3.0.0
È consigliabile chiudere le porte di gestione nelle macchine virtuali	Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale.	AuditIfNotExists, Disabled	3.0.0
Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete	Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc	AuditIfNotExists, Disabled	3.0.0
Inviare agli utenti una notifica di accesso al sistema	CMA_0382 - Inviare agli utenti una notifica di accesso al sistema	Manuale, Disabilitato	1.1.0
Devono essere abilitate solo le connessioni sicure alla cache di Azure per Redis	Controllare l'abilitazione delle sole connessioni tramite SSL a Cache Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione	Audit, Deny, Disabled	1.0.0
Proteggere i dati in movimento mediante la crittografia	CMA_0403 - Proteggere i dati in movimento mediante la crittografia	Manuale, Disabilitato	1.1.0
Proteggere le informazioni speciali	CMA_0409: proteggere le informazioni speciali	Manuale, Disabilitato	1.1.0
Fornire training sulla privacy	CMA_0415 - Fornire formazione sulla privacy	Manuale, Disabilitato	1.1.0
Richiedere l'approvazione per la creazione di account	CMA_0431 - Richiedere l'approvazione per la creazione di account	Manuale, Disabilitato	1.1.0
Limitare l'accesso alle chiavi private	CMA_0445 - Limitare l'accesso alle chiavi private	Manuale, Disabilitato	1.1.0
Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili	CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili	Manuale, Disabilitato	1.1.0
È consigliabile abilitare il trasferimento sicuro agli account di archiviazione	Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione	Audit, Deny, Disabled	2.0.0
La proprietà ClusterProtectionLevel dei cluster di Service Fabric dovrebbe essere impostata su EncryptAndSign	Service Fabric offre tre livelli di protezione (None, Sign ed EncryptAndSign) per la comunicazione da nodo a nodo mediante un certificato cluster primario. Impostare il livello di protezione per garantire che tutti i messaggi da nodo a nodo vengano crittografati e firmati digitalmente	Audit, Deny, Disabled	1.1.0
Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi	L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato.	Audit, Deny, Disabled	2.0.0
I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi	L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato.	Audit, Deny, Disabled	2.0.1
L'account di archiviazione che include il contenitore con i log attività deve essere crittografato tramite BYOK	Questo criterio verifica se l'account di archiviazione che include il contenitore con i log attività è crittografato tramite BYOK. Il criterio funziona solo se l'account di archiviazione risiede nella stessa sottoscrizione dei log attività per impostazione predefinita. Per altre informazioni sulla crittografia dei dati inattivi in Archiviazione di Azure, vedere https://aka.ms/azurestoragebyok.	AuditIfNotExists, Disabled	1.0.0
Gli account di archiviazione devono usare la chiave gestita dal cliente per la crittografia	Proteggere l'account e file di archiviazione BLOB con maggiore flessibilità usando le chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'utilizzo di chiavi gestite dal cliente offre ulteriori possibilità di controllare la rotazione della chiave di crittografia o di cancellare crittograficamente i dati.	Audit, Disabled	1.0.3
Le subnet devono essere associate a un gruppo di sicurezza di rete	È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet.	AuditIfNotExists, Disabled	3.0.0
Alla sottoscrizione deve essere assegnato più di un proprietario	È consigliabile designare più di un proprietario di sottoscrizione per assicurare la ridondanza dell'accesso amministratore.	AuditIfNotExists, Disabled	3.0.0
È consigliabile abilitare Transparent Data Encryption nei database SQL	Abilitare Transparent Data Encryption per proteggere i dati inattivi e rispettare i requisiti relativi alla conformità	AuditIfNotExists, Disabled	2.0.0
I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri	Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer.	AuditIfNotExists, Disabled	3.0.1

Provisioning e rimozione dell'accesso

ID: SOC 2 Tipo 2 CC6.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Assegnare i gestori degli account	CMA_0015 - Assegnare i gestori degli account	Manuale, Disabilitato	1.1.0
Controllare lo stato dell'account utente	CMA_0020 - Controllare lo stato dell'account utente	Manuale, Disabilitato	1.1.0
Gli account bloccati con autorizzazioni di scrittura e lettura nelle risorse di Azure devono essere rimossi	È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso.	AuditIfNotExists, Disabled	1.0.0
Documentare i privilegi di accesso	CMA_0186 - Documentare i privilegi di accesso	Manuale, Disabilitato	1.1.0
Stabilire le condizioni per l'appartenenza a ruoli	CMA_0269 - Stabilire le condizioni per l'appartenenza a ruoli	Manuale, Disabilitato	1.1.0
Gli account guest con autorizzazioni di lettura nelle risorse di Azure devono essere rimossi	È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato.	AuditIfNotExists, Disabled	1.0.0
Gli account guest con autorizzazioni di scrittura nelle risorse di Azure devono essere rimossi	È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato.	AuditIfNotExists, Disabled	1.0.0
Richiedere l'approvazione per la creazione di account	CMA_0431 - Richiedere l'approvazione per la creazione di account	Manuale, Disabilitato	1.1.0
Limitare l'accesso agli account con privilegi	CMA_0446 - Limitare l'accesso agli account con privilegi	Manuale, Disabilitato	1.1.0
Esaminare i log di provisioning account	CMA_0460 - Esaminare i log di provisioning account	Manuale, Disabilitato	1.1.0
Esaminare gli account utente	CMA_0480 - Esaminare gli account utente	Manuale, Disabilitato	1.1.0

Controllo degli accessi in base al ruolo e privilegi minimi

ID: SOC 2 Tipo 2 CC6.3 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Per la sottoscrizione devono essere designati al massimo 3 proprietari	È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso.	AuditIfNotExists, Disabled	3.0.0
Controllare le funzioni con privilegi	CMA_0019 - Controllare le funzioni con privilegi	Manuale, Disabilitato	1.1.0
Controllare l'utilizzo dei ruoli Controllo degli accessi in base al ruolo (RBAC) personalizzati	Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce	Audit, Disabled	1.0.1
Controllare lo stato dell'account utente	CMA_0020 - Controllare lo stato dell'account utente	Manuale, Disabilitato	1.1.0
Gli account bloccati con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi	Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso.	AuditIfNotExists, Disabled	1.0.0
Gli account bloccati con autorizzazioni di scrittura e lettura nelle risorse di Azure devono essere rimossi	È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso.	AuditIfNotExists, Disabled	1.0.0
Progettare un modello di controllo degli accessi	CMA_0129 - Progettare un modello di controllo degli accessi	Manuale, Disabilitato	1.1.0
Utilizzare l'accesso con privilegi minimi	CMA_0212 - Utilizzare l'accesso con privilegi minimi	Manuale, Disabilitato	1.1.0
Gli account guest con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi	È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato.	AuditIfNotExists, Disabled	1.0.0
Gli account guest con autorizzazioni di lettura nelle risorse di Azure devono essere rimossi	È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato.	AuditIfNotExists, Disabled	1.0.0
Gli account guest con autorizzazioni di scrittura nelle risorse di Azure devono essere rimossi	È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato.	AuditIfNotExists, Disabled	1.0.0
Monitorare l'assegnazione di ruoli con privilegi	CMA_0378 - Monitorare l'assegnazione di ruoli con privilegi	Manuale, Disabilitato	1.1.0
Limitare l'accesso agli account con privilegi	CMA_0446 - Limitare l'accesso agli account con privilegi	Manuale, Disabilitato	1.1.0
Esaminare i log di provisioning account	CMA_0460 - Esaminare i log di provisioning account	Manuale, Disabilitato	1.1.0
Esaminare gli account utente	CMA_0480 - Esaminare gli account utente	Manuale, Disabilitato	1.1.0
Esaminare i privilegi utente	CMA_C1039 - Esaminare i privilegi utente	Manuale, Disabilitato	1.1.0
Revocare i ruoli con privilegi in base alle esigenze	CMA_0483 - Revocare i ruoli con privilegi in base alle esigenze	Manuale, Disabilitato	1.1.0
Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo	Per garantire un filtro granulare per le azioni che gli utenti possono eseguire, usare il controllo degli accessi in base al ruolo per gestire le autorizzazioni nei cluster del servizio Kubernetes e configurare i criteri di autorizzazione pertinenti.	Audit, Disabled	1.0.4
Alla sottoscrizione deve essere assegnato più di un proprietario	È consigliabile designare più di un proprietario di sottoscrizione per assicurare la ridondanza dell'accesso amministratore.	AuditIfNotExists, Disabled	3.0.0
Usare Privileged Identity Management	CMA_0533 - Usare Privileged Identity Management	Manuale, Disabilitato	1.1.0

