Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa pagina è un indice di Criteri di Azure definizioni di criteri predefinite per Archiviazione di Azure. Per altre Criteri di Azure predefinite per altri servizi, vedere Criteri di Azure definizioni predefinite.
Il nome di ogni definizione di criteri predefinita è collegata alla definizione dei criteri nel portale di Azure. Usare il collegamento nella colonna Version per visualizzare l'origine nel repository Criteri di Azure GitHub.
Microsoft. Archiviazione
| Nome (portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Backup di Azure deve essere abilitato per i BLOB negli account di archiviazione | Assicurarsi di proteggere gli account di archiviazione abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati sicura e conveniente per Azure. | VerificaSeNonEsiste, Disabilitato | 1.0.0-preview |
| [Anteprima]: Backup di Azure deve essere abilitato in Azure condivisioni file | Assicurarsi di proteggere le condivisioni file Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati sicura e conveniente per Azure. | VerificaSeNonEsiste, Disabilitato | 1.0.0-preview |
| [Anteprima]: Configurare il backup per File di Azure Condivisioni con un tag specificato in un nuovo insieme di credenziali dei servizi di ripristino con un nuovo criterio | Applicare il backup per tutti i File di Azure distribuendo un insieme di credenziali dei servizi di ripristino nello stesso percorso e nello stesso gruppo di risorse dell'account di archiviazione. Questa operazione è utile quando a team di applicazioni diversi all'interno dell'organizzazione vengono allocati gruppi di risorse separati ed è necessario gestirne i backup e i ripristini. Facoltativamente, è possibile includere File di Azure negli account di archiviazione contenenti un tag specificato per controllare l'ambito dell'assegnazione. | AuditIfNotExists, DeployIfNotExists, Disabilitato | 1.0.0-preview |
| [Anteprima]: Configurare il backup per File di Azure Condivisioni con un tag specificato in un insieme di credenziali dei servizi di ripristino esistente nella stessa posizione | Applicare il backup per tutte le File di Azure eseguendo il backup in un insieme di credenziali di Servizi di ripristino centrale esistente nella stessa area dell'account di archiviazione. L'insieme di credenziali può trovarsi nella stessa sottoscrizione o in una sottoscrizione diversa. Ciò è utile quando un team centrale gestisce i backup tra sottoscrizioni. Facoltativamente, è possibile includere File di Azure negli account di archiviazione con un tag specificato per controllare l'ambito dell'assegnazione dei criteri. | AuditIfNotExists, DeployIfNotExists, Disabilitato | 2.0.0-preview |
| [Anteprima]: Configurare il backup per File di Azure Condivisioni senza un tag specifico in un nuovo insieme di credenziali dei servizi di ripristino con un nuovo criterio | Applicare il backup per tutti i File di Azure distribuendo un insieme di credenziali dei servizi di ripristino nello stesso percorso e nello stesso gruppo di risorse dell'account di archiviazione. Questa operazione è utile quando a team di applicazioni diversi all'interno dell'organizzazione vengono allocati gruppi di risorse separati ed è necessario gestirne i backup e i ripristini. Facoltativamente, è possibile escludere File di Azure negli account di archiviazione contenenti un tag specificato per controllare l'ambito dell'assegnazione. | AuditIfNotExists, DeployIfNotExists, Disabilitato | 1.0.0-preview |
| [Anteprima]: Configurare il backup per File di Azure Condivisioni senza un tag specifico per un insieme di credenziali dei servizi di ripristino esistente nella stessa posizione | Applicare il backup per tutte le File di Azure eseguendo il backup in un insieme di credenziali di Servizi di ripristino centrale esistente nella stessa area dell'account di archiviazione. L'insieme di credenziali può trovarsi nella stessa sottoscrizione o in una sottoscrizione diversa. Ciò è utile quando un team centrale gestisce i backup tra sottoscrizioni. Facoltativamente, è possibile escludere File di Azure negli account di archiviazione con un tag specificato per controllare l'ambito dell'assegnazione dei criteri. | AuditIfNotExists, DeployIfNotExists, Disabilitato | 2.0.0-preview |
