Partager via


Détails de l’initiative intégrée Conformité réglementaire pour CMMC Level 3 (Azure Government)

L’article suivant explique en détail comment la définition de l’initiative intégrée Conformité réglementaire Azure Policy est mappée aux domaines de conformité et aux contrôles dans CMMC niveau 3 (Azure Government). Pour plus d’informations sur cette norme de conformité, consultez CMMC niveau 3. Pour comprendre la Propriété, consultez le type de stratégie et la responsabilité partagée dans le cloud.

Les mappages suivants concernent les contrôles CMMC niveau 3. De nombreux contrôles sont mis en œuvre avec la définition d’une initiative Azure Policy. Pour examiner la définition d’initiative complète, ouvrez Stratégie dans le Portail Azure et sélectionnez la page Définitions. Ensuite, recherchez et sélectionnez la définition d’initiative intégrée de conformité réglementaire CMMC niveau 3.

Important

Chaque contrôle ci-dessous est associé à une ou plusieurs définitions Azure Policy. Ces stratégies peuvent vous aider à évaluer la conformité avec le contrôle ; toutefois, il n’existe pas souvent de correspondance un-à-un ou parfaite entre un contrôle et une ou plusieurs stratégies. Ainsi, la conformité dans Azure Policy fait uniquement référence aux définitions de stratégie elles-mêmes ; cela ne garantit pas que vous êtes entièrement conforme à toutes les exigences d’un contrôle. En outre, la norme de conformité comprend des contrôles qui ne sont traités par aucune définition Azure Policy pour l’instant. Par conséquent, la conformité dans Azure Policy n’est qu’une vue partielle de l’état de conformité global. Les associations entre les domaines de conformité, les contrôles et les définitions Azure Policy pour cette norme de conformité peuvent changer au fil du temps. Pour afficher l’historique des changements, consultez l’historique des validations GitHub.

Contrôle d’accès

Restreindre l’accès au système d’information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes d’information).

ID : CMMC L3 AC.1.001 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Le débogage à distance doit être désactivé pour les applications App Service Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0
Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. AuditIfNotExists, Désactivé 2.0.0
Les ressources Azure AI Services doivent limiter l’accès réseau En limitant l’accès réseau, vous pouvez vous assurer que seuls les réseaux autorisés peuvent accéder au service. Pour ce faire, configurez des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder au service Azure AI. Audit, Refuser, Désactivé 3.2.0
Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. AuditIfNotExists, Désactivé 1.0.0
Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. AuditIfNotExists, Désactivé 1.0.0
Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint Par défaut, les registres de conteneurs Azure acceptent les connexions via Internet à partir d’hôtes situés sur n’importe quel réseau. Pour protéger vos registres des menaces potentielles, autorisez l’accès uniquement à partir de points de terminaison privés, d’adresses ou de plages d’adresses IP publiques spécifiques. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. Découvrez plus en détail les règles réseau de Container Registry ici : https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network et https://aka.ms/acr/vnet. Audit, Refuser, Désactivé 2.0.0
Le débogage à distance doit être désactivé pour les applications de fonctions Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0
Les applications de fonctions ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. AuditIfNotExists, Désactivé 2.0.0
Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. AuditIfNotExists, Désactivé 1.0.0
Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. AuditIfNotExists, Désactivé 1.0.0
Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. AuditIfNotExists, Désactivé 1.0.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
L’accès au réseau public sur Azure SQL Database doit être désactivé Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. Audit, Refuser, Désactivé 1.1.0
Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes Pour fournir un filtrage précis des actions que les utilisateurs peuvent effectuer, utilisez le contrôle d’accès en fonction du rôle (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurez les stratégies d’autorisation appropriées. Audit, Désactivé 1.0.4
Les comptes de stockage doivent autoriser l’accès à partir des services Microsoft approuvés Certains services Microsoft qui interagissent avec les comptes de stockage fonctionnent à partir de réseaux qui ne peuvent pas obtenir l’accès par le biais des règles de réseau. Pour que ce type de service fonctionne comme prévu, autorisez l’ensemble des services Microsoft approuvés à contourner les règles de réseau. Ces services utilisent alors une authentification forte pour accéder au compte de stockage. Audit, Refuser, Désactivé 1.0.0
Les comptes de stockage doivent limiter l’accès réseau L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. Audit, Refuser, Désactivé 1.1.1

Restreindre l’accès au système d’information aux types de transactions et de fonctions que les utilisateurs autorisés sont autorisés à exécuter.

ID : CMMC L3 AC.1.002 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. AuditIfNotExists, Désactivé 2.0.0
Les applications App Service doivent être accessibles uniquement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 4.0.0
Les ressources Azure AI Services doivent limiter l’accès réseau En limitant l’accès réseau, vous pouvez vous assurer que seuls les réseaux autorisés peuvent accéder au service. Pour ce faire, configurez des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder au service Azure AI. Audit, Refuser, Désactivé 3.2.0
Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint Par défaut, les registres de conteneurs Azure acceptent les connexions via Internet à partir d’hôtes situés sur n’importe quel réseau. Pour protéger vos registres des menaces potentielles, autorisez l’accès uniquement à partir de points de terminaison privés, d’adresses ou de plages d’adresses IP publiques spécifiques. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. Découvrez plus en détail les règles réseau de Container Registry ici : https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network et https://aka.ms/acr/vnet. Audit, Refuser, Désactivé 2.0.0
L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
Les applications de fonctions ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. AuditIfNotExists, Désactivé 2.0.0
Les applications Function App ne doivent être accessibles que via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 5.0.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). Audit, Refuser, Désactivé 1.0.0
L’accès au réseau public sur Azure SQL Database doit être désactivé Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. Audit, Refuser, Désactivé 1.1.0
Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes Pour fournir un filtrage précis des actions que les utilisateurs peuvent effectuer, utilisez le contrôle d’accès en fonction du rôle (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurez les stratégies d’autorisation appropriées. Audit, Désactivé 1.0.4
La sécurisation du transfert vers des comptes de stockage doit être activée Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) Audit, Refuser, Désactivé 2.0.0
Les comptes de stockage doivent autoriser l’accès à partir des services Microsoft approuvés Certains services Microsoft qui interagissent avec les comptes de stockage fonctionnent à partir de réseaux qui ne peuvent pas obtenir l’accès par le biais des règles de réseau. Pour que ce type de service fonctionne comme prévu, autorisez l’ensemble des services Microsoft approuvés à contourner les règles de réseau. Ces services utilisent alors une authentification forte pour accéder au compte de stockage. Audit, Refuser, Désactivé 1.0.0
Les comptes de stockage doivent limiter l’accès réseau L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. Audit, Refuser, Désactivé 1.1.1

Vérifier et contrôler/limiter les connexions aux systèmes d’information externes, ainsi que leur utilisation.

ID : CMMC L3 AC.1.003 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0

Utiliser le principe des privilèges minimum, y compris pour des fonctions de sécurité et des comptes privilégiés spécifiques.

ID : CMMC L3 AC.2.007 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. AuditIfNotExists, Désactivé 1.0.0
Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. AuditIfNotExists, Désactivé 1.0.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes Pour fournir un filtrage précis des actions que les utilisateurs peuvent effectuer, utilisez le contrôle d’accès en fonction du rôle (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurez les stratégies d’autorisation appropriées. Audit, Désactivé 1.0.4

Superviser et contrôler les sessions d’accès à distance.

ID : CMMC L3 AC.2.013 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Le débogage à distance doit être désactivé pour les applications App Service Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0
Le débogage à distance doit être désactivé pour les applications de fonctions Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
Network Watcher doit être activé Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. AuditIfNotExists, Désactivé 3.0.0
Les comptes de stockage doivent limiter l’accès réseau L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. Audit, Refuser, Désactivé 1.1.1

Contrôler le flux de CUI conformément aux autorisations approuvées.

