Détails de l’initiative intégrée de conformité réglementaire pour CIS Microsoft Azure Foundations Benchmark 1.1.0
L’article suivant explique en détail comment la définition de l’initiative intégrée de conformité réglementaire pour Azure Policy est mappée à des domaines de conformité et des contrôles dans CIS Microsoft Azure Foundations Benchmark 1.1.0. Pour plus d’informations sur ce standard de conformité, consultez CIS Microsoft Azure Foundations Benchmark 1.1.0. Pour comprendre la Propriété, consultez le type de stratégie et la responsabilité partagée dans le cloud.
Les mappages suivants sont relatifs aux contrôles CIS Microsoft Azure Foundations Benchmark 1.1.0. De nombreux contrôles sont mis en œuvre avec la définition d’une initiative Azure Policy. Pour examiner la définition d’initiative complète, ouvrez Stratégie dans le Portail Azure et sélectionnez la page Définitions. Recherchez et sélectionnez ensuite la définition de l’initiative intégrée de conformité réglementaire pour CIS Microsoft Azure Foundations Benchmark v1.1.0.
Important
Chaque contrôle ci-dessous est associé à une ou plusieurs définitions Azure Policy. Ces stratégies peuvent vous aider à évaluer la conformité avec le contrôle ; toutefois, il n’existe pas souvent de correspondance un-à-un ou parfaite entre un contrôle et une ou plusieurs stratégies. Ainsi, la conformité dans Azure Policy fait uniquement référence aux définitions de stratégie elles-mêmes ; cela ne garantit pas que vous êtes entièrement conforme à toutes les exigences d’un contrôle. En outre, la norme de conformité comprend des contrôles qui ne sont traités par aucune définition Azure Policy pour l’instant. Par conséquent, la conformité dans Azure Policy n’est qu’une vue partielle de l’état de conformité global. Les associations entre les domaines de conformité, les contrôles et les définitions Azure Policy pour cette norme de conformité peuvent changer au fil du temps. Pour afficher l’historique des changements, consultez l’historique des validations GitHub.
1 Gestion des identités et des accès
Vérifier que l’authentification multifacteur est activée pour tous les utilisateurs privilégiés
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.1 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Adopter des mécanismes d’authentification biométrique | CMA_0005 – Adopter des mécanismes d’authentification biométrique | Manuel, désactivé | 1.1.0 |
Vérifiez que vous avez défini le paramètre « Les utilisateurs peuvent ajouter des applications de galerie à leur volet d’accès » sur « Non »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.10 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Autoriser l’accès aux fonctions et informations de sécurité | CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité | Manuel, désactivé | 1.1.0 |
| Autoriser et gérer l’accès | CMA_0023 – Autoriser et gérer l’accès | Manuel, désactivé | 1.1.0 |
| Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
Vérifiez que vous avez défini le paramètre « Les utilisateurs peuvent inscrire des applications » sur « Non »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.11 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Autoriser l’accès aux fonctions et informations de sécurité | CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité | Manuel, désactivé | 1.1.0 |
| Autoriser et gérer l’accès | CMA_0023 – Autoriser et gérer l’accès | Manuel, désactivé | 1.1.0 |
| Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
Vérifiez que vous avez défini le paramètre « Les autorisations de l’utilisateur invité sont limitées » sur « Oui »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.12 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Autoriser l’accès aux fonctions et informations de sécurité | CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité | Manuel, désactivé | 1.1.0 |
| Autoriser et gérer l’accès | CMA_0023 – Autoriser et gérer l’accès | Manuel, désactivé | 1.1.0 |
| Concevoir un modèle de contrôle d’accès | CMA_0129 – Concevoir un modèle de contrôle d’accès | Manuel, désactivé | 1.1.0 |
| Utiliser l’accès aux privilèges minimum | CMA_0212 – Utiliser l’accès aux privilèges minimum | Manuel, désactivé | 1.1.0 |
| Appliquer l’accès logique | CMA_0245 – Appliquer l’accès logique | Manuel, désactivé | 1.1.0 |
| Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
| Exiger une approbation pour la création de compte | CMA_0431 – Exiger une approbation pour la création de compte | Manuel, désactivé | 1.1.0 |
| Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | Manuel, désactivé | 1.1.0 |
Vérifiez que vous avez défini le paramètre « Les membres peuvent inviter » sur « Non ».
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.13 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Autoriser l’accès aux fonctions et informations de sécurité | CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité | Manuel, désactivé | 1.1.0 |
| Autoriser et gérer l’accès | CMA_0023 – Autoriser et gérer l’accès | Manuel, désactivé | 1.1.0 |
| Concevoir un modèle de contrôle d’accès | CMA_0129 – Concevoir un modèle de contrôle d’accès | Manuel, désactivé | 1.1.0 |
| Utiliser l’accès aux privilèges minimum | CMA_0212 – Utiliser l’accès aux privilèges minimum | Manuel, désactivé | 1.1.0 |
| Appliquer l’accès logique | CMA_0245 – Appliquer l’accès logique | Manuel, désactivé | 1.1.0 |
| Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
| Exiger une approbation pour la création de compte | CMA_0431 – Exiger une approbation pour la création de compte | Manuel, désactivé | 1.1.0 |
| Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | Manuel, désactivé | 1.1.0 |
Vérifiez que vous avez défini le paramètre « Les invités peuvent inviter » sur « Non »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.14 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Autoriser l’accès aux fonctions et informations de sécurité | CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité | Manuel, désactivé | 1.1.0 |
| Autoriser et gérer l’accès | CMA_0023 – Autoriser et gérer l’accès | Manuel, désactivé | 1.1.0 |
| Concevoir un modèle de contrôle d’accès | CMA_0129 – Concevoir un modèle de contrôle d’accès | Manuel, désactivé | 1.1.0 |
| Utiliser l’accès aux privilèges minimum | CMA_0212 – Utiliser l’accès aux privilèges minimum | Manuel, désactivé | 1.1.0 |
| Appliquer l’accès logique | CMA_0245 – Appliquer l’accès logique | Manuel, désactivé | 1.1.0 |
| Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
| Exiger une approbation pour la création de compte | CMA_0431 – Exiger une approbation pour la création de compte | Manuel, désactivé | 1.1.0 |
| Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | Manuel, désactivé | 1.1.0 |
Vérifiez que vous avez défini le paramètre « Limiter l’accès au portail d’administration Azure AD » sur « Oui »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.15 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Autoriser l’accès aux fonctions et informations de sécurité | CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité | Manuel, désactivé | 1.1.0 |
| Autoriser et gérer l’accès | CMA_0023 – Autoriser et gérer l’accès | Manuel, désactivé | 1.1.0 |
| Appliquer l’accès logique | CMA_0245 – Appliquer l’accès logique | Manuel, désactivé | 1.1.0 |
| Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
| Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
| Exiger une approbation pour la création de compte | CMA_0431 – Exiger une approbation pour la création de compte | Manuel, désactivé | 1.1.0 |
| Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | Manuel, désactivé | 1.1.0 |
Vérifiez que vous avez défini le paramètre « Gestion de groupes en libre-service » sur « Non »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.16 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Autoriser l’accès aux fonctions et informations de sécurité | CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité | Manuel, désactivé | 1.1.0 |
| Autoriser et gérer l’accès | CMA_0023 – Autoriser et gérer l’accès | Manuel, désactivé | 1.1.0 |
| Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
| Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
Vérifiez que vous avez défini le paramètre « Les utilisateurs peuvent créer des groupes de sécurité » sur « Non »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.17 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Autoriser l’accès aux fonctions et informations de sécurité | CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité | Manuel, désactivé | 1.1.0 |
| Autoriser et gérer l’accès | CMA_0023 – Autoriser et gérer l’accès | Manuel, désactivé | 1.1.0 |
| Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
| Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
Vérifiez que vous avez défini le paramètre « Utilisateurs pouvant gérer les groupes de sécurité » sur « Aucun »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.18 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Autoriser l’accès aux fonctions et informations de sécurité | CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité | Manuel, désactivé | 1.1.0 |
| Autoriser et gérer l’accès | CMA_0023 – Autoriser et gérer l’accès | Manuel, désactivé | 1.1.0 |
| Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
| Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
Vérifiez que vous avez défini le paramètre « Les utilisateurs peuvent créer des groupes Office 365 » sur « Non »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.19 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Autoriser l’accès aux fonctions et informations de sécurité | CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité | Manuel, désactivé | 1.1.0 |
| Autoriser et gérer l’accès | CMA_0023 – Autoriser et gérer l’accès | Manuel, désactivé | 1.1.0 |
| Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
| Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
Vérifier que l’authentification multifacteur est activée pour tous les utilisateurs non privilégiés
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.2 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Adopter des mécanismes d’authentification biométrique | CMA_0005 – Adopter des mécanismes d’authentification biométrique | Manuel, désactivé | 1.1.0 |
