Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article répertorie Azure Policy définitions de stratégie intégrées liées à Microsoft benchmark de sécurité cloud v2 (préversion). Chaque contrôle du benchmark est mappé à une ou plusieurs définitions Azure Policy.
Compliant dans Azure Policy fait référence uniquement aux définitions de stratégie elles-mêmes ; cela ne garantit pas que vous êtes entièrement conforme à toutes les exigences d'un contrôle. La norme de conformité inclut des contrôles qui ne sont pas traités par des définitions de Azure Policy pour l'instant. Par conséquent, la conformité dans Azure Policy n’est qu’une vue partielle de votre état de conformité global.
Les associations entre les contrôles et les définitions Azure Policy pour cette norme de conformité peuvent changer au fil du temps.
IA-1 : Garantir l’utilisation de modèles approuvés
Pour plus d’informations, consultez Artificial Intelligence Security : AI-1 : Garantir l’utilisation de modèles approuvés.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| [préversion] : Azure Machine Learning Déploiements ne doivent utiliser que les modèles de Registre approuvés | Limiter le déploiement de modèles de registre pour contrôler en externe les modèles créés utilisés au sein de votre organisation | Audit; Nier; Handicapé | 1.0.0-preview |
| [préversion] : les déploiements de Registre de modèles Azure Machine Learning sont limités à l’exception du Registre autorisé | Déployez uniquement des modèles de Registre dans le Registre autorisé et qui ne sont pas limités. | n/a | 1.0.0-preview |
AM-2 : Utiliser uniquement les services approuvés
Pour plus d’informations, consultez Gestion des ressources : AM-2 : Utilisez uniquement les services approuvés.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| Gestion des API Azure version de plateforme doit être stv2 | Gestion des API Azure version de la plateforme de calcul stv1 sera mise hors service le 31 août 2024, et ces instances doivent être migrées vers la plateforme de calcul stv2 pour une prise en charge continue. En savoir plus sur la mise hors service API Management stv1 - Cloud global Azure (août 2024) | Audit; Nier; Handicapé | 1.0.0 |
| Les comptesStorage doivent être migrés vers de nouvelles ressources Azure Resource Manager | Utilisez de nouvelles Azure Resource Manager pour vos comptes de stockage pour fournir des améliorations de sécurité telles que : contrôle d’accès plus fort (RBAC), un meilleur audit, un déploiement et une gouvernance basés sur Azure Resource Manager, l’accès aux identités managées, l’accès au coffre de clés pour les secrets, Azure Authentification basée sur AD et prise en charge des balises et des groupes de ressources pour faciliter la gestion de la sécurité | Audit; Nier; Handicapé | 1.0.0 |
| Les comptesStorage doivent être migrés vers de nouvelles ressources Azure Resource Manager | Utilisez de nouvelles Azure Resource Manager pour vos comptes de stockage pour fournir des améliorations de sécurité telles que : contrôle d’accès plus fort (RBAC), un meilleur audit, un déploiement et une gouvernance basés sur Azure Resource Manager, l’accès aux identités managées, l’accès au coffre de clés pour les secrets, Azure Authentification basée sur AD et prise en charge des balises et des groupes de ressources pour faciliter la gestion de la sécurité | Audit; Nier; Handicapé | 1.0.0 |
AM-3 : Garantir la sécurité de la gestion du cycle de vie des ressources
Pour plus d’informations, consultez Gestion des ressources : AM-3 : Garantir la sécurité de la gestion du cycle de vie des ressources.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| les points de terminaisonAPI non utilisés doivent être désactivés et supprimés du service Gestion des API Azure | Comme bonne pratique de sécurité, les points de terminaison d'API qui n'ont pas reçu le trafic pendant 30 jours sont considérés comme inutilisés et doivent être supprimés du service Gestion des API Azure. La conservation de points de terminaison d’API inutilisés peut présenter un risque de sécurité pour votre organisation. Il peut s’agir d’API qui auraient dû être déconseillées à partir du service Gestion des API Azure, mais qui auraient été accidentellement laissées actives. Ces API ne bénéficient généralement pas de la couverture de sécurité la plus récente. | AuditIfNotExists ; Handicapé | 1.0.1 |
BR-1 : Garantir des sauvegardes automatisées régulières
Pour plus d’informations, consultez Sauvegarde et récupération : BR-1 : Garantir des sauvegardes automatisées régulières.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| Sauvegarde Azure doit être activé pour Machines Virtuelles | Veillez à protéger votre Machines virtuelles Azure en activant Sauvegarde Azure. Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. | AuditIfNotExists ; Handicapé | 3.0.0 |
| La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL | Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Il peut être défini sur une sauvegarde géoredondante storage dans laquelle les données ne sont pas uniquement stockées dans la région dans laquelle votre serveur est hébergé, mais également répliquée dans une région jumelée pour fournir une option de récupération en cas de défaillance de région. La configuration des storage géoredondantes pour la sauvegarde n’est autorisée que pendant la création du serveur. | Audit; Handicapé | 1.0.1 |
| La sauvegarde redondantegeo-redondante doit être activée pour Azure Database pour PostgreSQL | Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Il peut être défini sur une sauvegarde géoredondante storage dans laquelle les données ne sont pas uniquement stockées dans la région dans laquelle votre serveur est hébergé, mais également répliquée dans une région jumelée pour fournir une option de récupération en cas de défaillance de région. La configuration des storage géoredondantes pour la sauvegarde n’est autorisée que pendant la création du serveur. | Audit; Handicapé | 1.0.1 |
BR-2 : Protéger les données de sauvegarde et de récupération
Pour plus d’informations, consultez Sauvegarde et récupération : BR-2 : Protéger les données de sauvegarde et de récupération.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| Sauvegarde Azure doit être activé pour Machines Virtuelles | Veillez à protéger votre Machines virtuelles Azure en activant Sauvegarde Azure. Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. | AuditIfNotExists ; Handicapé | 3.0.0 |
| La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL | Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Il peut être défini sur une sauvegarde géoredondante storage dans laquelle les données ne sont pas uniquement stockées dans la région dans laquelle votre serveur est hébergé, mais également répliquée dans une région jumelée pour fournir une option de récupération en cas de défaillance de région. La configuration des storage géoredondantes pour la sauvegarde n’est autorisée que pendant la création du serveur. | Audit; Handicapé | 1.0.1 |
| La sauvegarde redondantegeo-redondante doit être activée pour Azure Database pour PostgreSQL | Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Il peut être défini sur une sauvegarde géoredondante storage dans laquelle les données ne sont pas uniquement stockées dans la région dans laquelle votre serveur est hébergé, mais également répliquée dans une région jumelée pour fournir une option de récupération en cas de défaillance de région. La configuration des storage géoredondantes pour la sauvegarde n’est autorisée que pendant la création du serveur. | Audit; Handicapé | 1.0.1 |
| [préversion] : l’immuabilité doit être activée pour les coffres Recovery Services | Cette stratégie vérifie si la propriété de coffres immuables est activée pour les coffres Recovery Services dans l'étendue. Cela permet de protéger vos données de sauvegarde contre la suppression avant leur expiration prévue. En savoir plus sur Concept de coffre immuable pour Sauvegarde Azure. | Audit; Handicapé | 1.0.1-preview |
| [préversion] : l’immuabilité doit être activée pour les coffres de sauvegarde | Cette stratégie vérifie si la propriété des coffres immuables est activée pour les coffres de sauvegarde dans l’étendue. Cela permet de protéger vos données de sauvegarde contre la suppression avant leur expiration prévue. En savoir plus sur Concept de coffre immuable pour Sauvegarde Azure. | Audit; Handicapé | 1.0.1-preview |
| [préversion] : la suppression réversible doit être activée pour les coffres de sauvegarde | Cette stratégie vérifie si la suppression réversible est activée pour les coffres de sauvegarde dans l’étendue. La suppression réversible peut vous aider à récupérer vos données une fois qu’elles ont été supprimées. En savoir plus sur Overview de suppression réversible améliorée pour Sauvegarde Azure | Audit; Handicapé | 1.0.0-preview |
DP-1 : Découvrir, classifier et étiqueter des données sensibles
Pour plus d’informations, consultez Protection des données : DP-1 : Découvrir, classifier et étiqueter des données sensibles.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| Microsoft Defender pour les API doivent être activées | Microsoft Defender pour les API apporte une nouvelle couverture de détection, de protection, de détection et de réponse pour surveiller les attaques courantes basées sur les API et les mauvaises configurations de sécurité. | AuditIfNotExists ; Handicapé | 1.0.3 |
DP-2 : Surveiller les anomalies et les menaces ciblant les données sensibles
Pour plus d’informations, consultez Protection des données : DP-2 : Surveiller les anomalies et les menaces ciblant des données sensibles.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| Azure Defender pour les serveurs Azure SQL Database doivent être activés | Azure Defender pour SQL fournit des fonctionnalités permettant de détecter et d’atténuer les vulnérabilités potentielles des bases de données, de détecter les activités anormales susceptibles d’indiquer des menaces pour les bases de données SQL et de découvrir et de classer des données sensibles. | AuditIfNotExists ; Handicapé | 1.0.2 |
| Azure Defender pour les serveurs SQL sur les machines doivent être activés | Azure Defender pour SQL fournit des fonctionnalités permettant de détecter et d’atténuer les vulnérabilités potentielles des bases de données, de détecter les activités anormales susceptibles d’indiquer des menaces pour les bases de données SQL et de découvrir et de classer des données sensibles. | AuditIfNotExists ; Handicapé | 1.0.2 |
| Azure Defender pour SQL doit être activé pour les instances managées SQL non protégées | Auditez chaque SQL Managed Instance sans sécurité avancée des données. | AuditIfNotExists ; Handicapé | 1.0.2 |
| Azure Defender pour les bases de données relationnelles open source doivent être activées | Azure Defender pour les bases de données relationnelles open source détecte des activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation de bases de données. En savoir plus sur les fonctionnalités de Azure Defender pour les bases de données relationnelles open source à Overview de Defender pour Open-Source bases de données relationnelles. Important : L’activation de ce plan entraînera des frais pour la protection de vos bases de données relationnelles open source. En savoir plus sur la tarification sur la page de tarification de Security Center : Pricing - Microsoft Defender for Cloud | AuditIfNotExists ; Handicapé | 1.0.0 |
| Microsoft Defender pour les API doivent être activées | Microsoft Defender pour les API apporte une nouvelle couverture de détection, de protection, de détection et de réponse pour surveiller les attaques courantes basées sur les API et les mauvaises configurations de sécurité. | AuditIfNotExists ; Handicapé | 1.0.3 |
| Microsoft Defender pour le stockage doit être activé | Microsoft Defender stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. La nouvelle Defender pour le plan de stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte storage) pour contrôler la couverture et les coûts. | AuditIfNotExists ; Handicapé | 1.0.0 |
DP-3 : Chiffrer les données sensibles en transit
Pour plus d’informations, consultez Protection des données : DP-3 : Chiffrer les données sensibles en transit.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| les API API Management doivent utiliser uniquement des protocoles chiffrés | Pour garantir la sécurité des données en transit, les API doivent être disponibles uniquement via des protocoles chiffrés, tels que HTTPS ou WSS. Évitez d’utiliser des protocoles non sécurisés, tels que HTTP ou WS. | Audit; Handicapé; Nier | 2.0.2 |
| App Service Environment doit être configuré avec des suites de chiffrement TLS les plus fortes | Les deux suites de chiffrement les plus minimales et les plus fortes requises pour App Service Environment fonctionnent correctement : TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 et TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Audit; Handicapé | 1.0.0 |
| App Service Environment devez désactiver TLS 1.0 et 1.1 | Les protocoles TLS 1.0 et 1.1 sont obsolètes. Ils ne prennent pas en charge les algorithmes de chiffrement modernes. La désactivation du trafic TLS 1.0 et 1.1 entrant permet de sécuriser les applications dans un App Service Environment. | Audit; Nier; Handicapé | 2.0.1 |
| App Service Environment devez activer le chiffrement interne | La définition de InternalEncryption sur true chiffre le fichier de pages, les disques worker et le trafic réseau interne entre les serveurs frontaux et les workers dans un App Service Environment. Pour plus d’informations, reportez-vous aux paramètres de configuration Custom pour les environnements App Service. | Audit; Handicapé | 1.0.1 |
| App Service emplacements d’application doivent activer le chiffrement de bout en bout | L’activation du chiffrement de bout en bout garantit que le trafic intra-cluster frontal entre App Service serveur frontal et les workers exécutant des charges de travail d’application est chiffré. | Audit; Nier; Handicapé | 1.0.0 |
| App Service emplacements d’application doivent utiliser la dernière version tls | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Effectuez une mise à niveau vers la dernière version de TLS pour App Service applications afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou de nouvelles fonctionnalités de la dernière version. | AuditIfNotExists ; Handicapé | 1.2.0 |
| App Service applications doivent activer le chiffrement de bout en bout | L’activation du chiffrement de bout en bout garantit que le trafic intra-cluster frontal entre App Service serveur frontal et les workers exécutant des charges de travail d’application est chiffré. | Audit; Nier; Handicapé | 1.0.0 |
| App Service applications ne doivent être accessibles que via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit; Handicapé; Nier | 4.0.0 |
| les applications App Service doivent exiger uniquement FTPS | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists ; Handicapé | 3.0.0 |
| App Service applications doivent utiliser la dernière version tls | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Effectuez une mise à niveau vers la dernière version de TLS pour App Service applications afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou de nouvelles fonctionnalités de la dernière version. | AuditIfNotExists ; Handicapé | 2.2.0 |
| Azure Batch pools doivent avoir activé le chiffrement de disque | L’activation de Azure Batch chiffrement de disque garantit que les données sont toujours chiffrées au repos sur votre nœud de calcul Azure Batch. En savoir plus sur le chiffrement de disque dans Batch à Créer un pool avec le chiffrement de disque activé. | Audit; Handicapé; Nier | 1.0.0 |
| Azure Front Door Standard et Premium doivent exécuter une version TLS minimale de 1.2 | La définition d’une version TLS minimale sur la version 1.2 améliore la sécurité en veillant à ce que vos domaines personnalisés soient accessibles à partir de clients utilisant TLS 1.2 ou une version ultérieure. L’utilisation de versions de TLS inférieures à 1.2 n’est pas recommandée, car elles sont faibles et ne prennent pas en charge les algorithmes de chiffrement modernes. | Audit; Nier; Handicapé | 1.0.0 |
| Azure HDInsight clusters doivent utiliser le chiffrement en transit pour chiffrer la communication entre les nœuds de cluster Azure HDInsight | Les données peuvent être falsifiées pendant la transmission entre des nœuds de cluster Azure HDInsight. L’activation du chiffrement en transit résout les problèmes d’utilisation incorrecte et de falsification pendant cette transmission. | Audit; Nier; Handicapé | 1.0.0 |
| Azure SQL Database devez exécuter TLS version 1.2 ou ultérieure | La définition de la version TLS sur la version 1.2 ou ultérieure améliore la sécurité en veillant à ce que votre Azure SQL Database soit accessible uniquement à partir de clients utilisant TLS 1.2 ou version ultérieure. L’utilisation de versions de TLS inférieures à 1.2 n’est pas recommandée, car elles ont des vulnérabilités de sécurité bien documentées. | Audit; Handicapé; Nier | 2.0.0 |
| Bot Service point de terminaison doit être un URI HTTPS valide | Les données peuvent être falsifiées pendant la transmission. Il existe des protocoles qui fournissent un chiffrement pour résoudre les problèmes d’utilisation incorrecte et de falsification. Pour vous assurer que vos bots communiquent uniquement via des canaux chiffrés, définissez le point de terminaison sur un URI HTTPS valide. Cela garantit que le protocole HTTPS est utilisé pour chiffrer vos données en transit et est également souvent une exigence de conformité aux normes réglementaires ou industrielles. Visitez : Bot Framework security guidelines. | audit; Audit; nier; Nier; handicapé; Handicapé | 1.1.0 |
| Enforce SSL connection doit être activée pour les serveurs de base de données MySQL | Azure Database pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide du protocole SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit; Handicapé | 1.0.1 |
| Enforce SSL connection doit être activée pour les serveurs de base de données PostgreSQL | Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes à l’aide du protocole SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit; Handicapé | 1.0.1 |
| Les emplacements d’applicationFunction doivent activer le chiffrement de bout en bout | L’activation du chiffrement de bout en bout garantit que le trafic intra-cluster frontal entre App Service serveur frontal et les workers exécutant des charges de travail d’application est chiffré. | Audit; Nier; Handicapé | 1.1.0 |
| Emplacements d’applicationFunction doivent utiliser la dernière version tls | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists ; Handicapé | 1.3.0 |
| les applications Function doivent activer le chiffrement de bout en bout | L’activation du chiffrement de bout en bout garantit que le trafic intra-cluster frontal entre App Service serveur frontal et les workers exécutant des charges de travail d’application est chiffré. | Audit; Nier; Handicapé | 1.1.0 |
| les applications Function ne doivent être accessibles que via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit; Handicapé; Nier | 5.1.0 |
| les applications Function doivent exiger uniquement FTPS | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists ; Handicapé | 3.1.0 |
| les applications Function doivent utiliser la dernière version tls | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists ; Handicapé | 2.3.0 |
| les clusters Kubernetes doivent être accessibles uniquement via HTTPS | L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Cette fonctionnalité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, visitez Understand Azure Policy pour les clusters Kubernetes | audit; Audit; nier; Nier; handicapé; Handicapé | 8.2.0 |
| Les connexions sécurisées à votre Azure Cache pour Redis doivent être activées | Auditez l’activation des connexions uniquement via SSL pour Azure Cache pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). | Audit; Nier; Handicapé | 1.0.0 |
| Les serveurs flexiblesPostgreSQL doivent exécuter TLS version 1.2 ou ultérieure | Cette stratégie permet d’auditer les serveurs flexibles PostgreSQL dans votre environnement qui s’exécutent avec la version TLS inférieure à 1.2. | AuditIfNotExists ; Handicapé | 1.1.0 |
| SQL Managed Instance doit avoir la version TLS minimale de 1.2 | La définition d’une version TLS minimale sur la version 1.2 améliore la sécurité en garantissant que votre SQL Managed Instance est accessible uniquement à partir de clients utilisant TLS 1.2. L’utilisation de versions de TLS inférieures à 1.2 n’est pas recommandée, car elles ont des vulnérabilités de sécurité bien documentées. | Audit; Handicapé | 1.0.1 |
| Le transfert sécurisé vers des comptes storage doit être activé | Auditer l’exigence de transfert sécurisé dans votre compte storage. Le transfert sécurisé est une option qui force votre compte storage à accepter les demandes uniquement à partir de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) | Audit; Nier; Handicapé | 2.0.0 |
| Storage comptes doivent avoir la version minimale de TLS spécifiée | Configurez une version TLS minimale pour sécuriser la communication entre l’application cliente et le compte storage. Pour réduire le risque de sécurité, la version minimale recommandée de TLS est la dernière version publiée, qui est actuellement TLS 1.2. | Audit; Nier; Handicapé | 1.0.0 |
| Windows machines doivent être configurées pour utiliser des protocoles de communication sécurisés | Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. | AuditIfNotExists ; Handicapé | 4.1.1 |
| [préversion] : la mise en réseau de l’hôte et de la machine virtuelle doit être protégée sur Azure Stack systèmes HCI | Protégez les données sur le réseau hôte Azure Stack HCI et sur les connexions réseau de machines virtuelles. | Audit; Handicapé; AuditIfNotExists | 1.0.0-preview |
DP-4 : Activer le chiffrement des données au repos par défaut
Pour plus d’informations, consultez Protection des données : DP-4 : Activer le chiffrement des données au repos par défaut.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| A Microsoft Entra administrateur doit être approvisionné pour les serveurs MySQL | Auditez l’approvisionnement d’un administrateur Microsoft Entra pour votre serveur MySQL afin d’activer l’authentification Microsoft Entra. Microsoft Entra l’authentification permet de simplifier la gestion des autorisations et de centraliser la gestion des identités des utilisateurs de base de données et d’autres services Microsoft | AuditIfNotExists ; Handicapé | 1.1.1 |
| les variables de compte Automation doivent être chiffrées | Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles | Audit; Nier; Handicapé | 1.1.0 |
| Azure Data Box travaux doivent activer le double chiffrement pour les données au repos sur l’appareil | Activez une deuxième couche de chiffrement basé sur logiciel pour les données au repos sur l’appareil. L’appareil est déjà protégé via le chiffrement avancé standard 256 bits pour les données au repos. Cette option ajoute une deuxième couche de chiffrement des données. | Audit; Nier; Handicapé | 1.0.0 |
| Azure les appareils du Centre matériel Edge doivent avoir activé la prise en charge du double chiffrement | Assurez-vous que les appareils commandés à partir de Azure Centre matériel Edge ont activé la prise en charge du double chiffrement pour sécuriser les données au repos sur l’appareil. Cette option ajoute une deuxième couche de chiffrement des données. | Audit; Nier; Handicapé | 2.0.0 |
| Azure HDInsight clusters doivent utiliser le chiffrement sur l’hôte pour chiffrer les données au repos | L’activation du chiffrement sur l’hôte permet de protéger et de protéger vos données pour répondre aux engagements de sécurité et de conformité de votre organisation. Lorsque vous activez le chiffrement sur l’hôte, les données stockées sur l’hôte de machine virtuelle sont chiffrées au repos et les flux chiffrés vers le service Storage. | Audit; Nier; Handicapé | 1.0.0 |
| Azure Monitor Les clusters journaux d’activité doivent être créés avec le chiffrement d’infrastructure activé (chiffrement double) | Pour garantir que le chiffrement sécurisé des données est activé au niveau du service et au niveau de l’infrastructure avec deux algorithmes de chiffrement différents et deux clés différentes, utilisez un cluster dédié Azure Monitor. Cette option est activée par défaut lorsqu’elle est prise en charge dans la région, consultez Azure Monitor clés gérées par le client. | audit; Audit; nier; Nier; handicapé; Handicapé | 1.1.0 |
| Azure serveur flexible MySQL doit avoir Microsoft Entra Authentification uniquement activée | La désactivation des méthodes d’authentification locales et l’autorisation uniquement Microsoft Entra l’authentification améliore la sécurité en garantissant que Azure serveur flexible MySQL est accessible exclusivement par Microsoft Entra identités. | AuditIfNotExists ; Handicapé | 1.0.1 |
| Azure NetApp Files les volumes SMB doivent utiliser le chiffrement SMB3 | Interdire la création de volumes SMB sans chiffrement SMB3 pour garantir l’intégrité des données et la confidentialité des données. | Audit; Nier; Handicapé | 1.0.0 |
| Azure NetApp Files Les volumes de type NFSv4.1 doivent utiliser le chiffrement des données Kerberos | Autorisez uniquement l’utilisation du mode de sécurité de confidentialité Kerberos (5p) pour vous assurer que les données sont chiffrées. | Audit; Nier; Handicapé | 1.0.0 |
| les appareils Azure Stack Edge doivent utiliser un double chiffrement | Pour sécuriser les données au repos sur l'appareil, assurez-vous qu'elles sont doublement chiffrées, les access aux données sont contrôlées et une fois l'appareil désactivé, les données sont effacées en toute sécurité sur les disques de données. Le double chiffrement est l’utilisation de deux couches de chiffrement : BitLocker XTS-AES chiffrement 256 bits sur les volumes de données et le chiffrement intégré des disques durs. Pour en savoir plus, consultez la documentation de vue d’ensemble de la sécurité pour l’appareil Stack Edge spécifique. | audit; Audit; nier; Nier; handicapé; Handicapé | 1.1.0 |