Accesso fisico limitato

ID: SOC 2 Tipo 2 CC6.4 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Controllare l'accesso fisico	CMA_0081 - Controllare l'accesso fisico	Manuale, Disabilitato	1.1.0

Protezioni logiche e fisiche su risorse fisiche

ID: SOC 2 Tipo 2 CC6.5 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Utilizzare un meccanismo di bonifica dei supporti	CMA_0208 - Utilizzare un meccanismo di bonifica dei supporti	Manuale, Disabilitato	1.1.0
Implementare i controlli per proteggere tutti i supporti	CMA_0314 - Implementare i controlli per proteggere tutti i supporti	Manuale, Disabilitato	1.1.0

Misure di sicurezza contro minacce esterne ai limiti del sistema

ID: SOC 2 Tipo 2 CC6.6 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Per gli account con autorizzazioni di proprietario nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori	È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse.	AuditIfNotExists, Disabled	1.0.0
Per gli account con autorizzazioni di lettura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori	È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse.	AuditIfNotExists, Disabled	1.0.0
Per gli account con autorizzazioni di scrittura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori	È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse.	AuditIfNotExists, Disabled	1.0.0
Adottare meccanismi di autenticazione biometrica	CMA_0005: adottare meccanismi di autenticazione biometrica	Manuale, Disabilitato	1.1.0
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale	Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse.	AuditIfNotExists, Disabled	3.0.0
Il Servizio app deve essere accessibile solo tramite HTTPS	L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete.	Audit, Disabled, Deny	4.0.0
Le app del servizio app devono richiedere solo FTPS	Abilitare imposizione FTPS per la protezione avanzata.	AuditIfNotExists, Disabled	3.0.0
L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH	Sebbene SSH stesso fornisca una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux di Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Altre informazioni: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed	AuditIfNotExists, Disabled	2.4.0
Autorizzare l'accesso remoto	CMA_0024 - Autorizzare l'accesso remoto	Manuale, Disabilitato	1.1.0
Web application firewall di Azure deve essere abilitato per i punti di ingresso di Frontdoor di Azure	Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate.	Audit, Deny, Disabled	1.0.2
Controllare il flusso di informazioni	CMA_0079 - Controllare il flusso di informazioni	Manuale, Disabilitato	1.1.0
Documentare la formazione sulla mobilità	CMA_0191 - Documentare la formazione sulla mobilità	Manuale, Disabilitato	1.1.0
Documentare le linee guida di accesso remoto	CMA_0196 - Documentare le linee guida di accesso remoto	Manuale, Disabilitato	1.1.0
Utilizzare meccanismi di controllo di flusso delle informazioni crittografate	CMA_0211 - Utilizzare meccanismi di controllo di flusso delle informazioni crittografate	Manuale, Disabilitato	1.1.0
Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL	Database di Azure per il server MySQL supporta la connessione alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database.	Audit, Disabled	1.0.1
Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL	Il database di Azure per PostgreSQL supporta la connessione del server di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database.	Audit, Disabled	1.0.1
Stabilire gli standard di configurazione del firewall e del router	CMA_0272 - Stabilire gli standard di configurazione del firewall e del router	Manuale, Disabilitato	1.1.0
Stabilire la segmentazione della rete per l'ambiente dei dati dei titolari di carte	CMA_0273 - Stabilire la segmentazione della rete per l'ambiente dei dati dei titolari di carte	Manuale, Disabilitato	1.1.0
Le app per le funzioni devono essere accessibili solo tramite HTTPS	L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete.	Audit, Disabled, Deny	5.0.0
Le app per le funzioni devono richiedere solo FTPS	Abilitare imposizione FTPS per la protezione avanzata.	AuditIfNotExists, Disabled	3.0.0
Le app per le funzioni devono usare la versione TLS più recente	Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente.	AuditIfNotExists, Disabled	2.1.0
Identificare e autenticare i dispositivi di rete	CMA_0296 - Identificare e autenticare i dispositivi di rete	Manuale, Disabilitato	1.1.0
Identificare e gestire gli scambi di informazioni downstream	CMA_0298 - Identificare e gestire gli scambi di informazioni downstream	Manuale, Disabilitato	1.1.0
Implementare i controlli per proteggere i siti di lavoro alternativi	CMA_0315 - Implementare i controlli per proteggere siti di lavoro alternativi	Manuale, Disabilitato	1.1.0
Implementare la protezione del limite del sistema	CMA_0328 - Implementare la protezione del limite del sistema	Manuale, Disabilitato	1.1.0
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete	Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc	AuditIfNotExists, Disabled	3.0.0
L'inoltro IP nella macchina virtuale deve essere disabilitato	L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete.	AuditIfNotExists, Disabled	3.0.0
I cluster Kubernetes devono essere accessibili solo tramite HTTPS	L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito da attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Kubernetes con abilitazione di Azure Arc. Per altre info, visitare https://aka.ms/kubepolicydoc	controllare, Audit, Nega, Nega, disabilitato, Disabilitato	9.1.0
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT	I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti	AuditIfNotExists, Disabled	3.0.0
È consigliabile chiudere le porte di gestione nelle macchine virtuali	Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale.	AuditIfNotExists, Disabled	3.0.0
Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete	Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc	AuditIfNotExists, Disabled	3.0.0
Inviare agli utenti una notifica di accesso al sistema	CMA_0382 - Inviare agli utenti una notifica di accesso al sistema	Manuale, Disabilitato	1.1.0
Devono essere abilitate solo le connessioni sicure alla cache di Azure per Redis	Controllare l'abilitazione delle sole connessioni tramite SSL a Cache Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione	Audit, Deny, Disabled	1.0.0
Proteggere i dati in movimento mediante la crittografia	CMA_0403 - Proteggere i dati in movimento mediante la crittografia	Manuale, Disabilitato	1.1.0
Fornire training sulla privacy	CMA_0415 - Fornire formazione sulla privacy	Manuale, Disabilitato	1.1.0
È consigliabile abilitare il trasferimento sicuro agli account di archiviazione	Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione	Audit, Deny, Disabled	2.0.0
Le subnet devono essere associate a un gruppo di sicurezza di rete	È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet.	AuditIfNotExists, Disabled	3.0.0
Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione	Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate.	Audit, Deny, Disabled	2.0.0
I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri	Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer.	AuditIfNotExists, Disabled	3.0.1