Vérifiez que vous avez défini le paramètre « Utilisateurs pouvant gérer les groupes Office 365 » sur « Aucun »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.20 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Autoriser l’accès aux fonctions et informations de sécurité | CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité | Manuel, désactivé | 1.1.0 |
| Autoriser et gérer l’accès | CMA_0023 – Autoriser et gérer l’accès | Manuel, désactivé | 1.1.0 |
| Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
| Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
Vérifiez que vous avez défini le paramètre « Exiger Multi-factor Auth pour joindre des appareils » sur « Oui »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.22 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Adopter des mécanismes d’authentification biométrique | CMA_0005 – Adopter des mécanismes d’authentification biométrique | Manuel, désactivé | 1.1.0 |
| Autoriser l’accès à distance | CMA_0024 – Autoriser l’accès à distance | Manuel, désactivé | 1.1.0 |
| Formation sur la mobilité des documents | CMA_0191 – Formation sur la mobilité des documents | Manuel, désactivé | 1.1.0 |
| Documentation des instructions d’accès à distance | CMA_0196 – Documentation des instructions d’accès à distance | Manuel, désactivé | 1.1.0 |
| Identifier et authentifier les périphériques réseau | CMA_0296 – Identifier et authentifier les périphériques réseau | Manuel, désactivé | 1.1.0 |
| Implémenter des contrôles pour sécuriser d’autres sites de travail | CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail | Manuel, désactivé | 1.1.0 |
| Fournir une formation sur la confidentialité | CMA_0415 – Fournir une formation sur la confidentialité | Manuel, désactivé | 1.1.0 |
| Répondre aux exigences de qualité des jetons | CMA_0487 – Répondre aux exigences de qualité des jetons | Manuel, désactivé | 1.1.0 |
Vérifier qu’aucun rôle de propriétaire d’abonnement personnalisé n’est créé
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.23 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Autoriser l’accès aux fonctions et informations de sécurité | CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité | Manuel, désactivé | 1.1.0 |
| Autoriser et gérer l’accès | CMA_0023 – Autoriser et gérer l’accès | Manuel, désactivé | 1.1.0 |
| Concevoir un modèle de contrôle d’accès | CMA_0129 – Concevoir un modèle de contrôle d’accès | Manuel, désactivé | 1.1.0 |
| Utiliser l’accès aux privilèges minimum | CMA_0212 – Utiliser l’accès aux privilèges minimum | Manuel, désactivé | 1.1.0 |
| Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
| Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
Vérifier qu’il n’y a aucun utilisateur invité
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.3 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Auditer l’état du compte d’utilisateur | CMA_0020 – Auditer l’état du compte d’utilisateur | Manuel, désactivé | 1.1.0 |
| Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Réaffecter ou supprimer des privilèges utilisateur selon les besoins | CMA_C1040 – Réaffecter ou supprimer des privilèges utilisateur selon les besoins | Manuel, désactivé | 1.1.0 |
| Examiner les journaux d’approvisionnement de compte | CMA_0460 – Examiner les journaux d’approvisionnement de compte | Manuel, désactivé | 1.1.0 |
| Réviser les comptes d’utilisateur | CMA_0480 – Passer en revue les comptes d’utilisateurs | Manuel, désactivé | 1.1.0 |
| Passer en revue les privilèges utilisateur | CMA_C1039 – Vérifier les privilèges utilisateur | Manuel, désactivé | 1.1.0 |
Vérifiez que « Permettre aux utilisateurs de mémoriser l’authentification multifacteur sur des appareils de confiance »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.4 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Adopter des mécanismes d’authentification biométrique | CMA_0005 – Adopter des mécanismes d’authentification biométrique | Manuel, désactivé | 1.1.0 |
| Identifier et authentifier les périphériques réseau | CMA_0296 – Identifier et authentifier les périphériques réseau | Manuel, désactivé | 1.1.0 |
| Répondre aux exigences de qualité des jetons | CMA_0487 – Répondre aux exigences de qualité des jetons | Manuel, désactivé | 1.1.0 |
Vérifiez que vous n’avez pas défini le paramètre « Nombre de jours avant que les utilisateurs ne soient invités à reconfirmer leurs informations d’authentification » sur « 0 ».
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.6 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Automatiser la gestion des comptes | CMA_0026 – Automatiser la gestion des comptes | Manuel, désactivé | 1.1.0 |
| Gérer les comptes système et d’administration | CMA_0368 – Gérer les comptes système et d’administration | Manuel, désactivé | 1.1.0 |
| Surveiller l’accès au sein de l’organisation | CMA_0376 – Surveiller l’accès au sein de l’organisation | Manuel, désactivé | 1.1.0 |
| Avertir lorsque le compte n’est pas nécessaire | CMA_0383 – Avertir lorsque le compte n’est pas nécessaire | Manuel, désactivé | 1.1.0 |
Vérifiez que vous avez défini le paramètre « Notifier les utilisateurs lors des réinitialisations de mot de passe ? » sur « Oui »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.7 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Automatiser la gestion des comptes | CMA_0026 – Automatiser la gestion des comptes | Manuel, désactivé | 1.1.0 |
| Implémenter une formation pour la protection des authentificateurs | CMA_0329 – Implémenter une formation pour la protection des authentificateurs | Manuel, désactivé | 1.1.0 |
| Gérer les comptes système et d’administration | CMA_0368 – Gérer les comptes système et d’administration | Manuel, désactivé | 1.1.0 |
| Surveiller l’accès au sein de l’organisation | CMA_0376 – Surveiller l’accès au sein de l’organisation | Manuel, désactivé | 1.1.0 |
| Avertir lorsque le compte n’est pas nécessaire | CMA_0383 – Avertir lorsque le compte n’est pas nécessaire | Manuel, désactivé | 1.1.0 |
Vérifiez que « Notifier tous les administrateurs quand d’autres administrateurs réinitialisent leur mot de passe » sur « Oui »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.8 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Auditer les fonctions privilégiées | CMA_0019 – Auditer les fonctions privilégiées | Manuel, désactivé | 1.1.0 |
| Automatiser la gestion des comptes | CMA_0026 – Automatiser la gestion des comptes | Manuel, désactivé | 1.1.0 |
| Implémenter une formation pour la protection des authentificateurs | CMA_0329 – Implémenter une formation pour la protection des authentificateurs | Manuel, désactivé | 1.1.0 |
| Gérer les comptes système et d’administration | CMA_0368 – Gérer les comptes système et d’administration | Manuel, désactivé | 1.1.0 |
| Surveiller l’accès au sein de l’organisation | CMA_0376 – Surveiller l’accès au sein de l’organisation | Manuel, désactivé | 1.1.0 |
| Surveiller l’attribution de rôle privilégié | CMA_0378 – Surveiller l’attribution de rôle privilégié | Manuel, désactivé | 1.1.0 |
| Avertir lorsque le compte n’est pas nécessaire | CMA_0383 – Avertir lorsque le compte n’est pas nécessaire | Manuel, désactivé | 1.1.0 |
| Restreindre l’accès aux comptes privilégiés | CMA_0446 – Restreindre l’accès aux comptes privilégiés | Manuel, désactivé | 1.1.0 |
| Révoquer les rôles privilégiés selon les besoins | CMA_0483 – Révoquer les rôles privilégiés selon les besoins | Manuel, désactivé | 1.1.0 |
| Utiliser Privileged Identity Management | CMA_0533 – Utiliser la gestion des identités privilégiées | Manuel, désactivé | 1.1.0 |
Vérifiez que vous avez défini le paramètre « Les utilisateurs peuvent autoriser les applications à accéder aux données de l'entreprise en leur nom » sur « Non »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.9 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Autoriser l’accès aux fonctions et informations de sécurité | CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité | Manuel, désactivé | 1.1.0 |
| Autoriser et gérer l’accès | CMA_0023 – Autoriser et gérer l’accès | Manuel, désactivé | 1.1.0 |
| Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
2 Security Center
Vérifier que le niveau tarifaire standard est sélectionné
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 2.1 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure Defender pour Key Vault doit être activé | Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs SQL sur les machines doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Bloque les processus non approuvés et non signés qui s’exécutent par USB | CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB | Manuel, désactivé | 1.1.0 |
| Détecter les services réseau qui n’ont pas été autorisés ou approuvés | CMA_C1700 – Détecter les services réseau qui n’ont pas été autorisés ou approuvés | Manuel, désactivé | 1.1.0 |
| Gérer les passerelles | CMA_0363 – Gérer les passerelles | Manuel, désactivé | 1.1.0 |
| Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour le stockage doit être activé | Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. | AuditIfNotExists, Désactivé | 1.0.0 |
| Effectuer une analyse des tendances sur les menaces | CMA_0389 – Effectuer une analyse des tendances sur les menaces | Manuel, désactivé | 1.1.0 |
| Effectuer des analyses de vulnérabilité | CMA_0393 – Effectuer des analyses de vulnérabilité | Manuel, désactivé | 1.1.0 |
| Examiner le rapport hebdomadaire sur les détections de programmes malveillants | CMA_0475 – Examiner le rapport hebdomadaire sur les détections de programmes malveillants | Manuel, désactivé | 1.1.0 |
| Passer en revue l’état de la protection contre les menaces chaque semaine | CMA_0479 – Passer en revue l’état de la protection contre les menaces chaque semaine | Manuel, désactivé | 1.1.0 |
| Mettre à jour les définitions de l’antivirus | CMA_0517 – Mettre à jour les définitions de l’antivirus | Manuel, désactivé | 1.1.0 |
Vérifier que le paramètre de stratégie par défaut d’ASC « Superviser l’évaluation des vulnérabilités » n’est pas défini sur « Disabled »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 2.10 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. | AuditIfNotExists, Désactivé | 3.0.0 |
Vérifier que le paramètre de stratégie par défaut ASC « Surveiller le chiffrement des objets blob de stockage » n’est pas défini sur « Désactivé »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 2.11 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Établir une procédure de gestion des fuites de données | CMA_0255 – Établir une procédure de gestion des fuites de données | Manuel, désactivé | 1.1.0 |
| Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
| Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
| Protéger des informations spéciales | CMA_0409 – Protéger des informations spéciales | Manuel, désactivé | 1.1.0 |
Vérifier que le paramètre de stratégie par défaut d’ASC « Surveiller l’accès réseau JIT » n’est pas défini sur « Disabled »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 2.12 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Détecter les services réseau qui n’ont pas été autorisés ou approuvés | CMA_C1700 – Détecter les services réseau qui n’ont pas été autorisés ou approuvés | Manuel, désactivé | 1.1.0 |
| Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
Vérifier que le paramètre de stratégie par défaut ASC « Superviser l’audit SQL » n’est pas défini sur « Disabled »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 2.14 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Auditer les fonctions privilégiées | CMA_0019 – Auditer les fonctions privilégiées | Manuel, désactivé | 1.1.0 |
| Auditer l’état du compte d’utilisateur | CMA_0020 – Auditer l’état du compte d’utilisateur | Manuel, désactivé | 1.1.0 |
| L’audit sur SQL Server doit être activé | L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. | AuditIfNotExists, Désactivé | 2.0.0 |
| Déterminer les événements auditables | CMA_0137 – Déterminer les événements auditables | Manuel, désactivé | 1.1.0 |
| Vérifier les journaux d'audit | CMA_0466 – Examiner les données d’audit | Manuel, désactivé | 1.1.0 |
Vérifier que le paramètre de stratégie par défaut d’ASC « Surveiller le chiffrement SQL » n’est pas défini sur « Disabled »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 2.15 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Établir une procédure de gestion des fuites de données | CMA_0255 – Établir une procédure de gestion des fuites de données | Manuel, désactivé | 1.1.0 |
| Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
| Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
| Protéger des informations spéciales | CMA_0409 – Protéger des informations spéciales | Manuel, désactivé | 1.1.0 |
| Transparent Data Encryption sur les bases de données SQL doit être activé | Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises | AuditIfNotExists, Désactivé | 2.0.0 |
Vérifier que l’option « E-mails de contact de sécurité » est définie
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 2.16 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
Vérifier que l’option « Envoyer une notification par e-mail pour les alertes à gravité élevée » est définie sur « On »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 2.18 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| La notification par e-mail pour les alertes à gravité élevée doit être activée | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 1.2.0 |
Vérifier que l’option « Envoyer également un e-mail aux propriétaires de l’abonnement » est définie sur « On »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 2.19 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée | Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 2.1.0 |
Vérifier que l’option « Provisionnement automatique de l’agent de supervision » est définie sur « On »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 2.2 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Documenter les opérations de sécurité | CMA_0202 – Documenter les opérations de sécurité | Manuel, désactivé | 1.1.0 |
| Activer les capteurs pour la solution de sécurité de point de terminaison | CMA_0514 – Activer les capteurs pour la solution de sécurité de point de terminaison | Manuel, désactivé | 1.1.0 |
Vérifier que le paramètre de stratégie par défaut d’ASC « Surveiller les mises à jour système » n’est pas défini sur « Disabled »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 2.3 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Vérifier que le paramètre de stratégie par défaut d’ASC « Surveiller les vulnérabilités de système d’exploitation » n’est pas défini sur « Disabled »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 2.4 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Effectuer des analyses de vulnérabilité | CMA_0393 – Effectuer des analyses de vulnérabilité | Manuel, désactivé | 1.1.0 |
| Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
| Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.1.0 |
Vérifier que le paramètre de stratégie par défaut d’ASC « Surveiller Endpoint Protection » n’est pas défini sur « Disabled »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 2.5 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Bloque les processus non approuvés et non signés qui s’exécutent par USB | CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB | Manuel, désactivé | 1.1.0 |
| Gérer les passerelles | CMA_0363 – Gérer les passerelles | Manuel, désactivé | 1.1.0 |
| Effectuer une analyse des tendances sur les menaces | CMA_0389 – Effectuer une analyse des tendances sur les menaces | Manuel, désactivé | 1.1.0 |
| Effectuer des analyses de vulnérabilité | CMA_0393 – Effectuer des analyses de vulnérabilité | Manuel, désactivé | 1.1.0 |
| Examiner le rapport hebdomadaire sur les détections de programmes malveillants | CMA_0475 – Examiner le rapport hebdomadaire sur les détections de programmes malveillants | Manuel, désactivé | 1.1.0 |
| Passer en revue l’état de la protection contre les menaces chaque semaine | CMA_0479 – Passer en revue l’état de la protection contre les menaces chaque semaine | Manuel, désactivé | 1.1.0 |
| Mettre à jour les définitions de l’antivirus | CMA_0517 – Mettre à jour les définitions de l’antivirus | Manuel, désactivé | 1.1.0 |
Vérifier que le paramètre de stratégie par défaut d’ASC « Surveiller le chiffrement des disques » n’est pas défini sur « Disabled »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 2.6 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Établir une procédure de gestion des fuites de données | CMA_0255 – Établir une procédure de gestion des fuites de données | Manuel, désactivé | 1.1.0 |
| Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
| Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
| Protéger des informations spéciales | CMA_0409 – Protéger des informations spéciales | Manuel, désactivé | 1.1.0 |
Vérifier que le paramètre de stratégie par défaut ASC « Superviser les groupes de sécurité réseau » n’est pas défini sur « Disabled »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 2.7 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Flux d’informations de contrôle | CMA_0079 – Flux d’informations de contrôle | Manuel, désactivé | 1.1.0 |
| Utiliser des mécanismes de contrôle de flux d’informations chiffrées | CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées | Manuel, désactivé | 1.1.0 |
Vérifier que le paramètre de stratégie par défaut d’ASC « Surveiller le pare-feu d’applications web » n’est pas défini sur « Désactivé »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 2.8 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Flux d’informations de contrôle | CMA_0079 – Flux d’informations de contrôle | Manuel, désactivé | 1.1.0 |
| Utiliser des mécanismes de contrôle de flux d’informations chiffrées | CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées | Manuel, désactivé | 1.1.0 |
Vérifier que le paramètre de stratégie par défaut ASC « Activer la supervision du pare-feu de nouvelle génération » n’est pas défini sur « Disabled »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 2.9 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Flux d’informations de contrôle | CMA_0079 – Flux d’informations de contrôle | Manuel, désactivé | 1.1.0 |
| Utiliser des mécanismes de contrôle de flux d’informations chiffrées | CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées | Manuel, désactivé | 1.1.0 |
| Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| les sous-réseaux doivent être associés à un groupe de sécurité réseau | Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. | AuditIfNotExists, Désactivé | 3.0.0 |
3 Comptes de stockage
Vérifier que l’option « Transfert sécurisé requis » est définie sur « Enabled »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 3.1 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Configurer des stations de travail pour rechercher des certificats numériques | CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques | Manuel, désactivé | 1.1.0 |
| Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
| Protéger les mots de passe avec le chiffrement | CMA_0408 – Protéger les mots de passe avec le chiffrement | Manuel, désactivé | 1.1.0 |
| La sécurisation du transfert vers des comptes de stockage doit être activée | Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) | Audit, Refuser, Désactivé | 2.0.0 |
Vérifiez que le programme régénère périodiquement les clés d’accès au compte de stockage
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 3.2 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Définir un processus de gestion des clés physiques | CMA_0115 – Définir un processus de gestion des clés physiques | Manuel, désactivé | 1.1.0 |
| Définir l’utilisation du chiffrement | CMA_0120 – Définir l’utilisation du chiffrement | Manuel, désactivé | 1.1.0 |
| Définir les exigences organisationnelles pour la gestion des clés de chiffrement | CMA_0123 – Définir les exigences organisationnelles pour la gestion des clés de chiffrement | Manuel, désactivé | 1.1.0 |
| Déterminer les exigences d’assertion | CMA_0136 – Déterminer les exigences d’assertion | Manuel, désactivé | 1.1.0 |
| Émettre des certificats de clé publique | CMA_0347 – Émettre des certificats de clé publique | Manuel, désactivé | 1.1.0 |
| Gérer les clés de chiffrement symétriques | CMA_0367 – Gérer les clés de chiffrement symétriques | Manuel, désactivé | 1.1.0 |
| Restreindre l’accès aux clés privées | CMA_0445 – Restreindre l’accès aux clés privées | Manuel, désactivé | 1.1.0 |
Vérifiez que vous avez activé la journalisation du stockage pour le service de File d'attente des demandes de lecture, d’écriture et de suppression
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 3.3 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Auditer les fonctions privilégiées | CMA_0019 – Auditer les fonctions privilégiées | Manuel, désactivé | 1.1.0 |
| Auditer l’état du compte d’utilisateur | CMA_0020 – Auditer l’état du compte d’utilisateur | Manuel, désactivé | 1.1.0 |