| le chiffrement Disk doit être activé sur Azure Data Explorer | L’activation du chiffrement de disque permet de protéger et de protéger vos données pour répondre aux engagements de sécurité et de conformité de votre organisation. | Audit; Nier; Handicapé | 2.0.0 |
| Le chiffrementdouble doit être activé sur Azure Data Explorer | Le fait d’activer le chiffrement double vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque le double chiffrement a été activé, les données du compte storage sont chiffrées deux fois, une fois au niveau du service et une fois au niveau de l’infrastructure, à l’aide de deux algorithmes de chiffrement différents et de deux clés différentes. | Audit; Nier; Handicapé | 2.0.0 |
| les espaces de noms Event Hub doivent avoir un double chiffrement activé | Le fait d’activer le chiffrement double vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque le double chiffrement a été activé, les données du compte storage sont chiffrées deux fois, une fois au niveau du service et une fois au niveau de l’infrastructure, à l’aide de deux algorithmes de chiffrement différents et de deux clés différentes. | Audit; Nier; Handicapé | 1.0.0 |
| le chiffrement Infrastructure doit être activé pour les serveurs Azure Database pour MySQL | Activez le chiffrement de l’infrastructure pour Azure Database pour MySQL serveurs afin d’avoir un niveau plus élevé d’assurance que les données sont sécurisées. Lorsque le chiffrement de l’infrastructure est activé, les données au repos sont chiffrées deux fois à l’aide de clés gérées Microsoft compatibles FIPS 140-2. | Audit; Nier; Handicapé | 1.0.0 |
| Infrastructure encryption doit être activé pour les serveurs Azure Database pour PostgreSQL | Activez le chiffrement de l’infrastructure pour Azure Database pour PostgreSQL serveurs afin d’avoir un niveau plus élevé d’assurance que les données sont sécurisées. Lorsque le chiffrement de l’infrastructure est activé, les données au repos sont chiffrées deux fois à l’aide de clés gérées compatibles FIPS 140-2 Microsoft | Audit; Nier; Handicapé | 1.0.0 |
| Machines virtuelleslinux doivent activer Azure Disk Encryption ou EncryptionAtHost. | Bien que le système d'exploitation et les disques de données d'une machine virtuelle soient chiffrés au repos par défaut à l'aide de clés gérées par la plateforme ; les disques de ressources (disques temporaires), les caches de données et les données qui circulent entre les ressources de calcul et d’Storage ne sont pas chiffrées. Utilisez Azure Disk Encryption ou EncryptionAtHost pour corriger. Consultez la vue d’ensemble des options de chiffrement de disque managé pour comparer les offres de chiffrement. Cette stratégie nécessite deux conditions préalables pour être déployée dans l’étendue de l’affectation de stratégie. Pour plus d’informations, visitez Understand Azure Machine Configuration. | AuditIfNotExists ; Handicapé | 1.2.1 |
| Managed disks doit être double chiffré avec des clés gérées par la plateforme et gérées par le client | Les clients sensibles haute sécurité qui sont concernés par les risques associés à un algorithme de chiffrement particulier, une implémentation ou une clé compromise, peuvent choisir une couche supplémentaire de chiffrement à l’aide d’un algorithme/mode de chiffrement différent au niveau de la couche d’infrastructure à l’aide de clés de chiffrement gérées par la plateforme. Les jeux de chiffrement de disque sont requis pour utiliser le chiffrement double. Pour en savoir plus, consultez Chiffrement côté serveur des disques managés Azure. | Audit; Nier; Handicapé | 1.0.0 |
| Service Bus espaces de noms doivent avoir un double chiffrement activé | Le fait d’activer le chiffrement double vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque le double chiffrement a été activé, les données du compte storage sont chiffrées deux fois, une fois au niveau du service et une fois au niveau de l’infrastructure, à l’aide de deux algorithmes de chiffrement différents et de deux clés différentes. | Audit; Nier; Handicapé | 1.0.0 |
| Service Fabric clusters doivent avoir la propriété ClusterProtectionLevel définie sur EncryptAndSign | Le service Fabric fournit trois niveaux de protection (None, Sign et EncryptAndSign) pour la communication de nœud à nœud à nœud à l’aide d’un certificat de cluster principal. Définissez le niveau de protection pour vous assurer que tous les messages de nœud à nœud sont chiffrés et signés numériquement | Audit; Nier; Handicapé | 1.1.0 |
| les comptes Storage doivent disposer d’un chiffrement d’infrastructure | Activez le chiffrement d’infrastructure pour garantir une sécurité renforcée des données. Lorsque le chiffrement de l’infrastructure est activé, les données d’un compte storage sont chiffrées deux fois. | Audit; Nier; Handicapé | 1.0.0 |
| Disques et cachetemps pour les pools de nœuds d’agent dans Azure Kubernetes Service clusters doivent être chiffrés sur l’hôte | Pour améliorer la sécurité des données, les données stockées sur l’hôte de machine virtuelle de vos machines virtuelles de nœuds Azure Kubernetes Service doivent être chiffrées au repos. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. | Audit; Nier; Handicapé | 1.0.1 |
| Transparent Data Encryption doit être activé pour les instances managées SQL Arc. | Activez le chiffrement transparent des données (TDE) au repos sur un SQL Managed Instance compatible Azure Arc. En savoir plus sur Encrypter une base de données avec chiffrement transparent des données manuellement dans SQL Managed Instance activée par Azure Arc. | Audit; Handicapé | 1.0.0 |
| Transparent Data Encryption sur les bases de données SQL doit être activé | Transparent data encryption doit être activé pour protéger les données au repos et répondre aux exigences de conformité | AuditIfNotExists ; Handicapé | 2.0.0 |
| Virtual machines et virtual machine scale sets doivent activer le chiffrement sur l’hôte | Utilisez le chiffrement sur l’hôte pour obtenir un chiffrement de bout en bout pour vos données de machine virtuelle et de groupes de machines virtuelles identiques. Le chiffrement sur l’hôte permet le chiffrement au repos pour votre disque temporaire et les caches du système d’exploitation/disque de données. Les disques de système d’exploitation temporaires et éphémères sont chiffrés avec des clés gérées par la plateforme lorsque le chiffrement sur l’hôte est activé. Les caches du système d’exploitation et du disque de données sont chiffrés au repos avec des clés gérées par le client ou par la plateforme, selon le type de chiffrement sélectionné sur le disque. En savoir plus sur Activer le chiffrement de bout en bout à l’aide du chiffrement sur l’hôte. | Audit; Nier; Handicapé | 1.0.0 |
| Windows machines virtuelles doivent activer Azure Disk Encryption ou EncryptionAtHost. | Bien que le système d'exploitation et les disques de données d'une machine virtuelle soient chiffrés au repos par défaut à l'aide de clés gérées par la plateforme ; les disques de ressources (disques temporaires), les caches de données et les données qui circulent entre les ressources de calcul et d’Storage ne sont pas chiffrées. Utilisez Azure Disk Encryption ou EncryptionAtHost pour corriger. Consultez la vue d’ensemble des options de chiffrement de disque managé pour comparer les offres de chiffrement. Cette stratégie nécessite deux conditions préalables pour être déployée dans l’étendue de l’affectation de stratégie. Pour plus d’informations, visitez Understand Azure Machine Configuration. | AuditIfNotExists ; Handicapé | 1.1.1 |
DP-5 : Utiliser l’option de clé gérée par le client dans le chiffrement des données au repos si nécessaire
Pour plus d’informations, consultez Protection des données : DP-5 : Utilisez l’option de clé gérée par le client dans les données au repos, le cas échéant.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| Azure ressources AI Services doivent chiffrer les données au repos avec une clé gérée par le client (CMK) | L’utilisation de clés gérées par le client pour chiffrer les données au repos offre un meilleur contrôle sur le cycle de vie des clés, notamment la rotation et la gestion. Cela est particulièrement pertinent pour les organisations ayant des exigences de conformité associées. Cela n’est pas évalué par défaut et doit être appliqué uniquement en cas d’exigences de stratégie restrictives ou de conformité. Si cette option n’est pas activée, les données sont chiffrées à l’aide de clés gérées par la plateforme. Pour implémenter cela, mettez à jour le paramètre « Effet » dans la stratégie de sécurité pour l’étendue applicable. | Audit; Nier; Handicapé | 2.2.0 |
| Azure API pour FHIR doit utiliser une clé gérée par le client pour chiffrer les données au repos | Utilisez une clé gérée par le client pour contrôler le chiffrement au repos des données stockées dans Azure API pour FHIR lorsqu’il s’agit d’une exigence réglementaire ou de conformité. Les clés gérées par le client fournissent également un double chiffrement en ajoutant une deuxième couche de chiffrement au-dessus de celle par défaut effectuée avec des clés gérées par le service. | audit; Audit; handicapé; Handicapé | 1.1.0 |
| Azure Automation comptes doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos comptes Azure Automation. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. En savoir plus sur Encryption des ressources sécurisées dans Azure Automation. | Audit; Nier; Handicapé | 1.0.0 |
| Azure Batch compte doit utiliser des clés gérées par le client pour chiffrer les données | Utilisez des clés gérées par le client pour gérer le chiffrement au repos des données de votre compte Batch. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. En savoir plus sur le chiffrement des données de compte Batch. | Audit; Nier; Handicapé | 1.0.1 |
| Azure Cache pour Redis Enterprise doit utiliser des clés gérées par le client pour chiffrer les données de disque | Utiliser des clés gérées par le client (CMK) pour gérer le chiffrement au repos de vos données sur disque. Par défaut, les données client sont chiffrées avec des clés gérées par la plateforme (PMK), mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. En savoir plus sur Configurer le chiffrement de disque dans Azure Cache pour Redis. | Audit; Nier; Handicapé | 1.0.0 |
| Azure groupe de conteneurs Container Instance doit utiliser une clé gérée par le client pour le chiffrement | Sécurisez vos conteneurs avec une plus grande flexibilité à l’aide de clés gérées par le client. Lorsque vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler les access à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. | Audit; Handicapé; Nier | 1.0.0 |
| Azure Cosmos DB comptes doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre Azure Cosmos DB. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. En savoir plus sur Configurer les clés Customer-Managed. | audit; Audit; nier; Nier; handicapé; Handicapé | 1.1.0 |
| Azure Data Box travaux doivent utiliser une clé gérée par le client pour chiffrer le mot de passe de déverrouillage de l’appareil | Utilisez une clé gérée par le client pour contrôler le chiffrement du mot de passe de déverrouillage de l’appareil pour Azure Data Box. Les clés gérées par le client aident également à gérer les access au mot de passe de déverrouillage de l’appareil par le service Data Box afin de préparer l’appareil et de copier les données de manière automatisée. Les données sur l’appareil lui-même sont déjà chiffrées au repos avec chiffrement avancé standard 256 bits, et le mot de passe de déverrouillage de l’appareil est chiffré par défaut avec une clé gérée Microsoft. | Audit; Nier; Handicapé | 1.0.0 |
| Azure Data Explorer chiffrement au repos doit utiliser une clé gérée par le client | L’activation du chiffrement au repos à l’aide d’une clé gérée par le client sur votre cluster Azure Data Explorer fournit un contrôle supplémentaire sur la clé utilisée par le chiffrement au repos. Cette fonctionnalité est souvent applicable aux clients ayant des exigences de conformité particulières et nécessite une Key Vault pour gérer les clés. | Audit; Nier; Handicapé | 1.0.0 |
| Azure Databricks espaces de travail doivent être une référence SKU Premium qui prend en charge des fonctionnalités telles que la liaison privée, la clé gérée par le client pour le chiffrement | Autorisez uniquement l’espace de travail Databricks avec la référence SKU Premium que votre organisation peut déployer pour prendre en charge des fonctionnalités telles que Private Link clé gérée par le client pour le chiffrement. En savoir plus sur : Configurer la connectivité privée principale à Azure Databricks. | Audit; Nier; Handicapé | 1.0.1 |
| Azure Les comptes Device Update doivent utiliser la clé gérée par le client pour chiffrer les données au repos | Le chiffrement des données au repos dans Azure Device Update avec une clé gérée par le client ajoute une deuxième couche de chiffrement au-dessus des clés gérées par le service par défaut, permet le contrôle client des clés, les stratégies de rotation personnalisées et la possibilité de gérer l’accès aux données via le contrôle d’accès aux clés. En savoir plus sur :Data encryption for Device Update for IoT Hub. | Audit; Nier; Handicapé | 1.0.0 |
| Azure HDInsight clusters doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos clusters Azure HDInsight. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. En savoir plus sur double chiffrement pour les données au repos. | Audit; Nier; Handicapé | 1.0.1 |
| Azure Bots d’intégrité doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client (CMK) pour gérer le chiffrement au repos des données de vos bots d’intégrité. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service, mais CMK sont généralement nécessaires pour répondre aux normes de conformité réglementaire. CMK permet de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. En savoir plus sur Configure Customer Managed Keys for data encryption in healthcare agent service | Audit; Handicapé | 1.0.0 |
| Azure Machine Learning espaces de travail doivent être chiffrés avec une clé gérée par le client | Gérez le chiffrement au repos de Azure Machine Learning données d’espace de travail avec des clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. En savoir plus sur Créer un espace de travail avec Azure Resource Manager modèle. | Audit; Nier; Handicapé | 1.1.0 |
| Azure Machine Learning espaces de travail doivent être chiffrés avec l’utilisation d’une clé gérée par le client | Gérez le chiffrement au repos de Azure Machine Learning données d’espace de travail avec des clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. En savoir plus sur Créer un espace de travail avec Azure Resource Manager modèle. | AuditIfNotExists ; Handicapé | 1.0.0 |
| Azure Monitor Les clusters journaux d’activité doivent être chiffrés avec une clé gérée par le client | Créez Azure Monitor cluster de journaux avec le chiffrement des clés gérées par le client. Par défaut, les données des journaux sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre à la conformité réglementaire. La clé gérée par le client dans Azure Monitor vous donne plus de contrôle sur l’accès aux données, consultez Configurer les clés gérées par le client dans Azure Monitor. | audit; Audit; nier; Nier; handicapé; Handicapé | 1.1.0 |
| Azure Stream Analytics travaux doivent utiliser des clés gérées par le client pour chiffrer les données | Utilisez des clés gérées par le client lorsque vous souhaitez stocker en toute sécurité les métadonnées et les ressources de données privées de vos travaux Stream Analytics dans votre compte storage. Cela vous donne un contrôle total sur la façon dont vos données Stream Analytics sont chiffrées. | audit; Audit; nier; Nier; handicapé; Handicapé | 1.1.0 |
| Azure Synapse espaces de travail doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour contrôler le chiffrement au repos des données stockées dans Azure Synapse espaces de travail. Les clés gérées par le client fournissent un double chiffrement en ajoutant une deuxième couche de chiffrement au-dessus du chiffrement par défaut avec des clés gérées par le service. | Audit; Nier; Handicapé | 1.0.0 |
| Azure les fabriques de données doivent être chiffrées avec une clé gérée par le client | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre Azure Data Factory. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. En savoir plus sur Encrypt Azure Data Factory avec une clé gérée par le client. | Audit; Nier; Handicapé | 1.0.1 |
| Azure ressource de test de charge doit utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client (CMK) pour gérer le chiffrement au repos pour votre ressource de Test de charge Azure. Par défaut, le chiffrement est effectué à l’aide de clés gérées par le service, les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. En savoir plus sur Configurer les clés gérées par le client pour Test de charge Azure avec Azure Key Vault. | Audit; Nier; Handicapé | 1.0.0 |
| Bot Service doit être chiffré avec une clé gérée par le client | Azure Bot Service chiffre automatiquement votre ressource pour protéger vos données et respecter les engagements de sécurité et de conformité de l’organisation. Par défaut, les clés de chiffrement gérées par Microsoft sont utilisées. Pour une plus grande flexibilité dans la gestion des clés ou le contrôle des access à votre abonnement, sélectionnez des clés gérées par le client, également appelées byOK (Bring Your Own Key). En savoir plus sur le chiffrement Azure Bot Service : chiffrement Azure AI Bot Service pour les données au repos. | audit; Audit; nier; Nier; handicapé; Handicapé | 1.1.0 |
| Both des systèmes d’exploitation et des disques de données dans Azure Kubernetes Service clusters doivent être chiffrés par des clés gérées par le client | Le chiffrement des disques de système d’exploitation et de données à l’aide de clés gérées par le client offre davantage de contrôle et de flexibilité dans la gestion des clés. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. | Audit; Nier; Handicapé | 1.0.1 |
| les registres Container doivent être chiffrés avec une clé gérée par le client | Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos registres. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. En savoir plus sur Customer-Managed Clés pour Azure Container Registry. | Audit; Nier; Handicapé | 1.1.2 |
| Le chiffrement de clé managéeCustomer doit être utilisé dans le cadre du chiffrement CMK pour les instances managées SQL Arc. | Dans le cadre du chiffrement CMK, le chiffrement de clé gérée par le client doit être utilisé. En savoir plus sur Encrypter une base de données avec chiffrement transparent des données manuellement dans SQL Managed Instance activée par Azure Arc. | Audit; Handicapé | 1.0.0 |
| DICOM Service doit utiliser une clé gérée par le client pour chiffrer les données au repos | Utilisez une clé gérée par le client pour contrôler le chiffrement au repos des données stockées dans Services de données de santé Azure service DICOM lorsqu’il s’agit d’une exigence réglementaire ou de conformité. Les clés gérées par le client fournissent également un double chiffrement en ajoutant une deuxième couche de chiffrement au-dessus de celle par défaut effectuée avec des clés gérées par le service. | Audit; Handicapé | 1.0.0 |
| ElasticSan Volume Group doit utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre volumeGroup. Par défaut, les données client sont chiffrées avec des clés gérées par la plateforme, mais les clés CMK sont couramment requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous, avec un contrôle et une responsabilité complets, notamment la rotation et la gestion. | Audit; Handicapé | 1.0.0 |
| les espaces de noms Event Hub doivent utiliser une clé gérée par le client pour le chiffrement | Azure Event Hubs prend en charge l’option de chiffrement des données au repos avec des clés gérées par Microsoft (par défaut) ou des clés gérées par le client. Le choix de chiffrer des données à l’aide de clés gérées par le client vous permet d’attribuer, de faire pivoter, de désactiver et de révoquer des access aux clés utilisées par Event Hub pour chiffrer les données dans votre espace de noms. Notez qu’Event Hub ne prend en charge que le chiffrement avec des clés gérées par le client pour les espaces de noms dans les clusters dédiés. | Audit; Handicapé | 1.0.0 |
| FHIR Service doit utiliser une clé gérée par le client pour chiffrer les données au repos | Utilisez une clé gérée par le client pour contrôler le chiffrement au repos des données stockées dans Services de données de santé Azure service FHIR lorsqu’il s’agit d’une exigence réglementaire ou de conformité. Les clés gérées par le client fournissent également un double chiffrement en ajoutant une deuxième couche de chiffrement au-dessus de celle par défaut effectuée avec des clés gérées par le service. | Audit; Handicapé | 1.0.0 |
| Fluid Relay doit utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre serveur Fluid Relay. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais les clés CMK sont couramment requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous, avec un contrôle et une responsabilité complets, notamment la rotation et la gestion. En savoir plus sur les clés gérées par Customer pour le chiffrement Relais Azure Fluid. | Audit; Handicapé | 1.0.0 |
| HPC Cache comptes doivent utiliser la clé gérée par le client pour le chiffrement | Gérez le chiffrement au repos de Azure HPC Cache avec des clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. | Audit; Handicapé; Nier | 2.0.0 |
| Logic Apps Integration Service Environment doit être chiffré avec des clés gérées par le client | Déployez dans Integration Service Environment pour gérer le chiffrement au repos des données Logic Apps à l’aide de clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. | Audit; Nier; Handicapé | 1.0.0 |
| Managed disks doit être double chiffré avec des clés gérées par la plateforme et gérées par le client | Les clients sensibles haute sécurité qui sont concernés par les risques associés à un algorithme de chiffrement particulier, une implémentation ou une clé compromise, peuvent choisir une couche supplémentaire de chiffrement à l’aide d’un algorithme/mode de chiffrement différent au niveau de la couche d’infrastructure à l’aide de clés de chiffrement gérées par la plateforme. Les jeux de chiffrement de disque sont requis pour utiliser le chiffrement double. Pour en savoir plus, consultez Chiffrement côté serveur des disques managés Azure. | Audit; Nier; Handicapé | 1.0.0 |
| Managed disks devez utiliser un ensemble spécifique de jeux de chiffrement de disque pour le chiffrement de clé gérée par le client | L’utilisation d’un ensemble spécifique de jeux de chiffrement de disque avec managed disks vous permet de contrôler les clés utilisées pour le chiffrement au repos. Vous pouvez sélectionner les jeux chiffrés autorisés, et tous les autres sont rejetés lorsqu’ils sont attachés à un disque. Pour en savoir plus, consultez Chiffrement côté serveur des disques managés Azure. | Audit; Nier; Handicapé | 2.0.0 |
| Les serveursMySQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos serveurs MySQL. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. | AuditIfNotExists ; Handicapé | 1.0.4 |
| OS et les disques de données doivent être chiffrés avec une clé gérée par le client | Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de votre managed disks. Par défaut, les données sont chiffrées au repos avec des clés gérées par la plateforme. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, consultez Chiffrement côté serveur des disques managés Azure. | Audit; Nier; Handicapé | 3.0.0 |
| Les serveurs flexiblesPostgreSQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos serveurs flexibles PostgreSQL. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. | Audit; Nier; Handicapé | 1.1.0 |
| Les serveursPostgreSQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos serveurs PostgreSQL. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. | AuditIfNotExists ; Handicapé | 1.0.4 |
| Storage de file d’attente doit utiliser la clé gérée par le client pour le chiffrement | Sécurisez votre file d’attente storage avec une plus grande flexibilité à l’aide de clés gérées par le client. Lorsque vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler les access à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. | Audit; Nier; Handicapé | 1.0.0 |
| -instances managéesSQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | L’implémentation de Transparent Data Encryption (TDE) avec votre propre clé vous offre une transparence et un contrôle accrus sur le protecteur TDE, une sécurité accrue avec un service externe soutenu par HSM et la promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. | Audit; Nier; Handicapé | 2.0.0 |
| les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | L’implémentation de Transparent Data Encryption (TDE) avec votre propre clé offre une transparence et un contrôle accrus sur le protecteur TDE, une sécurité accrue avec un service externe soutenu par HSM et la promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. | Audit; Nier; Handicapé | 2.0.1 |
| Service Bus espaces de noms Premium doivent utiliser une clé gérée par le client pour le chiffrement | Azure Service Bus prend en charge l’option de chiffrement des données au repos avec des clés gérées par Microsoft (par défaut) ou des clés gérées par le client. Le choix de chiffrer des données à l’aide de clés gérées par le client vous permet d’attribuer, de faire pivoter, de désactiver et de révoquer l’accès aux clés que Service Bus utiliseront pour chiffrer les données dans votre espace de noms. Notez que Service Bus prend uniquement en charge le chiffrement avec des clés gérées par le client pour les espaces de noms Premium. | Audit; Handicapé | 1.0.0 |
| Storage étendues de chiffrement de compte doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos étendues de chiffrement de compte storage. Les clés gérées par le client permettent de chiffrer les données avec une clé de coffre de clés Azure créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. En savoir plus sur les étendues de chiffrement de compte storage sur Encryption pour Blob storage. | Audit; Nier; Handicapé | 1.0.0 |