| [Anteprima]: Configurare il backup per i BLOB in account di archiviazione con un tag specificato in un insieme di credenziali di backup esistente nella stessa area geografica | Applicare il backup per i BLOB in tutti gli account di archiviazione che contengono un tag specificato in un insieme di credenziali di backup centrale. In questo modo è possibile gestire il backup dei BLOB contenuti in più account di archiviazione su larga scala. Per altre informazioni, vedere https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Disabilitato | 2.0.0-preview |
| [Anteprima]: Configurare il backup BLOB per tutti gli account di archiviazione che non contengono un tag specificato in un insieme di credenziali di backup nella stessa area geografica | Applicare il backup per i BLOB in tutti gli account di archiviazione che non contengono un tag specificato in un insieme di credenziali di backup centrale. In questo modo è possibile gestire il backup dei BLOB contenuti in più account di archiviazione su larga scala. Per altre informazioni, vedere https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Disabilitato | 2.0.0-preview |
| [Anteprima]: Gli account di archiviazione devono essere ridondanti della zona | Gli account di archiviazione possono essere configurati in modo che siano ridondanti della zona o meno. Se il nome dello SKU di un account di archiviazione non termina con "ZRS" o il relativo tipo è "Archiviazione", non è ridondante della zona. Questo criterio garantisce che gli account di archiviazione usino una configurazione con ridondanza della zona. | Verifica, Nega, Disabilitato | 1.0.0-preview |
| Sincronizzazione file di Azure deve usare un collegamento privato | La creazione di un endpoint privato per la risorsa Servizio di sincronizzazione archiviazione indicata consente di indirizzare la risorsa Servizio di sincronizzazione archiviazione dallo spazio indirizzi IP privati della rete dell'organizzazione, anziché attraverso l'endpoint pubblico accessibile tramite Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Configurare Sincronizzazione file di Azure con endpoint privati | Viene distribuito un endpoint privato per la risorsa del servizio di sincronizzazione archiviazione indicata. In questo modo è possibile indirizzare la risorsa del servizio di sincronizzazione archiviazione dallo spazio di indirizzi IP privato della rete dell'organizzazione, anziché tramite l'endpoint pubblico accessibile da Internet. L'esistenza di uno o più endpoint privati da soli non disabilita l'endpoint pubblico. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare le impostazioni di diagnostica per i servizi BLOB per Log Analytics'area di lavoro | Distribuisce le impostazioni di diagnostica per i servizi BLOB per trasmettere i log delle risorse a un'area di lavoro Log Analytics quando viene creato o aggiornato qualsiasi servizio BLOB mancante. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 4.0.0 |
| Configurare le impostazioni di diagnostica per Servizi file per Log Analytics'area di lavoro | Distribuisce le impostazioni di diagnostica per Servizi file per lo streaming dei log delle risorse in un'area di lavoro Log Analytics quando un servizio file mancante viene creato o aggiornato. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 4.0.0 |
| Configurare le impostazioni di diagnostica per i servizi code per Log Analytics'area di lavoro | Distribuisce le impostazioni di diagnostica per i servizi di accodamento per trasmettere i log delle risorse a un'area di lavoro Log Analytics quando un servizio di accodamento mancante viene creato o aggiornato. Nota: questo criterio non viene attivato al momento della creazione dell'account di archiviazione e richiede la creazione di un'attività di correzione per aggiornare l'account. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 4.0.1 |
| Configurare le impostazioni di diagnostica per gli account di archiviazione per Log Analytics'area di lavoro | Distribuisce le impostazioni di diagnostica per gli account di archiviazione per trasmettere i log delle risorse a un'area di lavoro Log Analytics quando vengono creati o aggiornati gli account di archiviazione mancanti. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 4.0.0 |
| Configurare le impostazioni di diagnostica per Servizi tabelle per Log Analytics'area di lavoro | Distribuisce le impostazioni di diagnostica per Servizi tabelle per lo streaming dei log delle risorse in un'area di lavoro Log Analytics quando viene creato o aggiornato un servizio tabelle che non contiene queste impostazioni di diagnostica. Nota: questo criterio non viene attivato al momento della creazione dell'account di archiviazione e richiede la creazione di un'attività di correzione per aggiornare l'account. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 4.0.1 |