| Configurer les fonctionnalités d’audit d’Azure | CMA_C1108 - Configurer les fonctionnalités d’audit d’Azure | Manuel, désactivé | 1.1.1 |
| Déterminer les événements auditables | CMA_0137 – Déterminer les événements auditables | Manuel, désactivé | 1.1.0 |
| Vérifier les journaux d'audit | CMA_0466 – Examiner les données d’audit | Manuel, désactivé | 1.1.0 |
Vérifiez que les jetons de signature d’accès partagé expirent dans une heure
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 3.4 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Désactiver les authentificateurs lors de l’arrêt | CMA_0169 – Désactiver les authentificateurs lors de l’arrêt | Manuel, désactivé | 1.1.0 |
| Révoquer les rôles privilégiés selon les besoins | CMA_0483 – Révoquer les rôles privilégiés selon les besoins | Manuel, désactivé | 1.1.0 |
| Terminer automatiquement la session utilisateur | CMA_C1054 – Terminer automatiquement la session utilisateur | Manuel, désactivé | 1.1.0 |
Vérifiez que les jetons de signature d’accès partagé sont autorisés uniquement sur HTTPS
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 3.5 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Configurer des stations de travail pour rechercher des certificats numériques | CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques | Manuel, désactivé | 1.1.0 |
| Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
| Protéger les mots de passe avec le chiffrement | CMA_0408 – Protéger les mots de passe avec le chiffrement | Manuel, désactivé | 1.1.0 |
Vérifier que « Niveau d’accès public » est défini sur Privé pour les conteneurs d’objets blob
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 3.6 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : L’accès public au compte de stockage doit être interdit | L’accès en lecture public anonyme aux conteneurs et aux blobs dans Stockage Azure est un moyen pratique de partager des données, mais peut présenter des risques pour la sécurité. Pour éviter les violations de données provoquées par un accès anonyme non souhaité, Microsoft recommande d’empêcher l’accès public à un compte de stockage, sauf si votre scénario l’exige. | audit, Audit, refus, Refus, désactivé, Désactivé | 3.1.0-preview |
| Autoriser l’accès aux fonctions et informations de sécurité | CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité | Manuel, désactivé | 1.1.0 |
| Autoriser et gérer l’accès | CMA_0023 – Autoriser et gérer l’accès | Manuel, désactivé | 1.1.0 |
| Appliquer l’accès logique | CMA_0245 – Appliquer l’accès logique | Manuel, désactivé | 1.1.0 |
| Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
| Exiger une approbation pour la création de compte | CMA_0431 – Exiger une approbation pour la création de compte | Manuel, désactivé | 1.1.0 |
| Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | Manuel, désactivé | 1.1.0 |
Vérifier que la règle d’accès réseau par défaut pour les comptes de stockage est définie sur Refuser
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 3.7 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les comptes de stockage doivent limiter l’accès réseau | L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. | Audit, Refuser, Désactivé | 1.1.1 |
Vérifier que l’option « Services Microsoft approuvés » est activée pour l’accès au compte de stockage
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 3.8 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Flux d’informations de contrôle | CMA_0079 – Flux d’informations de contrôle | Manuel, désactivé | 1.1.0 |
| Utiliser des mécanismes de contrôle de flux d’informations chiffrées | CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées | Manuel, désactivé | 1.1.0 |
| Établir des normes de configuration de pare-feu et de routeur | CMA_0272 – Établir des normes de configuration de pare-feu et de routeur | Manuel, désactivé | 1.1.0 |
| Établir une segmentation réseau pour l’environnement de données du titulaire de carte | CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte | Manuel, désactivé | 1.1.0 |
| Identifier et gérer les échanges d’informations en aval | CMA_0298 – Identifier et gérer les échanges d’informations en aval | Manuel, désactivé | 1.1.0 |
| Les comptes de stockage doivent autoriser l’accès à partir des services Microsoft approuvés | Certains services Microsoft qui interagissent avec les comptes de stockage fonctionnent à partir de réseaux qui ne peuvent pas obtenir l’accès par le biais des règles de réseau. Pour que ce type de service fonctionne comme prévu, autorisez l’ensemble des services Microsoft approuvés à contourner les règles de réseau. Ces services utilisent alors une authentification forte pour accéder au compte de stockage. | Audit, Refuser, Désactivé | 1.0.0 |
4 Services de base de données
Vérifier que l’option « Audit » est définie sur « On »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.1 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Auditer les fonctions privilégiées | CMA_0019 – Auditer les fonctions privilégiées | Manuel, désactivé | 1.1.0 |
| Auditer l’état du compte d’utilisateur | CMA_0020 – Auditer l’état du compte d’utilisateur | Manuel, désactivé | 1.1.0 |
| L’audit sur SQL Server doit être activé | L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. | AuditIfNotExists, Désactivé | 2.0.0 |
| Déterminer les événements auditables | CMA_0137 – Déterminer les événements auditables | Manuel, désactivé | 1.1.0 |
| Vérifier les journaux d'audit | CMA_0466 – Examiner les données d’audit | Manuel, désactivé | 1.1.0 |
Vérifier que le protecteur TDE du serveur SQL est chiffré avec BYOK (Bring Your Own Key)
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.10 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Établir une procédure de gestion des fuites de données | CMA_0255 – Établir une procédure de gestion des fuites de données | Manuel, désactivé | 1.1.0 |
| Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
| Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
| Protéger des informations spéciales | CMA_0409 – Protéger des informations spéciales | Manuel, désactivé | 1.1.0 |
| Les instances managées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. | Audit, Refuser, Désactivé | 2.0.0 |
| Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. | Audit, Refuser, Désactivé | 2.0.1 |
Vérifier que l’option « Appliquer une connexion SSL » est définie sur « ENABLED » pour le serveur de base de données MySQL
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.11 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Configurer des stations de travail pour rechercher des certificats numériques | CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques | Manuel, désactivé | 1.1.0 |
| L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL | La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, Désactivé | 1.0.1 |
| Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
| Protéger les mots de passe avec le chiffrement | CMA_0408 – Protéger les mots de passe avec le chiffrement | Manuel, désactivé | 1.1.0 |
Vérifier que le paramètre de serveur « log_checkpoints » est défini sur « ON » pour le serveur de base de données PostgreSQL
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.12 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Auditer les fonctions privilégiées | CMA_0019 – Auditer les fonctions privilégiées | Manuel, désactivé | 1.1.0 |
| Auditer l’état du compte d’utilisateur | CMA_0020 – Auditer l’état du compte d’utilisateur | Manuel, désactivé | 1.1.0 |
| Déterminer les événements auditables | CMA_0137 – Déterminer les événements auditables | Manuel, désactivé | 1.1.0 |
| Les points de contrôle de journal doivent être activés pour les serveurs de bases de données PostgreSQL | Cette stratégie permet d’auditer toutes les bases de données PostgreSQL de votre environnement sans activer le paramètre log_checkpoints. | AuditIfNotExists, Désactivé | 1.0.0 |
| Vérifier les journaux d'audit | CMA_0466 – Examiner les données d’audit | Manuel, désactivé | 1.1.0 |
Vérifier que l’option « Appliquer une connexion SSL » est définie sur « ENABLED » pour le serveur de base de données PostgreSQL
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.13 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Configurer des stations de travail pour rechercher des certificats numériques | CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques | Manuel, désactivé | 1.1.0 |
| L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL | Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, Désactivé | 1.0.1 |
| Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
| Protéger les mots de passe avec le chiffrement | CMA_0408 – Protéger les mots de passe avec le chiffrement | Manuel, désactivé | 1.1.0 |
Vérifier que le paramètre de serveur « log_connections » est défini sur « ON » pour le serveur de base de données PostgreSQL
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.14 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Auditer les fonctions privilégiées | CMA_0019 – Auditer les fonctions privilégiées | Manuel, désactivé | 1.1.0 |
| Auditer l’état du compte d’utilisateur | CMA_0020 – Auditer l’état du compte d’utilisateur | Manuel, désactivé | 1.1.0 |
| Déterminer les événements auditables | CMA_0137 – Déterminer les événements auditables | Manuel, désactivé | 1.1.0 |
| Les connexions de journal doivent être activées pour les serveurs de bases de données PostgreSQL | Cette stratégie permet d’auditer toutes les bases de données PostgreSQL de votre environnement sans activer le paramètre log_connections. | AuditIfNotExists, Désactivé | 1.0.0 |
| Vérifier les journaux d'audit | CMA_0466 – Examiner les données d’audit | Manuel, désactivé | 1.1.0 |
Vérifier que le paramètre de serveur « log_disconnections » est défini sur « ON » pour le serveur de base de données PostgreSQL
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.15 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Auditer les fonctions privilégiées | CMA_0019 – Auditer les fonctions privilégiées | Manuel, désactivé | 1.1.0 |
| Auditer l’état du compte d’utilisateur | CMA_0020 – Auditer l’état du compte d’utilisateur | Manuel, désactivé | 1.1.0 |
| Déterminer les événements auditables | CMA_0137 – Déterminer les événements auditables | Manuel, désactivé | 1.1.0 |