| Storage étendues de chiffrement de compte doivent utiliser le double chiffrement pour les données au repos | Activez le chiffrement d’infrastructure pour le chiffrement au repos de vos étendues de chiffrement de compte storage pour renforcer la sécurité. Le chiffrement d’infrastructure garantit que vos données sont chiffrées deux fois. | Audit; Nier; Handicapé | 1.0.0 |
| Storage comptes doivent utiliser la clé gérée par le client pour le chiffrement | Sécurisez votre compte d’objet blob et de fichier storage avec une plus grande flexibilité à l’aide de clés gérées par le client. Lorsque vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler les access à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. | Audit; Handicapé | 1.0.3 |
| Table Storage doit utiliser la clé gérée par le client pour le chiffrement | Sécurisez votre table storage avec une plus grande flexibilité à l’aide de clés gérées par le client. Lorsque vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler les access à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. | Audit; Nier; Handicapé | 1.0.0 |
| [Déconseillé] : le groupe SIM doit utiliser des clés gérées par le client pour chiffrer les données au repos | Cette stratégie est déconseillée, car la Microsoft. Le fournisseur de ressources MobileNetwork a été désactivé sans remplacement. Nous vous recommandons de supprimer toutes les affectations de cette stratégie et toutes les références à celles-ci des initiatives. En savoir plus sur la dépréciation de la définition de stratégie à aka.ms/policydefdeprecation. | Audit; Nier; Handicapé | 1.1.0-déconseillé |
| [préversion] : Azure Stack systèmes HCI doivent avoir des volumes chiffrés | Utilisez BitLocker pour chiffrer le système d’exploitation et les volumes de données sur Azure Stack systèmes HCI. | Audit; Handicapé; AuditIfNotExists | 1.0.0-preview |
DP-6 : Utiliser un processus de gestion des clés sécurisé
Pour plus d’informations, consultez Protection des données : DP-6 : Utiliser un processus de gestion des clés sécurisé.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| API Management secret nommé doit être stocké dans Azure Key Vault | Les valeurs nommées sont une collection de paires nom et valeur dans chaque service API Management. Les valeurs de secret peuvent être stockées sous forme de texte chiffré dans Gestion des API (secrets personnalisés) ou en référençant les secrets dans Azure Key Vault. Pour améliorer la sécurité de la gestion des API et des secrets, référencez les valeurs nommées secrètes à partir de Azure Key Vault. Azure Key Vault prend en charge les stratégies de gestion des accès et de rotation des secrets granulaires. | Audit; Handicapé; Nier | 1.0.2 |
| Azure Cosmos DB comptes ne doivent pas dépasser le nombre maximal de jours autorisés depuis la dernière régénération de clé de compte. | Régénérez vos clés dans le temps spécifié pour protéger vos données. | Audit; Handicapé | 1.0.0 |
| Key Vault clés doivent avoir une date d’expiration | Les clés de chiffrement doivent avoir une date d’expiration définie et ne pas être permanentes. Les clés valides indéfiniment offrent à un intrus potentiel plus de temps pour compromettre la clé. Il est recommandé de définir les dates d’expiration des clés de chiffrement. | Audit; Nier; Handicapé | 1.0.2 |
| Key Vault secrets doivent avoir une date d’expiration | Les secrets doivent avoir une date d’expiration définie et ne pas être permanents. Les secrets valides indéfiniment offrent à un attaquant potentiel plus de temps pour les compromettre. Il est recommandé de définir les dates d’expiration des secrets. | Audit; Nier; Handicapé | 1.0.2 |
| Keys doivent avoir une stratégie de rotation qui garantit que leur rotation est planifiée dans le nombre spécifié de jours après la création. | Gérez les exigences de conformité de votre organisation en spécifiant le nombre maximal de jours qui sépare la création de la clé de son pivotement. | Audit; Handicapé | 1.0.0 |
| Keys doit avoir la période de validité maximale spécifiée | Gérez les exigences de conformité de votre organisation en spécifiant la durée maximale en jours pendant laquelle une clé peut être valide dans votre key vault. | Audit; Nier; Handicapé | 1.0.1 |
| Keys ne doivent pas être actifs pendant plus longtemps que le nombre de jours spécifié | Spécifiez le nombre de jours pendant lesquels une clé doit être active. Les clés utilisées pendant une période prolongée augmentent la probabilité qu’une personne malveillante puisse les compromettre. En guise de bonne pratique de sécurité, assurez-vous que vos clés n’ont pas été actives pendant plus de deux ans. | Audit; Nier; Handicapé | 1.0.1 |
| Secrets doivent avoir plus que le nombre spécifié de jours avant l’expiration | Si un secret a une durée de vie trop proche de l’expiration, un délai organisationnel pour la rotation du secret peut occasionner une interruption. Les secrets doivent faire l’objet d’une rotation un nombre spécifié de jours avant leur expiration, afin d’offrir suffisamment de temps pour réagir en cas de défaillance. | Audit; Nier; Handicapé | 1.0.1 |
| Secrets doit avoir la période de validité maximale spécifiée | Gérez les exigences de conformité de votre organisation en spécifiant la durée maximale en jours pendant laquelle un secret peut être valide dans votre key vault. | Audit; Nier; Handicapé | 1.0.1 |
| Secrets ne doit pas être actif pendant plus longtemps que le nombre de jours spécifié | Si vos secrets ont été créés avec une date d’activation définie à l’avenir, vous devez vous assurer que vos secrets n’ont pas été actifs plus longtemps que la durée spécifiée. | Audit; Nier; Handicapé | 1.0.1 |
| Storage clés de compte ne doivent pas être expirées | Vérifiez que l’utilisateur storage clés de compte n’a pas expiré lorsque la stratégie d’expiration de clé est définie, pour améliorer la sécurité des clés de compte en prenant des mesures lorsque les clés ont expiré. | Audit; Nier; Handicapé | 3.0.0 |
DP-7 : Utiliser un processus de gestion des certificats sécurisé
Pour plus d’informations, consultez Protection des données : DP-7 : Utiliser un processus de gestion des certificats sécurisé.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| Certificates doit avoir la période de validité maximale spécifiée | Gérez les exigences de conformité de votre organisation en spécifiant la durée maximale pendant laquelle un certificat peut être valide dans votre key vault. | audit; Audit; nier; Nier; handicapé; Handicapé | 2.2.1 |
| Certificates doit avoir la période de validité maximale spécifiée | Gérez les exigences de conformité de votre organisation en spécifiant la durée maximale pendant laquelle un certificat peut être valide dans votre key vault. | audit; Audit; nier; Nier; handicapé; Handicapé | 2.2.1 |
| Certificates ne doit pas expirer dans le nombre de jours spécifié | Gérez les certificats qui arrivent à expiration dans un nombre de jours spécifié pour que votre organisation ait suffisamment le temps de les remplacer. | audit; Audit; nier; Nier; handicapé; Handicapé | 2.1.1 |
DP-8 : Garantir la sécurité du référentiel de clés et de certificats
Pour plus d’informations, consultez Protection des données : DP-8 : Garantir la sécurité du référentiel de clés et de certificats.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| Azure Defender pour Key Vault doit être activé | Azure Defender pour Key Vault fournit une couche supplémentaire de protection et de renseignement de sécurité en détectant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation de comptes key vault. | AuditIfNotExists ; Handicapé | 1.0.3 |
| Azure Key Vault devez avoir un pare-feu activé ou un accès réseau public désactivé | Activez le pare-feu key vault afin que le key vault ne soit pas accessible par défaut à des adresses IP publiques ou désactivez les access de réseau public pour votre key vault afin qu'il ne soit pas accessible via l'Internet public. Si vous le souhaitez, vous pouvez configurer des plages d’adresses IP spécifiques pour limiter les access à ces réseaux. En savoir plus sur : sécurité Network pour Azure Key Vault et Integrate Key Vault avec Azure Private Link | Audit; Nier; Handicapé | 3.3.0 |
| Azure Les coffres de clés doivent utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à key vault, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liens privés à l’adresse : Integrate Key Vault avec Azure Private Link. | Audit; Nier; Handicapé | 1.2.1 |
| les coffres Key doivent avoir activé la protection de suppression | La suppression malveillante d’un key vault peut entraîner une perte de données permanente. Vous pouvez empêcher la perte permanente de données en activant la protection contre la suppression définitive et la suppression réversible. La protection contre la suppression définitive vous protège des attaques internes en appliquant une période de conservation obligatoire pour les coffres de clés supprimés de manière réversible. Personne à l’intérieur de votre organisation ou Microsoft ne pourra vider vos coffres de clés pendant la période de rétention de suppression réversible. N’oubliez pas que la suppression réversible est activée par défaut pour les coffres de clés créés après le 1er septembre 2019. | Audit; Nier; Handicapé | 2.1.0 |
| les coffres Key doivent avoir activé la suppression réversible | La suppression d’un key vault sans suppression réversible activée supprime définitivement tous les secrets, clés et certificats stockés dans le key vault. La suppression accidentelle d’un key vault peut entraîner une perte de données permanente. La suppression réversible vous permet de récupérer une key vault supprimée accidentellement pour une période de rétention configurable. | Audit; Nier; Handicapé | 3.1.0 |
| Les journaux de ressources dans Key Vault doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau | AuditIfNotExists ; Handicapé | 5.0.0 |
DS-6 : Sécuriser le cycle de vie de la charge de travail
Pour plus d’informations, consultez DevOps Security : DS-6 : Sécuriser le cycle de vie de la charge de travail.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| Azure les images conteneur de Registre doivent avoir des vulnérabilités résolues (alimentées par Microsoft Defender Vulnerability Management) | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. La résolution des vulnérabilités permet d’améliorer considérablement votre posture de sécurité, garantissant ainsi que les images sont utilisées en toute sécurité avant le déploiement. | AuditIfNotExists ; Handicapé | 1.0.1 |
| Azure l’exécution d’images conteneur doit avoir des vulnérabilités résolues (alimentées par Microsoft Defender Vulnerability Management) | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation fournit une visibilité sur les images vulnérables en cours d’exécution dans vos clusters Kubernetes. La correction des vulnérabilités dans les images conteneur en cours d’exécution est essentielle pour améliorer votre posture de sécurité, ce qui réduit considérablement la surface d’attaque pour vos charges de travail conteneurisées. | AuditIfNotExists ; Handicapé | 1.0.1 |
ES-1 : Utiliser la détection et la réponse des terminaux (EDR)
Pour plus d’informations, consultez Sécurité des points de terminaison : ES-1 : Utiliser la détection et la réponse des points de terminaison (EDR).
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| Azure Defender pour les serveurs doivent être activés | Azure Defender pour les serveurs fournit une protection contre les menaces en temps réel pour les charges de travail de serveur et génère des recommandations de renforcement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists ; Handicapé | 1.0.3 |
ES-2 : Utiliser des logiciels anti-programmes malveillants modernes
Pour plus d’informations, consultez Endpoint Security : ES-2 : Use modern anti-malware software.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| Windows Defender Exploit Guard doit être activé sur vos machines | Windows Defender Exploit Guard utilise l’agent Azure Policy Guest Configuration. Exploit Guard a quatre composants conçus pour verrouiller les appareils contre un large éventail de vecteurs d’attaque et bloquer les comportements couramment utilisés dans les attaques contre les programmes malveillants tout en permettant aux entreprises d’équilibrer leurs besoins en matière de sécurité et de productivité (Windows uniquement). | AuditIfNotExists ; Handicapé | 2.0.0 |
IM-1 : Centraliser l'identité et l'authentification tout en garantissant l'isolation
Pour plus d’informations, consultez Gestion des identités : messagerie instantanée 1 : Centraliser l’identité et l’authentification tout en garantissant l’isolation.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| A Microsoft Entra administrateur doit être approvisionné pour les serveurs PostgreSQL | Auditez l’approvisionnement d’un administrateur Microsoft Entra pour votre serveur PostgreSQL afin d’activer l’authentification Microsoft Entra. Microsoft Entra l’authentification permet de simplifier la gestion des autorisations et de centraliser la gestion des identités des utilisateurs de base de données et d’autres services Microsoft | AuditIfNotExists ; Handicapé | 1.0.1 |
| A Azure Active Directory administrateur doit être approvisionné pour les serveurs SQL | Auditez l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL server afin d’activer Azure l’authentification AD. Azure l’authentification AD permet de simplifier la gestion des autorisations et de centraliser la gestion des identités des utilisateurs de base de données et d’autres services Microsoft | AuditIfNotExists ; Handicapé | 1.0.0 |
| App Service les applications doivent avoir des méthodes d’authentification locales désactivées pour les déploiements FTP | La désactivation des méthodes d’authentification locales pour les déploiements FTP améliore la sécurité en garantissant que App Services exige exclusivement des identités Microsoft Entra pour l’authentification. En savoir plus sur : Disabling basic auth sur App Service. | AuditIfNotExists ; Handicapé | 1.0.3 |
| App Service les applications doivent avoir des méthodes d’authentification locales désactivées pour les déploiements de site SCM | La désactivation des méthodes d’authentification locales pour les sites SCM améliore la sécurité en garantissant que App Services exige exclusivement des identités Microsoft Entra pour l’authentification. En savoir plus sur : Disabling basic auth sur App Service. | AuditIfNotExists ; Handicapé | 1.0.3 |
| les composants Application Insights doivent bloquer l’ingestion non Azure Active Directory basée sur Azure Active Directory. | L’application de l’ingestion de journal pour exiger l’authentification Azure Active Directory empêche les journaux non authentifiés d’un attaquant, ce qui peut entraîner un état incorrect, des fausses alertes et des journaux incorrects stockés dans le système. | Nier; Audit; Handicapé | 1.0.0 |
| Azure les ressources AI Services doivent avoir un accès à clé désactivé (désactiver l’authentification locale) | La clé access (authentification locale) est recommandée pour être désactivée pour la sécurité. Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. En savoir plus sur : Authentification dans Les outils Foundry | Audit; Nier; Handicapé | 1.1.0 |
| Azure Kubernetes Service Clusters doivent activer l’intégration Microsoft Entra ID | L'intégration de Microsoft Entra ID managée par AKS peut gérer l'accès aux clusters en configurant le contrôle d'accès en fonction du rôle Kubernetes (Kubernetes RBAC) en fonction de l'identité ou de l'appartenance au groupe d'annuaires d'un utilisateur. En savoir plus sur : Enable intégration Microsoft Entra managée par AKS sur un cluster Azure Kubernetes Service. | Audit; Handicapé | 1.0.2 |
| Azure Machine Learning Calculs doivent avoir des méthodes d’authentification locales désactivées | La désactivation des méthodes d’authentification locales améliore la sécurité en garantissant que les calculs Machine Learning nécessitent Azure Active Directory identités exclusivement pour l’authentification. En savoir plus sur : Azure Policy contrôles de conformité réglementaire pour Azure Machine Learning. | Audit; Nier; Handicapé | 2.1.0 |
| Azure SQL Database devez activer l’authentification Microsoft Entra uniquement | Exiger Azure SQL serveurs logiques pour utiliser l’authentification Microsoft Entra uniquement. Cette stratégie n’empêche pas la création de serveurs dont l’authentification locale est activée. Elle empêche l’authentification locale d’être activée sur les ressources après leur création. Envisagez plutôt d'utiliser l'initiative d'authentification « Microsoft Entra uniquement » pour exiger les deux. En savoir plus sur : Create Server avec l’authentification Microsoft Entra uniquement activée. | Audit; Nier; Handicapé | 1.0.0 |
| Azure SQL Database doit avoir Microsoft Entra authentification uniquement activée lors de la création | Exiger Azure SQL serveurs logiques à créer avec l’authentification Microsoft Entra uniquement. Cette stratégie n’empêche pas l’authentification locale d’être réactivée sur les ressources après leur création. Envisagez plutôt d'utiliser l'initiative d'authentification « Microsoft Entra uniquement » pour exiger les deux. En savoir plus sur : Create Server avec l’authentification Microsoft Entra uniquement activée. | Audit; Nier; Handicapé | 1.2.0 |
| Azure SQL Managed Instance devez activer l’authentification Microsoft Entra uniquement | Exiger Azure SQL Managed Instance utiliser l’authentification Microsoft Entra uniquement. Cette stratégie ne empêche pas Azure SQL instances managées d'être créées avec l'authentification locale activée. Elle empêche l’authentification locale d’être activée sur les ressources après leur création. Envisagez plutôt d'utiliser l'initiative d'authentification « Microsoft Entra uniquement » pour exiger les deux. En savoir plus sur : Create Server avec l’authentification Microsoft Entra uniquement activée. | Audit; Nier; Handicapé | 1.0.0 |
| Azure SQL Managed Instances doit avoir Microsoft Entra authentification uniquement activée lors de la création | Exiger Azure SQL Managed Instance être créé avec l’authentification Microsoft Entra uniquement. Cette stratégie n’empêche pas l’authentification locale d’être réactivée sur les ressources après leur création. Envisagez plutôt d'utiliser l'initiative d'authentification « Microsoft Entra uniquement » pour exiger les deux. En savoir plus sur : Create Server avec l’authentification Microsoft Entra uniquement activée. | Audit; Nier; Handicapé | 1.2.0 |
| Configure Azure ressources AI Services pour désactiver l’accès à la clé locale (désactiver l’authentification locale) | La clé access (authentification locale) est recommandée pour être désactivée pour la sécurité. Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. En savoir plus sur : Authentification dans Les outils Foundry | DeployIfNotExists ; Handicapé | 1.0.0 |
| RegistresContainer doivent avoir un compte d’administrateur local désactivé. | Désactivez le compte d’administrateur de votre Registre afin qu’il ne soit pas accessible par l’administrateur local. La désactivation des méthodes d’authentification locales telles que l’utilisateur administrateur, les jetons d’accès délimités au référentiel et l’extraction anonyme améliore la sécurité en garantissant que les registres de conteneurs nécessitent exclusivement des identités Azure Active Directory pour l’authentification. En savoir plus sur : Azure Container Registry Options d’authentification expliquées. | Audit; Nier; Handicapé | 1.0.1 |
| Les comptes de base de données de base de donnéesCosmos DB doivent être désactivés | La désactivation des méthodes d’authentification locales améliore la sécurité en garantissant que les comptes de base de données Cosmos DB nécessitent exclusivement des identités Azure Active Directory pour l’authentification. En savoir plus sur : Connect to Azure Cosmos DB for NoSQL using role-based access control and Microsoft Entra ID. | Audit; Nier; Handicapé | 1.1.0 |
| Les clusters Fabric service ne doivent utiliser Azure Active Directory que pour l’authentification du client | Auditer l’utilisation de l’authentification du client uniquement via Azure Active Directory dans Service Fabric | Audit; Nier; Handicapé | 1.1.0 |
| les comptes Storage doivent empêcher la clé partagée access | Auditer les exigences de Azure Active Directory (Azure AD) pour autoriser les demandes de votre compte de stockage. Par défaut, les demandes peuvent être autorisées avec des informations d’identification Azure Active Directory, ou à l’aide de la clé d’accès de compte pour l’autorisation de clé partagée. Parmi ces deux types d’autorisation, Azure AD offre une sécurité et une facilité d’utilisation supérieures sur la clé partagée, et est recommandé par Microsoft. | Audit; Nier; Handicapé | 2.0.0 |
| Storage comptes doivent empêcher le access de clé partagée (à l’exclusion des comptes storage créés par Databricks) | Auditer les exigences de Azure Active Directory (Azure AD) pour autoriser les demandes de votre compte de stockage. Par défaut, les demandes peuvent être autorisées avec des informations d’identification Azure Active Directory, ou à l’aide de la clé d’accès de compte pour l’autorisation de clé partagée. Parmi ces deux types d’autorisation, Azure AD offre une sécurité et une facilité d’utilisation supérieures sur la clé partagée, et est recommandé par Microsoft. | Audit; Nier; Handicapé | 1.0.0 |
| les espaces de travail Synapse doivent avoir activé l’authentification Microsoft Entra uniquement | Exiger que les espaces de travail Synapse utilisent l’authentification Microsoft Entra uniquement. Cette stratégie n’empêche pas la création d’espaces de travail dont l’authentification locale est activée. Elle empêche l’authentification locale d’être activée sur les ressources après leur création. Envisagez plutôt d'utiliser l'initiative d'authentification « Microsoft Entra uniquement » pour exiger les deux. En savoir plus sur : Azure Synapse Analytics. | Audit; Nier; Handicapé | 1.0.0 |
| Synapse Workspaces doit utiliser uniquement des identités Microsoft Entra pour l’authentification lors de la création de l’espace de travail | Exiger la création d’espaces de travail Synapse avec l’authentification Microsoft Entra uniquement. Cette stratégie n’empêche pas l’authentification locale d’être réactivée sur les ressources après leur création. Envisagez plutôt d'utiliser l'initiative d'authentification « Microsoft Entra uniquement » pour exiger les deux. En savoir plus sur : Azure Synapse Analytics. | Audit; Nier; Handicapé | 1.2.0 |
| les passerelles VPN doivent utiliser uniquement l’authentification Azure Active Directory (Azure AD) pour les utilisateurs point à site | La désactivation des méthodes d’authentification locales améliore la sécurité en garantissant que les passerelles VPN utilisent uniquement Azure Active Directory identités pour l’authentification. En savoir plus sur l’authentification AD Azure à Configure P2S vpn pour l’authentification Microsoft Entra ID | Audit; Nier; Handicapé | 1.0.0 |
| [préversion] : Azure serveur flexible PostgreSQL doit avoir activé Microsoft Entra uniquement l’authentification | La désactivation des méthodes d’authentification locales et l’autorisation uniquement Microsoft Entra l’authentification améliore la sécurité en garantissant que Azure serveur flexible PostgreSQL est accessible exclusivement par Microsoft Entra identités. | Audit; Handicapé | 1.0.0-preview |
Messagerie instantanée 2 : Protéger les systèmes d’identité et d’authentification
Pour plus d’informations, consultez Gestion des identités : messagerie instantanée 2 : Protéger les systèmes d’identité et d’authentification.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| Utilisateurs doivent s’authentifier avec l’authentification multifacteur pour créer ou mettre à jour des ressources | Cette définition de stratégie bloque les opérations de création et de mise à jour de ressources lorsque l’appelant n’est pas authentifié via l’authentification multifacteur. Pour plus d’informations, consultez Plan pour l’authentification multifacteur obligatoire Microsoft Entra (MFA). | Audit; Nier; Handicapé | 1.0.1 |
IM-3 : gérer les identités d’application de façon sécurisée et automatique
Pour plus d’informations, consultez Gestion des identités : messagerie instantanée 3 : Gérer les identités d’application de manière sécurisée et automatique.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| App Service emplacements d’application doivent utiliser l’identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists ; Handicapé | 1.0.0 |
| App Service les applications doivent utiliser l’identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists ; Handicapé | 3.0.0 |
| Automation compte doit avoir une identité managée | Utilisez les identités managées comme méthode recommandée pour l’authentification avec des ressources Azure à partir des runbooks. L’identité managée pour l’authentification est plus sécurisée et élimine la surcharge de gestion associée à l’utilisation du compte RunAs dans votre code runbook. | Audit; Handicapé | 1.0.0 |
| Azure Data Factory les services liés doivent utiliser l’authentification d’identité managée affectée par le système lorsqu’elles sont prises en charge | L’utilisation de l’identité managée affectée par le système lors de la communication avec des magasins de données via des services liés évite l’utilisation d’informations d’identification moins sécurisées telles que les mots de passe ou les chaînes de connexion. | Audit; Nier; Handicapé | 2.1.0 |
| Azure Machine Learning espaces de travail doivent utiliser l’identité managée affectée par l’utilisateur | Accès Manange à Azure espace de travail ML et aux ressources associées, Azure Container Registry, KeyVault, Storage et App Insights à l’aide de l’identité managée affectée par l’utilisateur. Par défaut, l’identité managée affectée par le système est utilisée par Azure espace de travail ML pour accéder aux ressources associées. L’identité managée affectée par l’utilisateur vous permet de créer l’identité en tant que ressource Azure et de maintenir le cycle de vie de cette identité. En savoir plus sur Configurez l’authentification entre Azure Machine Learning et d’autres services. | Audit; Nier; Handicapé | 1.0.0 |