Limitazione dello spostamento delle informazioni agli utenti autorizzati

ID: SOC 2 Tipo 2 CC6.7 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale	Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse.	AuditIfNotExists, Disabled	3.0.0
Il Servizio app deve essere accessibile solo tramite HTTPS	L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete.	Audit, Disabled, Deny	4.0.0
Le app del servizio app devono richiedere solo FTPS	Abilitare imposizione FTPS per la protezione avanzata.	AuditIfNotExists, Disabled	3.0.0
Configurare le workstation per il controllo dei certificati digitali	CMA_0073 - Configurare le workstation per il controllo dei certificati digitali	Manuale, Disabilitato	1.1.0
Controllare il flusso di informazioni	CMA_0079 - Controllare il flusso di informazioni	Manuale, Disabilitato	1.1.0
Definire i requisiti per i dispositivi mobili	CMA_0122 - Definire i requisiti per i dispositivi mobili	Manuale, Disabilitato	1.1.0
Utilizzare un meccanismo di bonifica dei supporti	CMA_0208 - Utilizzare un meccanismo di bonifica dei supporti	Manuale, Disabilitato	1.1.0
Utilizzare meccanismi di controllo di flusso delle informazioni crittografate	CMA_0211 - Utilizzare meccanismi di controllo di flusso delle informazioni crittografate	Manuale, Disabilitato	1.1.0
Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL	Database di Azure per il server MySQL supporta la connessione alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database.	Audit, Disabled	1.0.1
Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL	Il database di Azure per PostgreSQL supporta la connessione del server di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database.	Audit, Disabled	1.0.1
Stabilire gli standard di configurazione del firewall e del router	CMA_0272 - Stabilire gli standard di configurazione del firewall e del router	Manuale, Disabilitato	1.1.0
Stabilire la segmentazione della rete per l'ambiente dei dati dei titolari di carte	CMA_0273 - Stabilire la segmentazione della rete per l'ambiente dei dati dei titolari di carte	Manuale, Disabilitato	1.1.0
Le app per le funzioni devono essere accessibili solo tramite HTTPS	L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete.	Audit, Disabled, Deny	5.0.0
Le app per le funzioni devono richiedere solo FTPS	Abilitare imposizione FTPS per la protezione avanzata.	AuditIfNotExists, Disabled	3.0.0
Le app per le funzioni devono usare la versione TLS più recente	Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente.	AuditIfNotExists, Disabled	2.1.0
Identificare e gestire gli scambi di informazioni downstream	CMA_0298 - Identificare e gestire gli scambi di informazioni downstream	Manuale, Disabilitato	1.1.0
Implementare i controlli per proteggere tutti i supporti	CMA_0314 - Implementare i controlli per proteggere tutti i supporti	Manuale, Disabilitato	1.1.0
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete	Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc	AuditIfNotExists, Disabled	3.0.0
I cluster Kubernetes devono essere accessibili solo tramite HTTPS	L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito da attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Kubernetes con abilitazione di Azure Arc. Per altre info, visitare https://aka.ms/kubepolicydoc	controllare, Audit, Nega, Nega, disabilitato, Disabilitato	9.1.0
Gestire il trasporto degli asset	CMA_0370 - Gestire il trasporto degli asset	Manuale, Disabilitato	1.1.0
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT	I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti	AuditIfNotExists, Disabled	3.0.0
È consigliabile chiudere le porte di gestione nelle macchine virtuali	Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale.	AuditIfNotExists, Disabled	3.0.0
Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete	Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc	AuditIfNotExists, Disabled	3.0.0
Devono essere abilitate solo le connessioni sicure alla cache di Azure per Redis	Controllare l'abilitazione delle sole connessioni tramite SSL a Cache Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione	Audit, Deny, Disabled	1.0.0
Proteggere i dati in movimento mediante la crittografia	CMA_0403 - Proteggere i dati in movimento mediante la crittografia	Manuale, Disabilitato	1.1.0
Proteggere le password con la crittografia	CMA_0408 - Proteggere le password con la crittografia	Manuale, Disabilitato	1.1.0
È consigliabile abilitare il trasferimento sicuro agli account di archiviazione	Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione	Audit, Deny, Disabled	2.0.0
Le subnet devono essere associate a un gruppo di sicurezza di rete	È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet.	AuditIfNotExists, Disabled	3.0.0
I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri	Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer.	AuditIfNotExists, Disabled	3.0.1

