Dettagli dell'iniziativa predefinita di conformità alle normative SOC (System and Organization Controls) 2
L'articolo seguente definisce il mapping della definizione dell'iniziativa predefinita di conformità alle normative di Criteri di Azure con domini di conformità e controlli in SOC (System and Organization Controls) 2. Per altre informazioni su questo standard di conformità, vedere Controlli del sistema e dell’organizzazione (SOC) 2. Per comprendere la Proprietà, esaminare il tipo di criterio e la responsabilità condivisa nel cloud.
I mapping seguenti sono relativi ai controlli SOC (System and Organization Controls) 2. Molti controlli vengono implementati con una definizione dell'iniziativa Criteri di Azure. Per esaminare la definizione dell'iniziativa completa, aprire Criteri nel portale di Azure e selezionare la pagina Definizioni. Quindi, trovare e selezionare la definizione dell'iniziativa predefinita di conformità alle normative SOC 2 Tipo 2.
Importante
Ogni controllo tra quelli riportati di seguito è associato a una o più definizioni di Criteri di Azure. Questi criteri possono aiutare a valutare la conformità con il controllo. In molti casi tuttavia non si tratta di una corrispondenza uno-a-uno o completa tra un controllo e uno o più criteri. Di per sé, Conforme in Criteri di Azure si riferisce solo alle definizioni dei criteri e non garantisce che l'utente sia completamente conforme a tutti i requisiti di un controllo. Inoltre, in questo momento lo standard di conformità include controlli che non vengono gestiti da alcuna definizione di Criteri di Azure. La conformità in Criteri di Azure è quindi solo una visualizzazione parziale dello stato di conformità generale. Le associazioni tra domini di conformità, controlli e definizioni di Criteri di Azure per questo standard di conformità possono cambiare nel tempo. Per visualizzare la cronologia delle modifiche, vedere la cronologia dei commit di GitHub.
Criteri aggiuntivi per la disponibilità
Gestione della capacità
ID: SOC 2 Tipo 2 A1.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Eseguire la pianificazione della capacità | CMA_C1252 - Eseguire la pianificazione della capacità | Manuale, Disabilitato | 1.1.0 |
Protezioni dell'ambiente, software, processi di backup dei dati e infrastruttura di ripristino
ID: SOC 2 Tipo 2 A1.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. | AuditIfNotExists, Disabled | 3.0.0 |
| Utilizzare l'illuminazione di emergenza automatica | CMA_0209 - Utilizzare l'illuminazione di emergenza automatica | Manuale, Disabilitato | 1.1.0 |
| Stabilire un sito di elaborazione alternativo | CMA_0262 - Stabilire un sito di elaborazione alternativo | Manuale, Disabilitato | 1.1.0 |
| Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MariaDB | Il database di Azure per MariaDB consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
| Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL | Il database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
| Il backup con ridondanza geografica deve essere abilitato per i database di Azure per PostgreSQL | Il database di Azure per PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
| Implementare una metodologia per i test di penetrazione | CMA_0306 - Implementare una metodologia per i test di penetrazione | Manuale, Disabilitato | 1.1.0 |
| Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree protette | Manuale, Disabilitato | 1.1.0 |
| Installare un sistema di allarme | CMA_0338 - Installare un sistema di allarme | Manuale, Disabilitato | 1.1.0 |
| Recuperare e ricostituire le risorse in seguito a interruzioni del servizio | CMA_C1295 - Recuperare e ricostituire le risorse in seguito a un’interruzione | Manuale, Disabilitato | 1.1.1 |
| Eseguire attacchi di simulazione | CMA_0486 - Eseguire attacchi di simulazione | Manuale, Disabilitato | 1.1.0 |
| Archiviare separatamente le informazioni di backup | CMA_C1293 - Archiviare separatamente le informazioni di backup | Manuale, Disabilitato | 1.1.0 |
| Trasferire le informazioni di backup in un sito di archiviazione alternativo | CMA_C1294 -Trasferire le informazioni di backup in un sito di archiviazione alternativo | Manuale, Disabilitato | 1.1.0 |
Test del piano di ripristino
ID: SOC 2 Tipo 2 A1.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Coordinare i piani di emergenza con i piani correlati | CMA_0086 - Coordinare i piani di emergenza con i piani correlati | Manuale, Disabilitato | 1.1.0 |
| Avviare azioni correttive sul test del piano di emergenza | CMA_C1263 - Avviare azioni correttive sul test del piano di emergenza | Manuale, Disabilitato | 1.1.0 |
| Esaminare i risultati dei test del piano di emergenza | CMA_C1262 - Esaminare i risultati dei test del piano di emergenza | Manuale, Disabilitato | 1.1.0 |
| Testare la continuità aziendale e il piano di ripristino di emergenza | CMA_0509 - Testare la continuità aziendale e il piano di ripristino di emergenza | Manuale, Disabilitato | 1.1.0 |
Criteri aggiuntivi per la riservatezza
Protezione delle informazioni riservate
ID: SOC 2 Tipo 2 C1.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
| Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | CMA_0369 - Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | Manuale, Disabilitato | 1.1.0 |
| Rivedere attività e analisi delle etichette | CMA_0474 - Rivedere attività e analisi delle etichette | Manuale, Disabilitato | 1.1.0 |
Eliminazione di informazioni riservate
ID: SOC 2 Tipo 2 C1.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
| Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | CMA_0369 - Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | Manuale, Disabilitato | 1.1.0 |
| Rivedere attività e analisi delle etichette | CMA_0474 - Rivedere attività e analisi delle etichette | Manuale, Disabilitato | 1.1.0 |
Ambiente di controllo
COSO Principle 1
ID: SOC 2 Tipo 2 CC1.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Sviluppare procedure e criteri di utilizzo accettabili | CMA_0143 - Sviluppare procedure e criteri di utilizzo accettabili | Manuale, Disabilitato | 1.1.0 |
| Sviluppare le norme del codice di comportamento aziendale | CMA_0159 - Sviluppare le norme del codice di comportamento aziendale | Manuale, Disabilitato | 1.1.0 |
| Documentare l'accettazione dei requisiti sulla privacy da parte del personale | CMA_0193 - Documentare l'accettazione dei requisiti sulla privacy da parte del personale | Manuale, Disabilitato | 1.1.0 |
| Imporre regole di comportamento e accordi di accesso | CMA_0248 - Imporre regole di comportamento e accordi di accesso | Manuale, Disabilitato | 1.1.0 |
| Vietare le pratiche sleali | CMA_0396 - Vietare le pratiche sleali | Manuale, Disabilitato | 1.1.0 |
| Esaminare e firmare le regole di comportamento riviste | CMA_0465 - Esaminare e firmare le regole di comportamento riviste | Manuale, Disabilitato | 1.1.0 |
| Aggiornare le regole di comportamento e i contratti di accesso | CMA_0521 - Aggiornare le regole di comportamento e i contratti di accesso | Manuale, Disabilitato | 1.1.0 |
| Aggiornare le regole di comportamento e i contratti di accesso ogni 3 anni | CMA_0522 - Aggiornare le regole di comportamento e i contratti di accesso ogni 3 anni | Manuale, Disabilitato | 1.1.0 |
COSO Principle 2
ID: SOC 2 Tipo 2 CC1.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Nominare un responsabile senior della sicurezza delle informazioni | CMA_C1733 - Nominare un responsabile senior della sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
| Sviluppare e definire un piano di sicurezza del sistema | CMA_0151 - Sviluppare e definire un piano di sicurezza del sistema | Manuale, Disabilitato | 1.1.0 |
| Definire una strategia di gestione dei rischi | CMA_0258 - Definire una strategia di gestione dei rischi | Manuale, Disabilitato | 1.1.0 |
| Stabilire i requisiti di sicurezza per la produzione di dispositivi connessi | CMA_0279 - Stabilire i requisiti di sicurezza per la produzione di dispositivi connessi | Manuale, Disabilitato | 1.1.0 |
| Implementare i principi di ingegneria della sicurezza dei sistemi informativi | CMA_0325 - Implementare i principi di ingegneria della sicurezza dei sistemi informativi | Manuale, Disabilitato | 1.1.0 |
COSO Principle 3
ID: SOC 2 Tipo 2 CC1.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Nominare un responsabile senior della sicurezza delle informazioni | CMA_C1733 - Nominare un responsabile senior della sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
| Sviluppare e definire un piano di sicurezza del sistema | CMA_0151 - Sviluppare e definire un piano di sicurezza del sistema | Manuale, Disabilitato | 1.1.0 |
| Definire una strategia di gestione dei rischi | CMA_0258 - Definire una strategia di gestione dei rischi | Manuale, Disabilitato | 1.1.0 |
| Stabilire i requisiti di sicurezza per la produzione di dispositivi connessi | CMA_0279 - Stabilire i requisiti di sicurezza per la produzione di dispositivi connessi | Manuale, Disabilitato | 1.1.0 |
| Implementare i principi di ingegneria della sicurezza dei sistemi informativi | CMA_0325 - Implementare i principi di ingegneria della sicurezza dei sistemi informativi | Manuale, Disabilitato | 1.1.0 |
COSO Principle 4
ID: SOC 2 Tipo 2 CC1.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Erogare formazione periodica sulla sicurezza basata sui ruoli | CMA_C1095 - Erogare formazione periodica sulla sicurezza basata sui ruoli | Manuale, Disabilitato | 1.1.0 |
| Erogare formazione periodica di sensibilizzazione sulla sicurezza | CMA_C1091 - Erogare formazione periodica di sensibilizzazione sulla sicurezza | Manuale, Disabilitato | 1.1.0 |
| Fornire esercizi pratici basati sul ruolo | CMA_C1096 - Fornire esercizi pratici basati sul ruolo | Manuale, Disabilitato | 1.1.0 |
| Fornire la formazione sulla sicurezza prima di concedere l'accesso | CMA_0418 - Erogare la formazione sulla sicurezza prima di concedere l'accesso | Manuale, Disabilitato | 1.1.0 |
| Erogare la formazione sulla sicurezza per i nuovi utenti | CMA_0419 - Erogare la formazione sulla sicurezza per i nuovi utenti | Manuale, Disabilitato | 1.1.0 |
COSO Principle 5
ID: SOC 2 Tipo 2 CC1.5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Sviluppare procedure e criteri di utilizzo accettabili | CMA_0143 - Sviluppare procedure e criteri di utilizzo accettabili | Manuale, Disabilitato | 1.1.0 |
| Imporre regole di comportamento e accordi di accesso | CMA_0248 - Imporre regole di comportamento e accordi di accesso | Manuale, Disabilitato | 1.1.0 |
| Implementare il processo per sanzioni formali | CMA_0317 - Implementare il processo per sanzioni formali | Manuale, Disabilitato | 1.1.0 |
| Avvisare il personale in caso di sanzioni | CMA_0380 - Avvisare il personale in caso di sanzioni | Manuale, Disabilitato | 1.1.0 |
Comunicazione e informazioni
COSO Principle 13
ID: SOC 2 Tipo 2 CC2.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
| Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | CMA_0369 - Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | Manuale, Disabilitato | 1.1.0 |
| Rivedere attività e analisi delle etichette | CMA_0474 - Rivedere attività e analisi delle etichette | Manuale, Disabilitato | 1.1.0 |
COSO Principle 14
ID: SOC 2 Tipo 2 CC2.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Sviluppare procedure e criteri di utilizzo accettabili | CMA_0143 - Sviluppare procedure e criteri di utilizzo accettabili | Manuale, Disabilitato | 1.1.0 |
| È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 1.2.0 |
| È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta | Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 2.1.0 |
| Imporre regole di comportamento e accordi di accesso | CMA_0248 - Imporre regole di comportamento e accordi di accesso | Manuale, Disabilitato | 1.1.0 |
| Erogare formazione periodica sulla sicurezza basata sui ruoli | CMA_C1095 - Erogare formazione periodica sulla sicurezza basata sui ruoli | Manuale, Disabilitato | 1.1.0 |
| Erogare formazione periodica di sensibilizzazione sulla sicurezza | CMA_C1091 - Erogare formazione periodica di sensibilizzazione sulla sicurezza | Manuale, Disabilitato | 1.1.0 |
| Fornire la formazione sulla sicurezza prima di concedere l'accesso | CMA_0418 - Erogare la formazione sulla sicurezza prima di concedere l'accesso | Manuale, Disabilitato | 1.1.0 |
| Erogare la formazione sulla sicurezza per i nuovi utenti | CMA_0419 - Erogare la formazione sulla sicurezza per i nuovi utenti | Manuale, Disabilitato | 1.1.0 |
| Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
COSO Principle 15
ID: SOC 2 Tipo 2 CC2.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Definire i compiti dei processori | CMA_0127 - Definire i compiti dei processori | Manuale, Disabilitato | 1.1.0 |
| Recapitare i risultati della valutazione della sicurezza | CMA_C1147 - Recapitare i risultati della valutazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
| Sviluppare e definire un piano di sicurezza del sistema | CMA_0151 - Sviluppare e definire un piano di sicurezza del sistema | Manuale, Disabilitato | 1.1.0 |
| È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 1.2.0 |
| È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta | Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 2.1.0 |
| Stabilire i requisiti di sicurezza per la produzione di dispositivi connessi | CMA_0279 - Stabilire i requisiti di sicurezza per la produzione di dispositivi connessi | Manuale, Disabilitato | 1.1.0 |
| Stabilire i requisiti di sicurezza del personale di terze parti | CMA_C1529 - Stabilire i requisiti di sicurezza del personale di terze parti | Manuale, Disabilitato | 1.1.0 |
| Implementare metodi di distribuzione dell'informativa sulla privacy | CMA_0324 - Implementare metodi di distribuzione dell'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Implementare i principi di ingegneria della sicurezza dei sistemi informativi | CMA_0325 - Implementare i principi di ingegneria della sicurezza dei sistemi informativi | Manuale, Disabilitato | 1.1.0 |
| Generare il report di valutazione della sicurezza | CMA_C1146 - Generare il report di valutazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
| Fornire l'informativa sulla privacy | CMA_0414 - Fornire l'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Richiedere ai fornitori di terze parti di rispettare i criteri e le procedure di sicurezza del personale | CMA_C1530 - Richiedere ai fornitori di terze parti di rispettare i criteri e le procedure di sicurezza del personale | Manuale, Disabilitato | 1.1.0 |