ID : CMMC L3 AC.2.016 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les ressources Azure AI Services doivent limiter l’accès réseau En limitant l’accès réseau, vous pouvez vous assurer que seuls les réseaux autorisés peuvent accéder au service. Pour ce faire, configurez des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder au service Azure AI. Audit, Refuser, Désactivé 3.2.0
Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint Par défaut, les registres de conteneurs Azure acceptent les connexions via Internet à partir d’hôtes situés sur n’importe quel réseau. Pour protéger vos registres des menaces potentielles, autorisez l’accès uniquement à partir de points de terminaison privés, d’adresses ou de plages d’adresses IP publiques spécifiques. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. Découvrez plus en détail les règles réseau de Container Registry ici : https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network et https://aka.ms/acr/vnet. Audit, Refuser, Désactivé 2.0.0
Les applications de fonctions ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. AuditIfNotExists, Désactivé 2.0.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
L’accès au réseau public sur Azure SQL Database doit être désactivé Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. Audit, Refuser, Désactivé 1.1.0
Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes Pour fournir un filtrage précis des actions que les utilisateurs peuvent effectuer, utilisez le contrôle d’accès en fonction du rôle (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurez les stratégies d’autorisation appropriées. Audit, Désactivé 1.0.4
Les comptes de stockage doivent limiter l’accès réseau L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. Audit, Refuser, Désactivé 1.1.1

Séparer les tâches des individus pour réduire le risque d’activité malveillante sans collusion.

ID : CMMC L3 AC.3.017 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
3 propriétaires maximum doivent être désignés pour votre abonnement Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. AuditIfNotExists, Désactivé 3.0.0
Plusieurs propriétaires doivent être attribués à votre abonnement Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur. AuditIfNotExists, Désactivé 3.0.0

Empêcher les utilisateurs non privilégiés d’exécuter des fonctions privilégiées et de capturer l’exécution de ces fonctions dans les journaux d’audit.

ID : CMMC L3 AC.3.018 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 1.0.0
Auditer l’utilisation des rôles RBAC personnalisés Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces Audit, Désactivé 1.0.1

Autoriser l’exécution à distance des commandes privilégiées et l’accès à distance aux informations relatives à la sécurité.

ID : CMMC L3 AC.3.021 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 1.0.0
Une alerte de journal d’activité doit exister pour des opérations de sécurité spécifiques Cette stratégie audite des opérations de sécurité spécifiques sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 1.0.0
L’extension Guest Configuration doit être installée sur vos machines Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. AuditIfNotExists, Désactivé 1.0.2
L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol AuditIfNotExists, Désactivé 1.0.1

Audit et responsabilité

Vérifier que les actions de chaque utilisateur du système peuvent être suivies et mises en correspondance avec les utilisateurs en question afin qu’ils puissent être tenus responsables de leurs actions.

ID : CMMC L3 AU.2.041 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : L’extension Log Analytics doit être activée pour les images de machine virtuelle listées Signale les machines virtuelles comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée. AuditIfNotExists, Désactivé 2.0.1-preview
Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 1.0.0
Une alerte de journal d’activité doit exister pour des opérations de stratégie spécifiques Cette stratégie audite toute opération de stratégie spécifique sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 3.0.0
Une alerte de journal d’activité doit exister pour des opérations de sécurité spécifiques Cette stratégie audite des opérations de sécurité spécifiques sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 1.0.0
Auditez le paramètre de diagnostic pour les types de ressources sélectionnés Auditez le paramètre de diagnostic pour les types de ressources sélectionnés. Assurez-vous que vous sélectionnez uniquement des types de ressources qui prennent en charge les paramètres de diagnostic. AuditIfNotExists 2.0.1
L’audit sur SQL Server doit être activé L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. AuditIfNotExists, Désactivé 2.0.0
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés Auditer les serveurs SQL sans Advanced Data Security AuditIfNotExists, Désactivé 2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2
Le profil de journal Azure Monitor doit collecter des journaux pour les catégories « écriture », « suppression » et « action » Cette stratégie garantit qu’un profil de journal collecte les journaux pour les catégories « write », « delete » et « action » AuditIfNotExists, Désactivé 1.0.0
Azure Monitor doit collecter les journaux d’activité dans toutes les régions Cette stratégie effectue l’audit du profil de journal Azure Monitor qui n’exporte pas d’activités à partir de toutes les régions Azure prises en charge, notamment la région globale. AuditIfNotExists, Désactivé 2.0.0
Les abonnements Azure doivent avoir un profil de journal pour le journal d’activité Cette stratégie garantit l’activation d’un profil de journal pour l’exportation des journaux d’activité. Elle vérifie si aucun profil de journal n’a été créé pour exporter les journaux vers un compte de stockage ou un hub d’événements. AuditIfNotExists, Désactivé 1.0.0
L’extension Log Analytics doit être activée dans les groupes de machines virtuelles identiques pour les images de machines virtuelles listées Signale que les groupes de machines virtuelles identiques ne sont pas conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée. AuditIfNotExists, Désactivé 2.0.1
L’extension Log Analytics doit être installée sur Virtual Machine Scale Sets Cette stratégie audite les groupes de machines virtuelles identiques Windows/Linux si l’extension Log Analytics n’est pas installée. AuditIfNotExists, Désactivé 1.0.1
Les machines virtuelles doivent être connectées à un espace de travail spécifié Les machines virtuelles dont la journalisation ne s’effectue pas sur l’espace de travail Log Analytics spécifié dans l’attribution de stratégie/d’initiative sont signalées comme non conformes. AuditIfNotExists, Désactivé 1.1.0
L’extension Log Analytics doit être installée sur les machines virtuelles Cette stratégie audite toutes les machines virtuelles Windows/Linux si l’extension Log Analytics n’est pas installée. AuditIfNotExists, Désactivé 1.0.1

Créer et conserver les journaux d’audit système et les enregistrements de façon à pouvoir activer la supervision, l’analyse, l’investigation et la création de rapports concernant l’activité système non légale ou non autorisée.