| les comptes Cognitive Services doivent utiliser une identité managée | L’attribution d’une identité gérée à votre compte Cognitive Services permet de garantir une authentification sécurisée. Cette identité est utilisée par ce compte de service cognitif pour communiquer avec d’autres services Azure, tels que Azure Key Vault, de manière sécurisée sans avoir à gérer les informations d’identification. | Audit; Nier; Handicapé | 1.0.0 |
| Ressource du serviceCommunication doit utiliser une identité managée | L’attribution d’une identité managée à votre ressource communication service permet de garantir l’authentification sécurisée. Cette identité est utilisée par cette ressource de service de communication pour communiquer avec d’autres services Azure, tels que stockage Azure, de manière sécurisée sans avoir à gérer les informations d’identification. | Audit; Nier; Handicapé | 1.0.0 |
| les applications Function doivent utiliser l’identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists ; Handicapé | 3.1.0 |
| Identité managée doit être activée pour Container Apps | L’application de l’identité managée garantit que Container Apps peut s’authentifier en toute sécurité auprès de n’importe quelle ressource prenant en charge Azure l’authentification AD | Audit; Nier; Handicapé | 1.0.1 |
| le travail Stream Analytics doit utiliser l’identité managée pour authentifier les points de terminaison | Vérifiez que les travaux Stream Analytics se connectent uniquement aux points de terminaison à l’aide de l’authentification d’identité managée. | Nier; Handicapé; Audit | 1.0.0 |
| Virtual machines'extension Guest Configuration doit être déployée avec l'identité managée affectée par le système | L’extension Guest Configuration requiert une identité managée affectée par le système. Azure machines virtuelles dans l’étendue de cette stratégie ne sont pas conformes quand l’extension Guest Configuration est installée, mais qu’elles n’ont pas d’identité managée affectée par le système. En savoir plus sur Understand Azure Machine Configuration | AuditIfNotExists ; Handicapé | 1.0.1 |
| [préversion] : une identité managée doit être activée sur vos machines | Les ressources gérées par Automanage doivent avoir une identité managée. | Audit; Handicapé | 1.0.0-preview |
| [préversion] : les informations d’identification fédérées d’identité managée de Azure Kubernetes doivent provenir de sources approuvées | Cette stratégie limite la fédération avec Azure clusters Kubernetes à des clusters uniquement à partir de locataires approuvés, de régions approuvées et d’une liste d’exceptions spécifique de clusters supplémentaires. | Audit; Handicapé; Nier | 1.0.0-preview |
| [préversion] : les informations d’identification fédérées d’identité managée de GitHub doivent provenir des propriétaires de référentiels approuvés | Cette stratégie limite la fédération avec GitHub dépôts aux seuls propriétaires de référentiels approuvés. | Audit; Handicapé; Nier | 1.0.1-preview |
| [préversion] : les informations d’identification fédérées d’identité managée doivent provenir des types d’émetteurs autorisés | Cette stratégie limite si les identités managées peuvent utiliser des informations d’identification fédérées, quels types d’émetteurs courants sont autorisés et fournit une liste d’exceptions d’émetteur autorisées. | Audit; Handicapé; Nier | 1.0.0-preview |
Messagerie instantanée 4 : Authentifier le serveur et les services
Pour plus d’informations, consultez Gestion des identités : messagerie instantanée 4 : Authentifier le serveur et les services.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| API Management les appels aux back-ends d’API doivent être authentifiés | Les appels de API Management aux back-ends doivent utiliser une forme d’authentification, qu’il s’agisse de certificats ou d’informations d’identification. Ne s’applique pas aux back-ends de service Fabric. | Audit; Handicapé; Nier | 1.0.1 |
| API Management les appels aux back-ends d’API ne doivent pas contourner l’empreinte numérique du certificat ou la validation de nom | Pour améliorer la sécurité de l’API, API Management devez valider le certificat de serveur principal pour tous les appels d’API. Activez l’empreinte numérique du certificat SSL et la validation du nom. | Audit; Handicapé; Nier | 1.0.2 |
| les points de terminaison API dans Gestion des API Azure doivent être authentifiés | Les points de terminaison d’API publiés dans Gestion des API Azure doivent appliquer l’authentification pour réduire le risque de sécurité. Les mécanismes d’authentification sont parfois implémentés de manière incorrecte ou sont manquants. Cela permet aux attaquants d’exploiter les failles d’implémentation et de access données. En savoir plus sur la menace de l’API OWASP pour l’authentification utilisateur interrompue ici : Recommendations pour atténuer les menaces OWASP API Security Top 10 à l’aide de API Management | AuditIfNotExists ; Handicapé | 1.0.1 |
| Azure SQL Database devez exécuter TLS version 1.2 ou ultérieure | La définition de la version TLS sur la version 1.2 ou ultérieure améliore la sécurité en veillant à ce que votre Azure SQL Database soit accessible uniquement à partir de clients utilisant TLS 1.2 ou version ultérieure. L’utilisation de versions de TLS inférieures à 1.2 n’est pas recommandée, car elles ont des vulnérabilités de sécurité bien documentées. | Audit; Handicapé; Nier | 2.0.0 |
Messagerie instantanée 6 : Utiliser des contrôles d’authentification forts
Pour plus d’informations, consultez Gestion des identités : IM-6 : Utiliser des contrôles d’authentification forts.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| Authentication sur les machines Linux doit nécessiter des clés SSH | Bien que le protocole SSH lui-même offre une connexion chiffrée, l’utilisation de mots de passe avec SSH laisse néanmoins la machine virtuelle vulnérable aux attaques en force brute. L’option la plus sécurisée pour l’authentification auprès d’une machine virtuelle Linux Azure via SSH est avec une paire de clés publique-privée, également appelées clés SSH. En savoir plus : étapes Detailed : Créez et gérez des clés SSH pour l’authentification sur une machine virtuelle Linux dans Azure. | AuditIfNotExists ; Handicapé | 3.2.0 |
Messagerie instantanée 8 : Restreindre l’exposition des informations d’identification et des secrets
Pour plus d’informations, consultez Gestion des identités : messagerie instantanée 8 : Restreindre l’exposition des informations d’identification et des secrets.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| API Management secret nommé doit être stocké dans Azure Key Vault | Les valeurs nommées sont une collection de paires nom et valeur dans chaque service API Management. Les valeurs de secret peuvent être stockées sous forme de texte chiffré dans Gestion des API (secrets personnalisés) ou en référençant les secrets dans Azure Key Vault. Pour améliorer la sécurité de la gestion des API et des secrets, référencez les valeurs nommées secrètes à partir de Azure Key Vault. Azure Key Vault prend en charge les stratégies de gestion des accès et de rotation des secrets granulaires. | Audit; Handicapé; Nier | 1.0.2 |
| Machines doit avoir des résultats secrets résolus | Audite virtual machines pour détecter s’ils contiennent des résultats secrets des solutions d’analyse de secrets sur votre virtual machines. | AuditIfNotExists ; Handicapé | 1.0.2 |
IR-2 : Préparation – configurer la notification d’incident
Pour plus d’informations, consultez Réponse aux incidents : IR-2 : Préparation - Configurer la notification d’incident.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| NotificationEmail pour les alertes de gravité élevée doivent être activées | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists ; Handicapé | 1.2.0 |
| notification Email au propriétaire de l’abonnement pour les alertes de gravité élevée doivent être activées | Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists ; Handicapé | 2.1.0 |
| Subscriptions doivent avoir une adresse e-mail de contact pour les problèmes de sécurité | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. | AuditIfNotExists ; Handicapé | 1.0.1 |
IR-3 : Détection et analyse – créer des incidents en fonction d’alertes de haute qualité
Pour plus d’informations, consultez Réponse aux incidents : IR-3 : Détection et analyse : créer des incidents basés sur des alertes de haute qualité.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’échelle du cloud et de la visibilité que Azure possède en tant que fournisseur de cloud pour surveiller les attaques courantes des applications web. | AuditIfNotExists ; Handicapé | 1.0.3 |
| Azure Defender pour les serveurs Azure SQL Database doivent être activés | Azure Defender pour SQL fournit des fonctionnalités permettant de détecter et d’atténuer les vulnérabilités potentielles des bases de données, de détecter les activités anormales susceptibles d’indiquer des menaces pour les bases de données SQL et de découvrir et de classer des données sensibles. | AuditIfNotExists ; Handicapé | 1.0.2 |
| Azure Defender pour Key Vault doit être activé | Azure Defender pour Key Vault fournit une couche supplémentaire de protection et de renseignement de sécurité en détectant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation de comptes key vault. | AuditIfNotExists ; Handicapé | 1.0.3 |
| Azure Defender pour Resource Manager doit être activé | Azure Defender pour Resource Manager surveille automatiquement les opérations de gestion des ressources de votre organisation. Azure Defender détecte les menaces et vous avertit des activités suspectes. En savoir plus sur les fonctionnalités de Azure Defender pour Resource Manager à Microsoft Defender pour Resource Manager - Avantages et fonctionnalités . L’activation de ce plan Azure Defender entraîne des frais. En savoir plus sur les détails de tarification par région sur la page de tarification de Security Center : Pricing - Microsoft Defender for Cloud . | AuditIfNotExists ; Handicapé | 1.0.0 |
| Azure Defender pour les serveurs SQL sur les machines doivent être activés | Azure Defender pour SQL fournit des fonctionnalités permettant de détecter et d’atténuer les vulnérabilités potentielles des bases de données, de détecter les activités anormales susceptibles d’indiquer des menaces pour les bases de données SQL et de découvrir et de classer des données sensibles. | AuditIfNotExists ; Handicapé | 1.0.2 |
| Azure Defender pour SQL doit être activé pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists ; Handicapé | 2.0.1 |
| Azure Defender pour SQL doit être activé pour les serveurs flexibles MySQL non protégés | Auditer des serveurs flexibles MySQL sans Advanced Data Security | AuditIfNotExists ; Handicapé | 1.0.0 |
| Azure Defender pour SQL doit être activé pour les serveurs flexibles PostgreSQL non protégés | Auditer des serveurs flexibles PostgreSQL sans Advanced Data Security | AuditIfNotExists ; Handicapé | 1.0.0 |
| Azure Defender pour SQL doit être activé pour les instances managées SQL non protégées | Auditez chaque SQL Managed Instance sans sécurité avancée des données. | AuditIfNotExists ; Handicapé | 1.0.2 |
| Azure Defender pour les bases de données relationnelles open source doivent être activées | Azure Defender pour les bases de données relationnelles open source détecte des activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation de bases de données. En savoir plus sur les fonctionnalités de Azure Defender pour les bases de données relationnelles open source à Overview de Defender pour Open-Source bases de données relationnelles. Important : L’activation de ce plan entraînera des frais pour la protection de vos bases de données relationnelles open source. En savoir plus sur la tarification sur la page de tarification de Security Center : Pricing - Microsoft Defender for Cloud | AuditIfNotExists ; Handicapé | 1.0.0 |
| Azure Defender pour les serveurs doivent être activés | Azure Defender pour les serveurs fournit une protection contre les menaces en temps réel pour les charges de travail de serveur et génère des recommandations de renforcement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists ; Handicapé | 1.0.3 |
| Microsoft CSPM Defender doit être activé | Defender Cloud Security Posture Management (CSPM) fournit des fonctionnalités de posture améliorées et un nouveau graphique de sécurité cloud intelligent pour vous aider à identifier, hiérarchiser et réduire les risques. CSPM Defender est disponible en plus des fonctionnalités de sécurité de base gratuites activées par défaut dans Defender for Cloud. | AuditIfNotExists ; Handicapé | 1.0.0 |
| Microsoft Defender pour les API doivent être activées | Microsoft Defender pour les API apporte une nouvelle couverture de détection, de protection, de détection et de réponse pour surveiller les attaques courantes basées sur les API et les mauvaises configurations de sécurité. | AuditIfNotExists ; Handicapé | 1.0.3 |
| Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour conteneurs fournit des protections de renforcement, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists ; Handicapé | 1.0.0 |
| Microsoft Defender pour SQL doit être activé pour les espaces de travail Synapse non protégés | Activez Defender pour SQL afin de protéger vos espaces de travail Synapse. Defender pour SQL surveille votre sql Synapse pour détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation de bases de données. | AuditIfNotExists ; Handicapé | 1.0.0 |
| Microsoft Defender pour l’état SQL doit être protégé pour les serveurs SQL avec Arc | Microsoft Defender pour SQL fournit des fonctionnalités permettant de détecter et d’atténuer les vulnérabilités potentielles de base de données, de détecter des activités anormales susceptibles d’indiquer des menaces pour les bases de données SQL, de découvrir et de classifier des données sensibles. Une fois activé, l’état de protection indique que la ressource est activement surveillée. Même si Defender est activé, plusieurs paramètres de configuration doivent être validés sur l’agent, l’ordinateur, l’espace de travail et le serveur SQL pour garantir la protection active. | Audit; Handicapé | 1.1.0 |
| Microsoft Defender pour le stockage doit être activé | Microsoft Defender stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. La nouvelle Defender pour le plan de stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte storage) pour contrôler la couverture et les coûts. | AuditIfNotExists ; Handicapé | 1.0.0 |
| SQL server l’autoprovisionnement ciblé doit être activé pour les serveurs SQL sur le plan des machines | Pour vous assurer que vos machines virtuelles SQL et vos serveurs SQL avec Arc sont protégés, vérifiez que l’agent de supervision Azure ciblé par SQL est configuré pour le déploiement automatique. Cela est également nécessaire si vous avez précédemment configuré l'approvisionnement automatique du Microsoft Monitoring Agent, car ce composant est déprécié. En savoir plus : Migrate pour Defender pour SQL sur des machines utilisant AMA | AuditIfNotExists ; Handicapé | 1.0.0 |
IR-4 : Détection et analyse - Examiner un incident
Pour plus d’informations, consultez Réponse aux incidents : IR-4 : Détection et analyse - examiner un incident.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| Network Watcher doit être activé | Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer les conditions au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Il est nécessaire de créer un groupe de ressources network watcher dans chaque région où une virtual network est présente. Une alerte est activée si un groupe de ressources network watcher n’est pas disponible dans une région particulière. | AuditIfNotExists ; Handicapé | 3.0.0 |
IR-5 : Détection et analyse – classer les incidents par ordre de priorité
Pour plus d’informations, consultez Réponse aux incidents : IR-5 : Détection et analyse : hiérarchiser les incidents.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’échelle du cloud et de la visibilité que Azure possède en tant que fournisseur de cloud pour surveiller les attaques courantes des applications web. | AuditIfNotExists ; Handicapé | 1.0.3 |
| Azure Defender pour les serveurs Azure SQL Database doivent être activés | Azure Defender pour SQL fournit des fonctionnalités permettant de détecter et d’atténuer les vulnérabilités potentielles des bases de données, de détecter les activités anormales susceptibles d’indiquer des menaces pour les bases de données SQL et de découvrir et de classer des données sensibles. | AuditIfNotExists ; Handicapé | 1.0.2 |
| Azure Defender pour Key Vault doit être activé | Azure Defender pour Key Vault fournit une couche supplémentaire de protection et de renseignement de sécurité en détectant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation de comptes key vault. | AuditIfNotExists ; Handicapé | 1.0.3 |
| Azure Defender pour Resource Manager doit être activé | Azure Defender pour Resource Manager surveille automatiquement les opérations de gestion des ressources de votre organisation. Azure Defender détecte les menaces et vous avertit des activités suspectes. En savoir plus sur les fonctionnalités de Azure Defender pour Resource Manager à Microsoft Defender pour Resource Manager - Avantages et fonctionnalités . L’activation de ce plan Azure Defender entraîne des frais. En savoir plus sur les détails de tarification par région sur la page de tarification de Security Center : Pricing - Microsoft Defender for Cloud . | AuditIfNotExists ; Handicapé | 1.0.0 |
| Azure Defender pour les serveurs SQL sur les machines doivent être activés | Azure Defender pour SQL fournit des fonctionnalités permettant de détecter et d’atténuer les vulnérabilités potentielles des bases de données, de détecter les activités anormales susceptibles d’indiquer des menaces pour les bases de données SQL et de découvrir et de classer des données sensibles. | AuditIfNotExists ; Handicapé | 1.0.2 |
| Azure Defender pour SQL doit être activé pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists ; Handicapé | 2.0.1 |
| Azure Defender pour SQL doit être activé pour les serveurs flexibles MySQL non protégés | Auditer des serveurs flexibles MySQL sans Advanced Data Security | AuditIfNotExists ; Handicapé | 1.0.0 |
| Azure Defender pour SQL doit être activé pour les serveurs flexibles PostgreSQL non protégés | Auditer des serveurs flexibles PostgreSQL sans Advanced Data Security | AuditIfNotExists ; Handicapé | 1.0.0 |
| Azure Defender pour SQL doit être activé pour les instances managées SQL non protégées | Auditez chaque SQL Managed Instance sans sécurité avancée des données. | AuditIfNotExists ; Handicapé | 1.0.2 |
| Azure Defender pour les bases de données relationnelles open source doivent être activées | Azure Defender pour les bases de données relationnelles open source détecte des activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation de bases de données. En savoir plus sur les fonctionnalités de Azure Defender pour les bases de données relationnelles open source à Overview de Defender pour Open-Source bases de données relationnelles. Important : L’activation de ce plan entraînera des frais pour la protection de vos bases de données relationnelles open source. En savoir plus sur la tarification sur la page de tarification de Security Center : Pricing - Microsoft Defender for Cloud | AuditIfNotExists ; Handicapé | 1.0.0 |
| Azure Defender pour les serveurs doivent être activés | Azure Defender pour les serveurs fournit une protection contre les menaces en temps réel pour les charges de travail de serveur et génère des recommandations de renforcement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists ; Handicapé | 1.0.3 |
| Microsoft CSPM Defender doit être activé | Defender Cloud Security Posture Management (CSPM) fournit des fonctionnalités de posture améliorées et un nouveau graphique de sécurité cloud intelligent pour vous aider à identifier, hiérarchiser et réduire les risques. CSPM Defender est disponible en plus des fonctionnalités de sécurité de base gratuites activées par défaut dans Defender for Cloud. | AuditIfNotExists ; Handicapé | 1.0.0 |
| Microsoft Defender pour les API doivent être activées | Microsoft Defender pour les API apporte une nouvelle couverture de détection, de protection, de détection et de réponse pour surveiller les attaques courantes basées sur les API et les mauvaises configurations de sécurité. | AuditIfNotExists ; Handicapé | 1.0.3 |
| Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour conteneurs fournit des protections de renforcement, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists ; Handicapé | 1.0.0 |
| Microsoft Defender pour SQL doit être activé pour les espaces de travail Synapse non protégés | Activez Defender pour SQL afin de protéger vos espaces de travail Synapse. Defender pour SQL surveille votre sql Synapse pour détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation de bases de données. | AuditIfNotExists ; Handicapé | 1.0.0 |
| Microsoft Defender pour l’état SQL doit être protégé pour les serveurs SQL avec Arc | Microsoft Defender pour SQL fournit des fonctionnalités permettant de détecter et d’atténuer les vulnérabilités potentielles de base de données, de détecter des activités anormales susceptibles d’indiquer des menaces pour les bases de données SQL, de découvrir et de classifier des données sensibles. Une fois activé, l’état de protection indique que la ressource est activement surveillée. Même si Defender est activé, plusieurs paramètres de configuration doivent être validés sur l’agent, l’ordinateur, l’espace de travail et le serveur SQL pour garantir la protection active. | Audit; Handicapé | 1.1.0 |
| Microsoft Defender pour le stockage doit être activé | Microsoft Defender stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. La nouvelle Defender pour le plan de stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte storage) pour contrôler la couverture et les coûts. | AuditIfNotExists ; Handicapé | 1.0.0 |
| SQL server l’autoprovisionnement ciblé doit être activé pour les serveurs SQL sur le plan des machines | Pour vous assurer que vos machines virtuelles SQL et vos serveurs SQL avec Arc sont protégés, vérifiez que l’agent de supervision Azure ciblé par SQL est configuré pour le déploiement automatique. Cela est également nécessaire si vous avez précédemment configuré l'approvisionnement automatique du Microsoft Monitoring Agent, car ce composant est déprécié. En savoir plus : Migrate pour Defender pour SQL sur des machines utilisant AMA | AuditIfNotExists ; Handicapé | 1.0.0 |
LT-1 : Activer les fonctionnalités de détection des menaces
Pour plus d’informations, consultez Journalisation et détection des menaces : LT-1 : Activer les fonctionnalités de détection des menaces.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’échelle du cloud et de la visibilité que Azure possède en tant que fournisseur de cloud pour surveiller les attaques courantes des applications web. | AuditIfNotExists ; Handicapé | 1.0.3 |
| Azure Defender pour les serveurs Azure SQL Database doivent être activés | Azure Defender pour SQL fournit des fonctionnalités permettant de détecter et d’atténuer les vulnérabilités potentielles des bases de données, de détecter les activités anormales susceptibles d’indiquer des menaces pour les bases de données SQL et de découvrir et de classer des données sensibles. | AuditIfNotExists ; Handicapé | 1.0.2 |
| Azure Defender pour Key Vault doit être activé | Azure Defender pour Key Vault fournit une couche supplémentaire de protection et de renseignement de sécurité en détectant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation de comptes key vault. | AuditIfNotExists ; Handicapé | 1.0.3 |
| Azure Defender pour Resource Manager doit être activé | Azure Defender pour Resource Manager surveille automatiquement les opérations de gestion des ressources de votre organisation. Azure Defender détecte les menaces et vous avertit des activités suspectes. En savoir plus sur les fonctionnalités de Azure Defender pour Resource Manager à Microsoft Defender pour Resource Manager - Avantages et fonctionnalités . L’activation de ce plan Azure Defender entraîne des frais. En savoir plus sur les détails de tarification par région sur la page de tarification de Security Center : Pricing - Microsoft Defender for Cloud . | AuditIfNotExists ; Handicapé | 1.0.0 |
| Azure Defender pour les serveurs SQL sur les machines doivent être activés | Azure Defender pour SQL fournit des fonctionnalités permettant de détecter et d’atténuer les vulnérabilités potentielles des bases de données, de détecter les activités anormales susceptibles d’indiquer des menaces pour les bases de données SQL et de découvrir et de classer des données sensibles. | AuditIfNotExists ; Handicapé | 1.0.2 |
| Azure Defender pour SQL doit être activé pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists ; Handicapé | 2.0.1 |
| Azure Defender pour SQL doit être activé pour les serveurs flexibles MySQL non protégés | Auditer des serveurs flexibles MySQL sans Advanced Data Security | AuditIfNotExists ; Handicapé | 1.0.0 |
| Azure Defender pour SQL doit être activé pour les serveurs flexibles PostgreSQL non protégés | Auditer des serveurs flexibles PostgreSQL sans Advanced Data Security | AuditIfNotExists ; Handicapé | 1.0.0 |
| Azure Defender pour SQL doit être activé pour les instances managées SQL non protégées | Auditez chaque SQL Managed Instance sans sécurité avancée des données. | AuditIfNotExists ; Handicapé | 1.0.2 |
| Azure Defender pour les bases de données relationnelles open source doivent être activées | Azure Defender pour les bases de données relationnelles open source détecte des activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation de bases de données. En savoir plus sur les fonctionnalités de Azure Defender pour les bases de données relationnelles open source à Overview de Defender pour Open-Source bases de données relationnelles. Important : L’activation de ce plan entraînera des frais pour la protection de vos bases de données relationnelles open source. En savoir plus sur la tarification sur la page de tarification de Security Center : Pricing - Microsoft Defender for Cloud | AuditIfNotExists ; Handicapé | 1.0.0 |