Prevenzione o rilevamento di software non autorizzato o dannoso

ID: SOC 2 Tipo 2 CC6.8 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
[Deprecato]: le app per le funzioni devono avere l’abilitazione per i "Certificati client (certificati client in ingresso)"	I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con certificati validi potranno raggiungere l'app. Questo criterio è stato sostituito da uno nuovo, con stesso nome, perché HTTP 2.0 non supporta i certificati client.	Audit, Disabled	3.1.0-deprecated
Per le App del servizio app deve essere abilitata l'opzione Certificati client (certificati client in ingresso)	I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1.	AuditIfNotExists, Disabled	1.0.0
Per le app del servizio app il debug remoto deve essere disattivato	Il debug remoto richiede l'apertura delle porte in ingresso in un'app per il servizio app. Il debug remoto deve essere disattivato.	AuditIfNotExists, Disabled	2.0.0
Le app del Servizio app non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app	Condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app. Consentire solo ai domini necessari di interagire con l'app.	AuditIfNotExists, Disabled	2.0.0
Le app del Servizio app devono usare la "versione HTTP" più recente	Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione.	AuditIfNotExists, Disabled	4.0.0
Controlla macchine virtuali che non usano dischi gestiti	Questo criterio controlla le macchine virtuali che non usano dischi gestiti	controllo	1.0.0
Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster	Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes estende Gatekeeper v3, un webhook del controller di ammissione per Open Policy Agent (OPA), per applicare le tutele e misure di sicurezza su larga scala per i cluster in modo centralizzato e coerente.	Audit, Disabled	1.0.2
Bloccare i processi non attendibili e non firmati eseguiti da USB	CMA_0050 - Bloccare i processi non attendibili e non firmati eseguiti da USB	Manuale, Disabilitato	1.1.0
Le app per le funzioni devono avere il debug remoto disattivato	Il debug remoto richiede che vengano aperte le porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato.	AuditIfNotExists, Disabled	2.0.0
Le app per le funzioni non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app	Condivisione risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app per le funzioni. Consentire solo ai domini necessari di interagire con l'app per le funzioni dell'utente.	AuditIfNotExists, Disabled	2.0.0
Le app per le funzioni devono usare la versione più recente di HTTP	Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione.	AuditIfNotExists, Disabled	4.0.0
L'estensione Configurazione guest deve essere installata nei computer	Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni in guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol.	AuditIfNotExists, Disabled	1.0.2
Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati	Applicare i limiti delle risorse di CPU e memoria dei contenitori per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled
I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host	Bloccare i contenitori pod dalla condivisione dello spazio dei nomi dell'ID del processo host e dello spazio dei nomi IPC dell'host in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.2 e CIS 5.2.3, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	6.1.0
I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti	I contenitori devono usare solo i profili AppArmor consentiti in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	7.1.1
I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti	Limitare le funzionalità per ridurre la superficie di attacco dei contenitori in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.8 e CIS 5.2.9, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	7.1.0
I contenitori del cluster Kubernetes devono usare solo le immagini consentite	Usare immagini di registri attendibili per ridurre il rischio di esposizione del cluster Kubernetes a vulnerabilità sconosciute, problemi di sicurezza e immagini dannose. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled
I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura	Eseguire contenitori con un file system radice di sola lettura per proteggersi dalle modifiche in fase di esecuzione con file binari dannosi aggiunti a PATH in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	7.1.0
I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti	Limitare i montaggi del volume HostPath dei pod ai percorsi host consentiti in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	7.1.1
I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati	Controllare gli ID degli utenti, dei gruppi primari, dei gruppi supplementari e dei gruppi di file system che i pod e i container possono usare per funzionare in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	7.1.1
I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati	Limitare l'accesso dei pod alla rete host e all'intervallo di porte host consentito in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.4, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	7.1.0
Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite	Limitare i servizi per l'ascolto solo sulle porte consentite per proteggere l'accesso al cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	9.1.0
Il cluster Kubernetes non deve consentire contenitori con privilegi	Non consentire la creazione di contenitori privilegiati in un cluster Kubernetes. Questo consiglio fa parte di CIS 5.2.1, destinato a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	10.1.0
Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato	Disabilita il montaggio automatico delle credenziali API per impedire a una risorsa pod potenzialmente compromessa di eseguire i comandi dell'API sui cluster Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	5.1.0
I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori	Non consentire l'esecuzione dei contenitori con escalation dei privilegi alla radice in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.5, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	8.1.0
I cluster Kubernetes non devono concedere le funzionalità di sicurezza CAP_SYS_ADMIN	Per ridurre la superficie di attacco dei contenitori, limitare le funzionalità di CAP_SYS_ADMIN Linux. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	6.1.0
I cluster Kubernetes non devono usare lo spazio dei nomi predefinito	Impedisce l'utilizzo dello spazio dei nomi predefinito nei cluster Kubernetes per proteggere dagli accessi non autorizzati per i tipi di risorse Mapping di configurazione Pod, Segreto, Servizio e Account del servizio. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	5.1.0
I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Calcolo di Azure	Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure.	AuditIfNotExists, Disabled	1.5.0
Gestire i gateway	CMA_0363 - Gestire i gateway	Manuale, Disabilitato	1.1.0
Devono essere installate solo le estensioni macchina virtuale approvate	Questo criterio regolamenta le estensioni macchina virtuale non approvate.	Audit, Deny, Disabled	1.0.0
Eseguire un'analisi delle tendenze per le minacce	CMA_0389 - Eseguire un'analisi delle tendenze per le minacce	Manuale, Disabilitato	1.1.0
Eseguire analisi delle vulnerabilità	CMA_0393 - Eseguire analisi delle vulnerabilità	Manuale, Disabilitato	1.1.0
Esaminare il report sui rilevamenti di malware ogni settimana	CMA_0475 - Esaminare il report sui rilevamenti di malware ogni settimana	Manuale, Disabilitato	1.1.0
Esaminare lo stato della protezione dalla minacce ogni settimana	CMA_0479 - Esaminare lo stato della protezione dalle minacce ogni settimana	Manuale, Disabilitato	1.1.0
Gli account di archiviazione devono consentire l'accesso da servizi Microsoft attendibili	Alcuni servizi Microsoft che interagiscono con gli account di archiviazione vengono eseguiti da reti alle quali non è possibile concedere l'accesso tramite le regole di rete. Per far sì che questo tipo di servizi funzioni come previsto, consentire al set di servizi Microsoft attendibili di ignorare le regole di rete. Questi servizi usano quindi l'autenticazione avanzata per accedere all'account di archiviazione.	Audit, Deny, Disabled	1.0.0
Aggiornare le definizioni antivirus	CMA_0517 - Aggiornare le definizioni antivirus	Manuale, Disabilitato	1.1.0
Verificare l'integrità di software, firmware e informazioni	CMA_0542 - Verificare l'integrità di software, firmware e informazioni	Manuale, Disabilitato	1.1.0
Visualizzare e configurare i dati di diagnostica del sistema	CMA_0544 - Visualizzare e configurare i dati di diagnostica del sistema	Manuale, Disabilitato	1.1.0
L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con un'identità gestita assegnata dal sistema	L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio saranno non conformi se l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol	AuditIfNotExists, Disabled	1.0.1
I computer Windows devono soddisfare i requisiti della baseline di sicurezza di Calcolo di Azure	Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure.	AuditIfNotExists, Disabled	1.0.0

Operazioni di sistema

Rilevamento e monitoraggio di nuove vulnerabilità

ID: SOC 2 Tipo 2 CC7.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Configurare le azioni per i dispositivi non conformi	CMA_0062: configurare le azioni per i dispositivi non conformi	Manuale, Disabilitato	1.1.0
Sviluppare e gestire le configurazioni di base	CMA_0153 - Sviluppare e gestire le configurazioni di base	Manuale, Disabilitato	1.1.0
Abilitare il rilevamento dei dispositivi di rete	CMA_0220 - Abilitare il rilevamento dei dispositivi di rete	Manuale, Disabilitato	1.1.0
Imporre le impostazioni della configurazione della sicurezza	CMA_0249 - Imporre le impostazioni della configurazione della sicurezza	Manuale, Disabilitato	1.1.0
Stabilire un comitato di controllo della configurazione	CMA_0254: stabilire un comitato di controllo della configurazione	Manuale, Disabilitato	1.1.0
Definire e documentare un piano di gestione della configurazione	CMA_0264 - Definire e documentare un piano di gestione della configurazione	Manuale, Disabilitato	1.1.0
Implementare uno strumento di gestione della configurazione automatizzato	CMA_0311 - Implementare uno strumento di gestione della configurazione automatizzato	Manuale, Disabilitato	1.1.0
Eseguire analisi delle vulnerabilità	CMA_0393 - Eseguire analisi delle vulnerabilità	Manuale, Disabilitato	1.1.0
Correggere i difetti del sistema informativo	CMA_0427 - Correggere i difetti del sistema informativo	Manuale, Disabilitato	1.1.0
Imposta le notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione	CMA_0495 - Impostare notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione	Manuale, Disabilitato	1.1.0
Verificare l'integrità di software, firmware e informazioni	CMA_0542 - Verificare l'integrità di software, firmware e informazioni	Manuale, Disabilitato	1.1.0
Visualizzare e configurare i dati di diagnostica del sistema	CMA_0544 - Visualizzare e configurare i dati di diagnostica del sistema	Manuale, Disabilitato	1.1.0
La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL	Controlla ogni istanza gestita di SQL in cui non sono abilitate analisi di valutazione della vulnerabilità ricorrenti. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database.	AuditIfNotExists, Disabled	1.0.1
È consigliabile abilitare la valutazione della vulnerabilità nei server SQL	Controllare i server di Azure SQL in cui non è stata configurata adeguatamente la valutazione della vulnerabilità. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database.	AuditIfNotExists, Disabled	3.0.0

Monitoraggio dei componenti di sistema per l'individuazione di comportamenti anomali