| Les déconnexions doivent être journalisées pour les serveurs de bases de données PostgreSQL. | Cette stratégie permet d’auditer toutes les bases de données PostgreSQL de votre environnement sans activer le paramètre log_disconnections. | AuditIfNotExists, Désactivé | 1.0.0 |
| Vérifier les journaux d'audit | CMA_0466 – Examiner les données d’audit | Manuel, désactivé | 1.1.0 |
Vérifier que le paramètre de serveur « log_duration » est défini sur « ON » pour le serveur de base de données PostgreSQL
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.16 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Auditer les fonctions privilégiées | CMA_0019 – Auditer les fonctions privilégiées | Manuel, désactivé | 1.1.0 |
| Auditer l’état du compte d’utilisateur | CMA_0020 – Auditer l’état du compte d’utilisateur | Manuel, désactivé | 1.1.0 |
| Déterminer les événements auditables | CMA_0137 – Déterminer les événements auditables | Manuel, désactivé | 1.1.0 |
| Vérifier les journaux d'audit | CMA_0466 – Examiner les données d’audit | Manuel, désactivé | 1.1.0 |
Vérifier que le paramètre de serveur « connection_throttling » est défini sur « ON » pour le serveur de base de données PostgreSQL
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.17 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Auditer les fonctions privilégiées | CMA_0019 – Auditer les fonctions privilégiées | Manuel, désactivé | 1.1.0 |
| Auditer l’état du compte d’utilisateur | CMA_0020 – Auditer l’état du compte d’utilisateur | Manuel, désactivé | 1.1.0 |
| La limitation de connexion doit être activée pour les serveurs de base de données PostgreSQL | Cette stratégie aide à auditer toutes les bases de données PostgreSQL de votre environnement sans activer la limitation de connexion. Ce paramètre active la limitation de connexion temporaire par adresse IP à la suite d’un trop grand nombre de connexions infructueuses avec des mots de passe non valides. | AuditIfNotExists, Désactivé | 1.0.0 |
| Déterminer les événements auditables | CMA_0137 – Déterminer les événements auditables | Manuel, désactivé | 1.1.0 |
| Vérifier les journaux d'audit | CMA_0466 – Examiner les données d’audit | Manuel, désactivé | 1.1.0 |
Vérifiez que le paramètre de serveur « log_retention_days » est supérieur à 3 jours pour le serveur de base de données PostgreSQL
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.18 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Respecter les périodes de rétention définies | CMA_0004 – Respecter les périodes de rétention définies | Manuel, désactivé | 1.1.0 |
| Régir et surveiller les activités de traitement d’audit | CMA_0289 – Régir et surveiller les activités de traitement d’audit | Manuel, désactivé | 1.1.0 |
| Conserver les stratégies et procédures de sécurité | CMA_0454 – Conserver les stratégies et procédures de sécurité | Manuel, désactivé | 1.1.0 |
| Conserver les données utilisateur terminées | CMA_0455 – Conserver les données utilisateur terminées | Manuel, désactivé | 1.1.0 |
Vérifier que l’administrateur Azure Active Directory est configuré
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.19 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Automatiser la gestion des comptes | CMA_0026 – Automatiser la gestion des comptes | Manuel, désactivé | 1.1.0 |
| Gérer les comptes système et d’administration | CMA_0368 – Gérer les comptes système et d’administration | Manuel, désactivé | 1.1.0 |
| Surveiller l’accès au sein de l’organisation | CMA_0376 – Surveiller l’accès au sein de l’organisation | Manuel, désactivé | 1.1.0 |
| Avertir lorsque le compte n’est pas nécessaire | CMA_0383 – Avertir lorsque le compte n’est pas nécessaire | Manuel, désactivé | 1.1.0 |
Vérifier que « AuditActionGroups » dans la stratégie « Audit » pour un serveur SQL est correctement défini
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.2 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Auditer les fonctions privilégiées | CMA_0019 – Auditer les fonctions privilégiées | Manuel, désactivé | 1.1.0 |
| Auditer l’état du compte d’utilisateur | CMA_0020 – Auditer l’état du compte d’utilisateur | Manuel, désactivé | 1.1.0 |
| Déterminer les événements auditables | CMA_0137 – Déterminer les événements auditables | Manuel, désactivé | 1.1.0 |
| Vérifier les journaux d'audit | CMA_0466 – Examiner les données d’audit | Manuel, désactivé | 1.1.0 |
| Les paramètres d’audit SQL doivent avoir des groupes d’actions configurés pour capturer les activités critiques | La propriété AuditActionsAndGroups doit contenir au moins SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP pour assurer la journalisation totale de l’audit | AuditIfNotExists, Désactivé | 1.0.0 |
Vérifier que la période de rétention d’audit est supérieure à 90 jours
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.3 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Respecter les périodes de rétention définies | CMA_0004 – Respecter les périodes de rétention définies | Manuel, désactivé | 1.1.0 |
| Régir et surveiller les activités de traitement d’audit | CMA_0289 – Régir et surveiller les activités de traitement d’audit | Manuel, désactivé | 1.1.0 |
| Conserver les stratégies et procédures de sécurité | CMA_0454 – Conserver les stratégies et procédures de sécurité | Manuel, désactivé | 1.1.0 |
| Conserver les données utilisateur terminées | CMA_0455 – Conserver les données utilisateur terminées | Manuel, désactivé | 1.1.0 |
| Les serveurs SQL avec un audit dans la destination Compte de stockage doivent être configurés avec une conservation d'au moins 90 jours | À des fins d’investigation d’incident, nous vous recommandons de définir la conservation des données pour la fonctionnalité d’audit de votre serveur SQL Server sur au moins 90 jours. Confirmez que vous respectez les règles de conservation nécessaires pour les régions dans lesquelles vous travaillez. Cela est parfois nécessaire pour la conformité aux normes réglementaires. | AuditIfNotExists, Désactivé | 3.0.0 |
Vérifier que l’option « Advanced Data Security » sur un serveur SQL Server est définie sur « On »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.4 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 2.0.1 |
| Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
| Effectuer une analyse des tendances sur les menaces | CMA_0389 – Effectuer une analyse des tendances sur les menaces | Manuel, désactivé | 1.1.0 |
Vérifier que l’option « Types de détection des menaces » est définie sur « All »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.5 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Effectuer une analyse des tendances sur les menaces | CMA_0389 – Effectuer une analyse des tendances sur les menaces | Manuel, désactivé | 1.1.0 |
Vérifier que l’option « Envoyer des alertes à » est définie
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.6 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Alerter le personnel d’un débordement d’informations | CMA_0007 – Alerter le personnel d’un débordement d’informations | Manuel, désactivé | 1.1.0 |
| Mettez sur pied un plan de réponse en cas d'incident | CMA_0145 – Développer un plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
| Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | Manuel, désactivé | 1.1.0 |
Vérifier que l’option « Envoyer un e-mail au service et aux coadministrateurs » est définie sur « Enabled »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.7 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Alerter le personnel d’un débordement d’informations | CMA_0007 – Alerter le personnel d’un débordement d’informations | Manuel, désactivé | 1.1.0 |
| Mettez sur pied un plan de réponse en cas d'incident | CMA_0145 – Développer un plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
| Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | Manuel, désactivé | 1.1.0 |
Vérifier que l’administrateur Azure Active Directory est configuré
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.8 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.0.0 |
| Automatiser la gestion des comptes | CMA_0026 – Automatiser la gestion des comptes | Manuel, désactivé | 1.1.0 |
| Gérer les comptes système et d’administration | CMA_0368 – Gérer les comptes système et d’administration | Manuel, désactivé | 1.1.0 |
| Surveiller l’accès au sein de l’organisation | CMA_0376 – Surveiller l’accès au sein de l’organisation | Manuel, désactivé | 1.1.0 |
| Avertir lorsque le compte n’est pas nécessaire | CMA_0383 – Avertir lorsque le compte n’est pas nécessaire | Manuel, désactivé | 1.1.0 |
Vérifiez que l’option « Chiffrement des données » est définie sur « On » sur une base de données SQL
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.9 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Établir une procédure de gestion des fuites de données | CMA_0255 – Établir une procédure de gestion des fuites de données | Manuel, désactivé | 1.1.0 |
| Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
| Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
| Protéger des informations spéciales | CMA_0409 – Protéger des informations spéciales | Manuel, désactivé | 1.1.0 |
| Transparent Data Encryption sur les bases de données SQL doit être activé | Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises | AuditIfNotExists, Désactivé | 2.0.0 |
5 Journalisation et supervision
Vérifier l’existence d’un profil de journal
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.1.1 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Respecter les périodes de rétention définies | CMA_0004 – Respecter les périodes de rétention définies | Manuel, désactivé | 1.1.0 |
| Les abonnements Azure doivent avoir un profil de journal pour le journal d’activité | Cette stratégie garantit l’activation d’un profil de journal pour l’exportation des journaux d’activité. Elle vérifie si aucun profil de journal n’a été créé pour exporter les journaux vers un compte de stockage ou un hub d’événements. | AuditIfNotExists, Désactivé | 1.0.0 |
| Régir et surveiller les activités de traitement d’audit | CMA_0289 – Régir et surveiller les activités de traitement d’audit | Manuel, désactivé | 1.1.0 |
| Conserver les stratégies et procédures de sécurité | CMA_0454 – Conserver les stratégies et procédures de sécurité | Manuel, désactivé | 1.1.0 |
| Conserver les données utilisateur terminées | CMA_0455 – Conserver les données utilisateur terminées | Manuel, désactivé | 1.1.0 |
Vérifier que la conservation du journal d’activité est définie sur 365 jours ou plus
