Partager via


Base de référence de sécurité Azure pour Virtual Machine Scale Sets

Cette base de référence de sécurité applique les conseils du benchmark de sécurité cloud Microsoft version 1.0 à Virtual Machine Scale Sets. Le Benchmark de sécurité Microsoft Cloud fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé selon les contrôles de sécurité définis par le benchmark de sécurité cloud Microsoft et les conseils associés applicables aux Virtual Machine Scale Sets.

Vous pouvez superviser cette base de référence de la sécurité et ses recommandations en utilisant Microsoft Defender pour le cloud. Azure Policy définitions sont répertoriées dans la section Conformité réglementaire de la page Microsoft Defender pour le portail cloud.

Lorsqu’une fonctionnalité a des définitions de Azure Policy pertinentes, elles sont répertoriées dans cette base de référence pour vous aider à mesurer la conformité avec les contrôles et recommandations du benchmark de sécurité cloud Microsoft. Certaines recommandations peuvent nécessiter un plan de Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les fonctionnalités non applicables à Virtual Machine Scale Sets ont été exclues. Pour voir comment Virtual Machine Scale Sets est entièrement mappé au benchmark de sécurité cloud Microsoft, consultez le fichier de mappage complet de la base de référence de sécurité Virtual Machine Scale Sets.

Profil de sécurité

Le profil de sécurité résume les comportements à fort impact de Virtual Machine Scale Sets, ce qui peut entraîner des considérations de sécurité accrues.

Attribut de comportement du service Valeur
Catégorie de produit Compute
Le client peut accéder à HOST/OS Accès total
Le service peut être déployé dans le réseau virtuel du client True
Stocke le contenu client au repos True

Sécurité du réseau

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Sécurité réseau.

NS-1 : Établir des limites de segmentation réseau

Fonctionnalités

Intégration du réseau virtuel

Description : Le service prend en charge le déploiement dans le Réseau virtuel privé (VNet) du client. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True True Microsoft

Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.

Référence : Réseaux virtuels et machines virtuelles dans Azure

Prise en charge des groupes de sécurité réseau

Description : Le trafic réseau de service respecte l’attribution de règles groupes de sécurité réseau sur ses sous-réseaux. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True Faux Client

Conseils de configuration : Utilisez des groupes de sécurité réseau (NSG) pour restreindre ou surveiller le trafic par port, protocole, adresse IP source ou adresse IP de destination. Créez des règles NSG pour restreindre les ports ouverts de votre service (par exemple, pour empêcher l’accès aux ports de gestion à partir de réseaux non approuvés). N’oubliez pas que par défaut, les groupes de sécurité réseau refusent tout le trafic entrant, mais autorisent le trafic provenant du réseau virtuel et d’équilibreurs de charge Azure.

Lorsque vous créez une machine virtuelle Azure, vous devez créer un réseau virtuel ou utiliser un réseau virtuel existant et configurer la machine virtuelle avec un sous-réseau. Veillez à ce qu’un groupe de sécurité réseau soit appliqué à tous les sous-réseaux déployés avec des contrôles d’accès réseau propres aux ports et sources approuvés de votre application.

Référence : Groupes de sécurité réseau

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle AuditIfNotExists, Désactivé 3.0.0

NS-2 : Sécuriser les services cloud avec des contrôles réseau

Fonctionnalités

Désactiver l’accès public au réseau

Description : le service prend en charge la désactivation de l’accès au réseau public à l’aide d’une règle de filtrage de liste de contrôle d’accès IP au niveau du service (pas de groupe de sécurité réseau ou de Pare-feu Azure) ou à l’aide d’un commutateur bascule « Désactiver l’accès réseau public ». Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True Faux Client

Remarques sur les fonctionnalités : les services installés avec le système d’exploitation peuvent être utilisés pour fournir un filtrage réseau pour désactiver l’accès au réseau public.

Conseils de configuration : Il n’existe aucune aide Microsoft actuelle pour cette configuration de fonctionnalité. Vérifiez et déterminez si votre organization souhaite configurer cette fonctionnalité de sécurité.

Gestion des identités

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Gestion des identités.