ID : CMMC L3 AU.2.042 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : L’extension Log Analytics doit être activée pour les images de machine virtuelle listées Signale les machines virtuelles comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée. AuditIfNotExists, Désactivé 2.0.1-preview
Le journal d’activité doit être conservé pendant au moins un an Cette stratégie audite le journal d’activité si la conservation n’est pas définie sur 365 jours ou sur toujours (jours de conservation définis sur 0). AuditIfNotExists, Désactivé 1.0.0
Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 1.0.0
Une alerte de journal d’activité doit exister pour des opérations de stratégie spécifiques Cette stratégie audite toute opération de stratégie spécifique sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 3.0.0
Une alerte de journal d’activité doit exister pour des opérations de sécurité spécifiques Cette stratégie audite des opérations de sécurité spécifiques sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 1.0.0
Auditez le paramètre de diagnostic pour les types de ressources sélectionnés Auditez le paramètre de diagnostic pour les types de ressources sélectionnés. Assurez-vous que vous sélectionnez uniquement des types de ressources qui prennent en charge les paramètres de diagnostic. AuditIfNotExists 2.0.1
L’audit sur SQL Server doit être activé L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. AuditIfNotExists, Désactivé 2.0.0
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés Auditer les serveurs SQL sans Advanced Data Security AuditIfNotExists, Désactivé 2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2
Azure Monitor doit collecter les journaux d’activité dans toutes les régions Cette stratégie effectue l’audit du profil de journal Azure Monitor qui n’exporte pas d’activités à partir de toutes les régions Azure prises en charge, notamment la région globale. AuditIfNotExists, Désactivé 2.0.0
Les abonnements Azure doivent avoir un profil de journal pour le journal d’activité Cette stratégie garantit l’activation d’un profil de journal pour l’exportation des journaux d’activité. Elle vérifie si aucun profil de journal n’a été créé pour exporter les journaux vers un compte de stockage ou un hub d’événements. AuditIfNotExists, Désactivé 1.0.0
L’extension Log Analytics doit être activée dans les groupes de machines virtuelles identiques pour les images de machines virtuelles listées Signale que les groupes de machines virtuelles identiques ne sont pas conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée. AuditIfNotExists, Désactivé 2.0.1
L’extension Log Analytics doit être installée sur Virtual Machine Scale Sets Cette stratégie audite les groupes de machines virtuelles identiques Windows/Linux si l’extension Log Analytics n’est pas installée. AuditIfNotExists, Désactivé 1.0.1
Les machines virtuelles doivent être connectées à un espace de travail spécifié Les machines virtuelles dont la journalisation ne s’effectue pas sur l’espace de travail Log Analytics spécifié dans l’attribution de stratégie/d’initiative sont signalées comme non conformes. AuditIfNotExists, Désactivé 1.1.0
L’extension Log Analytics doit être installée sur les machines virtuelles Cette stratégie audite toutes les machines virtuelles Windows/Linux si l’extension Log Analytics n’est pas installée. AuditIfNotExists, Désactivé 1.0.1

Alerter en cas d’échec du processus de journalisation d’audit.

ID : CMMC L3 AU.3.046 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : L’extension Log Analytics doit être activée pour les images de machine virtuelle listées Signale les machines virtuelles comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée. AuditIfNotExists, Désactivé 2.0.1-preview
Auditez le paramètre de diagnostic pour les types de ressources sélectionnés Auditez le paramètre de diagnostic pour les types de ressources sélectionnés. Assurez-vous que vous sélectionnez uniquement des types de ressources qui prennent en charge les paramètres de diagnostic. AuditIfNotExists 2.0.1
L’audit sur SQL Server doit être activé L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. AuditIfNotExists, Désactivé 2.0.0
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés Auditer les serveurs SQL sans Advanced Data Security AuditIfNotExists, Désactivé 2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2
L’extension Log Analytics doit être activée dans les groupes de machines virtuelles identiques pour les images de machines virtuelles listées Signale que les groupes de machines virtuelles identiques ne sont pas conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée. AuditIfNotExists, Désactivé 2.0.1
Les machines virtuelles doivent être connectées à un espace de travail spécifié Les machines virtuelles dont la journalisation ne s’effectue pas sur l’espace de travail Log Analytics spécifié dans l’attribution de stratégie/d’initiative sont signalées comme non conformes. AuditIfNotExists, Désactivé 1.1.0

Collecter les informations d’audit (par exemple, les journaux) dans un ou plusieurs dépôts centraux.

ID : CMMC L3 AU.3.048 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : L’extension Log Analytics doit être activée pour les images de machine virtuelle listées Signale les machines virtuelles comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée. AuditIfNotExists, Désactivé 2.0.1-preview
Les applications App Service doivent avoir activé les journaux des ressources Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 2.0.1
Auditez le paramètre de diagnostic pour les types de ressources sélectionnés Auditez le paramètre de diagnostic pour les types de ressources sélectionnés. Assurez-vous que vous sélectionnez uniquement des types de ressources qui prennent en charge les paramètres de diagnostic. AuditIfNotExists 2.0.1
L’extension Log Analytics doit être activée dans les groupes de machines virtuelles identiques pour les images de machines virtuelles listées Signale que les groupes de machines virtuelles identiques ne sont pas conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée. AuditIfNotExists, Désactivé 2.0.1
L’extension Log Analytics doit être installée sur Virtual Machine Scale Sets Cette stratégie audite les groupes de machines virtuelles identiques Windows/Linux si l’extension Log Analytics n’est pas installée. AuditIfNotExists, Désactivé 1.0.1
Les machines virtuelles doivent être connectées à un espace de travail spécifié Les machines virtuelles dont la journalisation ne s’effectue pas sur l’espace de travail Log Analytics spécifié dans l’attribution de stratégie/d’initiative sont signalées comme non conformes. AuditIfNotExists, Désactivé 1.1.0
L’extension Log Analytics doit être installée sur les machines virtuelles Cette stratégie audite toutes les machines virtuelles Windows/Linux si l’extension Log Analytics n’est pas installée. AuditIfNotExists, Désactivé 1.0.1

Protéger les informations et les outils de journalisation des audits contre tout accès, modification et suppression non autorisés.

ID : CMMC L3 AU.3.049 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Une alerte de journal d’activité doit exister pour des opérations de stratégie spécifiques Cette stratégie audite toute opération de stratégie spécifique sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 3.0.0
Auditez le paramètre de diagnostic pour les types de ressources sélectionnés Auditez le paramètre de diagnostic pour les types de ressources sélectionnés. Assurez-vous que vous sélectionnez uniquement des types de ressources qui prennent en charge les paramètres de diagnostic. AuditIfNotExists 2.0.1

Évaluation de la sécurité

Évaluer périodiquement les contrôles de sécurité dans les systèmes d’entreprise afin de déterminer s’ils sont efficaces dans leur application.

ID : CMMC L3 CA.2.158 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Une alerte de journal d’activité doit exister pour des opérations de sécurité spécifiques Cette stratégie audite des opérations de sécurité spécifiques sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 1.0.0
L’audit sur SQL Server doit être activé L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. AuditIfNotExists, Désactivé 2.0.0
Le niveau tarifaire standard Security Center doit être sélectionné Le niveau tarifaire standard permet la détection des menaces sur les réseaux et les machines virtuelles, en fournissant des fonctions de renseignement sur les menaces, la détection d’anomalies et l’analytique de comportement dans Azure Security Center Audit, Désactivé 1.1.0
L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. AuditIfNotExists, Désactivé 1.0.1
L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. AuditIfNotExists, Désactivé 3.0.0

Superviser les contrôles de sécurité de façon continue pour garantir l’efficacité continue des contrôles.

ID : CMMC L3 CA.3.161 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Une alerte de journal d’activité doit exister pour des opérations de sécurité spécifiques Cette stratégie audite des opérations de sécurité spécifiques sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 1.0.0
L’audit sur SQL Server doit être activé L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. AuditIfNotExists, Désactivé 2.0.0
Le niveau tarifaire standard Security Center doit être sélectionné Le niveau tarifaire standard permet la détection des menaces sur les réseaux et les machines virtuelles, en fournissant des fonctions de renseignement sur les menaces, la détection d’anomalies et l’analytique de comportement dans Azure Security Center Audit, Désactivé 1.1.0
L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. AuditIfNotExists, Désactivé 1.0.1
L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. AuditIfNotExists, Désactivé 3.0.0

Gestion de la configuration

Établir et gérer les configurations de référence et les inventaires des systèmes d’entreprise (y compris le matériel, les logiciels, les microprogrammes et la documentation) tout au long de leur cycle de vie de développement système.

ID : CMMC L3 CM.2.061 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Une alerte de journal d’activité doit exister pour des opérations de stratégie spécifiques Cette stratégie audite toute opération de stratégie spécifique sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 3.0.0

Utiliser le principe des fonctionnalités minimum en configurant des systèmes d’entreprise de manière à fournir uniquement des fonctionnalités essentielles.