| Azure Defender pour les serveurs doivent être activés | Azure Defender pour les serveurs fournit une protection contre les menaces en temps réel pour les charges de travail de serveur et génère des recommandations de renforcement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists ; Handicapé | 1.0.3 |
| Azure Kubernetes Service clusters doivent avoir Defender profil activé | Microsoft Defender pour conteneurs fournit des fonctionnalités de sécurité Kubernetes natives dans le cloud, notamment le renforcement de l’environnement, la protection des charges de travail et la protection au moment de l’exécution. Lorsque vous activez SecurityProfile.AzureDefender sur votre cluster Azure Kubernetes Service, un agent est déployé sur votre cluster pour collecter des données d’événement de sécurité. En savoir plus sur Microsoft Defender pour les conteneurs dans Recommandations MCSB de gestion dans Defender for Cloud | Audit; Handicapé | 2.0.1 |
| Microsoft CSPM Defender doit être activé | Defender Cloud Security Posture Management (CSPM) fournit des fonctionnalités de posture améliorées et un nouveau graphique de sécurité cloud intelligent pour vous aider à identifier, hiérarchiser et réduire les risques. CSPM Defender est disponible en plus des fonctionnalités de sécurité de base gratuites activées par défaut dans Defender for Cloud. | AuditIfNotExists ; Handicapé | 1.0.0 |
| Microsoft Defender pour les API doivent être activées | Microsoft Defender pour les API apporte une nouvelle couverture de détection, de protection, de détection et de réponse pour surveiller les attaques courantes basées sur les API et les mauvaises configurations de sécurité. | AuditIfNotExists ; Handicapé | 1.0.3 |
| Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour conteneurs fournit des protections de renforcement, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists ; Handicapé | 1.0.0 |
| Microsoft Defender pour SQL doit être activé pour les espaces de travail Synapse non protégés | Activez Defender pour SQL afin de protéger vos espaces de travail Synapse. Defender pour SQL surveille votre sql Synapse pour détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation de bases de données. | AuditIfNotExists ; Handicapé | 1.0.0 |
| Microsoft Defender pour l’état SQL doit être protégé pour les serveurs SQL avec Arc | Microsoft Defender pour SQL fournit des fonctionnalités permettant de détecter et d’atténuer les vulnérabilités potentielles de base de données, de détecter des activités anormales susceptibles d’indiquer des menaces pour les bases de données SQL, de découvrir et de classifier des données sensibles. Une fois activé, l’état de protection indique que la ressource est activement surveillée. Même si Defender est activé, plusieurs paramètres de configuration doivent être validés sur l’agent, l’ordinateur, l’espace de travail et le serveur SQL pour garantir la protection active. | Audit; Handicapé | 1.1.0 |
| Microsoft Defender pour le stockage doit être activé | Microsoft Defender stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. La nouvelle Defender pour le plan de stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte storage) pour contrôler la couverture et les coûts. | AuditIfNotExists ; Handicapé | 1.0.0 |
| SQL server l’autoprovisionnement ciblé doit être activé pour les serveurs SQL sur le plan des machines | Pour vous assurer que vos machines virtuelles SQL et vos serveurs SQL avec Arc sont protégés, vérifiez que l’agent de supervision Azure ciblé par SQL est configuré pour le déploiement automatique. Cela est également nécessaire si vous avez précédemment configuré l'approvisionnement automatique du Microsoft Monitoring Agent, car ce composant est déprécié. En savoir plus : Migrate pour Defender pour SQL sur des machines utilisant AMA | AuditIfNotExists ; Handicapé | 1.0.0 |
| Windows Defender Exploit Guard doit être activé sur vos machines | Windows Defender Exploit Guard utilise l’agent Azure Policy Guest Configuration. Exploit Guard a quatre composants conçus pour verrouiller les appareils contre un large éventail de vecteurs d’attaque et bloquer les comportements couramment utilisés dans les attaques contre les programmes malveillants tout en permettant aux entreprises d’équilibrer leurs besoins en matière de sécurité et de productivité (Windows uniquement). | AuditIfNotExists ; Handicapé | 2.0.0 |
| [préversion] : Azure Arc clusters Kubernetes activés doivent avoir Microsoft Defender for Cloud extension installée | Microsoft Defender for Cloud extension pour Azure Arc fournit une protection contre les menaces pour vos clusters Kubernetes avec Arc. L’extension collecte des données à partir de tous les nœuds du cluster et les envoie au Azure Defender serveur principal Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur le score Secure dans Defender for Cloud. | AuditIfNotExists ; Handicapé | 6.0.0-preview |
LT-2 : Activer la détection des menaces pour la gestion des identités et des access
Pour plus d’informations, consultez Logging and Threat Detection : LT-2 : Activer la détection des menaces pour la gestion des identités et des access.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’échelle du cloud et de la visibilité que Azure possède en tant que fournisseur de cloud pour surveiller les attaques courantes des applications web. | AuditIfNotExists ; Handicapé | 1.0.3 |
| Azure Defender pour les serveurs Azure SQL Database doivent être activés | Azure Defender pour SQL fournit des fonctionnalités permettant de détecter et d’atténuer les vulnérabilités potentielles des bases de données, de détecter les activités anormales susceptibles d’indiquer des menaces pour les bases de données SQL et de découvrir et de classer des données sensibles. | AuditIfNotExists ; Handicapé | 1.0.2 |
| Azure Defender pour Key Vault doit être activé | Azure Defender pour Key Vault fournit une couche supplémentaire de protection et de renseignement de sécurité en détectant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation de comptes key vault. | AuditIfNotExists ; Handicapé | 1.0.3 |
| Azure Defender pour Resource Manager doit être activé | Azure Defender pour Resource Manager surveille automatiquement les opérations de gestion des ressources de votre organisation. Azure Defender détecte les menaces et vous avertit des activités suspectes. En savoir plus sur les fonctionnalités de Azure Defender pour Resource Manager à Microsoft Defender pour Resource Manager - Avantages et fonctionnalités . L’activation de ce plan Azure Defender entraîne des frais. En savoir plus sur les détails de tarification par région sur la page de tarification de Security Center : Pricing - Microsoft Defender for Cloud . | AuditIfNotExists ; Handicapé | 1.0.0 |
| Azure Defender pour les serveurs SQL sur les machines doivent être activés | Azure Defender pour SQL fournit des fonctionnalités permettant de détecter et d’atténuer les vulnérabilités potentielles des bases de données, de détecter les activités anormales susceptibles d’indiquer des menaces pour les bases de données SQL et de découvrir et de classer des données sensibles. | AuditIfNotExists ; Handicapé | 1.0.2 |
| Azure Defender pour SQL doit être activé pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists ; Handicapé | 2.0.1 |
| Azure Defender pour SQL doit être activé pour les serveurs flexibles MySQL non protégés | Auditer des serveurs flexibles MySQL sans Advanced Data Security | AuditIfNotExists ; Handicapé | 1.0.0 |
| Azure Defender pour SQL doit être activé pour les serveurs flexibles PostgreSQL non protégés | Auditer des serveurs flexibles PostgreSQL sans Advanced Data Security | AuditIfNotExists ; Handicapé | 1.0.0 |
| Azure Defender pour SQL doit être activé pour les instances managées SQL non protégées | Auditez chaque SQL Managed Instance sans sécurité avancée des données. | AuditIfNotExists ; Handicapé | 1.0.2 |
| Azure Defender pour les bases de données relationnelles open source doivent être activées | Azure Defender pour les bases de données relationnelles open source détecte des activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation de bases de données. En savoir plus sur les fonctionnalités de Azure Defender pour les bases de données relationnelles open source à Overview de Defender pour Open-Source bases de données relationnelles. Important : L’activation de ce plan entraînera des frais pour la protection de vos bases de données relationnelles open source. En savoir plus sur la tarification sur la page de tarification de Security Center : Pricing - Microsoft Defender for Cloud | AuditIfNotExists ; Handicapé | 1.0.0 |
| Azure Defender pour les serveurs doivent être activés | Azure Defender pour les serveurs fournit une protection contre les menaces en temps réel pour les charges de travail de serveur et génère des recommandations de renforcement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists ; Handicapé | 1.0.3 |
| Azure Kubernetes Service clusters doivent avoir Defender profil activé | Microsoft Defender pour conteneurs fournit des fonctionnalités de sécurité Kubernetes natives dans le cloud, notamment le renforcement de l’environnement, la protection des charges de travail et la protection au moment de l’exécution. Lorsque vous activez SecurityProfile.AzureDefender sur votre cluster Azure Kubernetes Service, un agent est déployé sur votre cluster pour collecter des données d’événement de sécurité. En savoir plus sur Microsoft Defender pour les conteneurs dans Recommandations MCSB de gestion dans Defender for Cloud | Audit; Handicapé | 2.0.1 |
| Microsoft CSPM Defender doit être activé | Defender Cloud Security Posture Management (CSPM) fournit des fonctionnalités de posture améliorées et un nouveau graphique de sécurité cloud intelligent pour vous aider à identifier, hiérarchiser et réduire les risques. CSPM Defender est disponible en plus des fonctionnalités de sécurité de base gratuites activées par défaut dans Defender for Cloud. | AuditIfNotExists ; Handicapé | 1.0.0 |
| Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour conteneurs fournit des protections de renforcement, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists ; Handicapé | 1.0.0 |
| Microsoft Defender pour SQL doit être activé pour les espaces de travail Synapse non protégés | Activez Defender pour SQL afin de protéger vos espaces de travail Synapse. Defender pour SQL surveille votre sql Synapse pour détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation de bases de données. | AuditIfNotExists ; Handicapé | 1.0.0 |
| Microsoft Defender pour l’état SQL doit être protégé pour les serveurs SQL avec Arc | Microsoft Defender pour SQL fournit des fonctionnalités permettant de détecter et d’atténuer les vulnérabilités potentielles de base de données, de détecter des activités anormales susceptibles d’indiquer des menaces pour les bases de données SQL, de découvrir et de classifier des données sensibles. Une fois activé, l’état de protection indique que la ressource est activement surveillée. Même si Defender est activé, plusieurs paramètres de configuration doivent être validés sur l’agent, l’ordinateur, l’espace de travail et le serveur SQL pour garantir la protection active. | Audit; Handicapé | 1.1.0 |
| Microsoft Defender pour le stockage doit être activé | Microsoft Defender stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. La nouvelle Defender pour le plan de stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte storage) pour contrôler la couverture et les coûts. | AuditIfNotExists ; Handicapé | 1.0.0 |
| SQL server l’autoprovisionnement ciblé doit être activé pour les serveurs SQL sur le plan des machines | Pour vous assurer que vos machines virtuelles SQL et vos serveurs SQL avec Arc sont protégés, vérifiez que l’agent de supervision Azure ciblé par SQL est configuré pour le déploiement automatique. Cela est également nécessaire si vous avez précédemment configuré l'approvisionnement automatique du Microsoft Monitoring Agent, car ce composant est déprécié. En savoir plus : Migrate pour Defender pour SQL sur des machines utilisant AMA | AuditIfNotExists ; Handicapé | 1.0.0 |
| Windows Defender Exploit Guard doit être activé sur vos machines | Windows Defender Exploit Guard utilise l’agent Azure Policy Guest Configuration. Exploit Guard a quatre composants conçus pour verrouiller les appareils contre un large éventail de vecteurs d’attaque et bloquer les comportements couramment utilisés dans les attaques contre les programmes malveillants tout en permettant aux entreprises d’équilibrer leurs besoins en matière de sécurité et de productivité (Windows uniquement). | AuditIfNotExists ; Handicapé | 2.0.0 |
| [préversion] : Azure Arc clusters Kubernetes activés doivent avoir Microsoft Defender for Cloud extension installée | Microsoft Defender for Cloud extension pour Azure Arc fournit une protection contre les menaces pour vos clusters Kubernetes avec Arc. L’extension collecte des données à partir de tous les nœuds du cluster et les envoie au Azure Defender serveur principal Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur le score Secure dans Defender for Cloud. | AuditIfNotExists ; Handicapé | 6.0.0-preview |
LT-3 : Activer la journalisation pour l’investigation de sécurité
Pour plus d’informations, consultez Journalisation et détection des menaces : LT-3 : Activer la journalisation pour l’investigation de sécurité.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| App Service applications doivent avoir activé les journaux de ressources | Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists ; Handicapé | 2.0.1 |
| Auditing sur SQL server doit être activé | L’audit sur votre SQL Server doit être activé pour suivre les activités de base de données sur toutes les bases de données sur le serveur et les enregistrer dans un journal d’audit. | AuditIfNotExists ; Handicapé | 2.0.0 |
| Azure Front Door devez activer les journaux des ressources | Activez les journaux de ressources pour Azure Front Door (plus WAF) et diffusez en continu vers un espace de travail Log Analytics. Bénéficiez d’une visibilité détaillée du trafic web entrant et des actions prises pour atténuer les attaques. | AuditIfNotExists ; Handicapé | 1.0.0 |
| Les journauxDiagnostic dans Azure AI services ressources doivent être activés | Activez les journaux d’activité pour les ressources Azure AI services. Cela vous permet de recréer les pistes d’activité à des fins d’investigation, en cas d’incident de sécurité ou de compromission du réseau | AuditIfNotExists ; Handicapé | 1.0.0 |
| Les journaux de ressources dans Azure Data Lake Store doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists ; Handicapé | 5.0.0 |
| les journaux Resource dans Azure Databricks Espaces de travail doivent être activés | Les journaux de ressources permettent de recréer des pistes d’activité à utiliser à des fins d’investigation quand un incident de sécurité se produit ou quand votre réseau est compromis. | AuditIfNotExists ; Handicapé | 1.0.1 |
| Les journaux de ressources dans Azure Kubernetes Service doivent être activés | les journaux de ressources de Azure Kubernetes Service peuvent aider à recréer des pistes d'activité lors de l'examen des incidents de sécurité. Activez-les pour avoir la garantie de pouvoir en disposer quand cela est nécessaire | AuditIfNotExists ; Handicapé | 1.0.0 |
| les journaux Resource dans Azure Machine Learning Espaces de travail doivent être activés | Les journaux de ressources permettent de recréer des pistes d’activité à utiliser à des fins d’investigation quand un incident de sécurité se produit ou quand votre réseau est compromis. | AuditIfNotExists ; Handicapé | 1.0.1 |
| Les journaux de ressources dans Azure Stream Analytics doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists ; Handicapé | 5.0.0 |
| Les journaux de ressources dans les comptes Batch doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists ; Handicapé | 5.0.0 |
| Les journaux de ressources dans Data Lake Analytics doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists ; Handicapé | 5.0.0 |
| Les journaux de ressources dans Event Hub doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists ; Handicapé | 5.0.0 |
| Les journaux de ressources dans IoT Hub doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists ; Handicapé | 3.1.0 |
| Les journaux de ressources dans Key Vault doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau | AuditIfNotExists ; Handicapé | 5.0.0 |
| Les journaux de ressources dans Logic Apps doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists ; Handicapé | 5.1.0 |
| Les journaux de ressources dans les services de recherche doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists ; Handicapé | 5.0.0 |
| Les journaux de ressources dans Service Bus doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists ; Handicapé | 5.0.0 |
LT-4 : Activer la journalisation réseau pour l’investigation de sécurité
Pour plus d’informations, consultez Journalisation et détection des menaces : LT-4 : Activer la journalisation réseau pour l’investigation de sécurité.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| les journaux Flow doivent être configurés pour chaque groupe de sécurité réseau | Auditez les groupes de sécurité réseau pour vérifier si les journaux de flux sont configurés. Activer les journaux de flux permet de consigner des informations sur le trafic IP circulant dans un groupe de sécurité réseau. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc. | Audit; Handicapé | 1.1.0 |
| [préversion] : l’agent de collecte de données du trafic réseau doit être installé sur Linux virtual machines | Security Center utilise l’agent de dépendances Microsoft pour collecter des données de trafic réseau à partir de vos machines virtuelles Azure pour activer des fonctionnalités avancées de protection réseau telles que la visualisation du trafic sur la carte réseau, les recommandations de renforcement du réseau et les menaces réseau spécifiques. | AuditIfNotExists ; Handicapé | 1.0.2-preview |
| [préversion] : l’agent de collecte de données du trafic réseau doit être installé sur Windows machines virtuelles | Security Center utilise l’agent de dépendances Microsoft pour collecter des données de trafic réseau à partir de vos machines virtuelles Azure pour activer des fonctionnalités avancées de protection réseau telles que la visualisation du trafic sur la carte réseau, les recommandations de renforcement du réseau et les menaces réseau spécifiques. | AuditIfNotExists ; Handicapé | 1.0.2-preview |
LT-5 : Centraliser la gestion et l’analyse des journaux de sécurité
Pour plus d’informations, consultez Journalisation et détection des menaces : LT-5 : Centraliser la gestion et l’analyse des journaux de sécurité.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| Saved-requêtes dans Azure Monitor doivent être enregistrées dans le compte de stockage client pour le chiffrement des journaux | Lier un compte de stockage à Log Analytics espace de travail pour protéger les requêtes enregistrées avec le chiffrement du compte de stockage. Les clés gérées par le client sont couramment requises pour respecter la conformité réglementaire et contrôler davantage l’accès à vos requêtes enregistrées dans Azure Monitor. Pour plus d’informations sur les informations ci-dessus, consultez Clé gérée parCustomer pour les requêtes enregistrées dans Azure Monitor. | audit; Audit; nier; Nier; handicapé; Handicapé | 1.1.0 |
| [préversion] : Log Analytics extension doit être installée sur vos machines linux Azure Arc | Cette stratégie audite les machines Linux Azure Arc si l’extension Log Analytics n’est pas installée. | AuditIfNotExists ; Handicapé | 1.0.1-preview |
| [préversion] : Log Analytics extension doit être installée sur vos machines Windows Azure Arc | Cette stratégie audite Windows Azure Arc machines si l’extension Log Analytics n’est pas installée. | AuditIfNotExists ; Handicapé | 1.0.1-preview |
LT-6 : Configurer la rétention des storage de journal
Pour plus d’informations, consultez Logging and Threat Detection : LT-6 : Configure log storage retention.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| les serveurs SQL avec audit pour storage destination de compte doivent être configurés avec une rétention de 90 jours ou une version ultérieure | À des fins d'investigation des incidents, nous vous recommandons de définir la conservation des données pour l'audit de votre SQL Server sur la destination du compte de stockage à au moins 90 jours. Confirmez que vous respectez les règles de conservation nécessaires pour les régions dans lesquelles vous travaillez. Cela est parfois nécessaire pour la conformité aux normes réglementaires. | AuditIfNotExists ; Handicapé | 3.0.0 |
NS-1 : Établir des limites de segmentation du réseau
Pour plus d’informations, consultez Sécurité réseau : NS-1 : Établir des limites de segmentation du réseau.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| Tous les ports réseau doivent être limités sur les groupes de sécurité réseau associés à votre machine virtuelle | Azure Security Center a identifié certaines des règles de trafic entrant de vos groupes de sécurité réseau pour être trop permissives. Les règles de trafic entrant ne doivent pas autoriser access à partir de plages « Any » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. | AuditIfNotExists ; Handicapé | 3.0.0 |
| les virtual machines accessibles au réseau doivent être protégés par des groupes de sécurité réseau | Protégez votre virtual machines contre les menaces potentielles en limitant les access à celles-ci avec des groupes de sécurité réseau (NSG). En savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau à Azure vue d’ensemble des groupes de sécurité réseau | AuditIfNotExists ; Handicapé | 3.0.0 |
| Les virtual machines accessibles sur Internet doivent être protégées avec des groupes de sécurité réseau | Protégez votre virtual machines non accessible sur Internet contre les menaces potentielles en limitant access avec des groupes de sécurité réseau (NSG). En savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau à Azure vue d’ensemble des groupes de sécurité réseau | AuditIfNotExists ; Handicapé | 3.0.0 |
| Subnets doivent être associés à un groupe de sécurité réseau | Protégez votre sous-réseau contre les menaces potentielles en limitant access à celui-ci avec un groupe de sécurité réseau (NSG). Les groupes de sécurité réseau contiennent une liste de règles de liste de Access Control (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. | AuditIfNotExists ; Handicapé | 3.0.0 |
NS-2 : Sécuriser les services natifs cloud avec des contrôles réseau
Pour plus d’informations, consultez Sécurité réseau : NS-2 : Sécuriser les services natifs cloud avec des contrôles réseau.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| API Management services doivent utiliser un virtual network | Réseau virtuel Azure déploiement offre une sécurité renforcée, une isolation et vous permet de placer votre service Gestion des API dans un réseau routable non Internet auquel vous contrôlez l’accès. Ces réseaux peuvent ensuite être connectés à vos réseaux locaux à l’aide de différentes technologies VPN, ce qui permet d’access à vos services principaux au sein du réseau et/ou localement. Le portail des développeurs et la passerelle d’API peuvent être configurés pour être accessibles à partir d’Internet ou uniquement dans le virtual network. | Audit; Nier; Handicapé | 1.0.2 |
| API Management devez désactiver les access de réseau public aux points de terminaison de configuration de service | Pour améliorer la sécurité des services API Management, limitez la connectivité aux points de terminaison de configuration de service, comme l’API de gestion directe access, le point de terminaison de gestion de la configuration Git ou le point de terminaison de configuration des passerelles auto-hébergés. | AuditIfNotExists ; Handicapé | 1.0.1 |
| App Configuration doit désactiver le réseau public access | La désactivation du réseau public access améliore la sécurité en s'assurant que la ressource n'est pas exposée sur l'Internet public. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. En savoir plus sur : Utiliser des points de terminaison privés pour Azure App Configuration. | Audit; Nier; Handicapé | 1.0.0 |
| App Configuration devez utiliser une référence SKU prenant en charge private link | Lorsque vous utilisez une référence SKU prise en charge, Azure Private Link vous permet de connecter votre réseau virtuel à des services Azure sans adresse IP publique à la source ou à la destination. La plateforme de liaison privée gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à vos instances de app configuration au lieu du service entier, vous serez également protégé contre les risques de fuite de données. En savoir plus sur : Utiliser des points de terminaison privés pour Azure App Configuration. | Audit; Nier; Handicapé | 1.0.0 |
| App Configuration devez utiliser private link | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme de liaison privée gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à vos instances de app configuration au lieu du service entier, vous serez également protégé contre les risques de fuite de données. En savoir plus sur : Utiliser des points de terminaison privés pour Azure App Configuration. | AuditIfNotExists ; Handicapé | 1.0.2 |
| App Service Environment les applications ne doivent pas être accessibles sur Internet public | Pour vous assurer que les applications déployées dans un App Service Environment ne sont pas accessibles via Internet public, vous devez déployer App Service Environment avec une adresse IP dans un réseau virtuel. Pour définir l’adresse IP sur une adresse IP de réseau virtuel, le App Service Environment doit être déployé avec un équilibreur de charge interne. | Audit; Nier; Handicapé | 3.0.0 |