| Limitare le comunicazioni | CMA_0449 - Limitare le comunicazioni | Manuale, Disabilitato | 1.1.0 |
| Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
Valutazione dei rischi
COSO Principle 6
ID: SOC 2 Tipo 2 CC3.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Classificare le informazioni | CMA_0052 - Classificare le informazioni | Manuale, Disabilitato | 1.1.0 |
| Determinare le esigenze di protezione delle informazioni | CMA_C1750 - Determinare i requisiti di protezione delle informazioni | Manuale, Disabilitato | 1.1.0 |
| Sviluppare schemi di classificazione commerciale | CMA_0155 - Sviluppare schemi di classificazione commerciale | Manuale, Disabilitato | 1.1.0 |
| Sviluppare fornitori di servizi condivisi che soddisfano i criteri | CMA_C1492 - Sviluppare fornitori di servizi condivisi che soddisfano i criteri | Manuale, Disabilitato | 1.1.0 |
| Definire una strategia di gestione dei rischi | CMA_0258 - Definire una strategia di gestione dei rischi | Manuale, Disabilitato | 1.1.0 |
| Eseguire una valutazione dei rischi | CMA_0388 - Eseguire una valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
| Rivedere attività e analisi delle etichette | CMA_0474 - Rivedere attività e analisi delle etichette | Manuale, Disabilitato | 1.1.0 |
COSO Principle 7
ID: SOC 2 Tipo 2 CC3.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. | AuditIfNotExists, Disabled | 3.0.0 |
| Classificare le informazioni | CMA_0052 - Classificare le informazioni | Manuale, Disabilitato | 1.1.0 |
| Determinare le esigenze di protezione delle informazioni | CMA_C1750 - Determinare i requisiti di protezione delle informazioni | Manuale, Disabilitato | 1.1.0 |
| Sviluppare schemi di classificazione commerciale | CMA_0155 - Sviluppare schemi di classificazione commerciale | Manuale, Disabilitato | 1.1.0 |
| Definire una strategia di gestione dei rischi | CMA_0258 - Definire una strategia di gestione dei rischi | Manuale, Disabilitato | 1.1.0 |
| Eseguire una valutazione dei rischi | CMA_0388 - Eseguire una valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
| Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
| Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
| Rivedere attività e analisi delle etichette | CMA_0474 - Rivedere attività e analisi delle etichette | Manuale, Disabilitato | 1.1.0 |
| La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | Controlla ogni istanza gestita di SQL in cui non sono abilitate analisi di valutazione della vulnerabilità ricorrenti. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. | AuditIfNotExists, Disabled | 1.0.1 |
| È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | Controllare i server di Azure SQL in cui non è stata configurata adeguatamente la valutazione della vulnerabilità. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. | AuditIfNotExists, Disabled | 3.0.0 |
COSO Principle 8
ID: SOC 2 Type 2 CC3.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Eseguire una valutazione dei rischi | CMA_0388 - Eseguire una valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
Principio 9 COSO
ID: SOC 2 Tipo 2 CC3.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Valutare i rischi nelle relazioni con terze parti | CMA_0014 - Valutare i rischi nelle relazioni con terze parti | Manuale, Disabilitato | 1.1.0 |
| Definire i requisiti per la fornitura di beni e servizi | CMA_0126 - Definire i requisiti per la fornitura di beni e servizi | Manuale, Disabilitato | 1.1.0 |
| Determinare gli obblighi contrattuali dei fornitori | CMA_0140 - Determinare gli obblighi contrattuali dei fornitori | Manuale, Disabilitato | 1.1.0 |
| Definire una strategia di gestione dei rischi | CMA_0258 - Definire una strategia di gestione dei rischi | Manuale, Disabilitato | 1.1.0 |
| Stabilire criteri per la gestione dei rischi della catena di approvvigionamento | CMA_0275 - Stabilire criteri per la gestione dei rischi della catena di approvvigionamento | Manuale, Disabilitato | 1.1.0 |
| Eseguire una valutazione dei rischi | CMA_0388 - Eseguire una valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
Attività di monitoraggio
COSO Principle 16
ID: SOC 2 Tipo 2 CC4.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Valutare i controlli di sicurezza | CMA_C1145 - Valutare i controlli di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Sviluppare un piano di valutazione della sicurezza | CMA_C1144 - Sviluppare un piano di valutazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
| Selezionare test aggiuntivi per le valutazioni dei controlli di sicurezza | CMA_C1149 - Selezionare test aggiuntivi per le valutazioni dei controlli di sicurezza | Manuale, Disabilitato | 1.1.0 |
COSO Principle 17
ID: SOC 2 Tipo 2 CC4.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Recapitare i risultati della valutazione della sicurezza | CMA_C1147 - Recapitare i risultati della valutazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
| Generare il report di valutazione della sicurezza | CMA_C1146 - Generare il report di valutazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
Attività di controllo
COSO Principle 10
ID: SOC 2 Tipo 2 CC5.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Definire una strategia di gestione dei rischi | CMA_0258 - Definire una strategia di gestione dei rischi | Manuale, Disabilitato | 1.1.0 |
| Eseguire una valutazione dei rischi | CMA_0388 - Eseguire una valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
COSO Principle 11
ID: SOC 2 Tipo 2 CC5.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Per la sottoscrizione devono essere designati al massimo 3 proprietari | È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. | AuditIfNotExists, Disabled | 3.0.0 |
| Gli account bloccati con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi | Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
| Progettare un modello di controllo degli accessi | CMA_0129 - Progettare un modello di controllo degli accessi | Manuale, Disabilitato | 1.1.0 |
| Determinare gli obblighi contrattuali dei fornitori | CMA_0140 - Determinare gli obblighi contrattuali dei fornitori | Manuale, Disabilitato | 1.1.0 |
| Documentare i criteri di accettazione dei contratti di acquisizione | CMA_0187 - Documentare i criteri di accettazione dei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare la protezione dei dati personali nei contratti di acquisizione | CMA_0194 - Documentare la protezione dei dati personali nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare la protezione delle informazioni di sicurezza nei contratti di acquisizione | CMA_0195 - Documentare la protezione delle informazioni di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti per l'utilizzo dei dati condivisi nei contratti | CMA_0197 - Documentare i requisiti per l'utilizzo dei dati condivisi nei contratti | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti di controllo della sicurezza nei contratti di acquisizione | CMA_0199 - Documentare i requisiti di controllo della sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti di documentazione della sicurezza nel contratto di acquisizione | CMA_0200 - Documentare i requisiti di documentazione della sicurezza nel contratto di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti funzionali della sicurezza nei contratti di acquisizione | CMA_0201 - Documentare i requisiti funzionali della sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti di complessità della sicurezza nei contratti di acquisizione | CMA_0203 - Documentare i requisiti di complessità della sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare l'ambiente del sistema informativo nei contratti di acquisizione | CMA_0205 - Documentare l'ambiente del sistema informativo nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti | CMA_0207 - Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti | Manuale, Disabilitato | 1.1.0 |
| Utilizzare l'accesso con privilegi minimi | CMA_0212 - Utilizzare l'accesso con privilegi minimi | Manuale, Disabilitato | 1.1.0 |
| Gli account guest con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Eseguire una valutazione dei rischi | CMA_0388 - Eseguire una valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
| Alla sottoscrizione deve essere assegnato più di un proprietario | È consigliabile designare più di un proprietario di sottoscrizione per assicurare la ridondanza dell'accesso amministratore. | AuditIfNotExists, Disabled | 3.0.0 |
COSO Principle 12
ID: SOC 2 Tipo 2 CC5.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Configurare l'elenco elementi consentiti per il rilevamento | CMA_0068 - Configurare l'elenco elementi consentiti per il rilevamento | Manuale, Disabilitato | 1.1.0 |
| Eseguire una valutazione dei rischi | CMA_0388 - Eseguire una valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
| Abilitare i sensori per la soluzione di sicurezza degli endpoint | CMA_0514 - Abilitare i sensori per la soluzione di sicurezza degli endpoint | Manuale, Disabilitato | 1.1.0 |
| Sottoporsi a una revisione indipendente della sicurezza | CMA_0515 - Sottoporsi a una revisione indipendente della sicurezza | Manuale, Disabilitato | 1.1.0 |
Controlli di accesso logici e fisici
Software di sicurezza, infrastruttura e architetture per l'accesso logico
ID: SOC 2 Tipo 2 CC6.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Per la sottoscrizione devono essere designati al massimo 3 proprietari | È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. | AuditIfNotExists, Disabled | 3.0.0 |
| Per gli account con autorizzazioni di proprietario nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Per gli account con autorizzazioni di lettura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Per gli account con autorizzazioni di scrittura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | Centro sicurezza di Azure analizza i modelli di traffico delle macchine virtuali con connessione Internet e fornisce raccomandazioni sulle regole del gruppo di sicurezza di rete al fine di ridurre la superficie di attacco potenziale | AuditIfNotExists, Disabled | 3.0.0 |
| Adottare meccanismi di autenticazione biometrica | CMA_0005: adottare meccanismi di autenticazione biometrica | Manuale, Disabilitato | 1.1.0 |
| È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. | AuditIfNotExists, Disabled | 3.0.0 |
| Il Servizio app deve essere accessibile solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 4.0.0 |
| Le app del servizio app devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | AuditIfNotExists, Disabled | 3.0.0 |
| L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH | Sebbene SSH stesso fornisca una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux di Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Altre informazioni: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed | AuditIfNotExists, Disabled | 3.2.0 |
| Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza | CMA_0022 - Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Autorizzare e gestire l'accesso | CMA_0023 - Autorizzare e gestire l'accesso | Manuale, Disabilitato | 1.1.0 |
| Autorizzare l'accesso remoto | CMA_0024 - Autorizzare l'accesso remoto | Manuale, Disabilitato | 1.1.0 |
| Le variabili dell'account di automazione devono essere crittografate | È importante abilitare la crittografia degli asset della variabile dell'account di Automazione quando si archiviano dati sensibili | Audit, Deny, Disabled | 1.1.0 |
| Gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi di Azure Cosmos DB. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/cosmosdb-cmk. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| Le aree di lavoro di Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente | Gestire la crittografia inattiva dei dati dello spazio di lavoro Azure Machine Learning con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, Disabled | 1.0.3 |
| Gli account bloccati con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi | Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
| I certificati devono avere il periodo di validità massimo specificato | Consente di gestire i requisiti di conformità aziendali specificando il tempo di validità massimo di un certificato all'interno dell'insieme di credenziali delle chiavi. | audit, Audit, Deny, Deny, disabled, Disabled | 2.2.1 |
| Per gli account Servizi cognitivi è necessario abilitare la crittografia dei dati con una chiave gestita dal cliente | Le chiavi gestite dal cliente sono in genere richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati archiviati in Servizi cognitivi con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. È possibile trovare altre informazioni sulle chiavi gestite dal cliente facendo riferimento a https://go.microsoft.com/fwlink/?linkid=2121321. | Audit, Deny, Disabled | 2.1.0 |
| I registri del contenitore devono essere crittografati con una chiave gestita dal cliente | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del contenuto dei registri. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/acr/CMK. | Audit, Deny, Disabled | 1.1.2 |
| Controllare il flusso di informazioni | CMA_0079 - Controllare il flusso di informazioni | Manuale, Disabilitato | 1.1.0 |
| Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
| Creare un inventario dati | CMA_0096 - Creare un inventario dati | Manuale, Disabilitato | 1.1.0 |
| Definire un processo di gestione delle chiavi fisiche | CMA_0115 - Definire un processo di gestione delle chiavi fisiche | Manuale, Disabilitato | 1.1.0 |
| Definire l'utilizzo della crittografia | CMA_0120 - Definire l'utilizzo della crittografia | Manuale, Disabilitato | 1.1.0 |
| Definire i requisiti aziendali per la gestione delle chiavi crittografiche | CMA_0123 - Definire i requisiti aziendali per la gestione delle chiavi crittografiche | Manuale, Disabilitato | 1.1.0 |
| Progettare un modello di controllo degli accessi | CMA_0129 - Progettare un modello di controllo degli accessi | Manuale, Disabilitato | 1.1.0 |
| Determinare i requisiti di asserzione | CMA_0136 - Determinare i requisiti di asserzione | Manuale, Disabilitato | 1.1.0 |
| Documentare la formazione sulla mobilità | CMA_0191 - Documentare la formazione sulla mobilità | Manuale, Disabilitato | 1.1.0 |
| Documentare le linee guida di accesso remoto | CMA_0196 - Documentare le linee guida di accesso remoto | Manuale, Disabilitato | 1.1.0 |
| Utilizzare meccanismi di controllo di flusso delle informazioni crittografate | CMA_0211 - Utilizzare meccanismi di controllo di flusso delle informazioni crittografate | Manuale, Disabilitato | 1.1.0 |