IM-1 : utiliser le système centralisé d’identité et d’authentification

Fonctionnalités

Azure AD Authentication requis pour l’accès au plan de données

Description : Le service prend en charge l’utilisation de l’authentification Azure AD pour l’accès au plan de données. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True Faux Client

Conseils de configuration : Utilisez Azure Active Directory (Azure AD) comme méthode d’authentification par défaut pour contrôler l’accès à votre plan de données. Azure AD protège les données en utilisant un chiffrement fort pour les données au repos et en transit. De plus, AAD sale, hache et stocke de manière sécurisée les informations d’identification utilisateur. Vous pouvez utiliser des identités managées pour vous authentifier auprès d’un service qui prend en charge l’authentification Azure AD, notamment Key Vault, sans informations d’identification dans votre code. Votre code, qui s’exécute sur une machine virtuelle, peut utiliser son identité managée pour faire une demande de jetons d’accès pour les services qui prennent en charge l’authentification Azure AD.

Référence : Implémentation de la jointure Azure AD

Méthodes d’authentification locales pour l’accès au plan de données

Description : méthodes d’authentification locales prises en charge pour l’accès au plan de données, telles qu’un nom d’utilisateur et un mot de passe locaux. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True True Microsoft

Remarques sur les fonctionnalités : évitez d’utiliser des comptes ou des méthodes d’authentification locaux. Ceux-ci doivent être désactivés dans la mesure du possible. Utilisez plutôt Azure AD pour vous authentifier lorsque cela est possible.

Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.

IM-3 : gérer les identités d’application de façon sécurisée et automatique

Fonctionnalités

Identités managées

Description : les actions du plan de données prennent en charge l’authentification à l’aide d’identités managées. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True Faux Client

Conseils de configuration : Utilisez des identités managées Azure au lieu des principaux de service lorsque cela est possible, qui peuvent s’authentifier auprès des services et ressources Azure qui prennent en charge l’authentification Azure Active Directory (Azure AD). La plateforme assure entièrement la gestion, la rotation et la protection des informations d’identification d’identité managée, ce qui évite les informations d’identification codées en dur dans le code source ou les fichiers de configuration.

Référence : Identités managées pour les ressources Azure

Principaux de service

Description : Le plan de données prend en charge l’authentification à l’aide de principaux de service. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True False Client

Remarques sur les fonctionnalités : les principaux de service peuvent être utilisés par les applications qui s’exécutent dans Virtual Machine Scale Sets.

Conseils de configuration : Il n’existe aucune aide Microsoft actuelle pour cette configuration de fonctionnalité. Vérifiez et déterminez si votre organization souhaite configurer cette fonctionnalité de sécurité.

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol AuditIfNotExists, Désactivé 1.0.1

IM-8 : restreindre l’exposition des informations d’identification et des secrets

Fonctionnalités

Prise en charge de l’intégration et du stockage des informations d’identification et des secrets de service dans Azure Key Vault

Description : Le plan de données prend en charge l’utilisation native d’Azure Key Vault pour le magasin d’informations d’identification et de secrets. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True False Client

Remarques sur les fonctionnalités : Dans le plan de données ou le système d’exploitation, les services peuvent appeler Azure Key Vault pour obtenir des informations d’identification ou des secrets.

Conseils de configuration : Assurez-vous que les secrets et les informations d’identification sont stockés dans des emplacements sécurisés tels que Azure Key Vault, au lieu de les incorporer dans du code ou des fichiers de configuration.

Accès privilégié

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Accès privilégié.

PA-1 : Séparer et limiter les utilisateurs hautement privilégiés/administratifs

Fonctionnalités

Comptes Administration locaux

Description : le service a le concept d’un compte d’administration local. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True True Microsoft

Remarques sur les fonctionnalités : évitez d’utiliser des comptes ou des méthodes d’authentification locaux. Ceux-ci doivent être désactivés dans la mesure du possible. Utilisez plutôt Azure AD pour vous authentifier lorsque cela est possible.

Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.

Référence : Créer des machines virtuelles dans un groupe identique à l’aide de Portail Azure

PA-7 : Suivre le principe JEA, Just Enough Administration (privilège minimum)

Fonctionnalités

Azure RBAC pour le plan de données

Description : Azure Role-Based Access Control (Azure RBAC) peut être utilisé pour gérer l’accès aux actions du plan de données du service. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True False Client

Conseils de configuration : Utilisez le contrôle d’accès en fonction du rôle Azure (Azure RBAC) pour gérer l’accès aux ressources Azure via des attributions de rôles intégrées. Les rôles RBAC Azure peuvent être attribués à des utilisateurs, des groupes, des principaux de service et des identités managées.