| Configurare il trasferimento sicuro dei dati in un account di archiviazione | Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni sicure (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Modifica, disattivato | 1.0.0 |
| Configurare l'eliminazione temporanea per BLOB e contenitori in account di archiviazione | Distribuisce l'eliminazione temporanea per BLOB e contenitori in account di archiviazione, se non è già abilitata. Ciò garantisce la protezione dei dati con un periodo di conservazione personalizzabile. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configura l'account di archiviazione per usare una connessione collegamento privato | Gli endpoint privati connettono la rete virtuale ai servizi Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. Eseguendo il mapping degli endpoint privati all'account di archiviazione, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/azureprivatelinkoverview | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare gli account di archiviazione per disabilitare l'accesso alla rete pubblica | Per migliorare la sicurezza degli account di archiviazione, accertarsi che non siano esposti alla rete Internet pubblica e che siano accessibili solo da un endpoint privato. Disabilitare la proprietà di accesso alla rete pubblica come descritto in https://aka.ms/storageaccountpublicnetworkaccess. Questa opzione disabilita l'accesso da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP Azure e nega tutti gli account di accesso che corrispondono alle regole del firewall basate su ip o rete virtuale. In questo modo si riducono i rischi di perdita dei dati. | Modifica, disattivato | 1.0.1 |
| Configurare gli account di archiviazione per limitare l'accesso alla rete solo tramite la configurazione bypass ACL di rete. | Per migliorare la sicurezza degli account di archiviazione, abilitare l'accesso solo tramite bypass ACL di rete. Questo criterio deve essere usato in combinazione con un endpoint privato per l'accesso all'account di archiviazione. | Modifica, disattivato | 1.0.0 |
| Configurare l'accesso pubblico all'account di archiviazione in modo che non sia autorizzato | L'accesso in lettura pubblico anonimo ai contenitori e ai BLOB in Archiviazione di Azure è un modo pratico per condividere i dati, ma potrebbe presentare rischi per la sicurezza. Per evitare violazioni dei dati causate dall'accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che lo scenario non lo richieda. | Modifica, disattivato | 1.0.0 |
| Configurare l'account di archiviazione per abilitare il controllo delle versioni blob | È possibile abilitare il controllo delle versioni di archiviazione BLOB per mantenere automaticamente le versioni precedenti di un oggetto. Quando il controllo delle versioni dei BLOB è abilitato, è possibile accedere alle versioni precedenti di un BLOB per recuperare i dati che sono stati modificati o eliminati. | Verifica, Nega, Disabilitato | 1.0.0 |
| Creare un account di archiviazione a livello di area per i flussi di rete virtuale in resourceGroupName RG | Crea un account di archiviazione a livello di area nell'ambito assegnato e nel gruppo di risorse nwtarg-subscriptionID<> per impostazione predefinita per i flussi della rete virtuale. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per le cache HPC (microsoft.storagecache/caches) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per le cache HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Enable logging by category group for HPC caches (microsoft.storagecache/caches) to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per le cache HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per le cache HPC (microsoft.storagecache/caches) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per le cache HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli spostamenti di archiviazione (microsoft.storagemover/storagemovers) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli spostamenti di archiviazione (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Enable logging by category group for Storage movers (microsoft.storagemover/storagemovers) to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i mover di archiviazione (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli spostamenti di archiviazione (microsoft.storagemover/storagemovers) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli spostamenti di archiviazione (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| L'archiviazione con ridondanza geografica deve essere abilitata per gli account di archiviazione | Usa la ridondanza geografica per creare applicazioni a disponibilità elevata | Controllo, Disabilitato | 1.0.0 |