ID: SOC 2 Tipo 2 CC7.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
[Anteprima]: I cluster Kubernetes con abilitazione di Azure Arc dovrebbero avere installata l'estensione Microsoft Defender per il cloud	L'estensione Microsoft Defender for Cloud per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni sono disponibili in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists, Disabled	4.0.1 - anteprima
Per operazioni amministrative specifiche deve esistere un avviso del log attività	Questo criterio controlla operazioni amministrative specifiche per cui non sono configurati avvisi del log attività.	AuditIfNotExists, Disabled	1.0.0
Per operazioni dei criteri specifiche deve esistere un avviso del log attività	Questo criterio controlla operazioni dei criteri specifiche per cui non sono configurati avvisi del log attività.	AuditIfNotExists, Disabled	3.0.0
Per operazioni di sicurezza specifiche deve esistere un avviso del log attività	Questo criterio controlla operazioni di sicurezza specifiche per cui non sono configurati avvisi del log attività.	AuditIfNotExists, Disabled	1.0.0
Azure Defender per i server di database SQL di Azure deve essere abilitato	Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili.	AuditIfNotExists, Disabled	1.0.2
Azure Defender per Resource Manager deve essere abilitato	Azure Defender per Resource Manager monitora automaticamente tutte le operazioni di gestione risorse eseguite nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager. L'abilitazione di questo piano di Azure Defender comporta degli addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center.	AuditIfNotExists, Disabled	1.0.0
Azure Defender per i server deve essere abilitato	Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette.	AuditIfNotExists, Disabled	1.0.3
Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti	Controlla server SQL senza Sicurezza dei dati avanzata	AuditIfNotExists, Disabled	2.0.1
Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette	Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata.	AuditIfNotExists, Disabled	1.0.2
Rilevare i servizi di rete non autorizzati o approvati	CMA_C1700: rilevare i servizi di rete non autorizzati o approvati	Manuale, Disabilitato	1.1.0
Gestire e monitorare le attività di elaborazione dei controlli	CMA_0289 - Gestire e monitorare le attività di elaborazione dei controlli	Manuale, Disabilitato	1.1.0
Microsoft Defender per contenitori deve essere abilitato	Microsoft Defender per contenitori offre protezione avanzata, valutazione della vulnerabilità e protezione in fase di esecuzione per gli ambienti Kubernetes Azure, ibrido e multi-cloud.	AuditIfNotExists, Disabled	1.0.0
Microsoft Defender per l'archiviazione (versione classica) deve essere abilitato	Microsoft Defender per Archiviazione (versione classica) offre il rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di archiviazione.	AuditIfNotExists, Disabled	1.0.4
Eseguire un'analisi delle tendenze per le minacce	CMA_0389 - Eseguire un'analisi delle tendenze per le minacce	Manuale, Disabilitato	1.1.0
Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali	Windows Defender Exploit Guard usa l’agente di Configurazione guest di Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows).	AuditIfNotExists, Disabled	1.1.1

Rilevamento degli eventi imprevisti relativi alla sicurezza

ID: SOC 2 Tipo 2 CC7.3 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Rivedere e aggiornare i criteri e le procedure di risposta agli incidenti	CMA_C1352 - Rivedere e aggiornare i criteri e le procedure di risposta agli incidenti	Manuale, Disabilitato	1.1.0

Risposta agli eventi imprevisti relativi alla sicurezza

ID: SOC 2 Tipo 2 CC7.4 Proprietà: Condiviso

Ripristino dagli eventi imprevisti relativi alla sicurezza identificati

ID: SOC 2 Tipo 2 CC7.5 Proprietà: Condiviso

Gestione delle modifiche

Modifiche all'infrastruttura, ai dati e al software

ID: SOC 2 Tipo 2 CC8.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
[Deprecato]: le app per le funzioni devono avere l’abilitazione per i "Certificati client (certificati client in ingresso)"	I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con certificati validi potranno raggiungere l'app. Questo criterio è stato sostituito da uno nuovo, con stesso nome, perché HTTP 2.0 non supporta i certificati client.	Audit, Disabled	3.1.0-deprecated
Per le App del servizio app deve essere abilitata l'opzione Certificati client (certificati client in ingresso)	I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1.	AuditIfNotExists, Disabled	1.0.0
Per le app del servizio app il debug remoto deve essere disattivato	Il debug remoto richiede l'apertura delle porte in ingresso in un'app per il servizio app. Il debug remoto deve essere disattivato.	AuditIfNotExists, Disabled	2.0.0
Le app del Servizio app non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app	Condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app. Consentire solo ai domini necessari di interagire con l'app.	AuditIfNotExists, Disabled	2.0.0
Le app del Servizio app devono usare la "versione HTTP" più recente	Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione.	AuditIfNotExists, Disabled	4.0.0
Controlla macchine virtuali che non usano dischi gestiti	Questo criterio controlla le macchine virtuali che non usano dischi gestiti	controllo	1.0.0
Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster	Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes estende Gatekeeper v3, un webhook del controller di ammissione per Open Policy Agent (OPA), per applicare le tutele e misure di sicurezza su larga scala per i cluster in modo centralizzato e coerente.	Audit, Disabled	1.0.2
Eseguire un'analisi dell'impatto sulla sicurezza	CMA_0057 - Eseguire un'analisi dell'impatto sulla sicurezza	Manuale, Disabilitato	1.1.0
Configurare le azioni per i dispositivi non conformi	CMA_0062: configurare le azioni per i dispositivi non conformi	Manuale, Disabilitato	1.1.0
Sviluppare e mantenere uno standard di gestione delle vulnerabilità	CMA_0152 - Sviluppare e mantenere uno standard di gestione delle vulnerabilità	Manuale, Disabilitato	1.1.0
Sviluppare e gestire le configurazioni di base	CMA_0153 - Sviluppare e gestire le configurazioni di base	Manuale, Disabilitato	1.1.0
Imporre le impostazioni della configurazione della sicurezza	CMA_0249 - Imporre le impostazioni della configurazione della sicurezza	Manuale, Disabilitato	1.1.0
Stabilire un comitato di controllo della configurazione	CMA_0254: stabilire un comitato di controllo della configurazione	Manuale, Disabilitato	1.1.0
Definire una strategia di gestione dei rischi	CMA_0258 - Definire una strategia di gestione dei rischi	Manuale, Disabilitato	1.1.0
Definire e documentare un piano di gestione della configurazione	CMA_0264 - Definire e documentare un piano di gestione della configurazione	Manuale, Disabilitato	1.1.0
Stabilire e documentare i processi di controllo delle modifiche	CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche	Manuale, Disabilitato	1.1.0
Stabilire i requisiti di gestione della configurazione per i developer	CMA_0270 - Stabilire i requisiti di gestione della configurazione per gli sviluppatori	Manuale, Disabilitato	1.1.0
Le app per le funzioni devono avere il debug remoto disattivato	Il debug remoto richiede che vengano aperte le porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato.	AuditIfNotExists, Disabled	2.0.0
Le app per le funzioni non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app	Condivisione risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app per le funzioni. Consentire solo ai domini necessari di interagire con l'app per le funzioni dell'utente.	AuditIfNotExists, Disabled	2.0.0
Le app per le funzioni devono usare la versione più recente di HTTP	Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione.	AuditIfNotExists, Disabled	4.0.0
L'estensione Configurazione guest deve essere installata nei computer	Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni in guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol.	AuditIfNotExists, Disabled	1.0.2
Implementare uno strumento di gestione della configurazione automatizzato	CMA_0311 - Implementare uno strumento di gestione della configurazione automatizzato	Manuale, Disabilitato	1.1.0
Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati	Applicare i limiti delle risorse di CPU e memoria dei contenitori per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled
I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host	Bloccare i contenitori pod dalla condivisione dello spazio dei nomi dell'ID del processo host e dello spazio dei nomi IPC dell'host in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.2 e CIS 5.2.3, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	6.1.0
I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti	I contenitori devono usare solo i profili AppArmor consentiti in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	7.1.1
I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti	Limitare le funzionalità per ridurre la superficie di attacco dei contenitori in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.8 e CIS 5.2.9, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	7.1.0
I contenitori del cluster Kubernetes devono usare solo le immagini consentite	Usare immagini di registri attendibili per ridurre il rischio di esposizione del cluster Kubernetes a vulnerabilità sconosciute, problemi di sicurezza e immagini dannose. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled
I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura	Eseguire contenitori con un file system radice di sola lettura per proteggersi dalle modifiche in fase di esecuzione con file binari dannosi aggiunti a PATH in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	7.1.0
I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti	Limitare i montaggi del volume HostPath dei pod ai percorsi host consentiti in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	7.1.1
I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati	Controllare gli ID degli utenti, dei gruppi primari, dei gruppi supplementari e dei gruppi di file system che i pod e i container possono usare per funzionare in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	7.1.1
I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati	Limitare l'accesso dei pod alla rete host e all'intervallo di porte host consentito in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.4, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	7.1.0
Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite	Limitare i servizi per l'ascolto solo sulle porte consentite per proteggere l'accesso al cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	9.1.0
Il cluster Kubernetes non deve consentire contenitori con privilegi	Non consentire la creazione di contenitori privilegiati in un cluster Kubernetes. Questo consiglio fa parte di CIS 5.2.1, destinato a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	10.1.0
Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato	Disabilita il montaggio automatico delle credenziali API per impedire a una risorsa pod potenzialmente compromessa di eseguire i comandi dell'API sui cluster Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	5.1.0
I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori	Non consentire l'esecuzione dei contenitori con escalation dei privilegi alla radice in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.5, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	8.1.0
I cluster Kubernetes non devono concedere le funzionalità di sicurezza CAP_SYS_ADMIN	Per ridurre la superficie di attacco dei contenitori, limitare le funzionalità di CAP_SYS_ADMIN Linux. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	6.1.0
I cluster Kubernetes non devono usare lo spazio dei nomi predefinito	Impedisce l'utilizzo dello spazio dei nomi predefinito nei cluster Kubernetes per proteggere dagli accessi non autorizzati per i tipi di risorse Mapping di configurazione Pod, Segreto, Servizio e Account del servizio. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	5.1.0
I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Calcolo di Azure	Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure.	AuditIfNotExists, Disabled	1.5.0
Devono essere installate solo le estensioni macchina virtuale approvate	Questo criterio regolamenta le estensioni macchina virtuale non approvate.	Audit, Deny, Disabled	1.0.0
Eseguire una valutazione dell'impatto sulla privacy	CMA_0387 - Eseguire una valutazione dell'impatto sulla privacy	Manuale, Disabilitato	1.1.0
Eseguire una valutazione dei rischi	CMA_0388 - Eseguire una valutazione dei rischi	Manuale, Disabilitato	1.1.0
Eseguire il controllo per la verifica delle modifiche di configurazione	CMA_0390 - Eseguire il controllo per la verifica delle modifiche di configurazione	Manuale, Disabilitato	1.1.0
Gli account di archiviazione devono consentire l'accesso da servizi Microsoft attendibili	Alcuni servizi Microsoft che interagiscono con gli account di archiviazione vengono eseguiti da reti alle quali non è possibile concedere l'accesso tramite le regole di rete. Per far sì che questo tipo di servizi funzioni come previsto, consentire al set di servizi Microsoft attendibili di ignorare le regole di rete. Questi servizi usano quindi l'autenticazione avanzata per accedere all'account di archiviazione.	Audit, Deny, Disabled	1.0.0
L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con un'identità gestita assegnata dal sistema	L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio saranno non conformi se l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol	AuditIfNotExists, Disabled	1.0.1
I computer Windows devono soddisfare i requisiti della baseline di sicurezza di Calcolo di Azure	Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure.	AuditIfNotExists, Disabled	1.0.0