Référence : Rôle intégré pour contributeur de machine virtuelle

PA-8 : Déterminer le processus d’accès pour la prise en charge du fournisseur de services cloud

Fonctionnalités

Customer Lockbox

Description : Customer Lockbox peut être utilisé pour l’accès au support Microsoft. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True Faux Client

Conseils de configuration : Dans les scénarios de support où Microsoft doit accéder à vos données, utilisez Customer Lockbox pour passer en revue, puis approuver ou rejeter chacune des demandes d’accès aux données de Microsoft.

Protection des données

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Protection des données.

DP-1 : Découvrir, classer et étiqueter des données sensibles

Fonctionnalités

Découverte et classification des données sensibles

Description : Les outils (tels qu’Azure Purview ou Azure Information Protection) peuvent être utilisés pour la découverte et la classification des données dans le service. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
False Non applicable Non applicable

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

DP-2 : surveiller les anomalies et les menaces ciblant les données sensibles

Fonctionnalités

Protection contre les fuites/pertes de données

Description : Le service prend en charge la solution DLP pour surveiller le déplacement des données sensibles (dans le contenu du client). Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
False Non applicable Non applicable

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

DP-3 : chiffrer les données sensibles en transit

Fonctionnalités

Chiffrement des données en transit

Description : Le service prend en charge le chiffrement des données en transit pour le plan de données. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True Faux Client

Remarques sur les fonctionnalités : certains protocoles de communication tels que SSH sont chiffrés par défaut. Toutefois, des services tels que RDP ou HTTP doivent être configurés pour utiliser TLS pour le chiffrement.

Conseils de configuration : Activez le transfert sécurisé dans les services où il existe une fonctionnalité de chiffrement de données natives dans le transit intégrée. Appliquez HTTPS à tous les services et applications web et assurez-vous que TLS v1.2 ou version ultérieure est utilisé. Les versions héritées telles que SSL 3.0 et TLS v1.0 doivent être désactivées. Pour la gestion à distance de Machines Virtuelles, utilisez SSH (pour Linux) ou RDP/TLS (pour Windows) au lieu d’un protocole non chiffré.

Référence : Chiffrement en transit dans les machines virtuelles

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les machines Windows doivent être configurées pour utiliser des protocoles de communication sécurisés Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. AuditIfNotExists, Désactivé 4.1.1

DP-4 : activer le chiffrement des données au repos par défaut

Fonctionnalités

Chiffrement des données au repos à l’aide de clés de plateforme

Description : Le chiffrement des données au repos à l’aide de clés de plateforme est pris en charge. Tout contenu client au repos est chiffré avec ces clés gérées par Microsoft. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True True Microsoft

Remarques de fonctionnalité : En plus du chiffrement standard avec des clés gérées par la plateforme, les clients à haute sécurité qui se préoccupent du risque associé à un algorithme de chiffrement, à une implémentation ou à une clé compromise peuvent désormais opter pour une couche supplémentaire de chiffrement à l’aide d’un autre algorithme/mode de chiffrement au niveau de la couche d’infrastructure à l’aide de clés de chiffrement gérées par la plateforme et de clés gérées par le client. Cette nouvelle couche peut être appliquée systèmes d’exploitation et disques de données persistants, à des captures instantanées et à des images, qui seront toutes chiffrées au repos avec un double chiffrement.

Pour plus d’informations, consultez : Chiffrement double au repos.

Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.