| gli account Cache HPC devono usare la chiave gestita dal cliente per la crittografia | Gestire la crittografia dei dati inattivi di Cache HPC di Azure con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | Verifica, Disabilitato, Nega | 2.0.0 |
| Modify - Configurare Sincronizzazione file di Azure per disabilitare l'accesso alla rete pubblica | L'endpoint pubblico accessibile da Internet del Sincronizzazione file di Azure è disabilitato dai criteri dell'organizzazione. È comunque possibile accedere al servizio di sincronizzazione archiviazione tramite gli endpoint privati. | Modifica, disattivato | 1.0.0 |
| Modificare - Configurare l'account di archiviazione per abilitare il controllo delle versioni dei BLOB | È possibile abilitare il controllo delle versioni di archiviazione BLOB per mantenere automaticamente le versioni precedenti di un oggetto. Quando il controllo delle versioni dei BLOB è abilitato, è possibile accedere alle versioni precedenti di un BLOB per recuperare i dati che sono stati modificati o eliminati. Si noti che gli account di archiviazione esistenti non verranno modificati per abilitare il controllo delle versioni dell'archiviazione BLOB. Solo gli account di archiviazione appena creati avranno il controllo delle versioni dell'archiviazione BLOB abilitato | Modifica, disattivato | 1.0.0 |
| L'accesso alla rete Public deve essere disabilitato per Sincronizzazione file di Azure | La disabilitazione dell'endpoint pubblico consente di limitare l'accesso alla risorsa del servizio di sincronizzazione archiviazione alle richieste destinate agli endpoint privati approvati nella rete dell'organizzazione. Non c'è nulla di intrinsecamente insicuro per consentire le richieste all'endpoint pubblico, tuttavia, è possibile disabilitarlo per soddisfare i requisiti normativi, legali o dei criteri dell'organizzazione. È possibile disabilitare l'endpoint pubblico per un servizio di sincronizzazione archiviazione impostando incomingTrafficPolicy della risorsa su AllowVirtualNetworksOnly. | Verifica, Nega, Disabilitato | 1.0.0 |
| L'Archiviazione code deve usare la chiave gestita dal cliente per la crittografia | È possibile proteggere l’Archiviazione code con maggiore flessibilità usando le chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'utilizzo di chiavi gestite dal cliente offre ulteriori possibilità di controllare la rotazione della chiave di crittografia o di cancellare crittograficamente i dati. | Verifica, Nega, Disabilitato | 1.0.0 |
| È consigliabile abilitare il trasferimento sicuro agli account di archiviazione | Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Verifica, Nega, Disabilitato | 2.0.0 |
| L'account di archiviazione che include il contenitore con i log attività deve essere crittografato tramite BYOK | Questo criterio verifica se l'account di archiviazione che include il contenitore con i log attività è crittografato tramite BYOK. Il criterio funziona solo se l'account di archiviazione risiede nella stessa sottoscrizione dei log attività per impostazione predefinita. Altre informazioni sulla crittografia dei dati inattivi Archiviazione di Azure sono disponibili qui https://aka.ms/azurestoragebyok. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Gli ambiti della crittografia dell'account di archiviazione devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia inattivi degli ambiti di crittografia dell'account di archiviazione. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave dell'insieme di credenziali delle chiavi Azure creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Altre informazioni sugli ambiti di crittografia dell'account di archiviazione sono disponibili in https://aka.ms/encryption-scopes-overview. | Verifica, Nega, Disabilitato | 1.0.0 |
| Gli ambiti di crittografia degli account di archiviazione devono usare la doppia crittografia per i dati inattivi | Abilitare la crittografia dell'infrastruttura per la crittografia dei dati inattivi degli ambiti di crittografia dell'account di archiviazione per una maggiore sicurezza. La crittografia dell'infrastruttura garantisce che i dati vengano crittografati due volte. | Verifica, Nega, Disabilitato | 1.0.0 |