| Utilizzare l'accesso con privilegi minimi | CMA_0212 - Utilizzare l'accesso con privilegi minimi | Manuale, Disabilitato | 1.1.0 |
| Imporre l'accesso logico | CMA_0245 - Imporre l'accesso logico | Manuale, Disabilitato | 1.1.0 |
| Imporre criteri di controllo di accesso obbligatori e discrezionali | CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
| Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL | Database di Azure per il server MySQL supporta la connessione alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
| Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL | Il database di Azure per PostgreSQL supporta la connessione del server di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
| Stabilire una procedura di gestione delle perdite di dati | CMA_0255: stabilire una procedura di gestione delle perdite di dati | Manuale, Disabilitato | 1.1.0 |
| Stabilire gli standard di configurazione del firewall e del router | CMA_0272 - Stabilire gli standard di configurazione del firewall e del router | Manuale, Disabilitato | 1.1.0 |
| Stabilire la segmentazione della rete per l'ambiente dei dati dei titolari di carte | CMA_0273 - Stabilire la segmentazione della rete per l'ambiente dei dati dei titolari di carte | Manuale, Disabilitato | 1.1.0 |
| Le app per le funzioni devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 5.0.0 |
| Le app per le funzioni devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | AuditIfNotExists, Disabled | 3.0.0 |
| Le app per le funzioni devono usare la versione TLS più recente | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 2.0.1 |
| Gli account guest con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Identificare e gestire gli scambi di informazioni downstream | CMA_0298 - Identificare e gestire gli scambi di informazioni downstream | Manuale, Disabilitato | 1.1.0 |
| Implementare i controlli per proteggere i siti di lavoro alternativi | CMA_0315 - Implementare i controlli per proteggere siti di lavoro alternativi | Manuale, Disabilitato | 1.1.0 |
| Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree protette | Manuale, Disabilitato | 1.1.0 |
| Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Rilasciare certificati a chiave pubblica | CMA_0347 - Rilasciare certificati a chiave pubblica | Manuale, Disabilitato | 1.1.0 |
| Le chiavi degli insiemi di credenziali delle chiavi devono avere una data di scadenza | Le chiavi di crittografia devono avere una data di scadenza definita e non devono essere permanenti. Le chiavi sempre valide offrono a un potenziale utente malintenzionato più tempo per comprometterle. Impostare le date di scadenza per le chiavi di crittografia è una procedura di sicurezza consigliata. | Audit, Deny, Disabled | 1.0.2 |
| I segreti degli insiemi di credenziali delle chiavi devono avere una data di scadenza | I segreti devono avere una data di scadenza definita e non devono essere permanenti. I segreti validi a tempo indefinito forniscono ai potenziali utenti malintenzionati più tempo per comprometterli. Impostare le date di scadenza per i segreti è una procedura di sicurezza consigliata. | Audit, Deny, Disabled | 1.0.2 |
| È consigliabile che la protezione dall'eliminazione sia abilitata per gli insiemi di credenziali delle chiavi | L'eliminazione dolosa di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. È possibile evitare la perdita permanente dei dati abilitando la protezione dall'eliminazione temporanea e l'eliminazione temporanea. La protezione dalla rimozione definitiva consente di rispondere a questi tipi di attacco imponendo un periodo di conservazione obbligatorio per gli insiemi di credenziali delle chiavi eliminati temporaneamente. Nessuno all'interno dell'organizzazione né Microsoft sarà in grado di rimuovere definitivamente gli insiemi di credenziali delle chiavi durante il periodo di conservazione associato all'eliminazione temporanea. Tenere presente che gli insiemi di credenziali delle chiavi creati dopo il 1° settembre 2019 hanno l'eliminazione temporanea abilitata per impostazione predefinita. | Audit, Deny, Disabled | 2.1.0 |
| Negli insiemi di credenziali delle chiavi deve essere abilitata la funzionalità di eliminazione temporanea | L'eliminazione di un insieme di credenziali delle chiavi senza eliminazione temporanea abilitata elimina definitivamente tutti i segreti, le chiavi e i certificati archiviati nell'insieme di credenziali delle chiavi. L'eliminazione accidentale di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. L'eliminazione temporanea consente di ripristinare un insieme di credenziali delle chiavi eliminato accidentalmente per un periodo di conservazione configurabile. | Audit, Deny, Disabled | 3.0.0 |
| I cluster Kubernetes devono essere accessibili solo tramite HTTPS | L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito da attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Kubernetes con abilitazione di Azure Arc. Per altre info, visitare https://aka.ms/kubepolicydoc | audit, Audit, Deny, Deny, disabled, Disabled | 8.1.0 |
| Gestire i record dell'elaborazione dei dati personali | CMA_0353 - Gestire i record dell'elaborazione dei dati personali | Manuale, Disabilitato | 1.1.0 |
| Gestire le chiavi crittografiche simmetriche | CMA_0367 - Gestire le chiavi crittografiche simmetriche | Manuale, Disabilitato | 1.1.0 |
| Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | CMA_0369 - Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | Manuale, Disabilitato | 1.1.0 |
| Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
| È consigliabile chiudere le porte di gestione nelle macchine virtuali | Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. | AuditIfNotExists, Disabled | 3.0.0 |
| I server MySQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei server MySQL. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | AuditIfNotExists, Disabled | 1.0.4 |
| Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Inviare agli utenti una notifica di accesso al sistema | CMA_0382 - Inviare agli utenti una notifica di accesso al sistema | Manuale, Disabilitato | 1.1.0 |
| Devono essere abilitate solo le connessioni sicure alla cache di Azure per Redis | Controllare l'abilitazione delle sole connessioni tramite SSL a Cache Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 1.0.0 |
| I server PostgreSQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei server PostgreSQL. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | AuditIfNotExists, Disabled | 1.0.4 |
| Proteggere i dati in movimento mediante la crittografia | CMA_0403 - Proteggere i dati in movimento mediante la crittografia | Manuale, Disabilitato | 1.1.0 |
| Proteggere le informazioni speciali | CMA_0409: proteggere le informazioni speciali | Manuale, Disabilitato | 1.1.0 |
| Fornire formazione sulla privacy | CMA_0415 - Fornire formazione sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Richiedere l'approvazione per la creazione di account | CMA_0431 - Richiedere l'approvazione per la creazione di account | Manuale, Disabilitato | 1.1.0 |
| Limitare l'accesso alle chiavi private | CMA_0445 - Limitare l'accesso alle chiavi private | Manuale, Disabilitato | 1.1.0 |
| Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili | CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili | Manuale, Disabilitato | 1.1.0 |
| È consigliabile abilitare il trasferimento sicuro agli account di archiviazione | Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 2.0.0 |
| La proprietà ClusterProtectionLevel dei cluster di Service Fabric dovrebbe essere impostata su EncryptAndSign | Service Fabric offre tre livelli di protezione (None, Sign ed EncryptAndSign) per la comunicazione da nodo a nodo mediante un certificato cluster primario. Impostare il livello di protezione per garantire che tutti i messaggi da nodo a nodo vengano crittografati e firmati digitalmente | Audit, Deny, Disabled | 1.1.0 |
| Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. | Audit, Deny, Disabled | 2.0.0 |
| I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. | Audit, Deny, Disabled | 2.0.1 |
| L'account di archiviazione che include il contenitore con i log attività deve essere crittografato tramite BYOK | Questo criterio verifica se l'account di archiviazione che include il contenitore con i log attività è crittografato tramite BYOK. Il criterio funziona solo se l'account di archiviazione risiede nella stessa sottoscrizione dei log attività per impostazione predefinita. Per altre informazioni sulla crittografia dei dati inattivi in Archiviazione di Azure, vedere https://aka.ms/azurestoragebyok. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account di archiviazione devono usare la chiave gestita dal cliente per la crittografia | Proteggere l'account e file di archiviazione BLOB con maggiore flessibilità usando le chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'utilizzo di chiavi gestite dal cliente offre ulteriori possibilità di controllare la rotazione della chiave di crittografia o di cancellare crittograficamente i dati. | Audit, Disabled | 1.0.3 |
| Le subnet devono essere associate a un gruppo di sicurezza di rete | È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. | AuditIfNotExists, Disabled | 3.0.0 |
| Alla sottoscrizione deve essere assegnato più di un proprietario | È consigliabile designare più di un proprietario di sottoscrizione per assicurare la ridondanza dell'accesso amministratore. | AuditIfNotExists, Disabled | 3.0.0 |
| È consigliabile abilitare Transparent Data Encryption nei database SQL | Abilitare Transparent Data Encryption per proteggere i dati inattivi e rispettare i requisiti relativi alla conformità | AuditIfNotExists, Disabled | 2.0.0 |
| I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. | AuditIfNotExists, Disabled | 4.1.1 |
Provisioning e rimozione dell'accesso
ID: SOC 2 Tipo 2 CC6.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Assegnare i gestori degli account | CMA_0015 - Assegnare i gestori degli account | Manuale, Disabilitato | 1.1.0 |
| Controllare lo stato dell'account utente | CMA_0020 - Controllare lo stato dell'account utente | Manuale, Disabilitato | 1.1.0 |
| Gli account bloccati con autorizzazioni di scrittura e lettura nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
| Documentare i privilegi di accesso | CMA_0186 - Documentare i privilegi di accesso | Manuale, Disabilitato | 1.1.0 |
| Stabilire le condizioni per l'appartenenza a ruoli | CMA_0269 - Stabilire le condizioni per l'appartenenza a ruoli | Manuale, Disabilitato | 1.1.0 |
| Gli account guest con autorizzazioni di lettura nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account guest con autorizzazioni di scrittura nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Richiedere l'approvazione per la creazione di account | CMA_0431 - Richiedere l'approvazione per la creazione di account | Manuale, Disabilitato | 1.1.0 |
| Limitare l'accesso agli account con privilegi | CMA_0446 - Limitare l'accesso agli account con privilegi | Manuale, Disabilitato | 1.1.0 |
| Esaminare i log di provisioning account | CMA_0460 - Esaminare i log di provisioning account | Manuale, Disabilitato | 1.1.0 |
| Esaminare gli account utente | CMA_0480 - Esaminare gli account utente | Manuale, Disabilitato | 1.1.0 |
Controllo degli accessi in base al ruolo e privilegi minimi
ID: SOC 2 Tipo 2 CC6.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Per la sottoscrizione devono essere designati al massimo 3 proprietari | È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. | AuditIfNotExists, Disabled | 3.0.0 |
| Controllare le funzioni con privilegi | CMA_0019 - Controllare le funzioni con privilegi | Manuale, Disabilitato | 1.1.0 |
| Controllare l'utilizzo dei ruoli Controllo degli accessi in base al ruolo (RBAC) personalizzati | Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce | Audit, Disabled | 1.0.1 |
| Controllare lo stato dell'account utente | CMA_0020 - Controllare lo stato dell'account utente | Manuale, Disabilitato | 1.1.0 |
| Gli account bloccati con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi | Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account bloccati con autorizzazioni di scrittura e lettura nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
| Progettare un modello di controllo degli accessi | CMA_0129 - Progettare un modello di controllo degli accessi | Manuale, Disabilitato | 1.1.0 |
| Utilizzare l'accesso con privilegi minimi | CMA_0212 - Utilizzare l'accesso con privilegi minimi | Manuale, Disabilitato | 1.1.0 |
| Gli account guest con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account guest con autorizzazioni di lettura nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account guest con autorizzazioni di scrittura nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Monitorare l'assegnazione di ruoli con privilegi | CMA_0378 - Monitorare l'assegnazione di ruoli con privilegi | Manuale, Disabilitato | 1.1.0 |
| Limitare l'accesso agli account con privilegi | CMA_0446 - Limitare l'accesso agli account con privilegi | Manuale, Disabilitato | 1.1.0 |
| Esaminare i log di provisioning account | CMA_0460 - Esaminare i log di provisioning account | Manuale, Disabilitato | 1.1.0 |
| Esaminare gli account utente | CMA_0480 - Esaminare gli account utente | Manuale, Disabilitato | 1.1.0 |
| Esaminare i privilegi utente | CMA_C1039 - Esaminare i privilegi utente | Manuale, Disabilitato | 1.1.0 |
| Revocare i ruoli con privilegi in base alle esigenze | CMA_0483 - Revocare i ruoli con privilegi in base alle esigenze | Manuale, Disabilitato | 1.1.0 |
| Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo | Per garantire un filtro granulare per le azioni che gli utenti possono eseguire, usare il controllo degli accessi in base al ruolo per gestire le autorizzazioni nei cluster del servizio Kubernetes e configurare i criteri di autorizzazione pertinenti. | Audit, Disabled | 1.0.4 |
| Alla sottoscrizione deve essere assegnato più di un proprietario | È consigliabile designare più di un proprietario di sottoscrizione per assicurare la ridondanza dell'accesso amministratore. | AuditIfNotExists, Disabled | 3.0.0 |
| Usare Privileged Identity Management | CMA_0533 - Usare Privileged Identity Management | Manuale, Disabilitato | 1.1.0 |
Accesso fisico limitato
ID: SOC 2 Tipo 2 CC6.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
Protezioni logiche e fisiche su risorse fisiche