Mitigazione dei rischi

Attività di mitigazione dei rischi

ID: SOC 2 Tipo 2 CC9.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Determinare le esigenze di protezione delle informazioni	CMA_C1750 - Determinare i requisiti di protezione delle informazioni	Manuale, Disabilitato	1.1.0
Definire una strategia di gestione dei rischi	CMA_0258 - Definire una strategia di gestione dei rischi	Manuale, Disabilitato	1.1.0
Eseguire una valutazione dei rischi	CMA_0388 - Eseguire una valutazione dei rischi	Manuale, Disabilitato	1.1.0

Gestione dei rischi per fornitori e partner aziendali

ID: SOC 2 Tipo 2 CC9.2 Proprietà: Condiviso

Criteri aggiuntivi per la privacy

Informativa sulla privacy

ID: SOC 2 Tipo 2 P1.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Documentare e distribuire un'informativa sulla privacy	CMA_0188 - Documentare e distribuire un'informativa sulla privacy	Manuale, Disabilitato	1.1.0
Verificare che le informazioni del programma per la privacy siano disponibili pubblicamente	CMA_C1867 - Verificare che le informazioni del programma per la privacy siano disponibili pubblicamente	Manuale, Disabilitato	1.1.0
Implementare metodi di distribuzione dell'informativa sulla privacy	CMA_0324 - Implementare metodi di distribuzione dell'informativa sulla privacy	Manuale, Disabilitato	1.1.0
Fornire l'informativa sulla privacy	CMA_0414 - Fornire l'informativa sulla privacy	Manuale, Disabilitato	1.1.0
Fornire l'informativa sulla privacy al pubblico e agli utenti	CMA_C1861 - Fornire l'informativa sulla privacy al pubblico e agli utenti	Manuale, Disabilitato	1.1.0

ID: SOC 2 Tipo 2 P2.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Documentare l'accettazione dei requisiti sulla privacy da parte del personale	CMA_0193 - Documentare l'accettazione dei requisiti sulla privacy da parte del personale	Manuale, Disabilitato	1.1.0
Implementare metodi di distribuzione dell'informativa sulla privacy	CMA_0324 - Implementare metodi di distribuzione dell'informativa sulla privacy	Manuale, Disabilitato	1.1.0
Ottenere il consenso prima della raccolta o dell'elaborazione dei dati personali	CMA_0385 - Ottenere il consenso prima della raccolta o dell'elaborazione dei dati personali	Manuale, Disabilitato	1.1.0
Fornire l'informativa sulla privacy	CMA_0414 - Fornire l'informativa sulla privacy	Manuale, Disabilitato	1.1.0

Raccolta coerente delle informazioni personali

ID: SOC 2 Tipo 2 P3.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Determinare i requisiti legali per la raccolta deli dati personali	CMA_C1800 - Determinare i requisiti legali per la raccolta dei dati personali	Manuale, Disabilitato	1.1.0
Documentare il processo per assicurare l'integrità dei dati personali	CMA_C1827 - Documentare il processo per assicurare l'integrità dei dati personali	Manuale, Disabilitato	1.1.0
Valutare e rivedere regolarmente i dati personali raccolti	CMA_C1832 - Valutare e rivedere regolarmente i dati personali raccolti	Manuale, Disabilitato	1.1.0
Ottenere il consenso prima della raccolta o dell'elaborazione dei dati personali	CMA_0385 - Ottenere il consenso prima della raccolta o dell'elaborazione dei dati personali	Manuale, Disabilitato	1.1.0

ID: SOC 2 Tipo 2 P3.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Raccogliere i dati personali direttamente dalla persona fisica	CMA_C1822 - Raccogliere dati personali direttamente dalla persona fisica	Manuale, Disabilitato	1.1.0
Ottenere il consenso prima della raccolta o dell'elaborazione dei dati personali	CMA_0385 - Ottenere il consenso prima della raccolta o dell'elaborazione dei dati personali	Manuale, Disabilitato	1.1.0