ID : CMMC L3 CM.2.062 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes Pour fournir un filtrage précis des actions que les utilisateurs peuvent effectuer, utilisez le contrôle d’accès en fonction du rôle (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurez les stratégies d’autorisation appropriées. Audit, Désactivé 1.0.4

Contrôler et superviser les logiciels installés par l’utilisateur.

ID : CMMC L3 CM.2.063 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Le niveau tarifaire standard Security Center doit être sélectionné Le niveau tarifaire standard permet la détection des menaces sur les réseaux et les machines virtuelles, en fournissant des fonctions de renseignement sur les menaces, la détection d’anomalies et l’analytique de comportement dans Azure Security Center Audit, Désactivé 1.1.0

Établir et appliquer des paramètres de configuration de sécurité pour les produits informatiques utilisés dans les systèmes d’entreprise.

ID : CMMC L3 CM.2.064 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. AuditIfNotExists, Désactivé 3.0.0
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés Auditer les serveurs SQL sans Advanced Data Security AuditIfNotExists, Désactivé 2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2
Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 1.0.2
Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 2.0.0
Le pare-feu d’applications web (WAF) doit utiliser le mode spécifié pour Application Gateway Impose l’utilisation du mode de « détection » ou de « blocage » pour être actif sur toutes les stratégies de pare-feu d’applications web pour Application Gateway. Audit, Refuser, Désactivé 1.0.0
Le pare-feu d’applications web (WAF) doit utiliser le mode spécifié pour Azure Front Door Service Impose l’utilisation du mode de « détection » ou de « blocage » pour être actif sur toutes les stratégies de pare-feu d’applications web pour Azure Front Door Service. Audit, Refuser, Désactivé 1.0.0

Suivre, vérifier, approuver ou désapprouver, et journaliser les modifications apportées aux systèmes d’entreprise.

ID : CMMC L3 CM.2.065 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 1.0.0
Une alerte de journal d’activité doit exister pour des opérations de stratégie spécifiques Cette stratégie audite toute opération de stratégie spécifique sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 3.0.0
Une alerte de journal d’activité doit exister pour des opérations de sécurité spécifiques Cette stratégie audite des opérations de sécurité spécifiques sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 1.0.0
Azure Monitor doit collecter les journaux d’activité dans toutes les régions Cette stratégie effectue l’audit du profil de journal Azure Monitor qui n’exporte pas d’activités à partir de toutes les régions Azure prises en charge, notamment la région globale. AuditIfNotExists, Désactivé 2.0.0
Les abonnements Azure doivent avoir un profil de journal pour le journal d’activité Cette stratégie garantit l’activation d’un profil de journal pour l’exportation des journaux d’activité. Elle vérifie si aucun profil de journal n’a été créé pour exporter les journaux vers un compte de stockage ou un hub d’événements. AuditIfNotExists, Désactivé 1.0.0

Limiter, désactiver ou empêcher l’utilisation de programmes, fonctions, ports, protocoles et services non essentiels.

ID : CMMC L3 CM.3.068 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. AuditIfNotExists, Désactivé 3.0.0
Le débogage à distance doit être désactivé pour les applications App Service Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0
Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. AuditIfNotExists, Désactivé 2.0.0
Les ressources Azure AI Services doivent limiter l’accès réseau En limitant l’accès réseau, vous pouvez vous assurer que seuls les réseaux autorisés peuvent accéder au service. Pour ce faire, configurez des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder au service Azure AI. Audit, Refuser, Désactivé 3.2.0
Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint Par défaut, les registres de conteneurs Azure acceptent les connexions via Internet à partir d’hôtes situés sur n’importe quel réseau. Pour protéger vos registres des menaces potentielles, autorisez l’accès uniquement à partir de points de terminaison privés, d’adresses ou de plages d’adresses IP publiques spécifiques. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. Découvrez plus en détail les règles réseau de Container Registry ici : https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network et https://aka.ms/acr/vnet. Audit, Refuser, Désactivé 2.0.0
Le débogage à distance doit être désactivé pour les applications de fonctions Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0
Les applications de fonctions ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. AuditIfNotExists, Désactivé 2.0.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
L’accès au réseau public sur Azure SQL Database doit être désactivé Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. Audit, Refuser, Désactivé 1.1.0
Les comptes de stockage doivent limiter l’accès réseau L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. Audit, Refuser, Désactivé 1.1.1
les sous-réseaux doivent être associés à un groupe de sécurité réseau Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. AuditIfNotExists, Désactivé 3.0.0

Identification et authentification

Authentifier (ou vérifier) les identités des utilisateurs, des processus ou des appareils, comme condition préalable à l’autorisation de l’accès aux systèmes d’information de l’organisation.

ID : CMMC L3 IA.1.077 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0

Utiliser l’authentification multifacteur pour l’accès local et réseau aux comptes privilégiés et pour l’accès réseau aux comptes non privilégiés.

ID : CMMC L3 IA.3.083 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0

Utiliser des mécanismes d’authentification capables d’offrir une protection contre les attaques par rejeu pour l’accès réseau aux comptes privilégiés et non privilégiés.

ID : CMMC L3 IA.3.084 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Les applications App Service doivent être accessibles uniquement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 4.0.0
Les applications App Service doivent utiliser la dernière version du protocole TLS Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 2.1.0
Les applications Function App ne doivent être accessibles que via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 5.0.0
Les applications de fonctions doivent utiliser la dernière version TLS Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 2.1.0

Réponse aux incidents

Établir une fonctionnalité de gestion des incidents opérationnels pour les systèmes d’entreprise qui comprend des activités de préparation, de détection, d’analyse, de contenance, de récupération et de réponse utilisateur.

ID : CMMC L3 IR.2.092 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La notification par e-mail pour les alertes à gravité élevée doit être activée Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. AuditIfNotExists, Désactivé 1.0.1
La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. AuditIfNotExists, Désactivé 2.0.0
Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. AuditIfNotExists, Désactivé 1.0.1

Détecter et signaler des événements.

ID : CMMC L3 IR.2.093 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Une alerte de journal d’activité doit exister pour des opérations de sécurité spécifiques Cette stratégie audite des opérations de sécurité spécifiques sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 1.0.0
Azure Defender pour les serveurs Azure SQL Database doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 1.0.2
La notification par e-mail pour les alertes à gravité élevée doit être activée Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. AuditIfNotExists, Désactivé 1.0.1
Les journaux de flux doivent être configurés pour chaque groupe de sécurité réseau Auditez les groupes de sécurité réseau pour vérifier si les journaux de flux sont configurés. Activer les journaux de flux permet de consigner des informations sur le trafic IP circulant dans un groupe de sécurité réseau. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc. Audit, Désactivé 1.1.0
Microsoft Defender pour les conteneurs doit être activé Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour le stockage (classique) doit être activé Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. AuditIfNotExists, Désactivé 1.0.4
Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 2.0.0
Le pare-feu d’applications web (WAF) doit utiliser le mode spécifié pour Application Gateway Impose l’utilisation du mode de « détection » ou de « blocage » pour être actif sur toutes les stratégies de pare-feu d’applications web pour Application Gateway. Audit, Refuser, Désactivé 1.0.0
Le pare-feu d’applications web (WAF) doit utiliser le mode spécifié pour Azure Front Door Service Impose l’utilisation du mode de « détection » ou de « blocage » pour être actif sur toutes les stratégies de pare-feu d’applications web pour Azure Front Door Service. Audit, Refuser, Désactivé 1.0.0

Récupération

Exécuter et tester régulièrement des sauvegardes de données.