ID: SOC 2 Tipo 2 CC6.5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Utilizzare un meccanismo di bonifica dei supporti | CMA_0208 - Utilizzare un meccanismo di bonifica dei supporti | Manuale, Disabilitato | 1.1.0 |
| Implementare i controlli per proteggere tutti i supporti | CMA_0314 - Implementare i controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
Misure di sicurezza contro minacce esterne ai limiti del sistema
ID: SOC 2 Tipo 2 CC6.6 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: tutto il traffico Internet deve essere instradato tramite il firewall di Azure distribuito | Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato | AuditIfNotExists, Disabled | 3.0.0-preview |
| Per gli account con autorizzazioni di proprietario nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Per gli account con autorizzazioni di lettura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Per gli account con autorizzazioni di scrittura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | Centro sicurezza di Azure analizza i modelli di traffico delle macchine virtuali con connessione Internet e fornisce raccomandazioni sulle regole del gruppo di sicurezza di rete al fine di ridurre la superficie di attacco potenziale | AuditIfNotExists, Disabled | 3.0.0 |
| Adottare meccanismi di autenticazione biometrica | CMA_0005: adottare meccanismi di autenticazione biometrica | Manuale, Disabilitato | 1.1.0 |
| È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. | AuditIfNotExists, Disabled | 3.0.0 |
| Il Servizio app deve essere accessibile solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 4.0.0 |
| Le app del servizio app devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | AuditIfNotExists, Disabled | 3.0.0 |
| L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH | Sebbene SSH stesso fornisca una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux di Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Altre informazioni: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed | AuditIfNotExists, Disabled | 3.2.0 |
| Autorizzare l'accesso remoto | CMA_0024 - Autorizzare l'accesso remoto | Manuale, Disabilitato | 1.1.0 |
| Web application firewall di Azure deve essere abilitato per i punti di ingresso di Frontdoor di Azure | Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Audit, Deny, Disabled | 1.0.2 |
| Controllare il flusso di informazioni | CMA_0079 - Controllare il flusso di informazioni | Manuale, Disabilitato | 1.1.0 |
| Documentare la formazione sulla mobilità | CMA_0191 - Documentare la formazione sulla mobilità | Manuale, Disabilitato | 1.1.0 |
| Documentare le linee guida di accesso remoto | CMA_0196 - Documentare le linee guida di accesso remoto | Manuale, Disabilitato | 1.1.0 |
| Utilizzare meccanismi di controllo di flusso delle informazioni crittografate | CMA_0211 - Utilizzare meccanismi di controllo di flusso delle informazioni crittografate | Manuale, Disabilitato | 1.1.0 |
| Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL | Database di Azure per il server MySQL supporta la connessione alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
| Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL | Il database di Azure per PostgreSQL supporta la connessione del server di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
| Stabilire gli standard di configurazione del firewall e del router | CMA_0272 - Stabilire gli standard di configurazione del firewall e del router | Manuale, Disabilitato | 1.1.0 |
| Stabilire la segmentazione della rete per l'ambiente dei dati dei titolari di carte | CMA_0273 - Stabilire la segmentazione della rete per l'ambiente dei dati dei titolari di carte | Manuale, Disabilitato | 1.1.0 |
| Le app per le funzioni devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 5.0.0 |
| Le app per le funzioni devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | AuditIfNotExists, Disabled | 3.0.0 |
| Le app per le funzioni devono usare la versione TLS più recente | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 2.0.1 |
| Identificare e autenticare i dispositivi di rete | CMA_0296 - Identificare e autenticare i dispositivi di rete | Manuale, Disabilitato | 1.1.0 |
| Identificare e gestire gli scambi di informazioni downstream | CMA_0298 - Identificare e gestire gli scambi di informazioni downstream | Manuale, Disabilitato | 1.1.0 |
| Implementare i controlli per proteggere i siti di lavoro alternativi | CMA_0315 - Implementare i controlli per proteggere siti di lavoro alternativi | Manuale, Disabilitato | 1.1.0 |
| Implementare la protezione del limite del sistema | CMA_0328 - Implementare la protezione del limite del sistema | Manuale, Disabilitato | 1.1.0 |
| Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| L'inoltro IP nella macchina virtuale deve essere disabilitato | L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. | AuditIfNotExists, Disabled | 3.0.0 |
| I cluster Kubernetes devono essere accessibili solo tramite HTTPS | L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito da attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Kubernetes con abilitazione di Azure Arc. Per altre info, visitare https://aka.ms/kubepolicydoc | audit, Audit, Deny, Deny, disabled, Disabled | 8.1.0 |
| Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
| È consigliabile chiudere le porte di gestione nelle macchine virtuali | Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. | AuditIfNotExists, Disabled | 3.0.0 |
| Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Inviare agli utenti una notifica di accesso al sistema | CMA_0382 - Inviare agli utenti una notifica di accesso al sistema | Manuale, Disabilitato | 1.1.0 |
| Devono essere abilitate solo le connessioni sicure alla cache di Azure per Redis | Controllare l'abilitazione delle sole connessioni tramite SSL a Cache Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 1.0.0 |
| Proteggere i dati in movimento mediante la crittografia | CMA_0403 - Proteggere i dati in movimento mediante la crittografia | Manuale, Disabilitato | 1.1.0 |
| Fornire formazione sulla privacy | CMA_0415 - Fornire formazione sulla privacy | Manuale, Disabilitato | 1.1.0 |
| È consigliabile abilitare il trasferimento sicuro agli account di archiviazione | Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 2.0.0 |
| Le subnet devono essere associate a un gruppo di sicurezza di rete | È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. | AuditIfNotExists, Disabled | 3.0.0 |
| Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione | Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Audit, Deny, Disabled | 2.0.0 |
| I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. | AuditIfNotExists, Disabled | 4.1.1 |
Limitazione dello spostamento delle informazioni agli utenti autorizzati
ID: SOC 2 Tipo 2 CC6.7 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | Centro sicurezza di Azure analizza i modelli di traffico delle macchine virtuali con connessione Internet e fornisce raccomandazioni sulle regole del gruppo di sicurezza di rete al fine di ridurre la superficie di attacco potenziale | AuditIfNotExists, Disabled | 3.0.0 |
| È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. | AuditIfNotExists, Disabled | 3.0.0 |
| Il Servizio app deve essere accessibile solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 4.0.0 |
| Le app del servizio app devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | AuditIfNotExists, Disabled | 3.0.0 |
| Configurare le workstation per il controllo dei certificati digitali | CMA_0073 - Configurare le workstation per il controllo dei certificati digitali | Manuale, Disabilitato | 1.1.0 |
| Controllare il flusso di informazioni | CMA_0079 - Controllare il flusso di informazioni | Manuale, Disabilitato | 1.1.0 |
| Definire i requisiti per i dispositivi mobili | CMA_0122 - Definire i requisiti per i dispositivi mobili | Manuale, Disabilitato | 1.1.0 |
| Utilizzare un meccanismo di bonifica dei supporti | CMA_0208 - Utilizzare un meccanismo di bonifica dei supporti | Manuale, Disabilitato | 1.1.0 |
| Utilizzare meccanismi di controllo di flusso delle informazioni crittografate | CMA_0211 - Utilizzare meccanismi di controllo di flusso delle informazioni crittografate | Manuale, Disabilitato | 1.1.0 |
| Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL | Database di Azure per il server MySQL supporta la connessione alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
| Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL | Il database di Azure per PostgreSQL supporta la connessione del server di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
| Stabilire gli standard di configurazione del firewall e del router | CMA_0272 - Stabilire gli standard di configurazione del firewall e del router | Manuale, Disabilitato | 1.1.0 |
| Stabilire la segmentazione della rete per l'ambiente dei dati dei titolari di carte | CMA_0273 - Stabilire la segmentazione della rete per l'ambiente dei dati dei titolari di carte | Manuale, Disabilitato | 1.1.0 |
| Le app per le funzioni devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 5.0.0 |
| Le app per le funzioni devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | AuditIfNotExists, Disabled | 3.0.0 |
| Le app per le funzioni devono usare la versione TLS più recente | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 2.0.1 |
| Identificare e gestire gli scambi di informazioni downstream | CMA_0298 - Identificare e gestire gli scambi di informazioni downstream | Manuale, Disabilitato | 1.1.0 |
| Implementare i controlli per proteggere tutti i supporti | CMA_0314 - Implementare i controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
| Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| I cluster Kubernetes devono essere accessibili solo tramite HTTPS | L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito da attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Kubernetes con abilitazione di Azure Arc. Per altre info, visitare https://aka.ms/kubepolicydoc | audit, Audit, Deny, Deny, disabled, Disabled | 8.1.0 |
| Gestire il trasporto degli asset | CMA_0370 - Gestire il trasporto degli asset | Manuale, Disabilitato | 1.1.0 |
| Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
| È consigliabile chiudere le porte di gestione nelle macchine virtuali | Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. | AuditIfNotExists, Disabled | 3.0.0 |
| Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Devono essere abilitate solo le connessioni sicure alla cache di Azure per Redis | Controllare l'abilitazione delle sole connessioni tramite SSL a Cache Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 1.0.0 |
| Proteggere i dati in movimento mediante la crittografia | CMA_0403 - Proteggere i dati in movimento mediante la crittografia | Manuale, Disabilitato | 1.1.0 |
| Proteggere le password con la crittografia | CMA_0408 - Proteggere le password con la crittografia | Manuale, Disabilitato | 1.1.0 |
| È consigliabile abilitare il trasferimento sicuro agli account di archiviazione | Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 2.0.0 |
| Le subnet devono essere associate a un gruppo di sicurezza di rete | È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. | AuditIfNotExists, Disabled | 4.1.1 |
Prevenzione o rilevamento di software non autorizzato o dannoso
ID: SOC 2 Tipo 2 CC6.8 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Deprecato]: le app per le funzioni devono avere l’abilitazione per i "Certificati client (certificati client in ingresso)" | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con certificati validi potranno raggiungere l'app. Questo criterio è stato sostituito da uno nuovo, con stesso nome, perché HTTP 2.0 non supporta i certificati client. | Audit, Disabled | 3.1.0-deprecato |
| [Anteprima]: L'estensione di attestazione guest deve essere installata nelle macchine virtuali Linux supportate | Installare l'estensione Attestazione guest nelle macchine virtuali Linux supportate per consentire al Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica alle macchine virtuali Linux riservate e di avvio attendibile. | AuditIfNotExists, Disabled | 6.0.0-anteprima |
| [Anteprima]: L'estensione di attestazione guest deve essere installata su set di scalabilità di macchine virtuali Linux supportate | Installare l'estensione di attestazione guest su set di scalabilità di macchine virtuali Linux supportate per consentire al Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica ai set di scalabilità di macchine virtuali Linux riservate e di avvio attendibile. | AuditIfNotExists, Disabled | 5.1.0-anteprima |
| [Anteprima]: L'estensione di attestazione guest deve essere installata nelle macchine virtuali Windows supportate | Installare l'estensione di attestazione guest nelle macchine virtuali supportate per consentire al Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica alle macchine virtuali Windows riservate e di avvio attendibile. | AuditIfNotExists, Disabled | 4.0.0-preview |
| [Anteprima]: L'estensione di attestazione guest deve essere installata su set di scalabilità di macchine virtuali Windows supportate | Installare l'estensione di attestazione guest su set di scalabilità di macchine virtuali supportate per consentire al Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica a set di scalabilità di macchine virtuali Windows riservate e di avvio attendibile. | AuditIfNotExists, Disabled | 3.1.0-anteprima |
| [Anteprima]: L'avvio protetto deve essere abilitato sulle macchine virtuali Windows supportate | Abilitare l'avvio protetto nelle macchine virtuali Windows supportate per attenuare le modifiche dannose e non autorizzate alla catena di avvio. Dopo l'abilitazione, solo i bootloader attendibili, i kernel e i driver kernel saranno autorizzati a essere eseguiti. Questa valutazione si applica alle macchine virtuali Windows riservate e di avvio attendibile. | Audit, Disabled | 4.0.0-preview |
| [Anteprima]: vTPM deve essere abilitato nelle macchine virtuali supportate | Abilitare il dispositivo TPM virtuale nelle macchine virtuali supportate per facilitare l'avvio misurato e altre funzionalità di sicurezza del sistema operativo che richiedono un TPM. Dopo l'abilitazione, vTPM può essere usato per attestare l'integrità dell'avvio. Questa valutazione si applica solo alle macchine virtuali abilitate per l'avvio attendibile. | Audit, Disabled | 2.0.0-preview |
| I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. | AuditIfNotExists, Disabled | 3.0.0 |
| Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | Monitora le variazioni del comportamento nei gruppi di computer configurati per il controllo mediante i controlli applicazioni adattativi del Centro sicurezza di Azure. Il Centro sicurezza usa Machine Learning per analizzare i processi in esecuzione nei computer e suggerire un elenco di applicazioni sicure. Queste vengono presentate come app consigliate da consentire nei criteri dei controlli applicazioni adattivi. | AuditIfNotExists, Disabled | 3.0.0 |
| Per le app del servizio app deve essere abilitata l'opzione Certificati client (Certificati client in ingresso) | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Per le app del servizio app il debug remoto deve essere disattivato | Il debug remoto richiede l'apertura delle porte in ingresso in un'app per il servizio app. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 2.0.0 |
| Le app del Servizio app non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | Condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app. Consentire solo ai domini necessari di interagire con l'app. | AuditIfNotExists, Disabled | 2.0.0 |
| Le app del Servizio app devono usare la "versione HTTP" più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 4.0.0 |
| Controlla macchine virtuali che non usano dischi gestiti | Questo criterio controlla le macchine virtuali che non usano dischi gestiti | controllo | 1.0.0 |
| L'estensione di Criteri di Azure deve essere installata nei cluster Kubernetes con abilitazione per Azure Arc | L'estensione dei criteri d Azure per Azure Arc fornisce un'applicazione su larga scala e salvaguardie sui cluster Kubernetes abilitati ad Arc in modo centralizzato e coerente. Per ulteriori informazioni, vedi https://aka.ms/akspolicydoc. | AuditIfNotExists, Disabled | 1.1.0 |
| Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster | Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes estende Gatekeeper v3, un webhook del controller di ammissione per Open Policy Agent (OPA), per applicare le tutele e misure di sicurezza su larga scala per i cluster in modo centralizzato e coerente. | Audit, Disabled | 1.0.2 |
| Bloccare i processi non attendibili e non firmati eseguiti da USB | CMA_0050 - Bloccare i processi non attendibili e non firmati eseguiti da USB | Manuale, Disabilitato | 1.1.0 |
| È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer | Risolvere i problemi di integrità di Endpoint Protection nelle macchine virtuali per proteggerle dalle minacce e dalle vulnerabilità più recenti. Le soluzioni Endpoint Protection supportate dal Centro sicurezza di Azure sono documentate qui: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valutazione di Endpoint Protection è documentata qui: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
| È necessario installare Endpoint Protection nei computer | Per proteggere i computer da minacce e vulnerabilità, installare una soluzione supportata di Endpoint Protection. | AuditIfNotExists, Disabled | 1.0.0 |
| La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | Controlla la presenza e l'integrità di una soluzione Endpoint Protection nei set di scalabilità di macchine virtuali per proteggerli da minacce e vulnerabilità. | AuditIfNotExists, Disabled | 3.0.0 |
| Le app per le funzioni devono avere il debug remoto disattivato | Il debug remoto richiede che vengano aperte le porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 2.0.0 |
| Le app per le funzioni non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | Condivisione risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app per le funzioni. Consentire solo ai domini necessari di interagire con l'app per le funzioni dell'utente. | AuditIfNotExists, Disabled | 2.0.0 |
| Le app per le funzioni devono usare la versione più recente di HTTP | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 4.0.0 |
| L'estensione Configurazione guest deve essere installata nei computer | Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni in guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati | Applicare i limiti delle risorse di CPU e memoria dei contenitori per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.2.0 |
| I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host | Bloccare i contenitori pod dalla condivisione dello spazio dei nomi dell'ID del processo host e dello spazio dei nomi IPC dell'host in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.2 e CIS 5.2.3, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.1.0 |
| I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti | I contenitori devono usare solo i profili AppArmor consentiti in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.1 |
| I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti | Limitare le funzionalità per ridurre la superficie di attacco dei contenitori in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.8 e CIS 5.2.9, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.0 |
| I contenitori del cluster Kubernetes devono usare solo le immagini consentite | Usare immagini di registri attendibili per ridurre il rischio di esposizione del cluster Kubernetes a vulnerabilità sconosciute, problemi di sicurezza e immagini dannose. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.2.0 |
| I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura | Eseguire contenitori con un file system radice di sola lettura per proteggersi dalle modifiche in fase di esecuzione con file binari dannosi aggiunti a PATH in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.2.0 |
| I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti | Limitare i montaggi del volume HostPath dei pod ai percorsi host consentiti in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.1 |
| I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | Controllare gli ID degli utenti, dei gruppi primari, dei gruppi supplementari e dei gruppi di file system che i pod e i container possono usare per funzionare in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.1 |
| I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati | Limitare l'accesso dei pod alla rete host e all'intervallo di porte host consentito in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.4, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.0 |
| Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite | Limitare i servizi per l'ascolto solo sulle porte consentite per proteggere l'accesso al cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 8.1.0 |
| Il cluster Kubernetes non deve consentire contenitori con privilegi | Non consentire la creazione di contenitori privilegiati in un cluster Kubernetes. Questo consiglio fa parte di CIS 5.2.1, destinato a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.1.0 |
| Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato | Disabilita il montaggio automatico delle credenziali API per impedire a una risorsa pod potenzialmente compromessa di eseguire i comandi dell'API sui cluster Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 4.1.0 |
| I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori | Non consentire l'esecuzione dei contenitori con escalation dei privilegi alla radice in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.5, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.0 |
| I cluster Kubernetes non devono concedere le funzionalità di sicurezza CAP_SYS_ADMIN | Per ridurre la superficie di attacco dei contenitori, limitare le funzionalità di CAP_SYS_ADMIN Linux. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.1.0 |
| I cluster Kubernetes non devono usare lo spazio dei nomi predefinito | Impedisce l'utilizzo dello spazio dei nomi predefinito nei cluster Kubernetes per proteggere dagli accessi non autorizzati per i tipi di risorse Mapping di configurazione Pod, Segreto, Servizio e Account del servizio. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 4.1.0 |
| I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Calcolo di Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure. | AuditIfNotExists, Disabled | 2.2.0 |
| Gestire i gateway | CMA_0363 - Gestire i gateway | Manuale, Disabilitato | 1.1.0 |
| Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | I server in cui non è installato un agente di Endpoint Protection verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
| Devono essere installate solo le estensioni macchina virtuale approvate | Questo criterio regolamenta le estensioni macchina virtuale non approvate. | Audit, Deny, Disabled | 1.0.0 |
| Eseguire un'analisi delle tendenze per le minacce | CMA_0389 - Eseguire un'analisi delle tendenze per le minacce | Manuale, Disabilitato | 1.1.0 |
| Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
| Esaminare il report sui rilevamenti di malware ogni settimana | CMA_0475 - Esaminare il report sui rilevamenti di malware ogni settimana | Manuale, Disabilitato | 1.1.0 |
| Esaminare lo stato della protezione dalle minacce ogni settimana | CMA_0479 - Esaminare lo stato della protezione dalle minacce ogni settimana | Manuale, Disabilitato | 1.1.0 |
| Gli account di archiviazione devono consentire l'accesso da servizi Microsoft attendibili | Alcuni servizi Microsoft che interagiscono con gli account di archiviazione vengono eseguiti da reti alle quali non è possibile concedere l'accesso tramite le regole di rete. Per far sì che questo tipo di servizi funzioni come previsto, consentire al set di servizi Microsoft attendibili di ignorare le regole di rete. Questi servizi usano quindi l'autenticazione avanzata per accedere all'account di archiviazione. | Audit, Deny, Disabled | 1.0.0 |
| Aggiornare le definizioni antivirus | CMA_0517 - Aggiornare le definizioni antivirus | Manuale, Disabilitato | 1.1.0 |
| Verificare l'integrità di software, firmware e informazioni | CMA_0542 - Verificare l'integrità di software, firmware e informazioni | Manuale, Disabilitato | 1.1.0 |
| Visualizzare e configurare i dati di diagnostica del sistema | CMA_0544 - Visualizzare e configurare i dati di diagnostica del sistema | Manuale, Disabilitato | 1.1.0 |
| L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con un'identità gestita assegnata dal sistema | L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio saranno non conformi se l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
| I computer Windows devono soddisfare i requisiti della baseline di sicurezza di Calcolo di Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure. | AuditIfNotExists, Disabled | 2.0.0 |
Operazioni di sistema
Rilevamento e monitoraggio di nuove vulnerabilità
ID: SOC 2 Tipo 2 CC7.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. | AuditIfNotExists, Disabled | 3.0.0 |
| I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. | AuditIfNotExists, Disabled | 3.0.0 |
| Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | Monitora le variazioni del comportamento nei gruppi di computer configurati per il controllo mediante i controlli applicazioni adattativi del Centro sicurezza di Azure. Il Centro sicurezza usa Machine Learning per analizzare i processi in esecuzione nei computer e suggerire un elenco di applicazioni sicure. Queste vengono presentate come app consigliate da consentire nei criteri dei controlli applicazioni adattivi. | AuditIfNotExists, Disabled | 3.0.0 |
| Configurare le azioni per i dispositivi non conformi | CMA_0062: configurare le azioni per i dispositivi non conformi | Manuale, Disabilitato | 1.1.0 |
| Sviluppare e gestire le configurazioni di base | CMA_0153 - Sviluppare e gestire le configurazioni di base | Manuale, Disabilitato | 1.1.0 |
| Abilitare il rilevamento dei dispositivi di rete | CMA_0220 - Abilitare il rilevamento dei dispositivi di rete | Manuale, Disabilitato | 1.1.0 |
| Imporre le impostazioni della configurazione della sicurezza | CMA_0249 - Imporre le impostazioni della configurazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
| Stabilire un comitato di controllo della configurazione | CMA_0254: stabilire un comitato di controllo della configurazione | Manuale, Disabilitato | 1.1.0 |
| Definire e documentare un piano di gestione della configurazione | CMA_0264 - Definire e documentare un piano di gestione della configurazione | Manuale, Disabilitato | 1.1.0 |
| Implementare uno strumento di gestione della configurazione automatizzato | CMA_0311 - Implementare uno strumento di gestione della configurazione automatizzato | Manuale, Disabilitato | 1.1.0 |
| Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
| Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
| Imposta le notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione | CMA_0495 - Impostare notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione | Manuale, Disabilitato | 1.1.0 |
| Verificare l'integrità di software, firmware e informazioni | CMA_0542 - Verificare l'integrità di software, firmware e informazioni | Manuale, Disabilitato | 1.1.0 |
| Visualizzare e configurare i dati di diagnostica del sistema | CMA_0544 - Visualizzare e configurare i dati di diagnostica del sistema | Manuale, Disabilitato | 1.1.0 |
| La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | Controlla ogni istanza gestita di SQL in cui non sono abilitate analisi di valutazione della vulnerabilità ricorrenti. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. | AuditIfNotExists, Disabled | 1.0.1 |
| È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | Controllare i server di Azure SQL in cui non è stata configurata adeguatamente la valutazione della vulnerabilità. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. | AuditIfNotExists, Disabled | 3.0.0 |
Monitoraggio dei componenti di sistema per l'individuazione di comportamenti anomali
ID: SOC 2 Tipo 2 CC7.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: I cluster Kubernetes con abilitazione di Azure Arc dovrebbero avere installata l'estensione Microsoft Defender per il cloud | L'estensione Microsoft Defender for Cloud per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni sono disponibili in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-anteprima |
| Per operazioni amministrative specifiche deve esistere un avviso del log attività | Questo criterio controlla operazioni amministrative specifiche per cui non sono configurati avvisi del log attività. | AuditIfNotExists, Disabled | 1.0.0 |
| Per operazioni dei criteri specifiche deve esistere un avviso del log attività | Questo criterio controlla operazioni dei criteri specifiche per cui non sono configurati avvisi del log attività. | AuditIfNotExists, Disabled | 3.0.0 |