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.1.2 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Le journal d’activité doit être conservé pendant au moins un an | Cette stratégie audite le journal d’activité si la conservation n’est pas définie sur 365 jours ou sur toujours (jours de conservation définis sur 0). | AuditIfNotExists, Désactivé | 1.0.0 |
| Respecter les périodes de rétention définies | CMA_0004 – Respecter les périodes de rétention définies | Manuel, désactivé | 1.1.0 |
| Conserver les stratégies et procédures de sécurité | CMA_0454 – Conserver les stratégies et procédures de sécurité | Manuel, désactivé | 1.1.0 |
| Conserver les données utilisateur terminées | CMA_0455 – Conserver les données utilisateur terminées | Manuel, désactivé | 1.1.0 |
Vérifier que le profil d’audit capture toutes les activités
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.1.3 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Respecter les périodes de rétention définies | CMA_0004 – Respecter les périodes de rétention définies | Manuel, désactivé | 1.1.0 |
| Le profil de journal Azure Monitor doit collecter des journaux pour les catégories « écriture », « suppression » et « action » | Cette stratégie garantit qu’un profil de journal collecte les journaux pour les catégories « write », « delete » et « action » | AuditIfNotExists, Désactivé | 1.0.0 |
| Régir et surveiller les activités de traitement d’audit | CMA_0289 – Régir et surveiller les activités de traitement d’audit | Manuel, désactivé | 1.1.0 |
| Conserver les stratégies et procédures de sécurité | CMA_0454 – Conserver les stratégies et procédures de sécurité | Manuel, désactivé | 1.1.0 |
| Conserver les données utilisateur terminées | CMA_0455 – Conserver les données utilisateur terminées | Manuel, désactivé | 1.1.0 |
Vérifier que le profil de journal capture les journaux d’activité pour toutes les régions, notamment la région globale
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.1.4 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Respecter les périodes de rétention définies | CMA_0004 – Respecter les périodes de rétention définies | Manuel, désactivé | 1.1.0 |
| Azure Monitor doit collecter les journaux d’activité dans toutes les régions | Cette stratégie effectue l’audit du profil de journal Azure Monitor qui n’exporte pas d’activités à partir de toutes les régions Azure prises en charge, notamment la région globale. | AuditIfNotExists, Désactivé | 2.0.0 |
| Régir et surveiller les activités de traitement d’audit | CMA_0289 – Régir et surveiller les activités de traitement d’audit | Manuel, désactivé | 1.1.0 |
| Conserver les stratégies et procédures de sécurité | CMA_0454 – Conserver les stratégies et procédures de sécurité | Manuel, désactivé | 1.1.0 |
| Conserver les données utilisateur terminées | CMA_0455 – Conserver les données utilisateur terminées | Manuel, désactivé | 1.1.0 |
Vérifier que le conteneur de stockage qui stocke les journaux d’activité n’est pas accessible publiquement
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.1.5 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : L’accès public au compte de stockage doit être interdit | L’accès en lecture public anonyme aux conteneurs et aux blobs dans Stockage Azure est un moyen pratique de partager des données, mais peut présenter des risques pour la sécurité. Pour éviter les violations de données provoquées par un accès anonyme non souhaité, Microsoft recommande d’empêcher l’accès public à un compte de stockage, sauf si votre scénario l’exige. | audit, Audit, refus, Refus, désactivé, Désactivé | 3.1.0-preview |
| Activer l’autorisation double ou conjointe | CMA_0226 – Activer l’autorisation double ou conjointe | Manuel, désactivé | 1.1.0 |
| Protéger les informations d’audit | CMA_0401 – Protéger les informations d’audit | Manuel, désactivé | 1.1.0 |
Vérifier que le compte de stockage comprenant le conteneur des journaux d’activité est chiffré avec BYOK (Bring Your Own Key)
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.1.6 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Activer l’autorisation double ou conjointe | CMA_0226 – Activer l’autorisation double ou conjointe | Manuel, désactivé | 1.1.0 |
| Maintenir l’intégrité du système d’audit | CMA_C1133 – Maintenir l’intégrité du système d’audit | Manuel, désactivé | 1.1.0 |
| Protéger les informations d’audit | CMA_0401 – Protéger les informations d’audit | Manuel, désactivé | 1.1.0 |
| Le compte de stockage disposant du conteneur des journaux d’activité doit être chiffré avec BYOK | Cette stratégie vérifie si le compte de stockage disposant du conteneur des journaux d’activité est chiffré avec BYOK. La stratégie fonctionne uniquement si le compte de stockage se trouve par défaut dans le même abonnement que les journaux d’activité. Vous trouverez plus d’informations sur le chiffrement du stockage Azure au repos ici https://aka.ms/azurestoragebyok. | AuditIfNotExists, Désactivé | 1.0.0 |
Vérifier que la journalisation d’Azure KeyVault est définie sur « Enabled »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.1.7 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Auditer les fonctions privilégiées | CMA_0019 – Auditer les fonctions privilégiées | Manuel, désactivé | 1.1.0 |
| Auditer l’état du compte d’utilisateur | CMA_0020 – Auditer l’état du compte d’utilisateur | Manuel, désactivé | 1.1.0 |
| Déterminer les événements auditables | CMA_0137 – Déterminer les événements auditables | Manuel, désactivé | 1.1.0 |
| Les journaux de ressources d’un HSM managé Azure Key Vault doivent être activés | Pour recréer des traçages d’activité à des fins d’investigation quand un incident de sécurité se produit ou quand votre réseau est compromis, vous pouvez effectuer un audit en activant les journaux de ressources des HSM managés. Suivez les instructions ici : https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, Désactivé | 1.1.0 |
| Les journaux de ressources dans Key Vault doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau | AuditIfNotExists, Désactivé | 5.0.0 |
| Vérifier les journaux d'audit | CMA_0466 – Examiner les données d’audit | Manuel, désactivé | 1.1.0 |
Vérifier l’existence de l’alerte de journal d’activité pour la création d’attribution de stratégie
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.2.1 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Alerter le personnel d’un débordement d’informations | CMA_0007 – Alerter le personnel d’un débordement d’informations | Manuel, désactivé | 1.1.0 |
| Une alerte de journal d’activité doit exister pour des opérations de stratégie spécifiques | Cette stratégie audite toute opération de stratégie spécifique sans aucune alerte de journal d’activité configurée. | AuditIfNotExists, Désactivé | 3.0.0 |
| Mettez sur pied un plan de réponse en cas d'incident | CMA_0145 – Développer un plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
| Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | Manuel, désactivé | 1.1.0 |
Vérifier l’existence d’une alerte de journal d’activité pour la création ou la mise à jour d’un groupe de sécurité réseau
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.2.2 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Alerter le personnel d’un débordement d’informations | CMA_0007 – Alerter le personnel d’un débordement d’informations | Manuel, désactivé | 1.1.0 |
| Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques | Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée. | AuditIfNotExists, Désactivé | 1.0.0 |
| Mettez sur pied un plan de réponse en cas d'incident | CMA_0145 – Développer un plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
| Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | Manuel, désactivé | 1.1.0 |
Vérifier l’existence d’une alerte de journal d’activité pour la suppression de groupe de sécurité réseau
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.2.3 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Alerter le personnel d’un débordement d’informations | CMA_0007 – Alerter le personnel d’un débordement d’informations | Manuel, désactivé | 1.1.0 |
| Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques | Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée. | AuditIfNotExists, Désactivé | 1.0.0 |
| Mettez sur pied un plan de réponse en cas d'incident | CMA_0145 – Développer un plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
| Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | Manuel, désactivé | 1.1.0 |
Vérifier l’existence d’une alerte de journal d’activité pour la création ou la mise à jour d’une règle de groupe de sécurité réseau
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.2.4 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Alerter le personnel d’un débordement d’informations | CMA_0007 – Alerter le personnel d’un débordement d’informations | Manuel, désactivé | 1.1.0 |
| Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques | Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée. | AuditIfNotExists, Désactivé | 1.0.0 |
| Mettez sur pied un plan de réponse en cas d'incident | CMA_0145 – Développer un plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
| Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | Manuel, désactivé | 1.1.0 |
Vérifier l’existence d’une alerte de journal d’activité pour la suppression d’une règle de groupe de sécurité réseau
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.2.5 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Alerter le personnel d’un débordement d’informations | CMA_0007 – Alerter le personnel d’un débordement d’informations | Manuel, désactivé | 1.1.0 |
| Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques | Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée. | AuditIfNotExists, Désactivé | 1.0.0 |
| Mettez sur pied un plan de réponse en cas d'incident | CMA_0145 – Développer un plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
| Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | Manuel, désactivé | 1.1.0 |
Vérifier l’existence d’une alerte de journal d’activité pour la création ou la mise à jour d’une solution de sécurité
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.2.6 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Alerter le personnel d’un débordement d’informations | CMA_0007 – Alerter le personnel d’un débordement d’informations | Manuel, désactivé | 1.1.0 |