ID : CMMC L3 RE.2.137 Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée Auditez les machines virtuelles configurées sans reprise d’activité. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc. auditIfNotExists 1.0.0
La sauvegarde Azure doit être activée pour les machines virtuelles Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. AuditIfNotExists, Désactivé 3.0.0
La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
La sauvegarde géoredondante à long terme doit être activée pour les bases de données Azure SQL Cette stratégie permet d’effectuer un audit d’une base de données Azure SQL Database si la sauvegarde géoredondante à long terme n’est pas activée. AuditIfNotExists, Désactivé 2.0.0

Effectuer régulièrement des sauvegardes de données complètes et résilientes, tel que défini par l’organisation.

ID : CMMC L3 RE.3.139 Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée Auditez les machines virtuelles configurées sans reprise d’activité. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc. auditIfNotExists 1.0.0
La sauvegarde Azure doit être activée pour les machines virtuelles Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. AuditIfNotExists, Désactivé 3.0.0
La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
La sauvegarde géoredondante à long terme doit être activée pour les bases de données Azure SQL Cette stratégie permet d’effectuer un audit d’une base de données Azure SQL Database si la sauvegarde géoredondante à long terme n’est pas activée. AuditIfNotExists, Désactivé 2.0.0

Évaluation des risques

Évaluer périodiquement les risques liés aux opérations organisationnelles (notamment la mission, les fonctions, l’image ou la réputation), aux ressources organisationnelles et aux individus, résultant du fonctionnement des systèmes d’entreprise ainsi que du traitement, du stockage et de la transmission d’informations CUI associés.

ID : CMMC L3 RM.2.141 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Azure Defender pour les serveurs Azure SQL Database doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés Auditer les serveurs SQL sans Advanced Data Security AuditIfNotExists, Désactivé 2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2
Microsoft Defender pour les conteneurs doit être activé Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour le stockage (classique) doit être activé Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. AuditIfNotExists, Désactivé 1.0.4
Le niveau tarifaire standard Security Center doit être sélectionné Le niveau tarifaire standard permet la détection des menaces sur les réseaux et les machines virtuelles, en fournissant des fonctions de renseignement sur les menaces, la détection d’anomalies et l’analytique de comportement dans Azure Security Center Audit, Désactivé 1.1.0
L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. AuditIfNotExists, Désactivé 1.0.1
L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. AuditIfNotExists, Désactivé 3.0.0

Rechercher régulièrement les vulnérabilités dans les applications et les systèmes de l’organisation et quand de nouvelles vulnérabilités affectant ces systèmes et applications sont identifiées.

ID : CMMC L3 RM.2.142 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Azure Defender pour les serveurs Azure SQL Database doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés Auditer les serveurs SQL sans Advanced Data Security AuditIfNotExists, Désactivé 2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2
Microsoft Defender pour les conteneurs doit être activé Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour le stockage (classique) doit être activé Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. AuditIfNotExists, Désactivé 1.0.4
Le niveau tarifaire standard Security Center doit être sélectionné Le niveau tarifaire standard permet la détection des menaces sur les réseaux et les machines virtuelles, en fournissant des fonctions de renseignement sur les menaces, la détection d’anomalies et l’analytique de comportement dans Azure Security Center Audit, Désactivé 1.1.0
L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. AuditIfNotExists, Désactivé 1.0.1
L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. AuditIfNotExists, Désactivé 3.0.0

Corriger les vulnérabilités conformément aux évaluations des risques.

ID : CMMC L3 RM.2.143 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Azure Defender pour les serveurs Azure SQL Database doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés Auditer les serveurs SQL sans Advanced Data Security AuditIfNotExists, Désactivé 2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2
Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes Mettez à niveau votre cluster Kubernetes Services vers une version ultérieure de Kubernetes pour le protéger des vulnérabilités connues de votre version Kubernetes actuelle. La vulnérabilité CVE-2019-9946 a été corrigée dans Kubernetes versions 1.11.9+, 1.12.7+, 1.13.5+ et 1.14.0+ Audit, Désactivé 1.0.2
Microsoft Defender pour les conteneurs doit être activé Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour le stockage (classique) doit être activé Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. AuditIfNotExists, Désactivé 1.0.4
Le niveau tarifaire standard Security Center doit être sélectionné Le niveau tarifaire standard permet la détection des menaces sur les réseaux et les machines virtuelles, en fournissant des fonctions de renseignement sur les menaces, la détection d’anomalies et l’analytique de comportement dans Azure Security Center Audit, Désactivé 1.1.0
Les résultats des vulnérabilités des bases de données SQL doivent être résolus Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. AuditIfNotExists, Désactivé 4.1.0
Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.1.0
L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. AuditIfNotExists, Désactivé 1.0.1
L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. AuditIfNotExists, Désactivé 3.0.0

Gestion des risques

Effectuer régulièrement des évaluations des risques pour identifier et hiérarchiser les risques en fonction des catégories de risques définies, des sources de risques et des critères de mesure des risques.

ID : CMMC L3 RM.3.144 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Azure Defender pour les serveurs Azure SQL Database doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Microsoft Defender pour les conteneurs doit être activé Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour le stockage (classique) doit être activé Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. AuditIfNotExists, Désactivé 1.0.4
Le niveau tarifaire standard Security Center doit être sélectionné Le niveau tarifaire standard permet la détection des menaces sur les réseaux et les machines virtuelles, en fournissant des fonctions de renseignement sur les menaces, la détection d’anomalies et l’analytique de comportement dans Azure Security Center Audit, Désactivé 1.1.0

Protection du système et des communications

Superviser, contrôler et protéger les communications (c’est-à-dire les informations transmises ou reçues par les systèmes de l’organisation) aux limites externes et aux limites internes clés des systèmes de l’organisation.

ID : CMMC L3 SC.1.175 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. AuditIfNotExists, Désactivé 3.0.0
Les applications App Service doivent être accessibles uniquement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 4.0.0
Les applications App Service doivent utiliser la dernière version du protocole TLS Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 2.1.0
Les ressources Azure AI Services doivent limiter l’accès réseau En limitant l’accès réseau, vous pouvez vous assurer que seuls les réseaux autorisés peuvent accéder au service. Pour ce faire, configurez des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder au service Azure AI. Audit, Refuser, Désactivé 3.2.0
Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 1.0.2
Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint Par défaut, les registres de conteneurs Azure acceptent les connexions via Internet à partir d’hôtes situés sur n’importe quel réseau. Pour protéger vos registres des menaces potentielles, autorisez l’accès uniquement à partir de points de terminaison privés, d’adresses ou de plages d’adresses IP publiques spécifiques. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. Découvrez plus en détail les règles réseau de Container Registry ici : https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network et https://aka.ms/acr/vnet. Audit, Refuser, Désactivé 2.0.0
Les journaux de flux doivent être configurés pour chaque groupe de sécurité réseau Auditez les groupes de sécurité réseau pour vérifier si les journaux de flux sont configurés. Activer les journaux de flux permet de consigner des informations sur le trafic IP circulant dans un groupe de sécurité réseau. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc. Audit, Désactivé 1.1.0
Les applications Function App ne doivent être accessibles que via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 5.0.0
Les applications de fonctions doivent utiliser la dernière version TLS Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 2.1.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
Network Watcher doit être activé Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. AuditIfNotExists, Désactivé 3.0.0
Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). Audit, Refuser, Désactivé 1.0.0
L’accès au réseau public sur Azure SQL Database doit être désactivé Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. Audit, Refuser, Désactivé 1.1.0
La sécurisation du transfert vers des comptes de stockage doit être activée Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) Audit, Refuser, Désactivé 2.0.0
Les comptes de stockage doivent limiter l’accès réseau L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. Audit, Refuser, Désactivé 1.1.1
Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 2.0.0
Le pare-feu d’applications web (WAF) doit utiliser le mode spécifié pour Application Gateway Impose l’utilisation du mode de « détection » ou de « blocage » pour être actif sur toutes les stratégies de pare-feu d’applications web pour Application Gateway. Audit, Refuser, Désactivé 1.0.0
Le pare-feu d’applications web (WAF) doit utiliser le mode spécifié pour Azure Front Door Service Impose l’utilisation du mode de « détection » ou de « blocage » pour être actif sur toutes les stratégies de pare-feu d’applications web pour Azure Front Door Service. Audit, Refuser, Désactivé 1.0.0

Implémenter des sous-réseaux pour les composants système accessibles publiquement qui sont physiquement ou logiquement séparés des réseaux internes.