| Le chiavi degli account di archiviazione non devono essere scadute | Assicurarsi che le chiavi degli account di archiviazione utente non siano scadute quando viene impostato il criterio di scadenza delle chiavi, per migliorare la sicurezza delle chiavi account intervenendo quando le chiavi sono scadute. | Verifica, Nega, Disabilitato | 3.0.0 |
| L'accesso pubblico agli account di archiviazione non deve essere consentito | L'accesso in lettura pubblico anonimo ai contenitori e ai BLOB in Archiviazione di Azure è un modo pratico per condividere i dati, ma potrebbe presentare rischi per la sicurezza. Per evitare violazioni dei dati causate dall'accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che lo scenario non lo richieda. | audit, Audit, Deny, Deny, disabled, Disabled | 3.1.1 |
| gli account |
Alcune servizi Microsoft che interagiscono con gli account di archiviazione operano da reti a cui non è possibile concedere l'accesso tramite regole di rete. Per consentire il funzionamento di questo tipo di servizio come previsto, consentire al set di servizi Microsoft attendibili di ignorare le regole di rete. Questi servizi usano quindi l'autenticazione avanzata per accedere all'account di archiviazione. | Verifica, Nega, Disabilitato | 1.0.0 |
| Gli account di archiviazione devono essere limitati agli SKU consentiti | Limita il set di SKU di account di archiviazione che possono essere distribuiti dall'organizzazione. | Verifica, Nega, Disabilitato | 1.1.0 |
| è necessario eseguire la migrazione degli account Archiviazione alle nuove risorse di Azure Resource Manager | Usare le nuove Azure Resource Manager per gli account di archiviazione per offrire miglioramenti alla sicurezza, ad esempio: controllo degli accessi (RBAC), controllo migliore, distribuzione e governance basata su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, Azure Autenticazione basata su ACTIVE Directory e supporto per tag e gruppi di risorse per semplificare la gestione della sicurezza | Verifica, Nega, Disabilitato | 1.0.0 |
| Gli account di archiviazione devono disabilitare l'accesso alla rete pubblica | Per migliorare la sicurezza degli account di archiviazione, accertarsi che non siano esposti alla rete Internet pubblica e che siano accessibili solo da un endpoint privato. Disabilitare la proprietà di accesso alla rete pubblica come descritto in https://aka.ms/storageaccountpublicnetworkaccess. Questa opzione disabilita l'accesso da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP Azure e nega tutti gli account di accesso che corrispondono alle regole del firewall basate su ip o rete virtuale. In questo modo si riducono i rischi di perdita dei dati. | Verifica, Nega, Disabilitato | 1.1.0 |
| È necessario abilitare la crittografia dell'infrastruttura per gli account di archiviazione | Abilita la crittografia dell'infrastruttura per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati in un account di archiviazione vengono crittografati due volte. | Verifica, Nega, Disabilitato | 1.0.0 |
| Per gli account di archiviazione devono essere configurati i criteri di firma di accesso condiviso | Verificare che gli account di archiviazione dispongano di criteri di scadenza della firma di accesso condiviso (SAS) abilitati. Gli utenti usano una firma di accesso condiviso per delegare l'accesso alle risorse in Archiviazione di Azure account. I criteri di scadenza della firma di accesso condiviso consigliano un limite di scadenza superiore quando un utente crea un token di firma di accesso condiviso. | Verifica, Nega, Disabilitato | 1.0.0 |
| Gli account di archiviazione devono avere la versione minima di TLS specificata | Configurare una versione minima di TLS per la comunicazione sicura tra l'applicazione client e l'account di archiviazione. Per ridurre al minimo il rischio di sicurezza, la versione minima di TLS consigliata è la versione più recente rilasciata, attualmente TLS 1.2. | Verifica, Nega, Disabilitato | 1.0.0 |
| Gli account di archiviazione devono impedire la replica di oggetti tra tenant | Controllare la restrizione della replica degli oggetti per l'account di archiviazione. Per impostazione predefinita, gli utenti possono configurare la replica di oggetti con un account di archiviazione di origine in un tenant di Azure AD e un account di destinazione in un tenant diverso. Si tratta di un problema di sicurezza perché i dati del cliente possono essere replicati in un account di archiviazione di proprietà del cliente. Impostando allowCrossTenantReplication su false, la replica degli oggetti può essere configurata solo se entrambi gli account di origine e di destinazione si trovano nello stesso tenant di Azure AD. | Verifica, Nega, Disabilitato | 1.0.0 |