| App Service emplacements d’application doivent désactiver le réseau public access | La désactivation du réseau public access améliore la sécurité en garantissant que le App Service n’est pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition d’un App Service. En savoir plus sur : Utiliser des points de terminaison privés pour les applications. | Audit; Handicapé; Nier | 1.0.0 |
| les applications App Service doivent désactiver le réseau public access | La désactivation du réseau public access améliore la sécurité en garantissant que le App Service n’est pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition d’un App Service. En savoir plus sur : Utiliser des points de terminaison privés pour les applications. | Audit; Handicapé; Nier | 1.1.0 |
| App Service applications doivent utiliser une référence SKU prenant en charge private link | Avec les références SKU prises en charge, Azure Private Link vous permet de connecter votre réseau virtuel à des services Azure sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés pour les applications, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liens privés à l’adresse : Utiliser des points de terminaison privés pour les applications. | Audit; Nier; Handicapé | 4.3.0 |
| App Service applications doivent utiliser private link | Azure Private Link vous permet de connecter vos réseaux virtuels à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à App Service, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liens privés à l’adresse : Utiliser des points de terminaison privés pour les applications. | AuditIfNotExists ; Handicapé | 1.0.1 |
| les composants Application Insights doivent bloquer l’ingestion et l’interrogation des journaux à partir de réseaux publics | Améliorez Application Insights en bloquant l’ingestion et l’interrogation de journaux à partir de réseaux publics. Seuls les réseaux connectés avec une liaison privée peuvent ingérer et interroger les journaux de ce composant. En savoir plus sur Utilisez Azure Private Link pour connecter des réseaux à Azure Monitor. | audit; Audit; nier; Nier; handicapé; Handicapé | 1.1.0 |
| Les plages d’adresses IP autorisées doivent être définies sur Kubernetes Services | Limitez access à l’API Kubernetes Service Management en accordant access API uniquement aux adresses IP dans des plages spécifiques. Il est recommandé de limiter access aux plages d’adresses IP autorisées pour s’assurer que seules les applications provenant de réseaux autorisés peuvent access le cluster. | Audit; Handicapé | 2.0.1 |
| les comptes Automation doivent désactiver le réseau public access | La désactivation du réseau public access améliore la sécurité en s'assurant que la ressource n'est pas exposée sur l'Internet public. Vous pouvez limiter l’exposition de vos ressources de compte Automation en créant des points de terminaison privés à la place. En savoir plus sur : Utilisez Azure Private Link pour connecter en toute sécurité des réseaux à Azure Automation. | Audit; Nier; Handicapé | 1.0.0 |
| Recherche Azure AI service doit utiliser une référence SKU prenant en charge une liaison privée | Avec les références SKU prises en charge de Recherche Azure AI, Azure Private Link vous permet de connecter votre réseau virtuel à des services Azure sans adresse IP publique à la source ou à la destination. La plateforme de liaison privée gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à votre Search service, les risques de fuite de données sont réduits. En savoir plus sur : Créer un point de terminaison privé pour une connexion sécurisée. | Audit; Nier; Handicapé | 1.0.1 |
| les services Recherche Azure AI doivent désactiver l’accès au réseau public | La désactivation de l’accès au réseau public améliore la sécurité en garantissant que votre service Recherche Azure AI n’est pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre Search service. En savoir plus sur : Créer un point de terminaison privé pour une connexion sécurisée. | Audit; Nier; Handicapé | 1.0.1 |
| Azure ressources AI Services doivent restreindre l’accès réseau | En limitant les access réseau, vous pouvez vous assurer que seuls les réseaux autorisés peuvent access le service. Pour ce faire, vous pouvez configurer des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder à l’outil Microsoft Foundry. | Audit; Nier; Handicapé | 3.3.0 |
| Azure ressources AI Services doivent utiliser Azure Private Link | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link réduit les risques de fuite de données en gérant la connectivité entre le consommateur et les services via le réseau principal Azure. En savoir plus sur les liens privés sur : Qu’est-ce que Azure Private Link ? | Audit; Handicapé | 1.0.0 |
| Azure API pour FHIR doit utiliser une liaison privée | Azure API pour FHIR doit avoir au moins une connexion de point de terminaison privé approuvée. Les clients d’un virtual network peuvent access des ressources qui ont des connexions de point de terminaison privé via des liaisons privées. Pour plus d’informations, visitez : Configure Private Link pour Services de données de santé Azure. | Audit; Handicapé | 1.0.0 |
| Azure Arc Private Link Les étendues doivent être configurées avec un point de terminaison privé | Azure Private Link vous permet de connecter vos réseaux virtuels à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à des étendues Azure Arc Private Link, les risques de fuite de données sont réduits. En savoir plus sur les liens privés à l’adresse : Utilisez Azure Private Link pour connecter des serveurs à Azure Arc à l’aide d’un point de terminaison privé. | Audit; Handicapé | 1.0.0 |
| Azure Arc Private Link Les étendues doivent désactiver l’accès au réseau public | La désactivation de l’accès au réseau public améliore la sécurité en garantissant que Azure Arc ressources ne peuvent pas se connecter via l’Internet public. La création de points de terminaison privés peut limiter l’exposition des ressources Azure Arc. En savoir plus sur : Utilisez Azure Private Link pour connecter des serveurs à Azure Arc à l’aide d’un point de terminaison privé. | Audit; Nier; Handicapé | 1.0.0 |
| Azure Arc les clusters Kubernetes compatibles doivent être configurés avec une étendue Azure Arc Private Link | Azure Private Link vous permet de connecter vos réseaux virtuels à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des serveurs compatibles Azure Arc à une étendue de Azure Arc Private Link configurée avec un point de terminaison privé, les risques de fuite de données sont réduits. En savoir plus sur les liens privés à l’adresse : Utilisez Azure Private Link pour connecter des serveurs à Azure Arc à l’aide d’un point de terminaison privé. | Audit; Nier; Handicapé | 1.0.0 |
| les serveurs Azure Arc doivent être configurés avec une étendue Azure Arc Private Link | Azure Private Link vous permet de connecter vos réseaux virtuels à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des serveurs compatibles Azure Arc à une étendue de Azure Arc Private Link configurée avec un point de terminaison privé, les risques de fuite de données sont réduits. En savoir plus sur les liens privés à l’adresse : Utilisez Azure Private Link pour connecter des serveurs à Azure Arc à l’aide d’un point de terminaison privé. | Audit; Nier; Handicapé | 1.0.0 |
| Azure Attestation fournisseurs doivent désactiver l’accès au réseau public | Pour améliorer la sécurité de Azure Attestation Service, assurez-vous qu'il n'est pas exposé à l'Internet public et qu'il est accessible uniquement à partir d'un point de terminaison privé. Désactivez la propriété access réseau public, comme décrit dans aka.ms/azureattestation. Cette option désactive l’accès à partir de n’importe quel espace d’adressage public en dehors de la plage d’adresses IP Azure et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur ip ou sur un réseau virtuel. Cette configuration réduit les risques de fuite de données. | Audit; Nier; Handicapé | 1.0.0 |
| Azure Cache pour Redis Entreprise doit utiliser une liaison privée | Les points de terminaison privés vous permettent de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. En mappant des points de terminaison privés à vos instances d’entreprise Azure Cache pour Redis, les risques de fuite de données sont réduits. En savoir plus sur : Azure Cache pour Redis avec Azure Private Link ?. | AuditIfNotExists ; Handicapé | 1.0.0 |
| Azure Cache pour Redis devez désactiver l’accès au réseau public | La désactivation de l'accès au réseau public améliore la sécurité en garantissant que le Azure Cache pour Redis n'est pas exposé sur l'Internet public. Vous pouvez limiter l’exposition de vos Azure Cache pour Redis en créant des points de terminaison privés à la place. En savoir plus sur : Azure Cache pour Redis avec Azure Private Link ?. | Audit; Nier; Handicapé | 1.0.0 |
| Azure Cache pour Redis devez utiliser une liaison privée | Les points de terminaison privés vous permettent de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. En mappant des points de terminaison privés à vos instances de Azure Cache pour Redis, les risques de fuite de données sont réduits. En savoir plus sur : Azure Cache pour Redis avec Azure Private Link ?. | AuditIfNotExists ; Handicapé | 1.0.0 |
| Azure Cosmos DB comptes doivent avoir des règles de pare-feu | Les règles de pare-feu doivent être définies sur vos comptes Azure Cosmos DB pour empêcher le trafic provenant de sources non autorisées. Les comptes qui ont au moins une règle IP définie avec le filtre virtual network activé sont considérés comme conformes. Les comptes désactivant les access publics sont également considérés comme conformes. | Audit; Nier; Handicapé | 2.1.0 |
| Azure Cosmos DB doit désactiver l’accès au réseau public | La désactivation du réseau public access améliore la sécurité en vous assurant que votre compte CosmosDB n'est pas exposé sur l'Internet public. La création de points de terminaison privés peut limiter l’exposition de votre compte CosmosDB. En savoir plus sur : Blocking public network access during Azure Cosmos DB account creation. | Audit; Nier; Handicapé | 1.0.0 |
| Azure Data Explorer cluster doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à votre cluster Azure Data Explorer, les risques de fuite de données sont réduits. En savoir plus sur les liens privés à l’adresse : Points de terminaisonPrivate pour Azure Data Explorer. | Audit; Handicapé | 1.0.0 |
| Azure Data Explorer devez utiliser une référence SKU prenant en charge une liaison privée | Avec les références SKU prises en charge, Azure Private Link vous permet de connecter votre réseau virtuel à des services Azure sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés pour les applications, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liens privés à l’adresse : Utiliser des points de terminaison privés pour les applications. | Audit; Nier; Handicapé | 1.0.0 |
| Azure Data Factory devez utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, les risques de fuite de données sont réduits. En savoir plus sur les liens privés sur : Azure Private Link pour Azure Data Factory. | AuditIfNotExists ; Handicapé | 1.0.0 |
| Azure Databricks Clusters doivent désactiver l’adresse IP publique | La désactivation de l'adresse IP publique des clusters dans Azure Databricks espaces de travail améliore la sécurité en garantissant que les clusters ne sont pas exposés sur l'Internet public. En savoir plus sur : Connectivité sécurisée du cluster. | Audit; Nier; Handicapé | 1.0.1 |
| Azure Databricks Les espaces de travail doivent se trouver dans un réseau virtuel | Azure réseaux virtuels offrent une sécurité et une isolation améliorées pour vos espaces de travail Azure Databricks, ainsi que les sous-réseaux, les stratégies de contrôle d’accès et d’autres fonctionnalités pour restreindre davantage l’accès. En savoir plus sur : Deploy Azure Databricks dans votre réseau virtuel Azure (injection de réseau virtuel). | Audit; Nier; Handicapé | 1.0.2 |
| Azure Databricks Espaces de travail doivent désactiver l’accès au réseau public | La désactivation du réseau public access améliore la sécurité en s'assurant que la ressource n'est pas exposée sur l'Internet public. Vous pouvez contrôler l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, consultez : concepts Azure Private Link. | Audit; Nier; Handicapé | 1.0.1 |
| Azure Databricks Espaces de travail doivent utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à Azure Databricks espaces de travail, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liens privés à l’adresse suivante : Configurer une connectivité privée principale à Azure Databricks. | Audit; Handicapé | 1.0.2 |
| Azure Databricks espaces de travail doivent être une référence SKU Premium qui prend en charge des fonctionnalités telles que la liaison privée, la clé gérée par le client pour le chiffrement | Autorisez uniquement l’espace de travail Databricks avec la référence SKU Premium que votre organisation peut déployer pour prendre en charge des fonctionnalités telles que Private Link clé gérée par le client pour le chiffrement. En savoir plus sur : Configurer la connectivité privée principale à Azure Databricks. | Audit; Nier; Handicapé | 1.0.1 |
| Azure Device Update pour les comptes IoT Hub doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à Azure Device Update pour les comptes IoT Hub, les risques de fuite de données sont réduits. | AuditIfNotExists ; Handicapé | 1.0.0 |
| Azure Event Grid domaines doivent désactiver l’accès au réseau public | La désactivation du réseau public access améliore la sécurité en s'assurant que la ressource n'est pas exposée sur l'Internet public. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, consultez : Configurer des points de terminaison privés pour des rubriques ou des domaines. | Audit; Nier; Handicapé | 1.0.0 |
| Azure Event Grid domaines doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, consultez : Configurer des points de terminaison privés pour des rubriques ou des domaines. | Audit; Handicapé | 1.0.2 |
| Azure Event Grid broker MQTT de l’espace de noms doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à votre espace de noms Event Grid au lieu de l’ensemble du service, vous serez également protégé contre les risques de fuite de données. Pour en savoir plus, consultez : Configurer des points de terminaison privés pour des rubriques ou des domaines. | Audit; Handicapé | 1.0.0 |
| Azure Event Grid broker de rubrique d’espace de noms doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à votre espace de noms Event Grid au lieu de l’ensemble du service, vous serez également protégé contre les risques de fuite de données. Pour en savoir plus, consultez : Configurer des points de terminaison privés pour des rubriques ou des domaines. | Audit; Handicapé | 1.0.0 |
| Azure Event Grid espaces de noms doivent désactiver l’accès au réseau public | La désactivation du réseau public access améliore la sécurité en s'assurant que la ressource n'est pas exposée sur l'Internet public. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, consultez : Configurer des points de terminaison privés pour des rubriques ou des domaines. | Audit; Nier; Handicapé | 1.0.0 |
| Azure Event Grid rubriques doivent désactiver l’accès au réseau public | La désactivation du réseau public access améliore la sécurité en s'assurant que la ressource n'est pas exposée sur l'Internet public. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, consultez : Configurer des points de terminaison privés pour des rubriques ou des domaines. | Audit; Nier; Handicapé | 1.0.0 |
| Azure Event Grid rubriques doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, consultez : Configurer des points de terminaison privés pour des rubriques ou des domaines. | Audit; Handicapé | 1.0.2 |
| Azure File Sync devez utiliser une liaison privée | La création d'un point de terminaison privé pour la ressource de service de synchronisation indiquée Storage vous permet d'adresser votre ressource de service de synchronisation Storage à partir de l'espace d'adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible par Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public. | AuditIfNotExists ; Handicapé | 1.0.0 |
| Azure Front Door profils doivent utiliser le niveau Premium qui prend en charge les règles WAF managées et la liaison privée | Azure Front Door Premium prend en charge les règles WAF gérées Azure et la liaison privée pour les origines de Azure prises en charge. | Audit; Nier; Handicapé | 1.0.0 |
| Azure HDInsight devez utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à des clusters Azure HDInsight, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liens privés à l’adresse : Enable Private Link sur un cluster Azure HDInsight. | AuditIfNotExists ; Handicapé | 1.0.0 |
| Services de données de santé Azure service de dé-identification doit désactiver l’accès au réseau public | La désactivation du réseau public access améliore la sécurité en s'assurant que la ressource n'est pas exposée sur l'Internet public. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. | Audit; Handicapé | 1.0.0 |
| Services de données de santé Azure service de dé-identification doit utiliser une liaison privée | Services de données de santé Azure service de dé-identification doit avoir au moins une connexion de point de terminaison privé approuvée. Les clients d’un virtual network peuvent access des ressources qui ont des connexions de point de terminaison privé via des liaisons privées. | Audit; Handicapé | 1.0.0 |
| Services de données de santé Azure espace de travail doit utiliser une liaison privée | L’espace de travail Health Data Services doit disposer d’au moins une connexion de point de terminaison privé approuvée. Les clients d’un virtual network peuvent access des ressources qui ont des connexions de point de terminaison privé via des liaisons privées. Pour plus d’informations, visitez : Configure Private Link pour Services de données de santé Azure. | Audit; Handicapé | 1.0.0 |
| Azure Key Vault doit désactiver l’accès au réseau public | Désactivez les access de réseau public pour votre key vault afin qu'elle ne soit pas accessible via l'Internet public. Cela peut réduire les risques de fuite de données. En savoir plus sur : Integrate Key Vault avec Azure Private Link. | Audit; Nier; Handicapé | 1.1.0 |
| Azure Key Vault devez avoir un pare-feu activé ou un accès réseau public désactivé | Activez le pare-feu key vault afin que le key vault ne soit pas accessible par défaut à des adresses IP publiques ou désactivez les access de réseau public pour votre key vault afin qu'il ne soit pas accessible via l'Internet public. Si vous le souhaitez, vous pouvez configurer des plages d’adresses IP spécifiques pour limiter les access à ces réseaux. En savoir plus sur : sécurité Network pour Azure Key Vault et Integrate Key Vault avec Azure Private Link | Audit; Nier; Handicapé | 3.3.0 |
| Azure Les coffres de clés doivent utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à key vault, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liens privés à l’adresse : Integrate Key Vault avec Azure Private Link. | Audit; Nier; Handicapé | 1.2.1 |
| Azure Machine Learning Calculs doivent se trouver dans un réseau virtuel | Azure réseaux virtuels offrent une sécurité et une isolation améliorées pour vos clusters et instances de calcul Azure Machine Learning, ainsi que des sous-réseaux, des stratégies de contrôle d’accès et d’autres fonctionnalités pour restreindre davantage l’accès. Lorsqu’un calcul est configuré avec un virtual network, il n’est pas adressable publiquement et n’est accessible qu’à partir de virtual machines et d’applications au sein du virtual network. | Audit; Handicapé | 1.0.1 |
| Azure Machine Learning Espaces de travail doivent désactiver l’accès au réseau public | La désactivation de l'accès au réseau public améliore la sécurité en veillant à ce que les espaces de travail Machine Learning ne soient pas exposés sur l'Internet public. Vous pouvez contrôler l’exposition de vos espaces de travail en créant des points de terminaison privés à la place. En savoir plus sur : Configurer un point de terminaison privé pour un espace de travail Azure Machine Learning. | Audit; Nier; Handicapé | 2.0.1 |
| Azure Machine Learning et Ai Studio doivent utiliser le mode Autoriser uniquement le mode de réseau virtuel managé sortant approuvé | L’isolation de réseau virtuel managé simplifie et automatise votre configuration d’isolation réseau avec un réseau virtuel intégré au niveau de l’espace de travail Azure Machine Learning réseau virtuel managé. Le réseau virtuel managé sécurise vos ressources de Azure Machine Learning managées, telles que les instances de calcul, les clusters de calcul, le calcul serverless et les points de terminaison en ligne managés. | Audit; Nier; Handicapé | 1.0.0 |
| Azure Machine Learning espaces de travail doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à Azure Machine Learning espaces de travail, les risques de fuite de données sont réduits. En savoir plus sur les liens privés à l’adresse : Configurer un point de terminaison privé pour un espace de travail Azure Machine Learning. | Audit; Handicapé | 1.0.0 |
| Azure Managed Grafana espaces de travail doivent désactiver l’accès au réseau public | La désactivation de l'accès au réseau public améliore la sécurité en vous assurant que votre espace de travail Azure Managed Grafana n'est pas exposé sur l'Internet public. La création de points de terminaison privés peut limiter l’exposition de vos espaces de travail. | Audit; Nier; Handicapé | 1.0.0 |
| Azure Managed Grafana espaces de travail doivent utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à Managed Grafana, vous pouvez réduire les risques de fuite de données. | Audit; Handicapé | 1.0.1 |
| Azure Monitor Private Link Étendue doit bloquer l’accès aux ressources non private link | Azure Private Link vous permet de connecter vos réseaux virtuels à des ressources Azure via un point de terminaison privé à une étendue Azure Monitor Private Link (AMPLS). Private Link les modes d’accès sont définis sur votre AMPLS pour contrôler si les demandes d’ingestion et d’interrogation de vos réseaux peuvent atteindre toutes les ressources ou uniquement Private Link ressources (pour empêcher l’exfiltration des données). En savoir plus sur les liens privés à l’adresse : Azure Private Link modes d’accès (privé uniquement ou ouvert). | Audit; Nier; Handicapé | 1.0.0 |
| Azure Monitor Private Link Étendue doit utiliser private link | Azure Private Link vous permet de connecter vos réseaux virtuels à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à Azure Monitor étendue des liaisons privées, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liens privés à l’adresse : Utilisez Azure Private Link pour connecter des réseaux à Azure Monitor. | AuditIfNotExists ; Handicapé | 1.0.0 |
| Azure comptes Purview doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme de liaison privée gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à vos comptes Purview Azure au lieu de l'ensemble du service, vous serez également protégé contre les risques de fuite de données. En savoir plus sur : Utilisez des points de terminaison privés dans le portail de gouvernance classique Microsoft Purview. | Audit; Handicapé | 1.0.0 |
| Azure SQL Managed Instances doit désactiver l’accès au réseau public | La désactivation de l’accès au réseau public (point de terminaison public) sur Azure SQL Managed Instances améliore la sécurité en s’assurant qu’elles ne peuvent être accessibles qu’à partir de leurs réseaux virtuels ou via des points de terminaison privés. Pour en savoir plus sur les access de réseau public, visitez Configure public Endpoint. | Audit; Nier; Handicapé | 1.0.0 |
| Azure Service Bus espaces de noms doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. En savoir plus sur : Allow access to Azure Service Bus namespaces via des points de terminaison privés. | AuditIfNotExists ; Handicapé | 1.0.0 |
| Azure SignalR Service doit désactiver l’accès au réseau public | Pour améliorer la sécurité de Azure SignalR Service ressource, assurez-vous qu'elle n'est pas exposée à l'Internet public et qu'elle n'est accessible qu'à partir d'un point de terminaison privé. Désactivez la propriété access de réseau public, comme décrit dans Configure réseau access control. Cette option désactive l’accès à partir de n’importe quel espace d’adressage public en dehors de la plage d’adresses IP Azure et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur ip ou sur un réseau virtuel. Cette configuration réduit les risques de fuite de données. | Audit; Nier; Handicapé | 1.2.0 |
| Azure SignalR Service devez utiliser une référence SKU Private Link activée | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination, qui protègent vos ressources contre les risques de fuite de données publiques. La stratégie vous limite à Private Link références SKU activées pour Azure SignalR Service. En savoir plus sur private link à : Utiliser des points de terminaison privés. | Audit; Nier; Handicapé | 1.0.0 |
| Azure SignalR Service devez utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme de liaison privée gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à votre ressource Azure SignalR Service au lieu de l'ensemble du service, vous réduisez les risques de fuite de données. En savoir plus sur les liens privés à l’adresse suivante : Utiliser des points de terminaison privés. | Audit; Handicapé | 1.0.0 |
| Azure Spring Cloud doit utiliser l’injection de réseau | Azure instances Spring Cloud doivent utiliser l’injection de réseau virtuel à des fins suivantes : 1. Isolez Azure Spring Cloud à partir d’Internet. 2. Activez Azure Spring Cloud pour interagir avec les systèmes dans des centres de données locaux ou Azure service dans d’autres réseaux virtuels. 3. Permettre aux clients de contrôler les communications réseau entrantes et sortantes pour Azure Spring Cloud. | Audit; Handicapé; Nier | 1.2.0 |
| Azure Synapse espaces de travail doivent désactiver l’accès au réseau public | La désactivation du réseau public access améliore la sécurité en garantissant que l'espace de travail Synapse n'est pas exposé sur l'Internet public. La création de points de terminaison privés peut limiter l’exposition de vos espaces de travail Synapse. En savoir plus sur : paramètres de connectivité Azure Synapse Analytics. | Audit; Nier; Handicapé | 1.0.0 |