ID : CMMC L3 SC.1.176 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. AuditIfNotExists, Désactivé 3.0.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Les comptes de stockage doivent limiter l’accès réseau L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. Audit, Refuser, Désactivé 1.1.1
les sous-réseaux doivent être associés à un groupe de sécurité réseau Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. AuditIfNotExists, Désactivé 3.0.0

Utiliser des sessions chiffrées pour la gestion des périphériques réseau.

ID : CMMC L3 SC.2.179 Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0

Utiliser le chiffrement validé FIPS quand il est utilisé pour protéger la confidentialité d’informations CUI.

ID : CMMC L3 SC.3.177 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les variables de compte Automation doivent être chiffrées Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles Audit, Refuser, Désactivé 1.1.0
Les ressources Azure AI Services doivent chiffrer les données au repos avec une clé gérée par le client (CMK) L’utilisation de clés gérées par le client pour chiffrer les données au repos offre un meilleur contrôle sur le cycle de vie des clés, notamment la rotation et la gestion. Cela est particulièrement pertinent pour les organisations ayant des exigences de conformité associées. Cela n’est pas évalué par défaut et doit être appliqué uniquement en cas d’exigences de stratégie restrictives ou de conformité. Si cette option n’est pas activée, les données sont chiffrées à l’aide de clés gérées par la plateforme. Pour implémenter cela, mettez à jour le paramètre « Effet » dans la stratégie de sécurité pour l’étendue applicable. Audit, Refuser, Désactivé 2.2.0
Les travaux Azure Data Box doivent activer le chiffrement double pour les données au repos sur l’appareil Activez une deuxième couche de chiffrement basé sur un logiciel pour les données au repos sur l’appareil. L’appareil est déjà protégé par un chiffrement Advanced Encryption Standard 256 bits pour les données au repos. Cette option ajoute une deuxième couche de chiffrement des données. Audit, Refuser, Désactivé 1.0.0
Le chiffrement au repos Azure Data Explorer doit utiliser une clé gérée par le client Le fait d’activer le chiffrement au repos à l’aide d’une clé gérée par le client dans votre cluster Azure Data Explorer vous offre un contrôle supplémentaire sur cette clé. Cette fonctionnalité est souvent utilisée par les clients qui ont des exigences particulières au niveau de la conformité. Par ailleurs, elle nécessite un coffre de clés pour la gestion des clés. Audit, Refuser, Désactivé 1.0.0
Les travaux de Azure Stream Analytics doivent utiliser des clés gérées par le client pour chiffrer les données Utilisez des clés gérées par le client pour stocker de manière sécurisée les ressources de métadonnées et de données privées de vos travaux Stream Analytics dans votre compte de stockage. Cela vous permet de contrôler totalement la manière dont vos données Stream Analytics sont chiffrées. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Les espaces de travail Azure Synapse doivent utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour contrôler le chiffrement au repos des données stockées dans des espaces de travail Azure synapse. Les clés gérées par le client fournissent un double chiffrement en ajoutant une deuxième couche de chiffrement en plus du chiffrement par défaut avec les clés gérées par le service. Audit, Refuser, Désactivé 1.0.0
Les disques de système d’exploitation et de données dans les clusters Azure Kubernetes Service doivent être chiffrés par des clés gérées par le client Le chiffrement des disques de système d’exploitation et de données à l’aide de clés gérées par le client offre davantage de contrôle et de flexibilité dans la gestion des clés. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. Audit, Refuser, Désactivé 1.0.1
Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos registres. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/acr/CMK. Audit, Refuser, Désactivé 1.1.2
Le chiffrement de disque doit être activé dans Azure Data Explorer Le fait d’activer le chiffrement de disque vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Audit, Refuser, Désactivé 2.0.0
Le chiffrement double doit être activé dans Azure Data Explorer Le fait d’activer le chiffrement double vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque le chiffrement double est activé, les données d’un compte de stockage sont chiffrées deux fois : une fois au niveau du service et une fois au niveau de l’infrastructure, avec deux algorithmes de chiffrement différents et deux clés différentes. Audit, Refuser, Désactivé 2.0.0
La propriété ClusterProtectionLevel doit être définie sur EncryptAndSign pour les clusters Service Fabric Service Fabric fournit trois niveaux de protection (None, Sign et EncryptAndSign) pour la communication nœud à nœud à l’aide d’un certificat de cluster principal. Définissez le niveau de protection pour vous assurer que tous les messages de nœud à nœud sont chiffrés et signés numériquement Audit, Refuser, Désactivé 1.1.0
Les instances managées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. Audit, Refuser, Désactivé 2.0.0
Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. Audit, Refuser, Désactivé 2.0.1
Les comptes de stockage doivent avoir le chiffrement d’infrastructure activé Activez le chiffrement d’infrastructure pour garantir une sécurité renforcée des données. Quand le chiffrement d’infrastructure est activé, les données d’un compte de stockage sont chiffrées deux fois. Audit, Refuser, Désactivé 1.0.0
Les comptes de stockage doivent utiliser une clé gérée par le client pour le chiffrement Sécurisez votre compte de stockage blob et fichier avec une plus grande flexibilité en utilisant des clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. Audit, Désactivé 1.0.3
Transparent Data Encryption sur les bases de données SQL doit être activé Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises AuditIfNotExists, Désactivé 2.0.0

Utiliser les conceptions architecturales, les techniques de développement de logiciels et les principes d’ingénierie des systèmes qui favorisent la sécurité des informations au sein des systèmes d’entreprise.

ID : CMMC L3 SC.3.180 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
les sous-réseaux doivent être associés à un groupe de sécurité réseau Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. AuditIfNotExists, Désactivé 3.0.0

Séparer les fonctionnalités utilisateur des fonctionnalités de gestion du système.

ID : CMMC L3 SC.3.181 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
3 propriétaires maximum doivent être désignés pour votre abonnement Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. AuditIfNotExists, Désactivé 3.0.0
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft AuditIfNotExists, Désactivé 1.0.0
Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. AuditIfNotExists, Désactivé 1.0.0
Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. AuditIfNotExists, Désactivé 1.0.0
Plusieurs propriétaires doivent être attribués à votre abonnement Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur. AuditIfNotExists, Désactivé 3.0.0

Refuser le trafic des communications réseau par défaut et autoriser le trafic des communications réseau par exception (c’est-à-dire, tout refuser, autoriser par exception).

