Contrôles de conformité réglementaire Azure Policy pour Azure SQL Database et SQL Managed Instance
S’applique à : 
Azure SQL Database Azure SQL Managed Instance
La conformité réglementaire Azure Policy fournit des définitions d’initiatives créées et gérées par Microsoft, qui sont dites intégrées, pour les domaines de conformité et les contrôles de sécurité associés à différents standards de conformité. Cette page liste les domaines de conformité et les contrôles de sécurité pour Azure SQL Database et SQL Managed Instance. Vous pouvez affecter les composants intégrés pour un contrôle de sécurité individuellement, afin de rendre vos ressources Azure conformes au standard spécifique.
Le titre de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien de la colonne Version de la stratégie pour voir la source dans le dépôt GitHub Azure Policy.
Important
Chaque contrôle est associé à une ou plusieurs définitions Azure Policy. Ces stratégies peuvent vous aider à évaluer la conformité avec le contrôle. Toutefois, il n’existe pas souvent de correspondance un-à-un ou parfaite entre un contrôle et une ou plusieurs stratégies. En tant que tel, Conforme dans Azure Policy fait seulement référence aux stratégies elles-même. Cela ne garantit pas que vous êtes entièrement conforme à toutes les exigences d’un contrôle. En outre, la norme de conformité comprend des contrôles qui ne sont traités par aucune définition Azure Policy pour l’instant. Par conséquent, la conformité dans Azure Policy n’est qu’une vue partielle de l’état de conformité global. Les associations entre les contrôles et les définitions de conformité réglementaire Azure Policy pour ces normes de conformité peuvent changer au fil du temps.
Australian Government ISM PROTECTED
Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure correspondent à ce standard de conformité, consultez Conformité réglementaire d’Azure Policy – Australian Government ISM PROTECTED. Pour plus d’informations sur cette norme de conformité, consultez Australian Government ISM PROTECTED.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Instructions pour la gestion de système - Mise à jour corrective de système | 940 | Quand corriger les vulnérabilités de sécurité - 940 | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| Instructions pour la gestion de système - Mise à jour corrective de système | 940 | Quand corriger les vulnérabilités de sécurité - 940 | L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | 1.0.1 |
| Instructions pour la gestion de système - Mise à jour corrective de système | 940 | Quand corriger les vulnérabilités de sécurité - 940 | L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | 3.0.0 |
| Instructions pour la gestion de système - Mise à jour corrective de système | 1144 | Quand corriger les vulnérabilités de sécurité - 1144 | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| Instructions pour la gestion de système - Mise à jour corrective de système | 1144 | Quand corriger les vulnérabilités de sécurité - 1144 | L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | 1.0.1 |
| Instructions pour la gestion de système - Mise à jour corrective de système | 1144 | Quand corriger les vulnérabilités de sécurité - 1144 | L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | 3.0.0 |
| Instructions pour les systèmes de base de données - Logiciels de système de gestion de base de données | 1 260 | Comptes d’administrateur de base de données - 1260 | Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | 1.0.0 |
| Instructions pour les systèmes de base de données - Logiciels de système de gestion de base de données | 1261 | Comptes d’administrateur de base de données - 1261 | Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | 1.0.0 |
| Instructions pour les systèmes de base de données - Logiciels de système de gestion de base de données | 1262 | Comptes d’administrateur de base de données - 1262 | Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | 1.0.0 |
| Instructions pour les systèmes de base de données - Logiciels de système de gestion de base de données | 1263 | Comptes d’administrateur de base de données - 1263 | Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | 1.0.0 |
| Instructions pour les systèmes de base de données - Logiciels de système de gestion de base de données | 1264 | Comptes d’administrateur de base de données - 1264 | Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | 1.0.0 |
| Instructions pour les systèmes de base de données - Serveurs de base de données | 1425 | Protection du contenu d’un serveur de base de données - 1425 | Transparent Data Encryption sur les bases de données SQL doit être activé | 2.0.0 |
| Instructions pour la gestion de système - Mise à jour corrective de système | 1472 | Quand corriger les vulnérabilités de sécurité - 1472 | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| Instructions pour la gestion de système - Mise à jour corrective de système | 1472 | Quand corriger les vulnérabilités de sécurité - 1472 | L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | 1.0.1 |