| Per operazioni di sicurezza specifiche deve esistere un avviso del log attività | Questo criterio controlla operazioni di sicurezza specifiche per cui non sono configurati avvisi del log attività. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender per il Servizio app deve essere abilitato | Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender per Key Vault deve essere abilitato | Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender per i database relazionali open source deve essere abilitato | Azure Defender per database relazionali open source rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. Ulteriori informazioni sulle funzionalità di Defender di Azure per database relazionali open source all'indirizzo https://aka.ms/AzDforOpenSourceDBsDocu. Importante: l'abilitazione di questo piano comporterà degli addebiti per la protezione dei database relazionali open source. Informazioni sui prezzi nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente tutte le operazioni di gestione risorse eseguite nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager. L'abilitazione di questo piano di Azure Defender comporta degli addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. | AuditIfNotExists, Disabled | 1.0.2 |
| I cluster del servizio Azure Kubernetes devono avere il profilo Defender abilitato | Microsoft Defender per contenitori offre funzionalità di sicurezza Kubernetes cloud-native, tra cui l'hardening dell'ambiente, la protezione del carico di lavoro e la protezione del tempo di esecuzione. Quando si abilita SecurityProfile.AzureDefender nel cluster del servizio Azure Kubernetes, un agente viene distribuito nel cluster per raccogliere i dati degli eventi di sicurezza. Altre informazioni su Microsoft Defender per contenitori si possono trovare in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, Disabled | 2.0.1 |
| Rilevare i servizi di rete non autorizzati o approvati | CMA_C1700: rilevare i servizi di rete non autorizzati o approvati | Manuale, Disabilitato | 1.1.0 |
| Gestire e monitorare le attività di elaborazione dei controlli | CMA_0289 - Gestire e monitorare le attività di elaborazione dei controlli | Manuale, Disabilitato | 1.1.0 |
| Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione della vulnerabilità e protezione in fase di esecuzione per gli ambienti Kubernetes Azure, ibrido e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender per archiviazione deve essere abilitato | Microsoft Defender per archiviazione rileva potenziali minacce per gli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano di Defender per archiviazione include l'analisi del malware e il rilevamento delle minacce per i dati sensibili. Questo piano fornisce anche una struttura prezzi stimabile (per account di archiviazione) per avere controllo sulla copertura e sui costi. | AuditIfNotExists, Disabled | 1.0.0 |
| Eseguire un'analisi delle tendenze per le minacce | CMA_0389 - Eseguire un'analisi delle tendenze per le minacce | Manuale, Disabilitato | 1.1.0 |
| Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali | Windows Defender Exploit Guard usa l’agente di Configurazione guest di Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows). | AuditIfNotExists, Disabled | 2.0.0 |
Rilevamento degli eventi imprevisti relativi alla sicurezza
ID: SOC 2 Tipo 2 CC7.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Rivedere e aggiornare i criteri e le procedure di risposta agli incidenti | CMA_C1352 - Rivedere e aggiornare i criteri e le procedure di risposta agli incidenti | Manuale, Disabilitato | 1.1.0 |
Risposta agli eventi imprevisti relativi alla sicurezza
ID: SOC 2 Tipo 2 CC7.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Valutare gli eventi di sicurezza delle informazioni | CMA_0013 - Valutare gli eventi di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
| Coordinare i piani di emergenza con i piani correlati | CMA_0086 - Coordinare i piani di emergenza con i piani correlati | Manuale, Disabilitato | 1.1.0 |
| Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
| Sviluppare misure di sicurezza | CMA_0161 - Sviluppare misure di sicurezza | Manuale, Disabilitato | 1.1.0 |
| È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 1.2.0 |
| È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta | Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 2.1.0 |
| Abilitare la protezione della rete | CMA_0238 - Abilitare la protezione della rete | Manuale, Disabilitato | 1.1.0 |
| Eliminare le informazioni contaminate | CMA_0253 - Eliminare le informazioni contaminate | Manuale, Disabilitato | 1.1.0 |
| Eseguire azioni in risposta a fuga/perdita di informazioni | CMA_0281 - Eseguire azioni in risposta a fuga/perdita di informazioni | Manuale, Disabilitato | 1.1.0 |
| Identificare le classi di eventi imprevisti e azioni eseguite | CMA_C1365 - Identificare le classi di eventi imprevisti e azioni eseguite | Manuale, Disabilitato | 1.1.0 |
| Implementare la gestione degli eventi | CMA_0318 - Implementare la gestione degli eventi | Manuale, Disabilitato | 1.1.0 |
| Includere la riconfigurazione dinamica delle risorse distribuite dal cliente | CMA_C1364 - Includere la riconfigurazione dinamica delle risorse distribuite dal cliente | Manuale, Disabilitato | 1.1.0 |
| Gestire il piano di risposta agli incidenti | CMA_0352 - Gestire il piano di risposta agli incidenti | Manuale, Disabilitato | 1.1.0 |
| È consigliabile abilitare Network Watcher | Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | AuditIfNotExists, Disabled | 3.0.0 |
| Eseguire un'analisi delle tendenze per le minacce | CMA_0389 - Eseguire un'analisi delle tendenze per le minacce | Manuale, Disabilitato | 1.1.0 |
| Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
| Visualizzare e analizzare gli utenti con restrizioni | CMA_0545 - Visualizzare e analizzare gli utenti con restrizioni | Manuale, Disabilitato | 1.1.0 |
Ripristino dagli eventi imprevisti relativi alla sicurezza identificati
ID: SOC 2 Tipo 2 CC7.5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Valutare gli eventi di sicurezza delle informazioni | CMA_0013 - Valutare gli eventi di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
| Eseguire test di risposta agli incidenti | CMA_0060 - Eseguire test di risposta agli incidenti | Manuale, Disabilitato | 1.1.0 |
| Coordinare i piani di emergenza con i piani correlati | CMA_0086 - Coordinare i piani di emergenza con i piani correlati | Manuale, Disabilitato | 1.1.0 |
| Coordinarsi con le organizzazioni esterne per ottenere una prospettiva comune tra più organizzazioni | CMA_C1368 - Coordinarsi con le organizzazioni esterne per ottenere una prospettiva comune tra più organizzazioni | Manuale, Disabilitato | 1.1.0 |
| Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
| Sviluppare misure di sicurezza | CMA_0161 - Sviluppare misure di sicurezza | Manuale, Disabilitato | 1.1.0 |
| È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 1.2.0 |
| È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta | Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 2.1.0 |
| Abilitare la protezione della rete | CMA_0238 - Abilitare la protezione della rete | Manuale, Disabilitato | 1.1.0 |
| Eliminare le informazioni contaminate | CMA_0253 - Eliminare le informazioni contaminate | Manuale, Disabilitato | 1.1.0 |
| Stabilire un programma di sicurezza delle informazioni | CMA_0263 - Stabilire un programma di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
| Eseguire azioni in risposta a fuga/perdita di informazioni | CMA_0281 - Eseguire azioni in risposta a fuga/perdita di informazioni | Manuale, Disabilitato | 1.1.0 |
| Implementare la gestione degli eventi | CMA_0318 - Implementare la gestione degli eventi | Manuale, Disabilitato | 1.1.0 |
| Gestire il piano di risposta agli incidenti | CMA_0352 - Gestire il piano di risposta agli incidenti | Manuale, Disabilitato | 1.1.0 |
| È consigliabile abilitare Network Watcher | Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | AuditIfNotExists, Disabled | 3.0.0 |
| Eseguire un'analisi delle tendenze per le minacce | CMA_0389 - Eseguire un'analisi delle tendenze per le minacce | Manuale, Disabilitato | 1.1.0 |
| Eseguire attacchi di simulazione | CMA_0486 - Eseguire attacchi di simulazione | Manuale, Disabilitato | 1.1.0 |
| Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
| Visualizzare e analizzare gli utenti con restrizioni | CMA_0545 - Visualizzare e analizzare gli utenti con restrizioni | Manuale, Disabilitato | 1.1.0 |
Gestione delle modifiche
Modifiche all'infrastruttura, ai dati e al software
ID: SOC 2 Tipo 2 CC8.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Deprecato]: le app per le funzioni devono avere l’abilitazione per i "Certificati client (certificati client in ingresso)" | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con certificati validi potranno raggiungere l'app. Questo criterio è stato sostituito da uno nuovo, con stesso nome, perché HTTP 2.0 non supporta i certificati client. | Audit, Disabled | 3.1.0-deprecato |
| [Anteprima]: L'estensione di attestazione guest deve essere installata nelle macchine virtuali Linux supportate | Installare l'estensione Attestazione guest nelle macchine virtuali Linux supportate per consentire al Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica alle macchine virtuali Linux riservate e di avvio attendibile. | AuditIfNotExists, Disabled | 6.0.0-anteprima |
| [Anteprima]: L'estensione di attestazione guest deve essere installata su set di scalabilità di macchine virtuali Linux supportate | Installare l'estensione di attestazione guest su set di scalabilità di macchine virtuali Linux supportate per consentire al Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica ai set di scalabilità di macchine virtuali Linux riservate e di avvio attendibile. | AuditIfNotExists, Disabled | 5.1.0-anteprima |
| [Anteprima]: L'estensione di attestazione guest deve essere installata nelle macchine virtuali Windows supportate | Installare l'estensione di attestazione guest nelle macchine virtuali supportate per consentire al Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica alle macchine virtuali Windows riservate e di avvio attendibile. | AuditIfNotExists, Disabled | 4.0.0-preview |
| [Anteprima]: L'estensione di attestazione guest deve essere installata su set di scalabilità di macchine virtuali Windows supportate | Installare l'estensione di attestazione guest su set di scalabilità di macchine virtuali supportate per consentire al Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica a set di scalabilità di macchine virtuali Windows riservate e di avvio attendibile. | AuditIfNotExists, Disabled | 3.1.0-anteprima |
| [Anteprima]: L'avvio protetto deve essere abilitato sulle macchine virtuali Windows supportate | Abilitare l'avvio protetto nelle macchine virtuali Windows supportate per attenuare le modifiche dannose e non autorizzate alla catena di avvio. Dopo l'abilitazione, solo i bootloader attendibili, i kernel e i driver kernel saranno autorizzati a essere eseguiti. Questa valutazione si applica alle macchine virtuali Windows riservate e di avvio attendibile. | Audit, Disabled | 4.0.0-preview |
| [Anteprima]: vTPM deve essere abilitato nelle macchine virtuali supportate | Abilitare il dispositivo TPM virtuale nelle macchine virtuali supportate per facilitare l'avvio misurato e altre funzionalità di sicurezza del sistema operativo che richiedono un TPM. Dopo l'abilitazione, vTPM può essere usato per attestare l'integrità dell'avvio. Questa valutazione si applica solo alle macchine virtuali abilitate per l'avvio attendibile. | Audit, Disabled | 2.0.0-preview |
| Per le app del servizio app deve essere abilitata l'opzione Certificati client (Certificati client in ingresso) | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Per le app del servizio app il debug remoto deve essere disattivato | Il debug remoto richiede l'apertura delle porte in ingresso in un'app per il servizio app. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 2.0.0 |
| Le app del Servizio app non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | Condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app. Consentire solo ai domini necessari di interagire con l'app. | AuditIfNotExists, Disabled | 2.0.0 |
| Le app del Servizio app devono usare la "versione HTTP" più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 4.0.0 |
| Controlla macchine virtuali che non usano dischi gestiti | Questo criterio controlla le macchine virtuali che non usano dischi gestiti | controllo | 1.0.0 |
| L'estensione di Criteri di Azure deve essere installata nei cluster Kubernetes con abilitazione per Azure Arc | L'estensione dei criteri d Azure per Azure Arc fornisce un'applicazione su larga scala e salvaguardie sui cluster Kubernetes abilitati ad Arc in modo centralizzato e coerente. Per ulteriori informazioni, vedi https://aka.ms/akspolicydoc. | AuditIfNotExists, Disabled | 1.1.0 |
| Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster | Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes estende Gatekeeper v3, un webhook del controller di ammissione per Open Policy Agent (OPA), per applicare le tutele e misure di sicurezza su larga scala per i cluster in modo centralizzato e coerente. | Audit, Disabled | 1.0.2 |
| Eseguire un'analisi dell'impatto sulla sicurezza | CMA_0057 - Eseguire un'analisi dell'impatto sulla sicurezza | Manuale, Disabilitato | 1.1.0 |
| Configurare le azioni per i dispositivi non conformi | CMA_0062: configurare le azioni per i dispositivi non conformi | Manuale, Disabilitato | 1.1.0 |
| Sviluppare e mantenere uno standard di gestione delle vulnerabilità | CMA_0152 - Sviluppare e mantenere uno standard di gestione delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
| Sviluppare e gestire le configurazioni di base | CMA_0153 - Sviluppare e gestire le configurazioni di base | Manuale, Disabilitato | 1.1.0 |
| Imporre le impostazioni della configurazione della sicurezza | CMA_0249 - Imporre le impostazioni della configurazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
| Stabilire un comitato di controllo della configurazione | CMA_0254: stabilire un comitato di controllo della configurazione | Manuale, Disabilitato | 1.1.0 |
| Definire una strategia di gestione dei rischi | CMA_0258 - Definire una strategia di gestione dei rischi | Manuale, Disabilitato | 1.1.0 |
| Definire e documentare un piano di gestione della configurazione | CMA_0264 - Definire e documentare un piano di gestione della configurazione | Manuale, Disabilitato | 1.1.0 |