| Gli account di archiviazione devono impedire l'accesso alla chiave condivisa | Requisito di controllo di Azure Active Directory (Azure AD) per autorizzare le richieste per l'account di archiviazione. Per impostazione predefinita, le richieste possono essere autorizzate con credenziali Azure Active Directory oppure usando la chiave di accesso dell'account per l'autorizzazione con chiave condivisa. Di questi due tipi di autorizzazione, Azure AD offre maggiore sicurezza e facilità d'uso tramite chiave condivisa ed è consigliato da Microsoft. | Verifica, Nega, Disabilitato | 2.0.0 |
| Gli account di archiviazione devono impedire l'accesso con chiave condivisa (esclusi gli account di archiviazione creati da Databricks) | Requisito di controllo di Azure Active Directory (Azure AD) per autorizzare le richieste per l'account di archiviazione. Per impostazione predefinita, le richieste possono essere autorizzate con credenziali Azure Active Directory oppure usando la chiave di accesso dell'account per l'autorizzazione con chiave condivisa. Di questi due tipi di autorizzazione, Azure AD offre maggiore sicurezza e facilità d'uso tramite chiave condivisa ed è consigliato da Microsoft. | Verifica, Nega, Disabilitato | 1.0.0 |
| Gli account di archiviazione devono limitare l'accesso alla rete | L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali Azure specifiche o a intervalli di indirizzi IP Internet pubblici | Verifica, Nega, Disabilitato | 1.1.1 |
| Gli account di archiviazione devono limitare l'accesso alla rete solo tramite l'ACL di rete. | Per migliorare la sicurezza degli account di archiviazione, abilitare l'accesso solo tramite bypass ACL di rete. Questo criterio deve essere usato in combinazione con un endpoint privato per l'accesso all'account di archiviazione. | Verifica, Nega, Disabilitato | 1.0.0 |
| Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale | Protegge gli account di archiviazione da potenziali minacce usando le regole di rete virtuale come metodo preferito anziché il filtro basato su IP. La disabilitazione del filtro basato su IP, impedisce agli indirizzi IP pubblici di accedere agli account di archiviazione. | Verifica, Nega, Disabilitato | 1.0.1 |
| Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale (esclusi gli account di archiviazione creati da Databricks) | Protegge gli account di archiviazione da potenziali minacce usando le regole di rete virtuale come metodo preferito anziché il filtro basato su IP. La disabilitazione del filtro basato su IP, impedisce agli indirizzi IP pubblici di accedere agli account di archiviazione. | Verifica, Nega, Disabilitato | 1.0.0 |
| Gli account di archiviazione devono usare un endpoint servizio di rete virtuale | Questo criterio controlla gli account di archiviazione che non sono configurati per usare un endpoint servizio di rete virtuale. | Controllo, Disabilitato | 1.0.0 |
| Gli account di archiviazione devono usare la chiave gestita dal cliente per la crittografia | Proteggere l'account e file di archiviazione BLOB con maggiore flessibilità usando le chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'utilizzo di chiavi gestite dal cliente offre ulteriori possibilità di controllare la rotazione della chiave di crittografia o di cancellare crittograficamente i dati. | Controllo, Disabilitato | 1.0.3 |
| Gli account di archiviazione devono usare collegamenti privati | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati all’account di archiviazione, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/azureprivatelinkoverview | VerificaSeNonEsiste, Disabilitato | 2.0.0 |
| Gli account di archiviazione devono usare un collegamento privato (esclusi gli account di archiviazione creati da Databricks) | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati all’account di archiviazione, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/azureprivatelinkoverview | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| I token di firma di accesso condiviso di archiviazione devono rispettare la validità massima di 7 giorni | Questo criterio garantisce che i token di firma di accesso condiviso per gli account di archiviazione siano configurati con un periodo di validità massimo di 7 giorni o inferiore. Nega o controlla gli account di archiviazione che consentono una durata più lunga dei token di firma di accesso condiviso o che non hanno azioni di scadenza appropriate configurate. | Verifica, Nega, Disabilitato | 1.0.0 |