| Une alerte de journal d’activité doit exister pour des opérations de sécurité spécifiques | Cette stratégie audite des opérations de sécurité spécifiques sans aucune alerte de journal d’activité configurée. | AuditIfNotExists, Désactivé | 1.0.0 |
| Mettez sur pied un plan de réponse en cas d'incident | CMA_0145 – Développer un plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
| Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | Manuel, désactivé | 1.1.0 |
Vérifier l’existence d’une alerte de journal d’activité pour la suppression d’une solution de sécurité
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.2.7 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Alerter le personnel d’un débordement d’informations | CMA_0007 – Alerter le personnel d’un débordement d’informations | Manuel, désactivé | 1.1.0 |
| Une alerte de journal d’activité doit exister pour des opérations de sécurité spécifiques | Cette stratégie audite des opérations de sécurité spécifiques sans aucune alerte de journal d’activité configurée. | AuditIfNotExists, Désactivé | 1.0.0 |
| Mettez sur pied un plan de réponse en cas d'incident | CMA_0145 – Développer un plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
| Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | Manuel, désactivé | 1.1.0 |
Vérifier l’existence d’une alerte de journal d’activité pour la création, la mise à jour ou la suppression d’une règle de pare-feu SQL Server
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.2.8 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Alerter le personnel d’un débordement d’informations | CMA_0007 – Alerter le personnel d’un débordement d’informations | Manuel, désactivé | 1.1.0 |
| Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques | Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée. | AuditIfNotExists, Désactivé | 1.0.0 |
| Mettez sur pied un plan de réponse en cas d'incident | CMA_0145 – Développer un plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
| Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | Manuel, désactivé | 1.1.0 |
Vérifier l’existence d’une alerte de journal d’activité pour la mise à jour d’une stratégie de sécurité
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.2.9 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Alerter le personnel d’un débordement d’informations | CMA_0007 – Alerter le personnel d’un débordement d’informations | Manuel, désactivé | 1.1.0 |
| Une alerte de journal d’activité doit exister pour des opérations de sécurité spécifiques | Cette stratégie audite des opérations de sécurité spécifiques sans aucune alerte de journal d’activité configurée. | AuditIfNotExists, Désactivé | 1.0.0 |
| Mettez sur pied un plan de réponse en cas d'incident | CMA_0145 – Développer un plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
| Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | Manuel, désactivé | 1.1.0 |
6 Mise en réseau
Vérifie qu’aucune base de données SQL n’autorise l’accès à 0.0.0.0/0 (N’IMPORTE QUELLE ADRESSE IP)
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 6.3 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Flux d’informations de contrôle | CMA_0079 – Flux d’informations de contrôle | Manuel, désactivé | 1.1.0 |
| Utiliser des mécanismes de contrôle de flux d’informations chiffrées | CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées | Manuel, désactivé | 1.1.0 |
Vérifiez que la période de rétention du journal de flux du groupe de sécurité réseau est « supérieure à 90 jours »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 6.4 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Respecter les périodes de rétention définies | CMA_0004 – Respecter les périodes de rétention définies | Manuel, désactivé | 1.1.0 |
| Conserver les stratégies et procédures de sécurité | CMA_0454 – Conserver les stratégies et procédures de sécurité | Manuel, désactivé | 1.1.0 |
| Conserver les données utilisateur terminées | CMA_0455 – Conserver les données utilisateur terminées | Manuel, désactivé | 1.1.0 |
Vérifier que Network Watcher est défini sur « Enabled »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 6.5 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Network Watcher doit être activé | Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. | AuditIfNotExists, Désactivé | 3.0.0 |
| Vérifier les fonctions de sécurité | CMA_C1708 – Vérifier les fonctions de sécurité | Manuel, désactivé | 1.1.0 |
7 Machines virtuelles
Vérifier que les disques du système d’exploitation sont chiffrés
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 7.1 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Établir une procédure de gestion des fuites de données | CMA_0255 – Établir une procédure de gestion des fuites de données | Manuel, désactivé | 1.1.0 |
| Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
| Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
| Protéger des informations spéciales | CMA_0409 – Protéger des informations spéciales | Manuel, désactivé | 1.1.0 |
Vérifier que les disques de données sont chiffrés
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 7.2 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Établir une procédure de gestion des fuites de données | CMA_0255 – Établir une procédure de gestion des fuites de données | Manuel, désactivé | 1.1.0 |
| Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
| Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
| Protéger des informations spéciales | CMA_0409 – Protéger des informations spéciales | Manuel, désactivé | 1.1.0 |
Vérifier que les disques non attachés sont chiffrés
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 7.3 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Établir une procédure de gestion des fuites de données | CMA_0255 – Établir une procédure de gestion des fuites de données | Manuel, désactivé | 1.1.0 |
| Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
| Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
| Protéger des informations spéciales | CMA_0409 – Protéger des informations spéciales | Manuel, désactivé | 1.1.0 |
Vérifier que seules les extensions approuvées sont installées
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 7.4 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Seules les extensions de machine virtuelle approuvées doivent être installées | Cette stratégie régit les extensions de machine virtuelle qui ne sont pas approuvées. | Audit, Refuser, Désactivé | 1.0.0 |
Vérifier que les derniers correctifs de système d’exploitation sont appliqués pour toutes les machines virtuelles
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 7.5 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Vérifier que la protection de point de terminaison est installée pour toutes les machines virtuelles
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 7.6 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Bloque les processus non approuvés et non signés qui s’exécutent par USB | CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB | Manuel, désactivé | 1.1.0 |
| Documenter les opérations de sécurité | CMA_0202 – Documenter les opérations de sécurité | Manuel, désactivé | 1.1.0 |
| Gérer les passerelles | CMA_0363 – Gérer les passerelles | Manuel, désactivé | 1.1.0 |
| Effectuer une analyse des tendances sur les menaces | CMA_0389 – Effectuer une analyse des tendances sur les menaces | Manuel, désactivé | 1.1.0 |
| Effectuer des analyses de vulnérabilité | CMA_0393 – Effectuer des analyses de vulnérabilité | Manuel, désactivé | 1.1.0 |
| Examiner le rapport hebdomadaire sur les détections de programmes malveillants | CMA_0475 – Examiner le rapport hebdomadaire sur les détections de programmes malveillants | Manuel, désactivé | 1.1.0 |
| Passer en revue l’état de la protection contre les menaces chaque semaine | CMA_0479 – Passer en revue l’état de la protection contre les menaces chaque semaine | Manuel, désactivé | 1.1.0 |
| Activer les capteurs pour la solution de sécurité de point de terminaison | CMA_0514 – Activer les capteurs pour la solution de sécurité de point de terminaison | Manuel, désactivé | 1.1.0 |
| Mettre à jour les définitions de l’antivirus | CMA_0517 – Mettre à jour les définitions de l’antivirus | Manuel, désactivé | 1.1.0 |
| Vérifier l’intégrité des logiciels, des microprogrammes et des informations | CMA_0542 – Vérifier l’intégrité des logiciels, des microprogrammes et des informations | Manuel, désactivé | 1.1.0 |
8 Autres considérations liées à la sécurité
Vérifier que la date d’expiration est définie sur toutes les clés
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 8.1 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Définir un processus de gestion des clés physiques | CMA_0115 – Définir un processus de gestion des clés physiques | Manuel, désactivé | 1.1.0 |
| Définir l’utilisation du chiffrement | CMA_0120 – Définir l’utilisation du chiffrement | Manuel, désactivé | 1.1.0 |
| Définir les exigences organisationnelles pour la gestion des clés de chiffrement | CMA_0123 – Définir les exigences organisationnelles pour la gestion des clés de chiffrement | Manuel, désactivé | 1.1.0 |
| Déterminer les exigences d’assertion | CMA_0136 – Déterminer les exigences d’assertion | Manuel, désactivé | 1.1.0 |
| Émettre des certificats de clé publique | CMA_0347 – Émettre des certificats de clé publique | Manuel, désactivé | 1.1.0 |
| Les clés Key Vault doivent avoir une date d’expiration | Les clés de chiffrement doivent avoir une date d’expiration définie et ne pas être permanentes. Les clés valides indéfiniment offrent à un intrus potentiel plus de temps pour compromettre la clé. Il est recommandé de définir les dates d’expiration des clés de chiffrement. | Audit, Refuser, Désactivé | 1.0.2 |
| Gérer les clés de chiffrement symétriques | CMA_0367 – Gérer les clés de chiffrement symétriques | Manuel, désactivé | 1.1.0 |
| Restreindre l’accès aux clés privées | CMA_0445 – Restreindre l’accès aux clés privées | Manuel, désactivé | 1.1.0 |
Vérifier que la date d’expiration est définie sur tous les secrets
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 8.2 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Définir un processus de gestion des clés physiques | CMA_0115 – Définir un processus de gestion des clés physiques | Manuel, désactivé | 1.1.0 |
| Définir l’utilisation du chiffrement | CMA_0120 – Définir l’utilisation du chiffrement | Manuel, désactivé | 1.1.0 |