Référence : Azure Disk Encryption pour Virtual Machine Scale Sets

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : les machines virtuelles Linux doivent activer Azure Disk Encryption ou EncryptionAtHost. Par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme. Les disques temporaires et les caches de données ne sont pas chiffrés, de même que les données lors de leur transmission entre des ressources de calcul et de stockage. Utilisez Azure Disk Encryption ou EncryptionAtHost pour chiffrer toutes ces données. Consultez la page https://aka.ms/diskencryptioncomparison pour comparer les offres de chiffrement. Cette stratégie nécessite deux conditions préalables pour être déployée dans l’étendue de l’affectation de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 1.2.0-preview

DP-5 : utiliser l’option de clé gérée par le client dans le chiffrement des données au repos si nécessaire

Fonctionnalités

Chiffrement des données au repos à l’aide de CMK

Description : le chiffrement des données au repos à l’aide de clés gérées par le client est pris en charge pour le contenu client stocké par le service. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True Faux Client

Conseils de configuration : si nécessaire pour la conformité réglementaire, définissez le cas d’usage et l’étendue du service où le chiffrement à l’aide de clés gérées par le client est nécessaire. Activez et implémentez le chiffrement des données au repos à l’aide de la clé gérée par le client dans ces services.

Les disques virtuels sur Machines Virtuelles sont chiffrés au repos à l’aide du chiffrement côté serveur ou d’Azure Disk Encryption (ADE). Azure Disk Encryption utilise la fonctionnalité DM-Crypt de Linux pour chiffrer les disques managés avec des clés gérées par le client au sein de la machine virtuelle invitée. Le chiffrement côté serveur avec des clés gérées par le client améliore l’utilisation de Azure Disk Encryption en vous permettant d’utiliser des types et des images de système d’exploitation pour vos machines virtuelles en chiffrant les données dans le service de stockage.

Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. Les clés gérées par le client offrent davantage de flexibilité pour gérer les contrôles d’accès. Vous devez utiliser Azure Key Vault ou azure Key Vault Module de sécurité matérielle managée (HSM) pour stocker vos clés gérées par le client.

Vous pouvez importer vos clés RSA vers votre Key Vault ou générer de nouvelles clés RSA dans Azure Key Vault. Les disques managés Azure gèrent le chiffrement et le déchiffrement de manière entièrement transparente à l’aide du chiffrement d’enveloppe. Ils chiffrent les données à l’aide d’une clé de chiffrement de données AES 256, qui est à son tour protégée à l’aide de vos clés. Le service Stockage génère des clés de chiffrement de données et les chiffre avec des clés gérées par le client à l’aide du chiffrement RSA. Le chiffrement d’enveloppe vous permet de faire pivoter (modifier) régulièrement vos clés en fonction de vos stratégies de conformité sans perturber le fonctionnement de vos machines virtuelles. Lorsque vous faites pivoter vos clés, le service Stockage rechiffre les clés de chiffrement de données avec les nouvelles clés gérées par le client.

Les disques managés et le coffre de clés ou le HSM managé doivent se trouver dans la même région Azure, mais ils peuvent appartenir à des abonnements différents. Ils doivent également se trouver dans le même locataire Azure Active Directory (Azure AD), sauf si vous chiffrez des disques managés avec des clés gérées par le client entre locataires.

Référence : Création et configuration d’un coffre de clés pour Azure Disk Encryption

DP-6 : Utiliser un processus sécurisé de gestion de clés

Fonctionnalités

Gestion des clés dans Azure Key Vault

Description : Le service prend en charge l’intégration d’Azure Key Vault pour les clés client, les secrets ou les certificats. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True Faux Client

Conseils de configuration : Utilisez Azure Key Vault pour créer et contrôler le cycle de vie de vos clés de chiffrement, y compris la génération, la distribution et le stockage des clés. Faites pivoter et révoquez vos clés dans Azure Key Vault et votre service en fonction d’une planification définie ou en cas de mise hors service ou de compromission de clé. Lorsqu’il est nécessaire d’utiliser une clé gérée par le client (CMK) au niveau de la charge de travail, du service ou de l’application, veillez à suivre les meilleures pratiques pour la gestion des clés : utilisez une hiérarchie de clés pour générer une clé de chiffrement de données distincte (DEK) avec votre clé de chiffrement de clé (KEK) dans votre coffre de clés. Vérifiez que les clés sont inscrites auprès d’Azure Key Vault et référencées via les ID de clé du service ou de l’application. Si vous devez apporter votre propre clé (BYOK) au service (par exemple, l’importation de clés protégées par HSM à partir de vos HSM locaux dans Azure Key Vault), suivez les instructions recommandées pour effectuer la génération initiale de clés et le transfert de clé.