Uso delle informazioni personali

ID: SOC 2 Tipo 2 P4.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Documentare la base giuridica per il trattamento dei dati personali	CMA_0206 - Documentare la base giuridica per il trattamento dei dati personali	Manuale, Disabilitato	1.1.0
Implementare metodi di distribuzione dell'informativa sulla privacy	CMA_0324 - Implementare metodi di distribuzione dell'informativa sulla privacy	Manuale, Disabilitato	1.1.0
Ottenere il consenso prima della raccolta o dell'elaborazione dei dati personali	CMA_0385 - Ottenere il consenso prima della raccolta o dell'elaborazione dei dati personali	Manuale, Disabilitato	1.1.0
Fornire l'informativa sulla privacy	CMA_0414 - Fornire l'informativa sulla privacy	Manuale, Disabilitato	1.1.0
Limitare le comunicazioni	CMA_0449 - Limitare le comunicazioni	Manuale, Disabilitato	1.1.0

Conservazione delle informazioni personali

ID: SOC 2 Tipo 2 P4.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Rispettare i periodi di conservazione definiti	CMA_0004 - Rispettare i periodi di conservazione definiti	Manuale, Disabilitato	1.1.0
Documentare il processo per assicurare l'integrità dei dati personali	CMA_C1827 - Documentare il processo per assicurare l'integrità dei dati personali	Manuale, Disabilitato	1.1.0

Eliminazione delle informazioni personali

ID: SOC 2 Tipo 2 P4.3 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Eseguire la revisione per l'eliminazione	CMA_0391 - Eseguire la revisione per l'eliminazione	Manuale, Disabilitato	1.1.0
Verificare che i dati personali vengano eliminati al termine dell'elaborazione	CMA_0540 - Verificare che i dati personali vengano eliminati al termine dell'elaborazione	Manuale, Disabilitato	1.1.0

Accesso alle informazioni personali

ID: SOC 2 Tipo 2 P5.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Implementare metodi per le richieste consumer	CMA_0319 - Implementare metodi per le richieste consumer	Manuale, Disabilitato	1.1.0
Pubblicare regole e normative per l'accesso ai record della legge sulla privacy	CMA_C1847 - Pubblicare regole e normative per l'accesso ai record della legge sulla privacy	Manuale, Disabilitato	1.1.0

Correzione delle informazioni personali

ID: SOC 2 Tipo 2 P5.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Rispondere alle richieste di rettifica	CMA_0442 - Rispondere alle richieste di rettifica	Manuale, Disabilitato	1.1.0

Divulgazione di informazioni personali da terze parti

ID: SOC 2 Tipo 2 P6.1 Proprietà: Condiviso

Divulgazione autorizzata di record di informazioni personali

ID: SOC 2 Tipo 2 P6.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Mantenere una contabilità accurata della divulgazione di informazioni	CMA_C1818 - Mantenere un rendiconto accurato delle divulgazioni di informazioni	Manuale, Disabilitato	1.1.0

Divulgazione non autorizzata di record di informazioni personali

ID: SOC 2 Tipo 2 P6.3 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Mantenere una contabilità accurata della divulgazione di informazioni	CMA_C1818 - Mantenere un rendiconto accurato delle divulgazioni di informazioni	Manuale, Disabilitato	1.1.0

Contratti con terze parti

ID: SOC 2 Tipo 2 P6.4 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Definire i compiti dei processori	CMA_0127 - Definire i compiti dei processori	Manuale, Disabilitato	1.1.0

Notifica di divulgazione non autorizzata di terze parti

ID: SOC 2 Tipo 2 P6.5 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Determinare gli obblighi contrattuali dei fornitori	CMA_0140 - Determinare gli obblighi contrattuali dei fornitori	Manuale, Disabilitato	1.1.0
Documentare i criteri di accettazione dei contratti di acquisizione	CMA_0187 - Documentare i criteri di accettazione dei contratti di acquisizione	Manuale, Disabilitato	1.1.0
Documentare la protezione dei dati personali nei contratti di acquisizione	CMA_0194 - Documentare la protezione dei dati personali nei contratti di acquisizione	Manuale, Disabilitato	1.1.0
Documentare la protezione delle informazioni di sicurezza nei contratti di acquisizione	CMA_0195 - Documentare la protezione delle informazioni di sicurezza nei contratti di acquisizione	Manuale, Disabilitato	1.1.0
Documentare i requisiti per l'utilizzo dei dati condivisi nei contratti	CMA_0197 - Documentare i requisiti per l'utilizzo dei dati condivisi nei contratti	Manuale, Disabilitato	1.1.0
Documentare i requisiti di controllo della sicurezza nei contratti di acquisizione	CMA_0199 - Documentare i requisiti di controllo della sicurezza nei contratti di acquisizione	Manuale, Disabilitato	1.1.0
Documentare i requisiti di documentazione della sicurezza nel contratto di acquisizione	CMA_0200 - Documentare i requisiti di documentazione della sicurezza nel contratto di acquisizione	Manuale, Disabilitato	1.1.0
Documentare i requisiti funzionali della sicurezza nei contratti di acquisizione	CMA_0201 - Documentare i requisiti funzionali della sicurezza nei contratti di acquisizione	Manuale, Disabilitato	1.1.0
Documentare i requisiti di complessità della sicurezza nei contratti di acquisizione	CMA_0203 - Documentare i requisiti di complessità della sicurezza nei contratti di acquisizione	Manuale, Disabilitato	1.1.0
Documentare l'ambiente del sistema informativo nei contratti di acquisizione	CMA_0205 - Documentare l'ambiente del sistema informativo nei contratti di acquisizione	Manuale, Disabilitato	1.1.0
Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti	CMA_0207 - Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti	Manuale, Disabilitato	1.1.0
Protezione della sicurezza delle informazioni e dei dati personali	CMA_0332 - Protezione della sicurezza delle informazioni e dei dati personali	Manuale, Disabilitato	1.1.0

Notifica di evento imprevisto relativo alla privacy

ID: SOC 2 Tipo 2 P6.6 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Sviluppare un piano di risposta agli eventi imprevisti	CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti	Manuale, Disabilitato	1.1.0
Protezione della sicurezza delle informazioni e dei dati personali	CMA_0332 - Protezione della sicurezza delle informazioni e dei dati personali	Manuale, Disabilitato	1.1.0

Contabilità della divulgazione di informazioni personali

ID: SOC 2 Tipo 2 P6.7 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Implementare metodi di distribuzione dell'informativa sulla privacy	CMA_0324 - Implementare metodi di distribuzione dell'informativa sulla privacy	Manuale, Disabilitato	1.1.0
Mantenere una contabilità accurata della divulgazione di informazioni	CMA_C1818 - Mantenere un rendiconto accurato delle divulgazioni di informazioni	Manuale, Disabilitato	1.1.0
Rendere disponibile la contabilità delle divulgazioni su richiesta	CMA_C1820 - Rendere disponibile il rendiconto delle divulgazioni su richiesta	Manuale, Disabilitato	1.1.0
Fornire l'informativa sulla privacy	CMA_0414 - Fornire l'informativa sulla privacy	Manuale, Disabilitato	1.1.0
Limitare le comunicazioni	CMA_0449 - Limitare le comunicazioni	Manuale, Disabilitato	1.1.0

Qualità delle informazioni personali

ID: SOC 2 Tipo 2 P7.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Confermare la qualità e l'integrità dei dati personali	CMA_C1821 - Confermare la qualità e l'integrità dei dati personali	Manuale, Disabilitato	1.1.0
Rilasciare linee guida per garantire la qualità e l'integrità dei dati	CMA_C1824 - Emettere linee guida per garantire la qualità e l'integrità dei dati	Manuale, Disabilitato	1.1.0
Verificare i dati personali non corrette o non aggiornate	CMA_C1823 - Verificare le informazioni personali non corrette o non aggiornate	Manuale, Disabilitato	1.1.0