| Instructions pour la gestion de système - Mise à jour corrective de système | 1472 | Quand corriger les vulnérabilités de sécurité - 1472 | L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | 3.0.0 |
| Instructions pour la gestion de système - Mise à jour corrective de système | 1494 | Quand corriger les vulnérabilités de sécurité - 1494 | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| Instructions pour la gestion de système - Mise à jour corrective de système | 1494 | Quand corriger les vulnérabilités de sécurité - 1494 | L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | 1.0.1 |
| Instructions pour la gestion de système - Mise à jour corrective de système | 1494 | Quand corriger les vulnérabilités de sécurité - 1494 | L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | 3.0.0 |
| Instructions pour la gestion de système - Mise à jour corrective de système | 1495 | Quand corriger les vulnérabilités de sécurité - 1495 | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| Instructions pour la gestion de système - Mise à jour corrective de système | 1495 | Quand corriger les vulnérabilités de sécurité - 1495 | L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | 1.0.1 |
| Instructions pour la gestion de système - Mise à jour corrective de système | 1495 | Quand corriger les vulnérabilités de sécurité - 1495 | L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | 3.0.0 |
| Instructions pour la gestion de système - Mise à jour corrective de système | 1496 | Quand corriger les vulnérabilités de sécurité - 1496 | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| Instructions pour la gestion de système - Mise à jour corrective de système | 1496 | Quand corriger les vulnérabilités de sécurité - 1496 | L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | 1.0.1 |
| Instructions pour la gestion de système - Mise à jour corrective de système | 1496 | Quand corriger les vulnérabilités de sécurité - 1496 | L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | 3.0.0 |
| Instructions pour la supervision du système - Journalisation des événements et audit | 1537 | Événements à journaliser - 1537 | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| Instructions pour la supervision du système - Journalisation des événements et audit | 1537 | Événements à journaliser - 1537 | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
PBMM fédéral du Canada
Pour voir comment les composants intégrés Azure Policy de tous les services Azure répondent à ce standard de conformité, consultez Conformité réglementaire Azure Policy – Canada Federal PBMM. Pour plus d’informations sur cette norme de conformité, consultez Canada Federal PBMM.
CIS Microsoft Azure Foundations Benchmark 1.1.0
Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure correspondent à ce standard de conformité, consultez Conformité réglementaire Azure Policy – CIS Microsoft Azure Foundations Benchmark 1.1.0. Pour plus d’informations sur cette norme de conformité, consultez CIS Microsoft Azure Foundations Benchmark.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| 2 Security Center | 2.14 | Vérifier que le paramètre de stratégie par défaut ASC « Superviser l’audit SQL » n’est pas défini sur « Disabled » | L’audit sur SQL Server doit être activé | 2.0.0 |
| 2 Security Center | 2.15 | Vérifier que le paramètre de stratégie par défaut d’ASC « Surveiller le chiffrement SQL » n’est pas défini sur « Disabled » | Transparent Data Encryption sur les bases de données SQL doit être activé | 2.0.0 |
| 4 Services de base de données | 4,1 | Vérifier que l’option « Audit » est définie sur « On » | L’audit sur SQL Server doit être activé | 2.0.0 |
| 4 Services de base de données | 4.10 | Vérifier que le protecteur TDE du serveur SQL est chiffré avec BYOK (Bring Your Own Key) | Les instances gérées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | 2.0.0 |
| 4 Services de base de données | 4.10 | Vérifier que le protecteur TDE du serveur SQL est chiffré avec BYOK (Bring Your Own Key) | Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | 2.0.1 |
| 4 Services de base de données | 4,2 | Vérifier que « AuditActionGroups » dans la stratégie « Audit » pour un serveur SQL est correctement défini | Les paramètres d’audit SQL doivent avoir des groupes d’actions configurés pour capturer les activités critiques | 1.0.0 |
| 4 Services de base de données | 4.3 | Vérifier que la période de rétention d’audit est supérieure à 90 jours | Les serveurs SQL avec un audit dans la destination Compte de stockage doivent être configurés avec une conservation d'au moins 90 jours | 3.0.0 |
| 4 Services de base de données | 4.4 | Vérifier que l’option « Advanced Data Security » sur un serveur SQL Server est définie sur « On » | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| 4 Services de base de données | 4.4 | Vérifier que l’option « Advanced Data Security » sur un serveur SQL Server est définie sur « On » | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| 4 Services de base de données | 4.8 | Vérifier que l’administrateur Azure Active Directory est configuré | Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | 1.0.0 |