Référence : Création et configuration d’un coffre de clés pour Azure Disk Encryption

Gestion des ressources

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Gestion des ressources.

AM-2 : Utiliser uniquement des services approuvés

Fonctionnalités

Prise en charge d’Azure Policy

Description : les configurations de service peuvent être surveillées et appliquées via Azure Policy. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True Faux Client

Conseils de configuration : Azure Policy pouvez définir le comportement souhaité pour les machines virtuelles Windows et Linux de votre organization. À l’aide de stratégies, un organization peut appliquer diverses conventions et règles dans l’ensemble de l’entreprise et définir et implémenter des configurations de sécurité standard pour Azure Virtual Machine Scale Sets. L’application du comportement souhaité peut vous aider à atténuer les risques tout en contribuant à la réussite de l'organisation.

Référence : Définitions de Azure Policy intégrées pour Virtual Machine Scale Sets

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager Utilisez le nouvel Azure Resource Manager pour renforcer la sécurité de vos machines virtuelles : contrôle d’accès en fonction du rôle (RBAC) renforcé, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, et prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité. Audit, Refuser, Désactivé 1.0.0

AM-5 : Utiliser uniquement des applications approuvées dans une machine virtuelle

Fonctionnalités

Microsoft Defender pour le cloud - Contrôles d’application adaptatifs

Description : le service peut limiter les applications clientes qui s’exécutent sur la machine virtuelle à l’aide de contrôles d’application adaptatifs dans Microsoft Defender pour le cloud. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True Faux Client

Conseils de configuration : utilisez Microsoft Defender pour les contrôles d’application adaptatifs cloud afin de découvrir les applications s’exécutant sur des machines virtuelles et de générer une liste verte d’applications afin de déterminer quelles applications approuvées peuvent s’exécuter dans l’environnement de machine virtuelle.

Référence : Utiliser des contrôles d’application adaptatifs pour réduire les surfaces d’attaque de vos machines

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables. AuditIfNotExists, Désactivé 3.0.0

Journalisation et détection des menaces

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : journalisation et détection des menaces.

LT-1 : activer les fonctionnalités de détection des menaces

Fonctionnalités

Microsoft Defender pour les offres de services/produits

Description : le service dispose d’une solution de Microsoft Defender spécifique à l’offre pour surveiller et alerter sur les problèmes de sécurité. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
True False Client

Conseils de configuration : Defender pour serveurs étend la protection à vos machines Windows et Linux s’exécutant dans Azure. Defender pour les serveurs s’intègre à Microsoft Defender pour point de terminaison pour fournir la détection et la réponse des points de terminaison (EDR), et fournit également une foule de fonctionnalités de protection contre les menaces supplémentaires, telles que les bases de référence de sécurité et les évaluations au niveau du système d’exploitation, l’analyse de l’évaluation des vulnérabilités, les contrôles d’application adaptatifs (AAC), la surveillance de l’intégrité des fichiers (FIM), et bien plus encore.

Référence : Vue d’ensemble de Microsoft Defender pour les serveurs

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Windows Defender Exploit Guard doit être activé sur vos machines Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement). AuditIfNotExists, Désactivé 2.0.0

LT-4 : Activer la journalisation pour l’examen de sécurité

Fonctionnalités

Journaux des ressources Azure

Description : le service produit des journaux de ressources qui peuvent fournir des métriques et une journalisation améliorées spécifiques au service. Le client peut configurer ces journaux de ressources et les envoyer à son propre récepteur de données, comme un compte de stockage ou un espace de travail Log Analytics. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
True False Client

Conseils de configuration : Azure Monitor commence à collecter automatiquement les données de métrique pour votre hôte de machine virtuelle lorsque vous créez la machine virtuelle. Toutefois, pour collecter des journaux et des données de performances à partir du système d’exploitation invité de la machine virtuelle, vous devez installer l’agent Azure Monitor. Vous pouvez installer l’agent et configurer la collecte à l’aide de VM Insights ou en créant une règle de collecte de données.

Référence : Vue d’ensemble de l’agent Log Analytics

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. AuditIfNotExists, Désactivé 1.0.2-preview

Gestion des postures et des vulnérabilités

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : posture et gestion des vulnérabilités.