ID : CMMC L3 SC.3.183 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. AuditIfNotExists, Désactivé 3.0.0
Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. AuditIfNotExists, Désactivé 2.0.0
Les ressources Azure AI Services doivent limiter l’accès réseau En limitant l’accès réseau, vous pouvez vous assurer que seuls les réseaux autorisés peuvent accéder au service. Pour ce faire, configurez des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder au service Azure AI. Audit, Refuser, Désactivé 3.2.0
Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 1.0.2
Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint Par défaut, les registres de conteneurs Azure acceptent les connexions via Internet à partir d’hôtes situés sur n’importe quel réseau. Pour protéger vos registres des menaces potentielles, autorisez l’accès uniquement à partir de points de terminaison privés, d’adresses ou de plages d’adresses IP publiques spécifiques. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. Découvrez plus en détail les règles réseau de Container Registry ici : https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network et https://aka.ms/acr/vnet. Audit, Refuser, Désactivé 2.0.0
Les journaux de flux doivent être configurés pour chaque groupe de sécurité réseau Auditez les groupes de sécurité réseau pour vérifier si les journaux de flux sont configurés. Activer les journaux de flux permet de consigner des informations sur le trafic IP circulant dans un groupe de sécurité réseau. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc. Audit, Désactivé 1.1.0
Les applications de fonctions ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. AuditIfNotExists, Désactivé 2.0.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
Network Watcher doit être activé Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. AuditIfNotExists, Désactivé 3.0.0
Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
L’accès au réseau public sur Azure SQL Database doit être désactivé Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. Audit, Refuser, Désactivé 1.1.0
Les comptes de stockage doivent autoriser l’accès à partir des services Microsoft approuvés Certains services Microsoft qui interagissent avec les comptes de stockage fonctionnent à partir de réseaux qui ne peuvent pas obtenir l’accès par le biais des règles de réseau. Pour que ce type de service fonctionne comme prévu, autorisez l’ensemble des services Microsoft approuvés à contourner les règles de réseau. Ces services utilisent alors une authentification forte pour accéder au compte de stockage. Audit, Refuser, Désactivé 1.0.0
Les comptes de stockage doivent limiter l’accès réseau L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. Audit, Refuser, Désactivé 1.1.1
les sous-réseaux doivent être associés à un groupe de sécurité réseau Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. AuditIfNotExists, Désactivé 3.0.0
Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 2.0.0
Le pare-feu d’applications web (WAF) doit utiliser le mode spécifié pour Application Gateway Impose l’utilisation du mode de « détection » ou de « blocage » pour être actif sur toutes les stratégies de pare-feu d’applications web pour Application Gateway. Audit, Refuser, Désactivé 1.0.0
Le pare-feu d’applications web (WAF) doit utiliser le mode spécifié pour Azure Front Door Service Impose l’utilisation du mode de « détection » ou de « blocage » pour être actif sur toutes les stratégies de pare-feu d’applications web pour Azure Front Door Service. Audit, Refuser, Désactivé 1.0.0

Implémenter des mécanismes de chiffrement pour empêcher toute divulgation non autorisée de CUI pendant la transmission, sauf en cas de protection par d’autres dispositifs de protection physique.

ID : CMMC L3 SC.3.185 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les applications App Service doivent être accessibles uniquement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 4.0.0
Les applications App Service doivent utiliser la dernière version du protocole TLS Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 2.1.0
L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
Les applications Function App ne doivent être accessibles que via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 5.0.0
Les applications de fonctions doivent utiliser la dernière version TLS Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 2.1.0
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). Audit, Refuser, Désactivé 1.0.0
La sécurisation du transfert vers des comptes de stockage doit être activée Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) Audit, Refuser, Désactivé 2.0.0
Les comptes de stockage doivent limiter l’accès réseau L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. Audit, Refuser, Désactivé 1.1.1

Établir et gérer des clés de chiffrement pour le chiffrement utilisé dans les systèmes d’entreprise.

ID : CMMC L3 SC.3.187 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La protection contre la suppression doit être activée pour les coffres de clés La suppression malveillante d’un coffre de clés peut entraîner une perte définitive des données. Vous pouvez empêcher la perte permanente de données en activant la protection contre la suppression définitive et la suppression réversible. La protection contre la suppression définitive vous protège des attaques internes en appliquant une période de conservation obligatoire pour les coffres de clés supprimés de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne pourra supprimer définitivement vos coffres de clés pendant la période de conservation de la suppression réversible. N’oubliez pas que la suppression réversible est activée par défaut pour les coffres de clés créés après le 1er septembre 2019. Audit, Refuser, Désactivé 2.1.0
La suppression réversible doit être activée sur les coffres de clés La suppression d’un coffre de clés sur lequel la suppression réversible n’est pas activée supprime définitivement tous les secrets, toutes les clés et tous les certificats qui y stockés. La suppression accidentelle d’un coffre de clés peut entraîner la perte définitive des données. La suppression réversible vous permet de récupérer un coffre de clés supprimé accidentellement, pendant une période de conservation configurable. Audit, Refuser, Désactivé 3.0.0

Protéger l’authenticité des sessions de communication.

ID : CMMC L3 SC.3.190 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Les applications App Service doivent être accessibles uniquement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 4.0.0
Les applications App Service doivent utiliser la dernière version du protocole TLS Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 2.1.0
L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
Les applications Function App ne doivent être accessibles que via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 5.0.0
Les applications de fonctions doivent utiliser la dernière version TLS Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 2.1.0

Protéger la confidentialité de CUI au repos.

ID : CMMC L3 SC.3.191 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les variables de compte Automation doivent être chiffrées Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles Audit, Refuser, Désactivé 1.1.0
Les travaux Azure Data Box doivent activer le chiffrement double pour les données au repos sur l’appareil Activez une deuxième couche de chiffrement basé sur un logiciel pour les données au repos sur l’appareil. L’appareil est déjà protégé par un chiffrement Advanced Encryption Standard 256 bits pour les données au repos. Cette option ajoute une deuxième couche de chiffrement des données. Audit, Refuser, Désactivé 1.0.0
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés Auditer les serveurs SQL sans Advanced Data Security AuditIfNotExists, Désactivé 2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2
Le chiffrement de disque doit être activé dans Azure Data Explorer Le fait d’activer le chiffrement de disque vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Audit, Refuser, Désactivé 2.0.0
Le chiffrement double doit être activé dans Azure Data Explorer Le fait d’activer le chiffrement double vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque le chiffrement double est activé, les données d’un compte de stockage sont chiffrées deux fois : une fois au niveau du service et une fois au niveau de l’infrastructure, avec deux algorithmes de chiffrement différents et deux clés différentes. Audit, Refuser, Désactivé 2.0.0
La propriété ClusterProtectionLevel doit être définie sur EncryptAndSign pour les clusters Service Fabric Service Fabric fournit trois niveaux de protection (None, Sign et EncryptAndSign) pour la communication nœud à nœud à l’aide d’un certificat de cluster principal. Définissez le niveau de protection pour vous assurer que tous les messages de nœud à nœud sont chiffrés et signés numériquement Audit, Refuser, Désactivé 1.1.0
Les comptes de stockage doivent avoir le chiffrement d’infrastructure activé Activez le chiffrement d’infrastructure pour garantir une sécurité renforcée des données. Quand le chiffrement d’infrastructure est activé, les données d’un compte de stockage sont chiffrées deux fois. Audit, Refuser, Désactivé 1.0.0
Les comptes de stockage doivent limiter l’accès réseau L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. Audit, Refuser, Désactivé 1.1.1
Transparent Data Encryption sur les bases de données SQL doit être activé Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises AuditIfNotExists, Désactivé 2.0.0

Intégrité du système et des informations

Identifier, signaler et corriger les failles des systèmes d’information en temps voulu.