| Azure Synapse espaces de travail doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à Azure Synapse espace de travail, les risques de fuite de données sont réduits. En savoir plus sur les liens privés à l’adresse suivante : Connect to your Azure Synapse workspace using private links. | Audit; Handicapé | 1.0.1 |
| Azure Virtual Desktop les pools d’hôtes doivent désactiver l’accès au réseau public | La désactivation de l’accès au réseau public améliore la sécurité et protège vos données en garantissant que l’accès au service Azure Virtual Desktop n’est pas exposé à l’Internet public. En savoir plus sur : Configurez Private Link avec Azure Virtual Desktop. | Audit; Nier; Handicapé | 1.0.0 |
| Azure Virtual Desktop les pools d’hôtes doivent désactiver l’accès au réseau public uniquement sur les hôtes de session | La désactivation de l’accès au réseau public pour vos hôtes de session de pool d’hôtes Azure Virtual Desktop, mais l’autorisation d’accès public pour les utilisateurs finaux améliore la sécurité en limitant l’exposition à l’Internet public. En savoir plus sur : Configurez Private Link avec Azure Virtual Desktop. | Audit; Nier; Handicapé | 1.0.0 |
| Azure Virtual Desktop service doit utiliser une liaison privée | L’utilisation de Azure Private Link avec vos ressources de Azure Virtual Desktop peut améliorer la sécurité et sécuriser vos données. En savoir plus sur les liens privés à l’adresse : Configurez Private Link avec Azure Virtual Desktop. | Audit; Handicapé | 1.0.0 |
| Azure Virtual Desktop espaces de travail doivent désactiver l’accès au réseau public | La désactivation de l’accès au réseau public pour votre ressource d’espace de travail Azure Virtual Desktop empêche l’accès au flux via l’Internet public. Autoriser uniquement le réseau privé access améliore la sécurité et protège vos données. En savoir plus sur : Configurez Private Link avec Azure Virtual Desktop. | Audit; Nier; Handicapé | 1.0.0 |
| Azure Web PubSub Service doit désactiver l’accès au réseau public | La désactivation de l'accès au réseau public améliore la sécurité en garantissant que Azure Web PubSub service n'est pas exposé sur l'Internet public. La création de points de terminaison privés peut limiter l’exposition de Azure Web PubSub service. En savoir plus sur : Azure Web PubSub contrôle d’accès réseau. | Audit; Nier; Handicapé | 1.0.0 |
| Azure Web PubSub Service doit utiliser une référence SKU prenant en charge une liaison privée | Avec la référence SKU prise en charge, Azure Private Link vous permet de connecter votre réseau virtuel à des services Azure sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à Azure Web PubSub service, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liens privés sur : Azure Web PubSub point de terminaison privé de service. | Audit; Nier; Handicapé | 1.0.0 |
| Azure Web PubSub Service doit utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels à Azure services sans adresse IP publique à la source ou à la destination. La plateforme de liaison privée gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à votre service Azure Web PubSub, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liens privés sur : Azure Web PubSub point de terminaison privé de service. | Audit; Handicapé | 1.0.0 |
| Bot Service doit avoir un accès réseau public désactivé | Les bots doivent être définis sur le mode « isolé uniquement ». Ce paramètre configure Bot Service canaux qui nécessitent que le trafic sur l’Internet public soit désactivé. | Audit; Nier; Handicapé | 1.0.0 |
| Les ressourcesBotService doivent utiliser private link | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à votre ressource BotService, les risques de fuite de données sont réduits. | Audit; Handicapé | 1.0.0 |
| l’environnement Container Apps doit désactiver le réseau public access | Désactivez les access de réseau public pour améliorer la sécurité en exposant l’environnement Container Apps via un load balancer interne. Cela supprime la nécessité d’une adresse IP publique et empêche internet access à toutes les applications conteneur dans l’environnement. | Audit; Nier; Handicapé | 1.1.0 |
| les registres Container doivent avoir des références SKU qui prennent en charge les liaisons privées | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme de liaison privée gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs au lieu de l’ensemble du service, les risques de fuite de données sont réduits. En savoir plus sur : Configurer un point de terminaison privé avec Private Link pour ACR. | Audit; Nier; Handicapé | 1.0.0 |
| les registres |
Azure registres de conteneurs par défaut acceptent les connexions via Internet à partir d’hôtes sur n’importe quel réseau. Pour protéger vos registres contre les menaces potentielles, autorisez access à partir de points de terminaison privés spécifiques, d’adresses IP publiques ou de plages d’adresses. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. En savoir plus sur les règles de réseau Container Registry ici : Set Up Private Endpoint with Private Link for ACR, Configure Public Registry Access in Azure and Restrict Access to Azure Container Registry Using Service Endpoints. | Audit; Nier; Handicapé | 2.0.0 |
| RegistresContainer doivent utiliser private link | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme de liaison privée gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs au lieu de l'ensemble du service, vous serez également protégé contre les risques de fuite de données. En savoir plus sur : Configurer un point de terminaison privé avec Private Link pour ACR. | Audit; Handicapé | 1.0.1 |
| les comptes CosmosDB doivent utiliser private link | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liens privés sur : Configure Azure Private Link pour un compte Azure Cosmos DB. | Audit; Handicapé | 1.0.0 |
| Ressources access Disk doivent utiliser private link | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liens privés à l’adresse : Restrict import/export access vers managed disks. | AuditIfNotExists ; Handicapé | 1.0.0 |
| ElasticSan doit désactiver le réseau public access | Désactivez le réseau public access pour votre ElasticSan afin qu'il ne soit pas accessible via l'Internet public. Cela peut réduire les risques de fuite de données. | Audit; Nier; Handicapé | 1.0.0 |
| les espaces de noms Event Hub doivent désactiver le réseau public access | Azure Event Hub doit avoir un accès réseau public désactivé. La désactivation du réseau public access améliore la sécurité en s'assurant que la ressource n'est pas exposée sur l'Internet public. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. En savoir plus sur : Allow access to Azure Event Hubs namespaces via des points de terminaison privés | Audit; Nier; Handicapé | 1.0.0 |
| les espaces de noms Event Hub doivent utiliser private link | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. En savoir plus sur : Allow access to Azure Event Hubs namespaces via des points de terminaison privés. | AuditIfNotExists ; Handicapé | 1.0.0 |
| Les emplacements d’applicationFunction doivent désactiver le réseau public access | La désactivation du réseau public access améliore la sécurité en garantissant que l’application de fonction n’est pas exposée sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de l’application de fonction. En savoir plus sur : Utiliser des points de terminaison privés pour les applications. | Audit; Handicapé; Nier | 1.1.0 |
| les applications Function doivent désactiver le réseau public access | La désactivation du réseau public access améliore la sécurité en garantissant que l’application de fonction n’est pas exposée sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de l’application de fonction. En savoir plus sur : Utiliser des points de terminaison privés pour les applications. | Audit; Handicapé; Nier | 1.1.0 |
| IoT Central doit utiliser private link | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme de liaison privée gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à votre application IoT Central au lieu de l’ensemble du service, vous réduireez les risques de fuite de données. En savoir plus sur les liaisons privées sur : sécurité réseau à l’aide de points de terminaison privés dans IoT Central. | Audit; Nier; Handicapé | 1.0.0 |
| IoT Hub instances de service d’approvisionnement d’appareils doivent désactiver l’accès au réseau public | La désactivation de l'accès au réseau public améliore la sécurité en garantissant que IoT Hub instance de service d'approvisionnement d'appareils n'est pas exposée sur l'Internet public. La création de points de terminaison privés peut limiter l’exposition des instances d’approvisionnement d’appareils IoT Hub. Pour en savoir plus, consultez : connexions Virtual network pour DPS. | Audit; Nier; Handicapé | 1.0.0 |
| IoT Hub instances de service d’approvisionnement d’appareils doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés au service d’approvisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liens privés à l’adresse : connexions Virtual network pour DPS. | Audit; Handicapé | 1.0.0 |
| Log Analytics espaces de travail doivent bloquer l’ingestion et l’interrogation des journaux à partir de réseaux publics | Améliorez la sécurité des espaces de travail en bloquant l’ingestion et l’interrogation de journaux à partir de réseaux publics. Seuls les réseaux connectés avec une liaison privée peuvent ingérer et interroger les journaux de cet espace de travail. En savoir plus sur Utilisez Azure Private Link pour connecter des réseaux à Azure Monitor. | audit; Audit; nier; Nier; handicapé; Handicapé | 1.1.0 |
| Managed disks doit désactiver le réseau public access | La désactivation du réseau public access améliore la sécurité en s'assurant qu'un disque managé n'est pas exposé sur l'Internet public. La création de points de terminaison privés peut limiter l’exposition de managed disks. En savoir plus sur : Restrict import/export access vers managed disks. | Audit; Nier; Handicapé | 2.1.0 |
| Connexions de point de terminaisonPrivate sur Azure SQL Database doivent être activées | Les connexions de point de terminaison privé appliquent une communication sécurisée en activant la connectivité privée à Azure SQL Database. | Audit; Handicapé | 1.1.0 |
| Point de terminaisonPrivate doit être activé pour les serveurs MySQL | Les connexions de point de terminaison privé appliquent une communication sécurisée en activant la connectivité privée aux Azure Database pour MySQL. Configurez une connexion de point de terminaison privé pour activer l’accès au trafic provenant uniquement des réseaux connus et empêcher l’accès à toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists ; Handicapé | 1.0.2 |
| Point de terminaisonPrivate doit être activé pour les serveurs PostgreSQL | Les connexions de point de terminaison privé appliquent une communication sécurisée en activant la connectivité privée à Azure Database pour PostgreSQL. Configurez une connexion de point de terminaison privé pour activer l’accès au trafic provenant uniquement des réseaux connus et empêcher l’accès à toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists ; Handicapé | 1.0.2 |
| Un accès réseau public pour Azure Device Update pour les comptes IoT Hub doit être désactivé | La désactivation de la propriété d’accès au réseau public améliore la sécurité en veillant à ce que votre mise à jour d’appareil Azure pour les comptes IoT Hub ne soit accessible qu’à partir d’un point de terminaison privé. | Audit; Nier; Handicapé | 1.0.0 |
| Un accès réseau public sur Azure Data Explorer doit être désactivé | La désactivation de la propriété d’accès au réseau public améliore la sécurité en garantissant que les Azure Data Explorer sont accessibles uniquement à partir d’un point de terminaison privé. Cette configuration refuse toutes les connexions qui correspondent à l’adresse IP ou aux règles de pare-feu basées sur virtual network. | Audit; Nier; Handicapé | 1.0.0 |
| Un accès réseau public sur Azure Data Factory doit être désactivé | La désactivation de la propriété d’accès au réseau public améliore la sécurité en garantissant que votre Azure Data Factory est accessible uniquement à partir d’un point de terminaison privé. | Audit; Nier; Handicapé | 1.0.0 |
| Un accès réseau public sur Azure IoT Hub doit être désactivé | La désactivation de la propriété d’accès au réseau public améliore la sécurité en garantissant que votre Azure IoT Hub est accessible uniquement à partir d’un point de terminaison privé. | Audit; Nier; Handicapé | 1.0.0 |
| Un accès réseau public sur Azure SQL Database doit être désactivé | La désactivation de la propriété d’accès au réseau public améliore la sécurité en garantissant que votre Azure SQL Database est accessible uniquement à partir d’un point de terminaison privé. Cette configuration refuse toutes les connexions qui correspondent à l’adresse IP ou aux règles de pare-feu basées sur virtual network. | Audit; Nier; Handicapé | 1.1.0 |
| Un accès réseau public doit être désactivé pour Azure File Sync | La désactivation du point de terminaison public vous permet de restreindre access à votre ressource de service de synchronisation Storage aux demandes destinées aux points de terminaison privés approuvés sur le réseau de votre organisation. Il n’y a pas de problème de sécurité inhérent à l’autorisation des requêtes au point de terminaison public. Toutefois, vous souhaiterez peut-être la désactiver pour répondre aux exigences réglementaires, légales ou de stratégie organisationnelle. Vous pouvez désactiver le point de terminaison public d’un service de synchronisation Storage en définissant l’objet IncomingTrafficPolicy de la ressource sur AllowVirtualNetworksOnly. | Audit; Nier; Handicapé | 1.0.0 |
| Un access réseau public doit être désactivé pour les comptes Batch | La désactivation des access de réseau public sur un compte Batch améliore la sécurité en veillant à ce que votre compte Batch soit accessible uniquement à partir d’un point de terminaison privé. En savoir plus sur la désactivation de l’accès au réseau public à Utilisez des points de terminaison privés avec des comptes Azure Batch. | Audit; Nier; Handicapé | 1.0.0 |
| Un access réseau public doit être désactivé pour les registres de conteneurs | La désactivation du réseau public access améliore la sécurité en s’assurant que les registres de conteneurs ne sont pas exposés sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition des ressources du registre de conteneurs. En savoir plus sur : Configurer l’accès au Registre public dans Azure et Set Up Private Endpoint avec Private Link pour ACR. | Audit; Nier; Handicapé | 1.0.0 |
| Un access réseau public doit être désactivé pour IoT Central | Pour améliorer la sécurité d’IoT Central, assurez-vous qu’elle n’est pas exposée à l’Internet public et qu’elle est accessible uniquement à partir d’un point de terminaison privé. Désactivez la propriété d’accès au réseau public, comme décrit dans Créer un point de terminaison privé pour Azure IoT Central. Cette option désactive l’accès à partir de n’importe quel espace d’adressage public en dehors de la plage d’adresses IP Azure et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur ip ou sur un réseau virtuel. Cette configuration réduit les risques de fuite de données. | Audit; Nier; Handicapé | 1.0.0 |
| Un access réseau public doit être désactivé pour les serveurs flexibles MySQL | La désactivation de la propriété d’accès au réseau public améliore la sécurité en veillant à ce que vos serveurs flexibles Azure Database pour MySQL soient accessibles uniquement à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de n’importe quel espace d’adressage public en dehors de Azure plage d’adresses IP et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit; Nier; Handicapé | 2.3.0 |
| Un access réseau public doit être désactivé pour les serveurs MySQL | Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et assurez-vous que votre Azure Database pour MySQL est accessible uniquement à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de n’importe quel espace d’adressage public en dehors de Azure plage d’adresses IP et refuse toutes les connexions qui correspondent aux règles de pare-feu ip ou de pare-feu basées sur un réseau virtuel. | Audit; Nier; Handicapé | 2.0.0 |
| Un access réseau public doit être désactivé pour les serveurs flexibles PostgreSQL | La désactivation de la propriété d’accès au réseau public améliore la sécurité en garantissant que vos serveurs flexibles Azure Database pour PostgreSQL sont accessibles uniquement à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de n’importe quel espace d’adressage public en dehors de Azure plage d’adresses IP et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur IP. | Audit; Nier; Handicapé | 3.1.0 |
| Un access réseau public doit être désactivé pour les serveurs PostgreSQL | Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et assurez-vous que votre Azure Database pour PostgreSQL est accessible uniquement à partir d’un point de terminaison privé. Cette configuration désactive l’accès à partir de n’importe quel espace d’adressage public en dehors de Azure plage d’adresses IP et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit; Nier; Handicapé | 2.0.1 |
| Service Bus Espaces de noms doivent désactiver l’accès au réseau public | Azure Service Bus devez avoir un accès réseau public désactivé. La désactivation du réseau public access améliore la sécurité en s'assurant que la ressource n'est pas exposée sur l'Internet public. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. En savoir plus sur : Allow access to Azure Service Bus namespaces via des points de terminaison privés | Audit; Nier; Handicapé | 1.1.0 |
| Storage compte public access doit être interdit | L’accès en lecture publique anonyme aux conteneurs et aux objets blob dans stockage Azure est un moyen pratique de partager des données, mais peut présenter des risques de sécurité. Pour éviter les violations de données provoquées par l’accès anonyme non souhaité, Microsoft recommande d’empêcher l’accès public à un compte de stockage, sauf si votre scénario l’exige. | audit; Audit; nier; Nier; handicapé; Handicapé | 3.1.1 |
| les comptes Storage doivent désactiver le réseau public access | Pour améliorer la sécurité des comptes Storage, assurez-vous qu'ils ne sont pas exposés à l'Internet public et qu'ils ne sont accessibles qu'à partir d'un point de terminaison privé. Désactivez la propriété access de réseau public, comme décrit dans Storage compte réseau public access. Cette option désactive l’accès à partir de n’importe quel espace d’adressage public en dehors de la plage d’adresses IP Azure et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur ip ou sur un réseau virtuel. Cette configuration réduit les risques de fuite de données. | Audit; Nier; Handicapé | 1.0.1 |
| Les access réseau pour storage comptes doivent être limités. Configurez des règles de réseau afin que seules les applications provenant de réseaux autorisés puissent access le compte storage. Pour autoriser les connexions à partir de clients Internet ou locaux spécifiques, l’accès peut être accordé au trafic à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques | Audit; Nier; Handicapé | 1.1.1 | |
| Storage comptes doivent restreindre les access réseau à l’aide de règles de virtual network | Protégez vos comptes storage contre les menaces potentielles à l’aide de règles de virtual network comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les adresses IP publiques d’accéder à vos comptes storage. | Audit; Nier; Handicapé | 1.0.1 |
| Storage comptes doivent restreindre les access réseau à l’aide de règles de virtual network (à l’exception des comptes storage créés par Databricks) | Protégez vos comptes storage contre les menaces potentielles à l’aide de règles de virtual network comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les adresses IP publiques d’accéder à vos comptes storage. | Audit; Nier; Handicapé | 1.0.0 |
| Storage comptes doivent utiliser private link | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à votre compte storage, les risques de fuite de données sont réduits. En savoir plus sur les liens privés à - Qu’est-ce que Azure Private Link ? | AuditIfNotExists ; Handicapé | 2.0.0 |
| Storage comptes doivent utiliser private link (à l’exception des comptes storage créés par Databricks) | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à votre compte storage, les risques de fuite de données sont réduits. En savoir plus sur les liens privés à - Qu’est-ce que Azure Private Link ? | AuditIfNotExists ; Handicapé | 1.0.0 |
| VM Image Builder doivent utiliser private link | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à vos ressources de création VM Image Builder, les risques de fuite de données sont réduits. En savoir plus sur les liens privés à l’adresse : Azure options de mise en réseau vm Image Builder - Déployer à l’aide d’un réseau virtuel existant. | Audit; Handicapé; Nier | 1.1.0 |
| [préversion] : Azure Key Vault HSM managé doit désactiver l’accès au réseau public | Désactivez l'accès au réseau public pour votre HSM managé Azure Key Vault afin qu'il ne soit pas accessible via l'Internet public. Cela peut réduire les risques de fuite de données. En savoir plus sur : Allow trusted services to access Managed HSM. | Audit; Nier; Handicapé | 1.0.0-preview |
| [préversion] : Azure Key Vault HSM managé doit utiliser une liaison privée | La liaison privée permet de connecter Azure Key Vault HSM managé à vos ressources Azure sans envoyer de trafic via l’Internet public. Private link offre une défense en profondeur contre l’exfiltration des données. En savoir plus sur : Integrate Managed HSM avec Azure Private Link | Audit; Handicapé | 1.0.0-preview |
| [préversion] : Azure coffres Recovery Services doivent utiliser une liaison privée pour la sauvegarde | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à Azure coffres Recovery Services, les risques de fuite de données sont réduits. En savoir plus sur les liens privés à l’adresse : Create et utiliser des points de terminaison privés pour Sauvegarde Azure. | Audit; Handicapé | 2.0.0-preview |
| [préversion] : les coffres Recovery Services doivent utiliser private link | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à Azure coffres Recovery Services, les risques de fuite de données sont réduits. En savoir plus sur les liens privés pour les Azure Site Recovery à l’adresse suivante : Réplication pour les machines locales avec des points de terminaison privés et Réplication pour les points de terminaison privés dans Azure Site Recovery. | Audit; Handicapé | 1.0.0-preview |
NS-3 : Déployer le pare-feu à la périphérie du réseau d’entreprise
Pour plus d’informations, consultez Sécurité réseau : NS-3 : Déployer un pare-feu à la périphérie du réseau d’entreprise.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| IP Forwarding sur votre machine virtuelle doit être désactivé | L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. | AuditIfNotExists ; Handicapé | 3.0.0 |
| Les ports de gestion de virtual machines doivent être protégés par le réseau juste-à-temps access control | L’accès possible au réseau juste-à-temps (JIT) sera surveillé par Azure Security Center en tant que recommandations | AuditIfNotExists ; Handicapé | 3.0.0 |
| Les ports de gestion doivent être fermés sur votre virtual machines | Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent de forcer brutement les informations d’identification pour obtenir des access d’administrateur sur l’ordinateur. | AuditIfNotExists ; Handicapé | 3.0.0 |
| Azure Security Center a identifié que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protéger vos sous-réseaux contre les menaces potentielles en limitant l’accès à ceux-ci avec Pare-feu Azure ou un pare-feu de nouvelle génération pris en charge | AuditIfNotExists ; Handicapé | 3.0.0-preview |
NS-5 : Déployer la protection DDOS
Pour plus d’informations, consultez Sécurité réseau : NS-5 : Déployer la protection DDOS.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| Azure protection DDoS doit être activée | La protection DDoS doit être activée pour tous les réseaux virtuels avec un sous-réseau qui fait partie d’un application gateway avec une adresse IP publique. | AuditIfNotExists ; Handicapé | 3.0.1 |
| Les réseaux virtuels doivent être protégés par Azure protection DDoS | Protégez vos réseaux virtuels contre les attaques volumétriques et de protocole avec Azure protection DDoS. Pour plus d’informations, consultez Azure Vue d’ensemble de la protection DDoS. | Modifier; Audit; Handicapé | 1.0.1 |
NS-6 : Déployer web application firewall
Pour plus d’informations, consultez Network Security : NS-6 : Deploy web application firewall.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| Azure Web Application Firewall doit être activé pour Azure Front Door points d’entrée | Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour une inspection supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les attaques et vulnérabilités courantes telles que les injections SQL, les scripts intersites, les exécutions de fichiers locaux et distants. Vous pouvez également restreindre access à vos applications web par pays/régions, plages d’adresses IP et autres paramètres http(s) via des règles personnalisées. | Audit; Nier; Handicapé | 1.0.2 |
| Web Application Firewall (WAF) doit être activé pour Application Gateway | Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour une inspection supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les attaques et vulnérabilités courantes telles que les injections SQL, les scripts intersites, les exécutions de fichiers locaux et distants. Vous pouvez également restreindre access à vos applications web par pays/régions, plages d’adresses IP et autres paramètres http(s) via des règles personnalisées. | Audit; Nier; Handicapé | 2.0.0 |
NS-8 : Détecter et désactiver les services et protocoles non sécurisés