PV-3 : définir et établir des configurations sécurisées pour les ressources de calcul

Fonctionnalités

Azure Automation – State Configuration

Description : Azure Automation State Configuration peut être utilisé pour maintenir la configuration de sécurité du système d’exploitation. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
True False Client

Conseils de configuration : Utilisez Azure Automation State Configuration pour maintenir la configuration de sécurité du système d’exploitation. Azure Automation State Configuration est un service de gestion de configuration Azure qui vous permet d’écrire, de gérer et de compiler des configurations PowerShell Desired State Configuration (DSC) pour les nœuds.

Azure Automation State Configuration offre plusieurs avantages par rapport à l’utilisation de DSC en dehors d’Azure. Ce service permet de faire évoluer des milliers d’ordinateurs rapidement et facilement à partir d’un emplacement central et sécurisé. Vous pouvez facilement activer des machines, leur affecter des configurations déclaratives et afficher des rapports montrant la conformité de chaque machine avec l’état souhaité que vous spécifiez.

Référence : Utilisation de Virtual Machine Scale Sets avec l’extension Azure DSC

Agent de configuration invité Azure Policy

Description : Azure Policy’agent de configuration invité peut être installé ou déployé en tant qu’extension des ressources de calcul. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
True False Client

Conseils de configuration : Utilisez Microsoft Defender pour cloud et Azure Policy agent de configuration invité pour évaluer et corriger régulièrement les écarts de configuration sur vos machines virtuelles.

Référence : Comprendre la fonctionnalité de configuration invité de Azure Policy

Images de machine virtuelle personnalisées

Description : Le service prend en charge l’utilisation d’images de machine virtuelle fournies par l’utilisateur ou d’images prédéfinies de la Place de marché avec certaines configurations de base pré-appliquées. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
True False Client

Conseils de configuration : Utilisez une image renforcée préconfigurée d’un fournisseur approuvé tel que Microsoft ou créez une base de référence de configuration sécurisée souhaitée dans le modèle d’image de machine virtuelle

Référence : Créer et utiliser une image personnalisée pour les groupes de machines virtuelles identiques avec Azure PowerShell

PV-4 : auditer et appliquer des configurations sécurisées pour les ressources de calcul

Fonctionnalités

Machine virtuelle de lancement approuvé

Description : Trusted Launch protège contre les techniques d’attaque avancées et persistantes en combinant des technologies d’infrastructure telles que le démarrage sécurisé, le vTPM et la surveillance de l’intégrité. Chaque technologie offre une couche de défense supplémentaire contre les menaces sophistiquées. Le lancement approuvé permet le déploiement sécurisé de machines virtuelles avec des chargeurs de démarrage vérifiés, des noyaux de système d’exploitation et des pilotes, et protège de manière sécurisée les clés, les certificats et les secrets dans les machines virtuelles. Le lancement approuvé fournit également des informations et des informations fiables sur l’intégrité de l’ensemble de la chaîne de démarrage et garantit que les charges de travail sont fiables et vérifiables. Le lancement approuvé est intégré à Microsoft Defender pour le cloud pour garantir que les machines virtuelles sont correctement configurées, en attestant à distance que la machine virtuelle est démarrée de manière saine. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True Faux Client

Remarque de fonctionnalité : Le lancement approuvé est disponible pour les machines virtuelles de génération 2. Le lancement fiable requiert la création de nouvelles machines virtuelles. Vous ne pouvez pas activer le lancement fiable sur les machines virtuelles existantes qui ont été créées initialement sans cette fonctionnalité.

Conseils de configuration : Le lancement approuvé peut être activé pendant le déploiement de la machine virtuelle. Activez les trois : démarrage sécurisé, vTPM et surveillance du démarrage d’intégrité pour garantir la meilleure posture de sécurité pour la machine virtuelle. Notez qu’il existe quelques prérequis, notamment l’intégration de votre abonnement à Microsoft Defender pour le cloud, l’attribution de certaines initiatives de Azure Policy et la configuration des stratégies de pare-feu.