| Stabilire e documentare i processi di controllo delle modifiche | CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche | Manuale, Disabilitato | 1.1.0 |
| Stabilire i requisiti di gestione della configurazione per gli sviluppatori | CMA_0270 - Stabilire i requisiti di gestione della configurazione per gli sviluppatori | Manuale, Disabilitato | 1.1.0 |
| Le app per le funzioni devono avere il debug remoto disattivato | Il debug remoto richiede che vengano aperte le porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 2.0.0 |
| Le app per le funzioni non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | Condivisione risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app per le funzioni. Consentire solo ai domini necessari di interagire con l'app per le funzioni dell'utente. | AuditIfNotExists, Disabled | 2.0.0 |
| Le app per le funzioni devono usare la versione più recente di HTTP | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 4.0.0 |
| L'estensione Configurazione guest deve essere installata nei computer | Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni in guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Implementare uno strumento di gestione della configurazione automatizzato | CMA_0311 - Implementare uno strumento di gestione della configurazione automatizzato | Manuale, Disabilitato | 1.1.0 |
| Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati | Applicare i limiti delle risorse di CPU e memoria dei contenitori per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.2.0 |
| I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host | Bloccare i contenitori pod dalla condivisione dello spazio dei nomi dell'ID del processo host e dello spazio dei nomi IPC dell'host in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.2 e CIS 5.2.3, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.1.0 |
| I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti | I contenitori devono usare solo i profili AppArmor consentiti in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.1 |
| I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti | Limitare le funzionalità per ridurre la superficie di attacco dei contenitori in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.8 e CIS 5.2.9, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.0 |
| I contenitori del cluster Kubernetes devono usare solo le immagini consentite | Usare immagini di registri attendibili per ridurre il rischio di esposizione del cluster Kubernetes a vulnerabilità sconosciute, problemi di sicurezza e immagini dannose. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.2.0 |
| I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura | Eseguire contenitori con un file system radice di sola lettura per proteggersi dalle modifiche in fase di esecuzione con file binari dannosi aggiunti a PATH in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.2.0 |
| I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti | Limitare i montaggi del volume HostPath dei pod ai percorsi host consentiti in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.1 |
| I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | Controllare gli ID degli utenti, dei gruppi primari, dei gruppi supplementari e dei gruppi di file system che i pod e i container possono usare per funzionare in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.1 |
| I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati | Limitare l'accesso dei pod alla rete host e all'intervallo di porte host consentito in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.4, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.0 |
| Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite | Limitare i servizi per l'ascolto solo sulle porte consentite per proteggere l'accesso al cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 8.1.0 |
| Il cluster Kubernetes non deve consentire contenitori con privilegi | Non consentire la creazione di contenitori privilegiati in un cluster Kubernetes. Questo consiglio fa parte di CIS 5.2.1, destinato a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.1.0 |
| Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato | Disabilita il montaggio automatico delle credenziali API per impedire a una risorsa pod potenzialmente compromessa di eseguire i comandi dell'API sui cluster Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 4.1.0 |
| I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori | Non consentire l'esecuzione dei contenitori con escalation dei privilegi alla radice in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.5, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.0 |
| I cluster Kubernetes non devono concedere le funzionalità di sicurezza CAP_SYS_ADMIN | Per ridurre la superficie di attacco dei contenitori, limitare le funzionalità di CAP_SYS_ADMIN Linux. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.1.0 |
| I cluster Kubernetes non devono usare lo spazio dei nomi predefinito | Impedisce l'utilizzo dello spazio dei nomi predefinito nei cluster Kubernetes per proteggere dagli accessi non autorizzati per i tipi di risorse Mapping di configurazione Pod, Segreto, Servizio e Account del servizio. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 4.1.0 |
| I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Calcolo di Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure. | AuditIfNotExists, Disabled | 2.2.0 |
| Devono essere installate solo le estensioni macchina virtuale approvate | Questo criterio regolamenta le estensioni macchina virtuale non approvate. | Audit, Deny, Disabled | 1.0.0 |
| Eseguire una valutazione dell'impatto sulla privacy | CMA_0387 - Eseguire una valutazione dell'impatto sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Eseguire una valutazione dei rischi | CMA_0388 - Eseguire una valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
| Eseguire il controllo per la verifica delle modifiche di configurazione | CMA_0390 - Eseguire il controllo per la verifica delle modifiche di configurazione | Manuale, Disabilitato | 1.1.0 |
| Gli account di archiviazione devono consentire l'accesso da servizi Microsoft attendibili | Alcuni servizi Microsoft che interagiscono con gli account di archiviazione vengono eseguiti da reti alle quali non è possibile concedere l'accesso tramite le regole di rete. Per far sì che questo tipo di servizi funzioni come previsto, consentire al set di servizi Microsoft attendibili di ignorare le regole di rete. Questi servizi usano quindi l'autenticazione avanzata per accedere all'account di archiviazione. | Audit, Deny, Disabled | 1.0.0 |
| L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con un'identità gestita assegnata dal sistema | L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio saranno non conformi se l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
| I computer Windows devono soddisfare i requisiti della baseline di sicurezza di Calcolo di Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure. | AuditIfNotExists, Disabled | 2.0.0 |
Mitigazione dei rischi
Attività di mitigazione dei rischi
ID: SOC 2 Tipo 2 CC9.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Determinare le esigenze di protezione delle informazioni | CMA_C1750 - Determinare i requisiti di protezione delle informazioni | Manuale, Disabilitato | 1.1.0 |
| Definire una strategia di gestione dei rischi | CMA_0258 - Definire una strategia di gestione dei rischi | Manuale, Disabilitato | 1.1.0 |
| Eseguire una valutazione dei rischi | CMA_0388 - Eseguire una valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
Gestione dei rischi per fornitori e partner aziendali
ID: SOC 2 Tipo 2 CC9.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Valutare i rischi nelle relazioni con terze parti | CMA_0014 - Valutare i rischi nelle relazioni con terze parti | Manuale, Disabilitato | 1.1.0 |
| Definire i requisiti per la fornitura di beni e servizi | CMA_0126 - Definire i requisiti per la fornitura di beni e servizi | Manuale, Disabilitato | 1.1.0 |
| Definire i compiti dei processori | CMA_0127 - Definire i compiti dei processori | Manuale, Disabilitato | 1.1.0 |
| Determinare gli obblighi contrattuali dei fornitori | CMA_0140 - Determinare gli obblighi contrattuali dei fornitori | Manuale, Disabilitato | 1.1.0 |
| Documentare i criteri di accettazione dei contratti di acquisizione | CMA_0187 - Documentare i criteri di accettazione dei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare la protezione dei dati personali nei contratti di acquisizione | CMA_0194 - Documentare la protezione dei dati personali nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare la protezione delle informazioni di sicurezza nei contratti di acquisizione | CMA_0195 - Documentare la protezione delle informazioni di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti per l'utilizzo dei dati condivisi nei contratti | CMA_0197 - Documentare i requisiti per l'utilizzo dei dati condivisi nei contratti | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti di controllo della sicurezza nei contratti di acquisizione | CMA_0199 - Documentare i requisiti di controllo della sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti di documentazione della sicurezza nel contratto di acquisizione | CMA_0200 - Documentare i requisiti di documentazione della sicurezza nel contratto di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti funzionali della sicurezza nei contratti di acquisizione | CMA_0201 - Documentare i requisiti funzionali della sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti di complessità della sicurezza nei contratti di acquisizione | CMA_0203 - Documentare i requisiti di complessità della sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare l'ambiente del sistema informativo nei contratti di acquisizione | CMA_0205 - Documentare l'ambiente del sistema informativo nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti | CMA_0207 - Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti | Manuale, Disabilitato | 1.1.0 |
| Stabilire criteri per la gestione dei rischi della catena di approvvigionamento | CMA_0275 - Stabilire criteri per la gestione dei rischi della catena di approvvigionamento | Manuale, Disabilitato | 1.1.0 |
| Stabilire i requisiti di sicurezza del personale di terze parti | CMA_C1529 - Stabilire i requisiti di sicurezza del personale di terze parti | Manuale, Disabilitato | 1.1.0 |
| Monitorare la conformità dei fornitori di terze parti | CMA_C1533 - Monitorare la conformità dei fornitori di terze parti | Manuale, Disabilitato | 1.1.0 |
| Registrare la divulgazione di dati personali a terze parti | CMA_0422 - Registrare le divulgazioni di dati personali a terzi | Manuale, Disabilitato | 1.1.0 |
| Richiedere ai fornitori di terze parti di rispettare i criteri e le procedure di sicurezza del personale | CMA_C1530 - Richiedere ai fornitori di terze parti di rispettare i criteri e le procedure di sicurezza del personale | Manuale, Disabilitato | 1.1.0 |
| Fare training del personale sulla condivisione dei dati personali e sulle relative conseguenze | CMA_C1871 - Formare il personale sulla condivisione dei dati personali e sulle relative conseguenze | Manuale, Disabilitato | 1.1.0 |
Criteri aggiuntivi per la privacy
Informativa sulla privacy
ID: SOC 2 Tipo 2 P1.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Documentare e distribuire un'informativa sulla privacy | CMA_0188 - Documentare e distribuire un'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Verificare che le informazioni del programma per la privacy siano disponibili pubblicamente | CMA_C1867 - Verificare che le informazioni del programma per la privacy siano disponibili pubblicamente | Manuale, Disabilitato | 1.1.0 |
| Implementare metodi di distribuzione dell'informativa sulla privacy | CMA_0324 - Implementare metodi di distribuzione dell'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Fornire l'informativa sulla privacy | CMA_0414 - Fornire l'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Fornire l'informativa sulla privacy al pubblico e agli utenti | CMA_C1861 - Fornire l'informativa sulla privacy al pubblico e agli utenti | Manuale, Disabilitato | 1.1.0 |
Consenso per la privacy
ID: SOC 2 Tipo 2 P2.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Documentare l'accettazione dei requisiti sulla privacy da parte del personale | CMA_0193 - Documentare l'accettazione dei requisiti sulla privacy da parte del personale | Manuale, Disabilitato | 1.1.0 |
| Implementare metodi di distribuzione dell'informativa sulla privacy | CMA_0324 - Implementare metodi di distribuzione dell'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Ottenere il consenso prima della raccolta o dell'elaborazione dei dati personali | CMA_0385 - Ottenere il consenso prima della raccolta o dell'elaborazione dei dati personali | Manuale, Disabilitato | 1.1.0 |
| Fornire l'informativa sulla privacy | CMA_0414 - Fornire l'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
Raccolta coerente delle informazioni personali
ID: SOC 2 Tipo 2 P3.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Determinare i requisiti legali per la raccolta deli dati personali | CMA_C1800 - Determinare i requisiti legali per la raccolta dei dati personali | Manuale, Disabilitato | 1.1.0 |
| Documentare il processo per assicurare l'integrità dei dati personali | CMA_C1827 - Documentare il processo per assicurare l'integrità dei dati personali | Manuale, Disabilitato | 1.1.0 |
| Valutare e rivedere regolarmente i dati personali raccolti | CMA_C1832 - Valutare e rivedere regolarmente i dati personali raccolti | Manuale, Disabilitato | 1.1.0 |
| Ottenere il consenso prima della raccolta o dell'elaborazione dei dati personali | CMA_0385 - Ottenere il consenso prima della raccolta o dell'elaborazione dei dati personali | Manuale, Disabilitato | 1.1.0 |
Consenso esplicito per le informazioni personali
ID: SOC 2 Tipo 2 P3.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Raccogliere i dati personali direttamente dalla persona fisica | CMA_C1822 - Raccogliere dati personali direttamente dalla persona fisica | Manuale, Disabilitato | 1.1.0 |
| Ottenere il consenso prima della raccolta o dell'elaborazione dei dati personali | CMA_0385 - Ottenere il consenso prima della raccolta o dell'elaborazione dei dati personali | Manuale, Disabilitato | 1.1.0 |
Uso delle informazioni personali
ID: SOC 2 Tipo 2 P4.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Documentare la base giuridica per il trattamento dei dati personali | CMA_0206 - Documentare la base giuridica per il trattamento dei dati personali | Manuale, Disabilitato | 1.1.0 |