Pour plus d’informations, consultez Sécurité réseau : NS-8 : Détecter et désactiver les services et protocoles non sécurisés.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| App Service applications doivent utiliser la dernière version tls | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Effectuez une mise à niveau vers la dernière version de TLS pour App Service applications afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou de nouvelles fonctionnalités de la dernière version. | AuditIfNotExists ; Handicapé | 2.2.0 |
| les applications Function doivent utiliser la dernière version tls | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists ; Handicapé | 2.3.0 |
PA-1 : Séparer et limiter les utilisateurs hautement privilégiés/administratifs
Pour plus d’informations, consultez Privileged Access : PA-1 : Utilisateurs hautement privilégiés/administratifs.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| A maximum de 3 propriétaires doivent être désignés pour votre abonnement | Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. | AuditIfNotExists ; Handicapé | 3.0.0 |
| Comptes bloqués disposant d’autorisations de propriétaire sur Azure ressources doivent être supprimés | Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists ; Handicapé | 1.0.0 |
| les comptes Guest disposant d’autorisations de propriétaire sur Azure ressources doivent être supprimés | Les comptes externes disposant d’autorisations de propriétaire doivent être supprimés de votre abonnement pour empêcher les access non supervisés. | AuditIfNotExists ; Handicapé | 1.0.0 |
| There doit être plusieurs propriétaires affectés à votre abonnement | Il est recommandé de désigner plusieurs propriétaires d’abonnement pour que l’administrateur access redondance. | AuditIfNotExists ; Handicapé | 3.0.0 |
PA-2 : Éviter les access permanentes pour les comptes d’utilisateur et les autorisations
Pour plus d’informations, consultez privileged Access : PA-2 : Éviter les access permanentes pour les comptes d’utilisateur et les autorisations.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| Les ports de gestion de virtual machines doivent être protégés par le réseau juste-à-temps access control | L’accès possible au réseau juste-à-temps (JIT) sera surveillé par Azure Security Center en tant que recommandations | AuditIfNotExists ; Handicapé | 3.0.0 |
PA-4 : Examiner et rapprocher régulièrement les access utilisateur
Pour plus d’informations, consultez Privileged Access : PA-4 : Passer en revue et rapprocher régulièrement les access utilisateur.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| Comptes bloqués disposant d’autorisations de propriétaire sur Azure ressources doivent être supprimés | Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists ; Handicapé | 1.0.0 |
| Les comptes bloqués disposant d’autorisations de lecture et d’écriture sur Azure ressources doivent être supprimés | Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists ; Handicapé | 1.0.0 |
| les comptes Guest disposant d’autorisations de propriétaire sur Azure ressources doivent être supprimés | Les comptes externes disposant d’autorisations de propriétaire doivent être supprimés de votre abonnement pour empêcher les access non supervisés. | AuditIfNotExists ; Handicapé | 1.0.0 |
| Comptesguest disposant d’autorisations de lecture sur Azure ressources doivent être supprimés | Les comptes externes disposant de privilèges de lecture doivent être supprimés de votre abonnement pour empêcher les access non surveillés. | AuditIfNotExists ; Handicapé | 1.0.0 |
| les comptes Guest disposant d’autorisations d’écriture sur Azure ressources doivent être supprimés | Les comptes externes disposant de privilèges d’écriture doivent être supprimés de votre abonnement afin d’empêcher les access non supervisés. | AuditIfNotExists ; Handicapé | 1.0.0 |
PA-7 : Suivez le principe d’administration suffisante (privilège minimum)
Pour plus d’informations, consultez Access privilégié : PA-7 : Suivez le principe d’administration (privilège minimum) suffisant.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| API Management les abonnements ne doivent pas être limités à toutes les API | API Management abonnements doivent être étendus à un produit ou à une API individuelle au lieu de toutes les API, ce qui peut entraîner une exposition excessive des données. | Audit; Handicapé; Nier | 1.1.0 |
| Audit utilisation des rôles RBAC personnalisés | Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces | Audit; Handicapé | 1.0.1 |
| Azure Key Vault devez utiliser le modèle d’autorisation RBAC | Activez le modèle d’autorisation RBAC sur les coffres de clés. En savoir plus sur : Migrate de la stratégie d’accès du coffre à un modèle d’autorisation de contrôle d’accès en fonction du rôle Azure | Audit; Nier; Handicapé | 1.0.1 |
| Role-Based Access Control (RBAC) doit être utilisé sur Kubernetes Services | Pour fournir un filtrage granulaire sur les actions que les utilisateurs peuvent effectuer, utilisez Role-Based Access Control (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurer des stratégies d’autorisation pertinentes. | Audit; Handicapé | 1.1.0 |
PV-2 : auditer et appliquer les configurations sécurisées
Pour plus d’informations, consultez Posture et Gestion des vulnérabilités : PV-2 : Auditer et appliquer des configurations sécurisées.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| API Management point de terminaison de gestion directe ne doit pas être activé | L’API REST de gestion directe dans Gestion des API Azure contourne Azure Resource Manager mécanismes de contrôle d’accès, d’autorisation et de limitation en fonction du rôle, ce qui augmente la vulnérabilité de votre service. | Audit; Handicapé; Nier | 1.0.2 |
| App Service les applications doivent avoir des certificats clients (certificats clients entrants) activés | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. | AuditIfNotExists ; Handicapé | 1.0.0 |
| les applications App Service doivent avoir désactivé le débogage à distance | Le débogage à distance nécessite l’ouverture de ports entrants sur une application App Service. Le débogage à distance doit être désactivé. | AuditIfNotExists ; Handicapé | 2.0.0 |
| App Service applications ne doivent pas avoir cors configuré pour autoriser chaque ressource à access vos applications | Le partage de ressources inter-origines (CORS) ne doit pas autoriser tous les domaines à access votre application. Autorisez uniquement les domaines requis à interagir avec votre application. | AuditIfNotExists ; Handicapé | 2.0.0 |
| Gestion des API Azure version de plateforme doit être stv2 | Gestion des API Azure version de la plateforme de calcul stv1 sera mise hors service le 31 août 2024, et ces instances doivent être migrées vers la plateforme de calcul stv2 pour une prise en charge continue. En savoir plus sur la mise hors service API Management stv1 - Cloud global Azure (août 2024) | Audit; Nier; Handicapé | 1.0.0 |
| Azure Arc clusters Kubernetes activés doivent avoir installé l’extension Azure Policy | L’extension Azure Policy pour Azure Arc fournit des mises en œuvre et des protections à grande échelle sur vos clusters Kubernetes avec Arc de manière centralisée et cohérente. En savoir plus sur Understand Azure Policy pour les clusters Kubernetes. | AuditIfNotExists ; Handicapé | 1.1.0 |
| Azure Machine Learning instances de calcul doivent être recréées pour obtenir les dernières mises à jour logicielles | Vérifiez que Azure Machine Learning instances de calcul s’exécutent sur le système d’exploitation disponible le plus récent. La sécurité est renforcée et les vulnérabilités sont réduites si l’exécution se fait avec les derniers correctifs de sécurité. Pour plus d’informations, consultez gestion des vulnérabilités. | n/a | 1.0.3 |
| Azure Policy module complémentaire pour Kubernetes Service (AKS) doit être installé et activé sur vos clusters | Azure Policy module complémentaire pour Kubernetes Service (AKS) étend Gatekeeper v3, un webhook de contrôleur d’admission pour Open Policy Agent (OPA), pour appliquer des mises en œuvre à grande échelle et des protections sur vos clusters de manière centralisée et cohérente. | Audit; Handicapé | 1.0.2 |
| Les applicationsfunction doivent avoir activé les certificats clients (certificats clients entrants) | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. | AuditIfNotExists ; Handicapé | 1.1.0 |
| les applications Function doivent désactiver le débogage à distance | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | AuditIfNotExists ; Handicapé | 2.1.0 |
| Les applications de fonction ne doivent pas avoir cors configurées pour permettre à chaque ressource de access vos applications | Le partage de ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à access votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. | AuditIfNotExists ; Handicapé | 2.1.0 |
| Kubernetes conteneurs de cluster processeur et limites de ressources de mémoire ne doivent pas dépasser les limites spécifiées | Appliquez des limites de ressources processeur et de mémoire au conteneur pour empêcher les attaques d’épuisement des ressources dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez Understand Azure Policy pour les clusters Kubernetes. | audit; Audit; nier; Nier; handicapé; Handicapé | 9.3.0 |
| Conteneurs de clusterKubernetes ne doivent pas partager d’espaces de noms hôtes | Empêchez les conteneurs de pods de partager l’espace de noms d’ID de processus hôte, l’espace de noms IPC hôte et l’espace de noms du réseau hôte dans un cluster Kubernetes. Cette recommandation s’aligne sur les normes de sécurité des pods Kubernetes pour les espaces de noms d’hôte et fait partie de CIS 5.2.1, 5.2.2 et 5.2.3 qui sont destinées à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez Understand Azure Policy pour les clusters Kubernetes. | Audit; Nier; Handicapé | 6.0.0 |
| Conteneurs de clusterKubernetes ne doivent utiliser que les profils AppArmor autorisés | Les conteneurs de clusters Kubernetes doivent utiliser uniquement des profils AppArmor autorisés. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez Understand Azure Policy pour les clusters Kubernetes. | audit; Audit; nier; Nier; handicapé; Handicapé | 6.2.1 |
| Conteneurs de clusterKubernetes ne doivent utiliser que les fonctionnalités autorisées | Limitez les fonctionnalités permettant de réduire la surface d’attaque des conteneurs dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.8 et du CIS 5.2.9, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez Understand Azure Policy pour les clusters Kubernetes. | audit; Audit; nier; Nier; handicapé; Handicapé | 6.2.0 |
| Conteneurs de clusterKubernetes ne doivent utiliser que des images autorisées | Utilisez des images provenant de registres approuvés pour réduire le risque d’exposition du cluster Kubernetes aux vulnérabilités inconnues, aux problèmes de sécurité et aux images malveillantes. Pour plus d’informations, consultez Understand Azure Policy pour les clusters Kubernetes. | audit; Audit; nier; Nier; handicapé; Handicapé | 9.3.0 |
| Conteneurs de clusterKubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule | Exécutez des conteneurs avec un système de fichiers racine en lecture seule pour le protéger contre les modifications au moment de l’exécution avec des fichiers binaires malveillants ajoutés au chemin d’accès dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez Understand Azure Policy pour les clusters Kubernetes. | audit; Audit; nier; Nier; handicapé; Handicapé | 6.3.0 |
| Les volumes hostPath de pod de clusterKubernetes ne doivent utiliser que les chemins d’accès d’hôte autorisés | Limitez les montages de volume HostPath sur le pod aux chemins d’accès hôtes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et Azure Arc Kubernetes activé. Pour plus d’informations, consultez Understand Azure Policy pour les clusters Kubernetes. | audit; Audit; nier; Nier; handicapé; Handicapé | 6.3.0 |
| Kubernetes pods et conteneurs de cluster ne doivent s’exécuter qu’avec des ID d’utilisateur et de groupe approuvés | Contrôle les ID d’utilisateur, de groupe principal, de groupe supplémentaire et de groupe de systèmes de fichiers que les pods et les conteneurs peuvent utiliser pour s’exécuter dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez Understand Azure Policy pour les clusters Kubernetes. | audit; Audit; nier; Nier; handicapé; Handicapé | 6.2.0 |
| Pods de clusterKubernetes ne doivent utiliser que le réseau hôte approuvé et la liste des ports | Limitez les access pod au réseau hôte et aux ports hôtes autorisés dans un cluster Kubernetes. Cette recommandation fait partie de CIS 5.2.4, qui vise à améliorer la sécurité de vos environnements Kubernetes et s’aligne sur les normes de sécurité des pods (PSS) pour hostPorts. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez Understand Azure Policy pour les clusters Kubernetes. | Audit; Nier; Handicapé | 7.0.0 |
| Kubernetes cluster services doivent écouter uniquement sur les ports autorisés | Restreindre les services à écouter uniquement sur les ports autorisés pour sécuriser access au cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez Understand Azure Policy pour les clusters Kubernetes. | audit; Audit; nier; Nier; handicapé; Handicapé | 8.2.0 |
| ClusterKubernetes ne doit pas autoriser les conteneurs privilégiés | Ne pas autoriser pas la création de conteneurs privilégiés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.1, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez Understand Azure Policy pour les clusters Kubernetes. | audit; Audit; nier; Nier; handicapé; Handicapé | 9.2.0 |
| ClustersKubernetes doivent désactiver le montage automatique des informations d’identification de l’API | Désactivez le montage automatique des informations d’identification d’API pour empêcher une ressource Pod potentiellement compromise d’exécuter des commandes d’API sur des clusters Kubernetes. Pour plus d’informations, consultez Understand Azure Policy pour les clusters Kubernetes. | audit; Audit; nier; Nier; handicapé; Handicapé | 4.2.0 |
| ClustersKubernetes ne doivent pas autoriser l’escalade des privilèges de conteneur | N’autorisez pas les conteneurs à s’exécuter avec une élévation des privilèges vers la racine dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.5, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez Understand Azure Policy pour les clusters Kubernetes. | Audit; Nier; Handicapé | 8.0.0 |
| ClustersKubernetes ne doivent pas accorder de fonctionnalités de sécurité CAP_SYS_ADMIN | Pour réduire la surface d’attaque de vos conteneurs, limitez CAP_SYS_ADMIN fonctionnalités Linux. Pour plus d’informations, consultez Understand Azure Policy pour les clusters Kubernetes. | audit; Audit; nier; Nier; handicapé; Handicapé | 5.1.0 |
| ClustersKubernetes ne doivent pas utiliser l’espace de noms par défaut | Empêchez l’utilisation de l’espace de noms par défaut dans les clusters Kubernetes pour vous protéger contre les access non autorisés pour les types de ressources ConfigMap, Pod, Secret, Service et ServiceAccount. Pour plus d’informations, consultez Understand Azure Policy pour les clusters Kubernetes. | audit; Audit; nier; Nier; handicapé; Handicapé | 4.2.0 |
PV-4 : Auditer et appliquer des configurations sécurisées pour les ressources de calcul
Pour plus d’informations, consultez Posture et Gestion des vulnérabilités : PV-4 : Auditer et appliquer des configurations sécurisées pour les ressources de calcul.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| l’extension Guest Configuration doit être installée sur vos machines | Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois installées, les stratégies in-guest sont disponibles, telles que « Windows Exploit Guard doit être activée ». En savoir plus sur Understand Azure Machine Configuration. | AuditIfNotExists ; Handicapé | 1.0.3 |
| Les machineslinux doivent répondre aux exigences de la base de référence de sécurité de calcul Azure | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez Understand Azure Machine Configuration. Les machines ne sont pas conformes si la machine n’est pas configurée correctement pour l’une des recommandations de la base de référence de sécurité de calcul Azure. | AuditIfNotExists ; Handicapé | 2.3.0 |
| Virtual machines'extension Guest Configuration doit être déployée avec l'identité managée affectée par le système | L’extension Guest Configuration requiert une identité managée affectée par le système. Azure machines virtuelles dans l’étendue de cette stratégie ne sont pas conformes quand l’extension Guest Configuration est installée, mais qu’elles n’ont pas d’identité managée affectée par le système. En savoir plus sur Understand Azure Machine Configuration | AuditIfNotExists ; Handicapé | 1.0.1 |
| Windows machines doivent répondre aux exigences de la base de référence de sécurité de calcul Azure | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez Understand Azure Machine Configuration. Les machines ne sont pas conformes si la machine n’est pas configurée correctement pour l’une des recommandations de la base de référence de sécurité de calcul Azure. | AuditIfNotExists ; Handicapé | 2.1.0 |
| [préversion] : Azure Stack serveurs HCI doivent avoir des stratégies de contrôle d’application appliquées de manière cohérente | Au minimum, appliquez la stratégie de base WDAC Microsoft en mode appliqué sur tous les serveurs HCI Azure Stack. Les stratégies WDAC (Application Control) appliquées Windows Defender doivent être cohérentes entre les serveurs du même cluster. | Audit; Handicapé; AuditIfNotExists | 1.0.0-preview |
| [préversion] : Azure Stack serveurs HCI doivent répondre aux exigences de base sécurisée | Vérifiez que tous les serveurs HCI Azure Stack répondent aux exigences de base sécurisée. Pour activer la configuration requise pour le serveur principal sécurisé : 1. Dans la page Azure Stack clusters HCI, accédez à Windows Admin Center et sélectionnez Se connecter. 2. Accédez à l’extension de sécurité et sélectionnez Secured-core. 3. Sélectionnez un paramètre qui n’est pas activé, puis cliquez sur Activer. | Audit; Handicapé; AuditIfNotExists | 1.0.0-preview |
| Installez l’extension Attestation invité sur les machines virtuelles Linux prises en charge pour permettre à Azure Security Center d’attester et de surveiller de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique au lancement approuvé et aux virtual machines Linux confidentiels. | AuditIfNotExists ; Handicapé | 6.0.0-preview | |
| [préversion] : l’extension Attestation invité doit être installée sur les groupes identiques Linux virtual machines pris en charge | Installez l’extension Attestation invité sur les groupes de machines virtuelles linux identiques pris en charge pour permettre à Azure Security Center d’attester et de surveiller de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique au lancement approuvé et aux virtual machine scale sets Linux confidentiels. | AuditIfNotExists ; Handicapé | 5.1.0-preview |
| [préversion] : l’extension Attestation invité doit être installée sur les machines virtuelles Windows prises en charge | Installez l’extension Attestation invité sur les machines virtuelles prises en charge pour permettre à Azure Security Center d’attester et de surveiller de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique au lancement approuvé et aux machines virtuelles confidentielles Windows. | AuditIfNotExists ; Handicapé | 4.0.0-preview |
| [préversion] : l’extension Attestation invité doit être installée sur les groupes de machines virtuelles identiques pris en charge Windows | Installez l’extension Guest Attestation sur les groupes de machines virtuelles identiques pris en charge pour permettre à Azure Security Center d’attester et de surveiller de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique au lancement approuvé et aux groupes de machines virtuelles identiques Windows confidentiels. | AuditIfNotExists ; Handicapé | 3.1.0-preview |
| [préversion] : les virtual machines Linux doivent utiliser uniquement les composants de démarrage signés et approuvés | Tous les composants de démarrage du système d’exploitation (chargeur de démarrage, noyau, pilotes de noyau) doivent être signés par des éditeurs approuvés. Defender for Cloud a identifié des composants de démarrage de système d’exploitation non approuvés sur un ou plusieurs de vos ordinateurs Linux. Pour protéger vos machines contre les composants potentiellement malveillants, ajoutez-les à votre liste d’autorisation ou supprimez les composants identifiés. | AuditIfNotExists ; Handicapé | 1.0.0-preview |
| [préversion] : le démarrage sécurisé doit être activé sur les machines virtuelles Windows prises en charge | Activez le démarrage sécurisé sur les machines virtuelles prises en charge Windows pour atténuer les modifications malveillantes et non autorisées apportées à la chaîne de démarrage. Une fois le démarrage sécurisé activé, seuls les chargeurs de démarrage, noyaux et pilotes de noyau approuvés sont autorisés à s’exécuter. Cette évaluation s’applique au lancement approuvé et aux machines virtuelles confidentielles Windows. | Audit; Handicapé | 4.0.0-preview |
| Activez l’appareil TPM virtuel sur les virtual machines pris en charge pour faciliter le démarrage mesuré et d’autres fonctionnalités de sécurité du système d’exploitation qui nécessitent un module TPM. Une fois l’appareil vTPM activé, il permet d’attester l’intégrité du démarrage. Cette évaluation s’applique uniquement au lancement approuvé activé virtual machines. | Audit; Handicapé | 2.0.0-preview |
PV-5 : Effectuer des évaluations des vulnérabilités
Pour plus d’informations, consultez Posture et Gestion des vulnérabilités : PV-5 : Effectuer des évaluations des vulnérabilités.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| A solution d’évaluation des vulnérabilités doit être activée sur votre virtual machines | Audite virtual machines pour détecter s’ils exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Azure Security Center niveau tarifaire standard inclut l'analyse des vulnérabilités pour vos machines virtuelles sans frais supplémentaires. De plus, Security Center peut déployer cet outil automatiquement pour vous. | AuditIfNotExists ; Handicapé | 3.0.0 |
| Machines doit avoir des résultats secrets résolus | Audite virtual machines pour détecter s’ils contiennent des résultats secrets des solutions d’analyse de secrets sur votre virtual machines. | AuditIfNotExists ; Handicapé | 1.0.2 |
| L’évaluation de lavulnerabilité doit être activée sur SQL Managed Instance | Auditez chaque SQL Managed Instance qui n'a pas d'analyses récurrentes d'évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists ; Handicapé | 1.0.1 |
| l’évaluation de lavulnerabilité doit être activée sur vos serveurs SQL | Auditez Azure SQL serveurs qui n’ont pas correctement configuré l’évaluation des vulnérabilités. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists ; Handicapé | 3.0.0 |
PV-6 : Corriger rapidement et automatiquement les vulnérabilités
Pour plus d’informations, consultez Posture et Gestion des vulnérabilités : PV-6 : Corriger rapidement et automatiquement les vulnérabilités.
| Nom | Descriptif | Effect(s) | Version |
|---|---|---|---|
| Azure les images conteneur de Registre doivent avoir des vulnérabilités résolues (alimentées par Microsoft Defender Vulnerability Management) | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. La résolution des vulnérabilités permet d’améliorer considérablement votre posture de sécurité, garantissant ainsi que les images sont utilisées en toute sécurité avant le déploiement. | AuditIfNotExists ; Handicapé | 1.0.1 |
| Azure l’exécution d’images conteneur doit avoir des vulnérabilités résolues (alimentées par Microsoft Defender Vulnerability Management) | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation fournit une visibilité sur les images vulnérables en cours d’exécution dans vos clusters Kubernetes. La correction des vulnérabilités dans les images conteneur en cours d’exécution est essentielle pour améliorer votre posture de sécurité, ce qui réduit considérablement la surface d’attaque pour vos charges de travail conteneurisées. | AuditIfNotExists ; Handicapé | 1.0.1 |
| Machines doit être configuré pour vérifier régulièrement les mises à jour système manquantes | Pour garantir que les évaluations périodiques des mises à jour système manquantes sont déclenchées automatiquement toutes les 24 heures, la propriété AssessmentMode doit être définie sur « AutomaticByPlatform ». En savoir plus sur la propriété AssessmentMode pour Windows : Windows mode d’évaluation des correctifs, pour Linux : Mode d’évaluation des correctifslinux. | Audit; Nier; Handicapé | 3.9.0 |
| les bases de données SQL doivent avoir des résultats de vulnérabilité résolus | Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. | AuditIfNotExists ; Handicapé | 4.1.0 |
| les serveurs SQL sur les machines doivent avoir résolu les résultats des vulnérabilités | L'évaluation des vulnérabilités SQL analyse votre base de données à la recherche de vulnérabilités de sécurité et expose tout écart par rapport aux meilleures pratiques, tel que les erreurs de configuration, les autorisations excessives et les données sensibles non protégées. La résolution des vulnérabilités détectées peut améliorer considérablement la posture de sécurité de votre base de données. | AuditIfNotExists ; Handicapé | 1.0.0 |
| Les mises à jour du système doivent être installées sur vos machines (alimentées par Le Centre de mise à jour) | Des mises à jour système, critiques et de sécurité sont manquantes sur vos machines. Les mises à jour de logiciel incluent souvent des correctifs critiques pour les failles de sécurité. Ces failles sont souvent exploitées lors d’attaques de programmes malveillants. Il est donc essentiel de maintenir vos logiciels à jour. Pour installer tous les correctifs en attente et sécuriser vos machines, suivez la procédure de correction. | AuditIfNotExists ; Handicapé | 1.0.1 |
Étapes suivantes
- Consultez le benchmark de sécurité cloud Microsoft pour plus d’informations sur les détails du contrôle.
- Consultez le mappage des contrôles MCSB v2 vers CIS pour obtenir une vue consolidée des mappages CIS Controls v8.1
- Affecter des stratégies via le portail Azure
- En savoir plus sur Azure Policy