Référence : Déployer une machine virtuelle avec le lancement approuvé activé

PV-5 : effectuer des évaluations des vulnérabilités

Fonctionnalités

Évaluation des vulnérabilités à l’aide de Microsoft Defender

Description : Le service peut être analysé pour l’analyse des vulnérabilités à l’aide de Microsoft Defender pour le cloud ou d’autres fonctionnalités d’évaluation des vulnérabilités incorporées des services Microsoft Defender (y compris Microsoft Defender pour le serveur, le registre de conteneurs, les App Service, SQL et DNS). Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True Faux Client

Conseils de configuration : Suivez les recommandations de Microsoft Defender pour le cloud pour effectuer des évaluations des vulnérabilités sur vos machines virtuelles Azure.

Référence : Vue d’ensemble de Microsoft Defender pour les serveurs

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. AuditIfNotExists, Désactivé 3.0.0

PV-6 : corriger rapidement et automatiquement les vulnérabilités

Fonctionnalités

Azure Automation Update Management

Description : le service peut utiliser Azure Automation Update Management pour déployer automatiquement des correctifs et des mises à jour. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
Faux Non applicable Non applicable

Remarques sur les fonctionnalités : Microsoft offre d’autres fonctionnalités pour vous aider à gérer les mises à jour de vos machines virtuelles Azure ou groupes de machines virtuelles identiques Azure que vous devez prendre en compte dans le cadre de votre stratégie globale de gestion des mises à jour.

Si vous souhaitez évaluer et mettre à jour automatiquement vos machines virtuelles Azure, afin de garantir la conformité en matière de sécurité à l’aide des mises à jour Critiques et de Sécurité publiées chaque mois, consultez Mise à jour corrective automatique d’un invité de machine virtuelle. Il s’agit d’une autre solution de gestion des mises à jour qui permet à vos machines virtuelles Azure d’être mises à jour automatiquement pendant les heures creuses, notamment les machines virtuelles d’un groupe à haute disponibilité, comparée à la gestion des déploiements de mises à jour sur ces machines virtuelles à partir d’Update Management dans Azure Automation.

Si vous gérez des groupes de machines virtuelles identiques Azure, regardez comment effectuer des Mises à niveau automatiques de l’image du système d’exploitation pour mettre à niveau le disque du système d’exploitation de toutes les instances du groupe identique de manière sécurisée et automatique.

Pour plus d’informations, consultez : Mises à niveau automatiques d’images de système d’exploitation Azure Virtual Machine Scale Set.

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

Service de mise à jour corrective invité Azure

Description : le service peut utiliser Azure Guest Patching pour déployer automatiquement des correctifs et des mises à jour. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
True Faux Client

Conseils de configuration : Les services peuvent tirer parti des différents mécanismes de mise à jour, tels que les mises à niveau d’images de système d’exploitation automatique et lamise à jour corrective automatique des invités. Les fonctionnalités sont recommandées pour appliquer les dernières mises à jour critiques et de sécurité au système d’exploitation invité de votre machine virtuelle en suivant les principes de déploiement sécurisé.

La mise à jour corrective d’invité automatique vous permet d’évaluer et de mettre à jour automatiquement vos machines virtuelles Azure pour maintenir la conformité de la sécurité avec les mises à jour critiques et de sécurité publiées chaque mois. Mises à jour sont appliqués pendant les heures creuses, y compris les machines virtuelles au sein d’un groupe à haute disponibilité. Cette fonctionnalité est disponible pour l’orchestration flexible VMSS, avec une prise en charge future sur la feuille de route pour Uniform Orchestration.

Si vous exécutez une charge de travail sans état, les mises à niveau d’image de système d’exploitation automatique sont idéales pour appliquer la dernière mise à jour pour votre vmSS Uniform. Avec la fonctionnalité de restauration, ces mises à jour sont compatibles avec la Place de marché ou les images personnalisées. Prise en charge de la mise à niveau propagée future sur la feuille de route pour l’orchestration flexible.

Référence : Mise à jour corrective automatique des machines virtuelles invitées pour les machines virtuelles Azure

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : Les mises à jour système doivent être installées sur vos machines (avec le Centre des mises à jour) Des mises à jour système, critiques et de sécurité sont manquantes sur vos machines. Les mises à jour de logiciel incluent souvent des correctifs critiques pour les failles de sécurité. Ces failles sont souvent exploitées lors d’attaques de programmes malveillants. Il est donc essentiel de maintenir vos logiciels à jour. Pour installer tous les correctifs en attente et sécuriser vos machines, suivez la procédure de correction. AuditIfNotExists, Désactivé 1.0.0-preview

Sécurité des points de terminaison

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Sécurité des points de terminaison.