| Définir les exigences organisationnelles pour la gestion des clés de chiffrement | CMA_0123 – Définir les exigences organisationnelles pour la gestion des clés de chiffrement | Manuel, désactivé | 1.1.0 |
| Déterminer les exigences d’assertion | CMA_0136 – Déterminer les exigences d’assertion | Manuel, désactivé | 1.1.0 |
| Émettre des certificats de clé publique | CMA_0347 – Émettre des certificats de clé publique | Manuel, désactivé | 1.1.0 |
| Les secrets Key Vault doivent avoir une date d’expiration | Les secrets doivent avoir une date d’expiration définie et ne pas être permanents. Les secrets valides indéfiniment offrent à un attaquant potentiel plus de temps pour les compromettre. Il est recommandé de définir les dates d’expiration des secrets. | Audit, Refuser, Désactivé | 1.0.2 |
| Gérer les clés de chiffrement symétriques | CMA_0367 – Gérer les clés de chiffrement symétriques | Manuel, désactivé | 1.1.0 |
| Restreindre l’accès aux clés privées | CMA_0445 – Restreindre l’accès aux clés privées | Manuel, désactivé | 1.1.0 |
Vérifiez que vous avez défini les verrous de ressources pour les ressources Azure critiques
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 8.3 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
Vérifier que le coffre de clés est récupérable
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 8.4 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| La protection contre la suppression définitive doit être activée pour un HSM managé Azure Key Vault | La suppression malveillante d’un HSM managé Azure Key Vault peut entraîner une perte de données définitive. Une personne malveillante au sein de votre organisation peut éventuellement supprimer définitivement un HSM managé Azure Key Vault. La protection contre la suppression définitive vous protège des attaques de l’intérieur en appliquant une période de conservation obligatoire à un HSM managé Azure Key Vault supprimé de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne peut supprimer définitivement votre HSM managé Azure Key Vault pendant la période de conservation de la suppression réversible. | Audit, Refuser, Désactivé | 1.0.0 |
| La protection contre la suppression doit être activée pour les coffres de clés | La suppression malveillante d’un coffre de clés peut entraîner une perte définitive des données. Vous pouvez empêcher la perte permanente de données en activant la protection contre la suppression définitive et la suppression réversible. La protection contre la suppression définitive vous protège des attaques internes en appliquant une période de conservation obligatoire pour les coffres de clés supprimés de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne pourra supprimer définitivement vos coffres de clés pendant la période de conservation de la suppression réversible. N’oubliez pas que la suppression réversible est activée par défaut pour les coffres de clés créés après le 1er septembre 2019. | Audit, Refuser, Désactivé | 2.1.0 |
| Maintenir la disponibilité des informations | CMA_C1644 – Maintenir la disponibilité des informations | Manuel, désactivé | 1.1.0 |
Activer le contrôle d’accès en fonction du rôle (RBAC) dans Azure Kubernetes Services
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 8.5 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Autoriser l’accès aux fonctions et informations de sécurité | CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité | Manuel, désactivé | 1.1.0 |
| Autoriser et gérer l’accès | CMA_0023 – Autoriser et gérer l’accès | Manuel, désactivé | 1.1.0 |
| Appliquer l’accès logique | CMA_0245 – Appliquer l’accès logique | Manuel, désactivé | 1.1.0 |
| Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
| Exiger une approbation pour la création de compte | CMA_0431 – Exiger une approbation pour la création de compte | Manuel, désactivé | 1.1.0 |
| Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | Manuel, désactivé | 1.1.0 |
| Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes | Pour fournir un filtrage précis des actions que les utilisateurs peuvent effectuer, utilisez le contrôle d’accès en fonction du rôle (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurez les stratégies d’autorisation appropriées. | Audit, Désactivé | 1.0.4 |
9 AppService
Vérifier qu’App Service Authentication est défini sur Azure App Service
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 9.1 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| L’authentification doit être activée pour les applications App Service | L’authentification Azure App Service est une fonctionnalité qui peut empêcher les requêtes HTTP anonymes d’accéder à l’application web ou authentifier celles ayant des jetons avant qu’elles n’accèdent à l’application web. | AuditIfNotExists, Désactivé | 2.0.1 |
| S’authentifier auprès du module de chiffrement | CMA_0021 – S’authentifier auprès du module de chiffrement | Manuel, désactivé | 1.1.0 |
| Appliquer l’unicité de l’utilisateur | CMA_0250 – Appliquer l’unicité de l’utilisateur | Manuel, désactivé | 1.1.0 |
| L’authentification doit être activée pour les applications de fonction | L’authentification Azure App Service est une fonctionnalité qui peut empêcher les requêtes HTTP anonymes d’accéder à l’application de fonction ou authentifier celles ayant des jetons avant qu’elles n’accèdent à l’application de fonction. | AuditIfNotExists, Désactivé | 3.0.0 |
| Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques | CMA_0507 – Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques | Manuel, désactivé | 1.1.0 |
Vérifier que la version de HTTP est la plus récente si elle est utilisée pour exécuter l’application web
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 9.10 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les applications App Service doivent utiliser la dernière « version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 4.0.0 |
| Les applications de fonctions doivent utiliser la dernière « version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 4.0.0 |
| Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Vérifier que l’application web redirige tout le trafic HTTP vers HTTPS dans Azure App Service
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 9.2 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les applications App Service doivent être accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 4.0.0 |
| Configurer des stations de travail pour rechercher des certificats numériques | CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques | Manuel, désactivé | 1.1.0 |
| Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
| Protéger les mots de passe avec le chiffrement | CMA_0408 – Protéger les mots de passe avec le chiffrement | Manuel, désactivé | 1.1.0 |
Vérifier que l’application web utilise la dernière version du chiffrement TLS
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 9.3 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les applications App Service doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.1.0 |
| Configurer des stations de travail pour rechercher des certificats numériques | CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques | Manuel, désactivé | 1.1.0 |
| Les applications de fonctions doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.1.0 |
| Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
| Protéger les mots de passe avec le chiffrement | CMA_0408 – Protéger les mots de passe avec le chiffrement | Manuel, désactivé | 1.1.0 |
Vérifier que « Certificats clients (certificats clients entrants) » est activé pour l’application web
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 9.4 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Déconseillé] L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications de fonction | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant de certificats valides peuvent accéder à l’application. Cette stratégie a été remplacée par une nouvelle stratégie portant le même nom, car HTTP 2.0 ne prend pas en charge les certificats clients. | Audit, Désactivé | 3.1.0-deprecated |
| L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications App service | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. | AuditIfNotExists, Désactivé | 1.0.0 |
| S’authentifier auprès du module de chiffrement | CMA_0021 – S’authentifier auprès du module de chiffrement | Manuel, désactivé | 1.1.0 |
Vérifier que l’inscription auprès d’Azure Active Directory est activée pour App Service
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 9.5 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les applications App Service doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
| Automatiser la gestion des comptes | CMA_0026 – Automatiser la gestion des comptes | Manuel, désactivé | 1.1.0 |
| Les applications de fonction doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
| Gérer les comptes système et d’administration | CMA_0368 – Gérer les comptes système et d’administration | Manuel, désactivé | 1.1.0 |
| Surveiller l’accès au sein de l’organisation | CMA_0376 – Surveiller l’accès au sein de l’organisation | Manuel, désactivé | 1.1.0 |
| Avertir lorsque le compte n’est pas nécessaire | CMA_0383 – Avertir lorsque le compte n’est pas nécessaire | Manuel, désactivé | 1.1.0 |
Vérifier que la version de .NET Framework est la plus récente si elle est utilisée dans le cadre de l’application web
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 9.6 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Vérifier que la version de PHP est la plus récente si elle est utilisée pour exécuter l’application web
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 9.7 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Vérifier que la version de Python est la plus récente si elle est utilisée pour exécuter l’application web
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 9.8 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Vérifier que la version de Java est la plus récente si elle est utilisée pour exécuter l’application web
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 9.9 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Étapes suivantes
Autres articles sur Azure Policy :
- Présentation de la Conformité réglementaire.
- Voir la structure de la définition d’initiative.
- Passez en revue d’autres exemples de la page Exemples Azure Policy.
- Consultez la page Compréhension des effets de Policy.
- Découvrez comment corriger des ressources non conformes.