ID : CMMC L3 SI.1.210 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les applications App Service doivent utiliser la dernière « version HTTP » Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 4.0.0
Les applications App Service doivent utiliser la dernière version du protocole TLS Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 2.1.0
Les applications de fonctions doivent utiliser la dernière « version HTTP » Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 4.0.0
Les applications de fonctions doivent utiliser la dernière version TLS Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 2.1.0
Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes Mettez à niveau votre cluster Kubernetes Services vers une version ultérieure de Kubernetes pour le protéger des vulnérabilités connues de votre version Kubernetes actuelle. La vulnérabilité CVE-2019-9946 a été corrigée dans Kubernetes versions 1.11.9+, 1.12.7+, 1.13.5+ et 1.14.0+ Audit, Désactivé 1.0.2
Microsoft Antimalware pour Azure doit être configuré pour mettre à jour automatiquement les signatures de protection Cette stratégie permet d’effectuer un audit de toutes les machines virtuelles Windows non configurées avec la mise à jour automatique des signatures de protection de Microsoft Antimalware. AuditIfNotExists, Désactivé 1.0.0
Les résultats des vulnérabilités des bases de données SQL doivent être résolus Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. AuditIfNotExists, Désactivé 4.1.0
Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.1.0

Assurer une protection contre le code malveillant aux emplacements appropriés au sein des systèmes d’information de l’organisation.

ID : CMMC L3 SI.1.211 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Antimalware pour Azure doit être configuré pour mettre à jour automatiquement les signatures de protection Cette stratégie permet d’effectuer un audit de toutes les machines virtuelles Windows non configurées avec la mise à jour automatique des signatures de protection de Microsoft Antimalware. AuditIfNotExists, Désactivé 1.0.0
L’extension Microsoft IaaSAntimalware doit être déployée sur des serveurs Windows Cette stratégie permet d’auditer toute machine virtuelle Windows Server sans extension Microsoft IaaSAntimalware déployée. AuditIfNotExists, Désactivé 1.1.0

Mettre à jour les mécanismes de protection contre le code malveillant quand de nouvelles versions sont disponibles.

ID : CMMC L3 SI.1.212 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Antimalware pour Azure doit être configuré pour mettre à jour automatiquement les signatures de protection Cette stratégie permet d’effectuer un audit de toutes les machines virtuelles Windows non configurées avec la mise à jour automatique des signatures de protection de Microsoft Antimalware. AuditIfNotExists, Désactivé 1.0.0

Effectuer des analyses périodiques du système d’information et des analyses en temps réel des fichiers à partir de sources externes, à mesure que les fichiers sont téléchargés, ouverts ou exécutés.

ID : CMMC L3 SI.1.213 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Azure Defender pour les serveurs Azure SQL Database doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Microsoft Antimalware pour Azure doit être configuré pour mettre à jour automatiquement les signatures de protection Cette stratégie permet d’effectuer un audit de toutes les machines virtuelles Windows non configurées avec la mise à jour automatique des signatures de protection de Microsoft Antimalware. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour les conteneurs doit être activé Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour le stockage (classique) doit être activé Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. AuditIfNotExists, Désactivé 1.0.4
L’extension Microsoft IaaSAntimalware doit être déployée sur des serveurs Windows Cette stratégie permet d’auditer toute machine virtuelle Windows Server sans extension Microsoft IaaSAntimalware déployée. AuditIfNotExists, Désactivé 1.1.0

Superviser les systèmes de l’organisation, notamment le trafic des communications entrantes et sortantes, pour détecter les attaques et les indicateurs d’attaques potentielles.

ID : CMMC L3 SI.2.216 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 1.0.0
Une alerte de journal d’activité doit exister pour des opérations de stratégie spécifiques Cette stratégie audite toute opération de stratégie spécifique sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 3.0.0
Une alerte de journal d’activité doit exister pour des opérations de sécurité spécifiques Cette stratégie audite des opérations de sécurité spécifiques sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 1.0.0
Azure Defender pour les serveurs Azure SQL Database doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés Auditer les serveurs SQL sans Advanced Data Security AuditIfNotExists, Désactivé 2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2
Azure Monitor doit collecter les journaux d’activité dans toutes les régions Cette stratégie effectue l’audit du profil de journal Azure Monitor qui n’exporte pas d’activités à partir de toutes les régions Azure prises en charge, notamment la région globale. AuditIfNotExists, Désactivé 2.0.0
Les abonnements Azure doivent avoir un profil de journal pour le journal d’activité Cette stratégie garantit l’activation d’un profil de journal pour l’exportation des journaux d’activité. Elle vérifie si aucun profil de journal n’a été créé pour exporter les journaux vers un compte de stockage ou un hub d’événements. AuditIfNotExists, Désactivé 1.0.0
Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 1.0.2
La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. AuditIfNotExists, Désactivé 2.0.0
Les journaux de flux doivent être configurés pour chaque groupe de sécurité réseau Auditez les groupes de sécurité réseau pour vérifier si les journaux de flux sont configurés. Activer les journaux de flux permet de consigner des informations sur le trafic IP circulant dans un groupe de sécurité réseau. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc. Audit, Désactivé 1.1.0
Microsoft Defender pour les conteneurs doit être activé Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour le stockage (classique) doit être activé Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. AuditIfNotExists, Désactivé 1.0.4
Network Watcher doit être activé Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. AuditIfNotExists, Désactivé 3.0.0
Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. AuditIfNotExists, Désactivé 1.0.1
Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 2.0.0
Le pare-feu d’applications web (WAF) doit utiliser le mode spécifié pour Application Gateway Impose l’utilisation du mode de « détection » ou de « blocage » pour être actif sur toutes les stratégies de pare-feu d’applications web pour Application Gateway. Audit, Refuser, Désactivé 1.0.0
Le pare-feu d’applications web (WAF) doit utiliser le mode spécifié pour Azure Front Door Service Impose l’utilisation du mode de « détection » ou de « blocage » pour être actif sur toutes les stratégies de pare-feu d’applications web pour Azure Front Door Service. Audit, Refuser, Désactivé 1.0.0

Identifier les utilisations non autorisées des systèmes d’entreprise.

ID : CMMC L3 SI.2.217 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Le journal d’activité doit être conservé pendant au moins un an Cette stratégie audite le journal d’activité si la conservation n’est pas définie sur 365 jours ou sur toujours (jours de conservation définis sur 0). AuditIfNotExists, Désactivé 1.0.0
Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 1.0.0
Une alerte de journal d’activité doit exister pour des opérations de stratégie spécifiques Cette stratégie audite toute opération de stratégie spécifique sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 3.0.0
Une alerte de journal d’activité doit exister pour des opérations de sécurité spécifiques Cette stratégie audite des opérations de sécurité spécifiques sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 1.0.0
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés Auditer les serveurs SQL sans Advanced Data Security AuditIfNotExists, Désactivé 2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2
Le profil de journal Azure Monitor doit collecter des journaux pour les catégories « écriture », « suppression » et « action » Cette stratégie garantit qu’un profil de journal collecte les journaux pour les catégories « write », « delete » et « action » AuditIfNotExists, Désactivé 1.0.0
Azure Monitor doit collecter les journaux d’activité dans toutes les régions Cette stratégie effectue l’audit du profil de journal Azure Monitor qui n’exporte pas d’activités à partir de toutes les régions Azure prises en charge, notamment la région globale. AuditIfNotExists, Désactivé 2.0.0
Les abonnements Azure doivent avoir un profil de journal pour le journal d’activité Cette stratégie garantit l’activation d’un profil de journal pour l’exportation des journaux d’activité. Elle vérifie si aucun profil de journal n’a été créé pour exporter les journaux vers un compte de stockage ou un hub d’événements. AuditIfNotExists, Désactivé 1.0.0
La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. AuditIfNotExists, Désactivé 2.0.0
Network Watcher doit être activé Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. AuditIfNotExists, Désactivé 3.0.0

Étapes suivantes

Autres articles sur Azure Policy :