Gestione dei reclami per la privacy e della conformità

ID: SOC 2 Tipo 2 P8.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Documentare e implementare le procedure di reclamo sulla privacy	CMA_0189 - Documentare e implementare le procedure di reclamo sulla privacy	Manuale, Disabilitato	1.1.0
Valutare e rivedere regolarmente i dati personali raccolti	CMA_C1832 - Valutare e rivedere regolarmente i dati personali raccolti	Manuale, Disabilitato	1.1.0
Protezione della sicurezza delle informazioni e dei dati personali	CMA_0332 - Protezione della sicurezza delle informazioni e dei dati personali	Manuale, Disabilitato	1.1.0
Rispondere tempestivamente a reclami, dubbi o domande	CMA_C1853 - Rispondere tempestivamente a reclami, dubbi o domande	Manuale, Disabilitato	1.1.0
Fare training del personale sulla condivisione dei dati personali e sulle relative conseguenze	CMA_C1871 - Formare il personale sulla condivisione dei dati personali e sulle relative conseguenze	Manuale, Disabilitato	1.1.0

Criteri aggiuntivi per l'integrità dell'elaborazione

Definizioni dell'elaborazione dati

ID: SOC 2 Tipo 2 PI1.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Implementare metodi di distribuzione dell'informativa sulla privacy	CMA_0324 - Implementare metodi di distribuzione dell'informativa sulla privacy	Manuale, Disabilitato	1.1.0
Fornire l'informativa sulla privacy	CMA_0414 - Fornire l'informativa sulla privacy	Manuale, Disabilitato	1.1.0
Limitare le comunicazioni	CMA_0449 - Limitare le comunicazioni	Manuale, Disabilitato	1.1.0

Input di sistema circa la completezza e l’accuratezza

ID: SOC 2 Tipo 2 PI1.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Eseguire la convalida dell'input di informazioni	CMA_C1723 - Eseguire la convalida dell'input di informazioni	Manuale, Disabilitato	1.1.0

Elaborazione del sistema

ID: SOC 2 Tipo 2 PI1.3 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Controllare l'accesso fisico	CMA_0081 - Controllare l'accesso fisico	Manuale, Disabilitato	1.1.0
Generare messaggi di errore	CMA_C1724 - Generare messaggi di errore	Manuale, Disabilitato	1.1.0
Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	CMA_0369 - Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	Manuale, Disabilitato	1.1.0
Eseguire la convalida dell'input di informazioni	CMA_C1723 - Eseguire la convalida dell'input di informazioni	Manuale, Disabilitato	1.1.0
Rivedere attività e analisi delle etichette	CMA_0474 - Rivedere attività e analisi delle etichette	Manuale, Disabilitato	1.1.0

Output di sistema completo, accurato e tempestivo

ID: SOC 2 Tipo 2 PI1.4 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Controllare l'accesso fisico	CMA_0081 - Controllare l'accesso fisico	Manuale, Disabilitato	1.1.0
Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	CMA_0369 - Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	Manuale, Disabilitato	1.1.0
Rivedere attività e analisi delle etichette	CMA_0474 - Rivedere attività e analisi delle etichette	Manuale, Disabilitato	1.1.0

Archiviazione completa accurata e tempestiva di input e output

ID: SOC 2 Tipo 2 PI1.5 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
La soluzione Backup di Azure deve essere abilitata per le macchine virtuali	È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente.	AuditIfNotExists, Disabled	3.0.0
Controllare l'accesso fisico	CMA_0081 - Controllare l'accesso fisico	Manuale, Disabilitato	1.1.0
Stabilire criteri e procedure di backup	CMA_0268 - Stabilire criteri e procedure di backup	Manuale, Disabilitato	1.1.0
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MariaDB	Il database di Azure per MariaDB consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server.	Audit, Disabled	1.0.1
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL	Il database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server.	Audit, Disabled	1.0.1
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per PostgreSQL	Il database di Azure per PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server.	Audit, Disabled	1.0.1
Implementare i controlli per proteggere tutti i supporti	CMA_0314 - Implementare i controlli per proteggere tutti i supporti	Manuale, Disabilitato	1.1.0
Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	CMA_0369 - Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	Manuale, Disabilitato	1.1.0
Rivedere attività e analisi delle etichette	CMA_0474 - Rivedere attività e analisi delle etichette	Manuale, Disabilitato	1.1.0
Archiviare separatamente le informazioni di backup	CMA_C1293 - Archiviare separatamente le informazioni di backup	Manuale, Disabilitato	1.1.0

Passaggi successivi

Articoli aggiuntivi su Criteri di Azure:

Panoramica della Conformità con le normative.
Vedere la struttura della definizione dell'iniziativa.
Vedere altri esempi in Esempi di Criteri di Azure.
Leggere Informazioni sugli effetti di Criteri.
Informazioni su come correggere le risorse non conformi.

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Valutare gli eventi di sicurezza delle informazioni	CMA_0013 - Valutare gli eventi di sicurezza delle informazioni	Manuale, Disabilitato	1.1.0
Coordinare i piani di emergenza con i piani correlati	CMA_0086 - Coordinare i piani di emergenza con i piani correlati	Manuale, Disabilitato	1.1.0
Sviluppare un piano di risposta agli eventi imprevisti	CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti	Manuale, Disabilitato	1.1.0
Sviluppare misure di sicurezza	CMA_0161 - Sviluppare misure di sicurezza	Manuale, Disabilitato	1.1.0
È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta	Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza.	AuditIfNotExists, Disabled	1.0.1
È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta	Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza.	AuditIfNotExists, Disabled	2.0.0
Abilitare la protezione della rete	CMA_0238 - Abilitare la protezione della rete	Manuale, Disabilitato	1.1.0
Eliminare le informazioni contaminate	CMA_0253 - Eliminare le informazioni contaminate	Manuale, Disabilitato	1.1.0
Eseguire azioni in risposta a fuga/perdita di informazioni	CMA_0281 - Eseguire azioni in risposta a fuga/perdita di informazioni	Manuale, Disabilitato	1.1.0
Identificare le classi di eventi imprevisti e azioni eseguite	CMA_C1365 - Identificare le classi di eventi imprevisti e azioni eseguite	Manuale, Disabilitato	1.1.0
Implementare la gestione degli eventi	CMA_0318 - Implementare la gestione degli eventi	Manuale, Disabilitato	1.1.0
Includere la riconfigurazione dinamica delle risorse distribuite dal cliente	CMA_C1364 - Includere la riconfigurazione dinamica delle risorse distribuite dal cliente	Manuale, Disabilitato	1.1.0
Gestire il piano di risposta agli incidenti	CMA_0352 - Gestire il piano di risposta agli incidenti	Manuale, Disabilitato	1.1.0
È consigliabile abilitare Network Watcher	Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area.	AuditIfNotExists, Disabled	3.0.0
Eseguire un'analisi delle tendenze per le minacce	CMA_0389 - Eseguire un'analisi delle tendenze per le minacce	Manuale, Disabilitato	1.1.0
Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza	Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza.	AuditIfNotExists, Disabled	1.0.1
Visualizzare e analizzare gli utenti con restrizioni	CMA_0545 - Visualizzare e analizzare gli utenti con restrizioni	Manuale, Disabilitato	1.1.0

Condividi tramite