| Archiviazione tabelle deve usare la chiave gestita dal cliente per la crittografia | Proteggere l'account di archiviazione con maggiore flessibilità usando le chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'utilizzo di chiavi gestite dal cliente offre ulteriori possibilità di controllare la rotazione della chiave di crittografia o di cancellare crittograficamente i dati. | Verifica, Nega, Disabilitato | 1.0.0 |
Microsoft. StorageCache
| Nome (portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Abilitare la registrazione per gruppo di categorie per le cache HPC (microsoft.storagecache/caches) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per le cache HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Enable logging by category group for HPC caches (microsoft.storagecache/caches) to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per le cache HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per le cache HPC (microsoft.storagecache/caches) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per le cache HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| gli account Cache HPC devono usare la chiave gestita dal cliente per la crittografia | Gestire la crittografia dei dati inattivi di Cache HPC di Azure con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | Verifica, Disabilitato, Nega | 2.0.0 |
Microsoft. StorageSync
| Nome (portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Sincronizzazione file di Azure deve usare un collegamento privato | La creazione di un endpoint privato per la risorsa Servizio di sincronizzazione archiviazione indicata consente di indirizzare la risorsa Servizio di sincronizzazione archiviazione dallo spazio indirizzi IP privati della rete dell'organizzazione, anziché attraverso l'endpoint pubblico accessibile tramite Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Configurare Sincronizzazione file di Azure con endpoint privati | Viene distribuito un endpoint privato per la risorsa del servizio di sincronizzazione archiviazione indicata. In questo modo è possibile indirizzare la risorsa del servizio di sincronizzazione archiviazione dallo spazio di indirizzi IP privato della rete dell'organizzazione, anziché tramite l'endpoint pubblico accessibile da Internet. L'esistenza di uno o più endpoint privati da soli non disabilita l'endpoint pubblico. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Modify - Configurare Sincronizzazione file di Azure per disabilitare l'accesso alla rete pubblica | L'endpoint pubblico accessibile da Internet del Sincronizzazione file di Azure è disabilitato dai criteri dell'organizzazione. È comunque possibile accedere al servizio di sincronizzazione archiviazione tramite gli endpoint privati. | Modifica, disattivato | 1.0.0 |
| L'accesso alla rete Public deve essere disabilitato per Sincronizzazione file di Azure | La disabilitazione dell'endpoint pubblico consente di limitare l'accesso alla risorsa del servizio di sincronizzazione archiviazione alle richieste destinate agli endpoint privati approvati nella rete dell'organizzazione. Non c'è nulla di intrinsecamente insicuro per consentire le richieste all'endpoint pubblico, tuttavia, è possibile disabilitarlo per soddisfare i requisiti normativi, legali o dei criteri dell'organizzazione. È possibile disabilitare l'endpoint pubblico per un servizio di sincronizzazione archiviazione impostando incomingTrafficPolicy della risorsa su AllowVirtualNetworksOnly. | Verifica, Nega, Disabilitato | 1.0.0 |
Microsoft. ClassicStorage
| Nome (portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| è necessario eseguire la migrazione degli account Archiviazione alle nuove risorse di Azure Resource Manager | Usare le nuove Azure Resource Manager per gli account di archiviazione per offrire miglioramenti alla sicurezza, ad esempio: controllo degli accessi (RBAC), controllo migliore, distribuzione e governance basata su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, Azure Autenticazione basata su ACTIVE Directory e supporto per tag e gruppi di risorse per semplificare la gestione della sicurezza | Verifica, Nega, Disabilitato | 1.0.0 |
Passaggi successivi
- Vedere le impostazioni predefinite nel repository Criteri di Azure GitHub.
- Esaminare la struttura di definizione Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.