| Implementare metodi di distribuzione dell'informativa sulla privacy | CMA_0324 - Implementare metodi di distribuzione dell'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Ottenere il consenso prima della raccolta o dell'elaborazione dei dati personali | CMA_0385 - Ottenere il consenso prima della raccolta o dell'elaborazione dei dati personali | Manuale, Disabilitato | 1.1.0 |
| Fornire l'informativa sulla privacy | CMA_0414 - Fornire l'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Limitare le comunicazioni | CMA_0449 - Limitare le comunicazioni | Manuale, Disabilitato | 1.1.0 |
Conservazione delle informazioni personali
ID: SOC 2 Tipo 2 P4.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Rispettare i periodi di conservazione definiti | CMA_0004 - Rispettare i periodi di conservazione definiti | Manuale, Disabilitato | 1.1.0 |
| Documentare il processo per assicurare l'integrità dei dati personali | CMA_C1827 - Documentare il processo per assicurare l'integrità dei dati personali | Manuale, Disabilitato | 1.1.0 |
Eliminazione delle informazioni personali
ID: SOC 2 Tipo 2 P4.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Eseguire la revisione per l'eliminazione | CMA_0391 - Eseguire la revisione per l'eliminazione | Manuale, Disabilitato | 1.1.0 |
| Verificare che i dati personali vengano eliminati al termine dell'elaborazione | CMA_0540 - Verificare che i dati personali vengano eliminati al termine dell'elaborazione | Manuale, Disabilitato | 1.1.0 |
Accesso alle informazioni personali
ID: SOC 2 Tipo 2 P5.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Implementare metodi per le richieste consumer | CMA_0319 - Implementare metodi per le richieste consumer | Manuale, Disabilitato | 1.1.0 |
| Pubblicare regole e normative per l'accesso ai record della legge sulla privacy | CMA_C1847 - Pubblicare regole e normative per l'accesso ai record della legge sulla privacy | Manuale, Disabilitato | 1.1.0 |
Correzione delle informazioni personali
ID: SOC 2 Tipo 2 P5.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Rispondere alle richieste di rettifica | CMA_0442 - Rispondere alle richieste di rettifica | Manuale, Disabilitato | 1.1.0 |
Divulgazione di informazioni personali da terze parti
ID: SOC 2 Tipo 2 P6.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Definire i compiti dei processori | CMA_0127 - Definire i compiti dei processori | Manuale, Disabilitato | 1.1.0 |
| Determinare gli obblighi contrattuali dei fornitori | CMA_0140 - Determinare gli obblighi contrattuali dei fornitori | Manuale, Disabilitato | 1.1.0 |
| Documentare i criteri di accettazione dei contratti di acquisizione | CMA_0187 - Documentare i criteri di accettazione dei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare la protezione dei dati personali nei contratti di acquisizione | CMA_0194 - Documentare la protezione dei dati personali nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare la protezione delle informazioni di sicurezza nei contratti di acquisizione | CMA_0195 - Documentare la protezione delle informazioni di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti per l'utilizzo dei dati condivisi nei contratti | CMA_0197 - Documentare i requisiti per l'utilizzo dei dati condivisi nei contratti | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti di controllo della sicurezza nei contratti di acquisizione | CMA_0199 - Documentare i requisiti di controllo della sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti di documentazione della sicurezza nel contratto di acquisizione | CMA_0200 - Documentare i requisiti di documentazione della sicurezza nel contratto di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti funzionali della sicurezza nei contratti di acquisizione | CMA_0201 - Documentare i requisiti funzionali della sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti di complessità della sicurezza nei contratti di acquisizione | CMA_0203 - Documentare i requisiti di complessità della sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare l'ambiente del sistema informativo nei contratti di acquisizione | CMA_0205 - Documentare l'ambiente del sistema informativo nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti | CMA_0207 - Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti | Manuale, Disabilitato | 1.1.0 |
| Stabilire i requisiti di privacy per i terzisti e i fornitori di servizi | CMA_C1810 - Stabilire i requisiti di privacy per gli appaltatori e i fornitori di servizi | Manuale, Disabilitato | 1.1.0 |
| Registrare la divulgazione di dati personali a terze parti | CMA_0422 - Registrare le divulgazioni di dati personali a terzi | Manuale, Disabilitato | 1.1.0 |
| Fare training del personale sulla condivisione dei dati personali e sulle relative conseguenze | CMA_C1871 - Formare il personale sulla condivisione dei dati personali e sulle relative conseguenze | Manuale, Disabilitato | 1.1.0 |
Divulgazione autorizzata di record di informazioni personali
ID: SOC 2 Tipo 2 P6.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Mantenere una contabilità accurata della divulgazione di informazioni | CMA_C1818 - Mantenere un rendiconto accurato delle divulgazioni di informazioni | Manuale, Disabilitato | 1.1.0 |
Divulgazione non autorizzata di record di informazioni personali
ID: SOC 2 Tipo 2 P6.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Mantenere una contabilità accurata della divulgazione di informazioni | CMA_C1818 - Mantenere un rendiconto accurato delle divulgazioni di informazioni | Manuale, Disabilitato | 1.1.0 |
Contratti con terze parti
ID: SOC 2 Tipo 2 P6.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Definire i compiti dei processori | CMA_0127 - Definire i compiti dei processori | Manuale, Disabilitato | 1.1.0 |
Notifica di divulgazione non autorizzata di terze parti
ID: SOC 2 Tipo 2 P6.5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Determinare gli obblighi contrattuali dei fornitori | CMA_0140 - Determinare gli obblighi contrattuali dei fornitori | Manuale, Disabilitato | 1.1.0 |
| Documentare i criteri di accettazione dei contratti di acquisizione | CMA_0187 - Documentare i criteri di accettazione dei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare la protezione dei dati personali nei contratti di acquisizione | CMA_0194 - Documentare la protezione dei dati personali nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare la protezione delle informazioni di sicurezza nei contratti di acquisizione | CMA_0195 - Documentare la protezione delle informazioni di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti per l'utilizzo dei dati condivisi nei contratti | CMA_0197 - Documentare i requisiti per l'utilizzo dei dati condivisi nei contratti | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti di controllo della sicurezza nei contratti di acquisizione | CMA_0199 - Documentare i requisiti di controllo della sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti di documentazione della sicurezza nel contratto di acquisizione | CMA_0200 - Documentare i requisiti di documentazione della sicurezza nel contratto di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti funzionali della sicurezza nei contratti di acquisizione | CMA_0201 - Documentare i requisiti funzionali della sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare i requisiti di complessità della sicurezza nei contratti di acquisizione | CMA_0203 - Documentare i requisiti di complessità della sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare l'ambiente del sistema informativo nei contratti di acquisizione | CMA_0205 - Documentare l'ambiente del sistema informativo nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
| Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti | CMA_0207 - Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti | Manuale, Disabilitato | 1.1.0 |
| Protezione della sicurezza delle informazioni e dei dati personali | CMA_0332 - Protezione della sicurezza delle informazioni e dei dati personali | Manuale, Disabilitato | 1.1.0 |
Notifica di evento imprevisto relativo alla privacy
ID: SOC 2 Tipo 2 P6.6 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
| Protezione della sicurezza delle informazioni e dei dati personali | CMA_0332 - Protezione della sicurezza delle informazioni e dei dati personali | Manuale, Disabilitato | 1.1.0 |
Contabilità della divulgazione di informazioni personali
ID: SOC 2 Tipo 2 P6.7 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Implementare metodi di distribuzione dell'informativa sulla privacy | CMA_0324 - Implementare metodi di distribuzione dell'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Mantenere una contabilità accurata della divulgazione di informazioni | CMA_C1818 - Mantenere un rendiconto accurato delle divulgazioni di informazioni | Manuale, Disabilitato | 1.1.0 |
| Rendere disponibile la contabilità delle divulgazioni su richiesta | CMA_C1820 - Rendere disponibile il rendiconto delle divulgazioni su richiesta | Manuale, Disabilitato | 1.1.0 |
| Fornire l'informativa sulla privacy | CMA_0414 - Fornire l'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Limitare le comunicazioni | CMA_0449 - Limitare le comunicazioni | Manuale, Disabilitato | 1.1.0 |
Qualità delle informazioni personali
ID: SOC 2 Tipo 2 P7.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Confermare la qualità e l'integrità dei dati personali | CMA_C1821 - Confermare la qualità e l'integrità dei dati personali | Manuale, Disabilitato | 1.1.0 |
| Rilasciare linee guida per garantire la qualità e l'integrità dei dati | CMA_C1824 - Emettere linee guida per garantire la qualità e l'integrità dei dati | Manuale, Disabilitato | 1.1.0 |
| Verificare i dati personali non corrette o non aggiornate | CMA_C1823 - Verificare le informazioni personali non corrette o non aggiornate | Manuale, Disabilitato | 1.1.0 |
Gestione dei reclami per la privacy e della conformità
ID: SOC 2 Tipo 2 P8.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Documentare e implementare le procedure di reclamo sulla privacy | CMA_0189 - Documentare e implementare le procedure di reclamo sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Valutare e rivedere regolarmente i dati personali raccolti | CMA_C1832 - Valutare e rivedere regolarmente i dati personali raccolti | Manuale, Disabilitato | 1.1.0 |
| Protezione della sicurezza delle informazioni e dei dati personali | CMA_0332 - Protezione della sicurezza delle informazioni e dei dati personali | Manuale, Disabilitato | 1.1.0 |
| Rispondere tempestivamente a reclami, dubbi o domande | CMA_C1853 - Rispondere tempestivamente a reclami, dubbi o domande | Manuale, Disabilitato | 1.1.0 |
| Fare training del personale sulla condivisione dei dati personali e sulle relative conseguenze | CMA_C1871 - Formare il personale sulla condivisione dei dati personali e sulle relative conseguenze | Manuale, Disabilitato | 1.1.0 |
Criteri aggiuntivi per l'integrità dell'elaborazione
Definizioni dell'elaborazione dati
ID: SOC 2 Tipo 2 PI1.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Implementare metodi di distribuzione dell'informativa sulla privacy | CMA_0324 - Implementare metodi di distribuzione dell'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Fornire l'informativa sulla privacy | CMA_0414 - Fornire l'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Limitare le comunicazioni | CMA_0449 - Limitare le comunicazioni | Manuale, Disabilitato | 1.1.0 |
Input di sistema circa la completezza e l’accuratezza
ID: SOC 2 Tipo 2 PI1.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Eseguire la convalida dell'input di informazioni | CMA_C1723 - Eseguire la convalida dell'input di informazioni | Manuale, Disabilitato | 1.1.0 |
Elaborazione del sistema
ID: SOC 2 Tipo 2 PI1.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
| Generare messaggi di errore | CMA_C1724 - Generare messaggi di errore | Manuale, Disabilitato | 1.1.0 |
| Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | CMA_0369 - Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | Manuale, Disabilitato | 1.1.0 |
| Eseguire la convalida dell'input di informazioni | CMA_C1723 - Eseguire la convalida dell'input di informazioni | Manuale, Disabilitato | 1.1.0 |
| Rivedere attività e analisi delle etichette | CMA_0474 - Rivedere attività e analisi delle etichette | Manuale, Disabilitato | 1.1.0 |
Output di sistema completo, accurato e tempestivo
ID: SOC 2 Tipo 2 PI1.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
| Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | CMA_0369 - Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | Manuale, Disabilitato | 1.1.0 |
| Rivedere attività e analisi delle etichette | CMA_0474 - Rivedere attività e analisi delle etichette | Manuale, Disabilitato | 1.1.0 |
Archiviazione completa accurata e tempestiva di input e output
ID: SOC 2 Tipo 2 PI1.5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. | AuditIfNotExists, Disabled | 3.0.0 |
| Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
| Stabilire criteri e procedure di backup | CMA_0268 - Stabilire criteri e procedure di backup | Manuale, Disabilitato | 1.1.0 |
| Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MariaDB | Il database di Azure per MariaDB consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
| Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL | Il database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
| Il backup con ridondanza geografica deve essere abilitato per i database di Azure per PostgreSQL | Il database di Azure per PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
| Implementare i controlli per proteggere tutti i supporti | CMA_0314 - Implementare i controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
| Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | CMA_0369 - Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | Manuale, Disabilitato | 1.1.0 |
| Rivedere attività e analisi delle etichette | CMA_0474 - Rivedere attività e analisi delle etichette | Manuale, Disabilitato | 1.1.0 |
| Archiviare separatamente le informazioni di backup | CMA_C1293 - Archiviare separatamente le informazioni di backup | Manuale, Disabilitato | 1.1.0 |
Passaggi successivi
Articoli aggiuntivi su Criteri di Azure:
- Panoramica della Conformità con le normative.
- Vedere la struttura della definizione dell'iniziativa.
- Vedere altri esempi in Esempi di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.
- Informazioni su come correggere le risorse non conformi.