ES-1 : Utiliser la détection de point de terminaison et réponse (EDR)

Fonctionnalités

EDR Solution

Description : La fonctionnalité EDR (Endpoint Detection and Response) telle qu’Azure Defender pour les serveurs peut être déployée dans le point de terminaison. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
True False Client

Conseils de configuration : Azure Defender pour serveurs (avec Microsoft Defender pour point de terminaison intégré) offre une fonctionnalité EDR permettant d’empêcher, de détecter, d’examiner et de répondre aux menaces avancées. Utilisez Microsoft Defender pour le cloud pour déployer Azure Defender pour les serveurs de votre point de terminaison et intégrer les alertes à votre solution SIEM comme Azure Sentinel.

Référence : Licence intégrée pour Microsoft Defender pour point de terminaison

ES-2 : Utiliser un logiciel anti-programmes malveillants moderne

Fonctionnalités

Solution anti-programme malveillant

Description : la fonctionnalité anti-programme malveillant, telle que l’antivirus Microsoft Defender, Microsoft Defender pour point de terminaison peut être déployée sur le point de terminaison. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
True False Client

Conseils de configuration : pour Windows Server 2016 et versions ultérieures, Microsoft Defender pour Antivirus est installé par défaut. Pour Windows Server 2012 R2 et versions ultérieures, les clients peuvent installer SCEP (System Center Endpoint Protection). Pour Linux, les clients peuvent avoir le choix d’installer Microsoft Defender pour Linux. Les clients ont également le choix d’installer des produits anti-programmes malveillants tiers.

Référence : Microsoft Antimalware pour azure Services cloud et Machines Virtuelles

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines Résolvez les problèmes d’intégrité concernant la protection des points de terminaison de vos machines virtuelles pour les protéger des menaces et des vulnérabilités les plus récentes. Les solutions de protection des points de terminaison Azure Security Center prises en charge sont documentées ici : https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. L’évaluation de la protection des points de terminaison est documentée ici : https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Désactivé 1.0.0

ES-3 : Vérifier que les logiciels et signatures anti-programme malveillant sont mis à jour

Fonctionnalités

Surveillance de l’intégrité des solutions anti-programme malveillant

Description : La solution anti-programme malveillant fournit l’intégrité status la surveillance des mises à jour de la plateforme, du moteur et des signatures automatiques. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
True False Client

Conseils de configuration : Configurez votre solution anti-programme malveillant pour vous assurer que la plateforme, le moteur et les signatures sont mis à jour rapidement et de manière cohérente et que leurs status peuvent être surveillés.

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines Résolvez les problèmes d’intégrité concernant la protection des points de terminaison de vos machines virtuelles pour les protéger des menaces et des vulnérabilités les plus récentes. Les solutions de protection des points de terminaison Azure Security Center prises en charge sont documentées ici : https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. L’évaluation de la protection des points de terminaison est documentée ici : https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Désactivé 1.0.0

Sauvegarde et récupération

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Sauvegarde et récupération.

BR-1 : Garantir des sauvegardes automatiques régulières

Fonctionnalités

Sauvegarde Azure

Description : le service peut être sauvegardé par le service Sauvegarde Azure. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
True False Client

Notes de fonctionnalité : pris en charge pour VMSS Flex et non pour VMSS Uniform

Conseils de configuration : activez Sauvegarde Azure et ciblez azure Machines Virtuelles (machine virtuelle), ainsi que la fréquence et les périodes de rétention souhaitées. Cela comprend la sauvegarde complète de l’état du système. Si vous utilisez Azure Disk Encryption, la sauvegarde de machine virtuelle Azure gère automatiquement la sauvegarde des clés gérées par le client. Pour Azure Machines Virtuelles, vous pouvez utiliser Azure Policy pour activer les sauvegardes automatiques.

Référence : Comment prendre une instantané d’un groupe de machines virtuelles identiques instance et un disque managé

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La sauvegarde Azure doit être activée pour les machines virtuelles Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. AuditIfNotExists, Désactivé 3.0.0

Étapes suivantes