| 4 Services de base de données | 4,9 | Vérifiez que l’option « Chiffrement des données » est définie sur « On » sur une base de données SQL | Transparent Data Encryption sur les bases de données SQL doit être activé | 2.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure correspondent à ce standard de conformité, consultez Conformité réglementaire Azure Policy – CIS Microsoft Azure Foundations Benchmark 1.3.0. Pour plus d’informations sur cette norme de conformité, consultez CIS Microsoft Azure Foundations Benchmark.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| 4 Services de base de données | 4.1.1 | Vérifier que l’option « Audit » est définie sur « On » | L’audit sur SQL Server doit être activé | 2.0.0 |
| 4 Services de base de données | 4.1.2 | Vérifiez que l’option « Chiffrement des données » est définie sur « On » sur une base de données SQL | Transparent Data Encryption sur les bases de données SQL doit être activé | 2.0.0 |
| 4 Services de base de données | 4.1.3 | Vérifier que la période de rétention d’audit est supérieure à 90 jours | Les serveurs SQL avec un audit dans la destination Compte de stockage doivent être configurés avec une conservation d'au moins 90 jours | 3.0.0 |
| 4 Services de base de données | 4.2.1 | Vérifier que la protection avancée contre les menaces (ATP) sur un serveur SQL Server est définie sur « Activé » | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| 4 Services de base de données | 4.2.1 | Vérifier que la protection avancée contre les menaces (ATP) sur un serveur SQL Server est définie sur « Activé » | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| 4 Services de base de données | 4.2.2 | Vérifier que l’évaluation des vulnérabilités est activée sur un serveur SQL Server en définissant un compte de stockage | L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | 1.0.1 |
| 4 Services de base de données | 4.2.2 | Vérifier que l’évaluation des vulnérabilités est activée sur un serveur SQL Server en définissant un compte de stockage | L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | 3.0.0 |
| 4 Services de base de données | 4.4 | Vérifier que l’administrateur Azure Active Directory est configuré | Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | 1.0.0 |
| 4 Services de base de données | 4.5 | Vérifier que le protecteur TDE du serveur SQL est chiffré avec une clé gérée par le client | Les instances gérées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | 2.0.0 |
| 4 Services de base de données | 4.5 | Vérifier que le protecteur TDE du serveur SQL est chiffré avec une clé gérée par le client | Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | 2.0.1 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Pour voir comment les composants intégrés Azure Policy disponibles de tous les services Azure répondent à cette norme de conformité, consultez Détails de l’initiative intégrée de conformité réglementaire pour CIS Microsoft Azure Foundations Benchmark 1.4.0. Pour plus d’informations sur cette norme de conformité, consultez CIS Microsoft Azure Foundations Benchmark.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| 4 Services de base de données | 4.1.1 | Vérifier que l’option « Audit » est définie sur « On » | L’audit sur SQL Server doit être activé | 2.0.0 |
| 4 Services de base de données | 4.1.2 | Vérifiez que l’option « Chiffrement des données » est définie sur « On » sur une base de données SQL | Transparent Data Encryption sur les bases de données SQL doit être activé | 2.0.0 |
| 4 Services de base de données | 4.1.3 | Vérifier que la période de rétention d’audit est supérieure à 90 jours | Les serveurs SQL avec un audit dans la destination Compte de stockage doivent être configurés avec une conservation d'au moins 90 jours | 3.0.0 |
| 4 Services de base de données | 4.2.1 | Assurez-vous que l’option Advanced Threat Protection (ATP) sur SQL Server est définie sur « Activé » | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| 4 Services de base de données | 4.2.1 | Assurez-vous que l’option Advanced Threat Protection (ATP) sur SQL Server est définie sur « Activé » | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| 4 Services de base de données | 4.2.2 | Vérifier que l’évaluation des vulnérabilités est activée sur un serveur SQL Server en définissant un compte de stockage | L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | 1.0.1 |
| 4 Services de base de données | 4.2.2 | Vérifier que l’évaluation des vulnérabilités est activée sur un serveur SQL Server en définissant un compte de stockage | L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | 3.0.0 |
| 4 Services de base de données | 4.5 | Vérifier que l’administrateur Azure Active Directory est configuré | Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | 1.0.0 |
| 4 Services de base de données | 4.6 | Vérifier que le protecteur TDE du serveur SQL est chiffré avec une clé gérée par le client | Les instances gérées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | 2.0.0 |
| 4 Services de base de données | 4.6 | Vérifier que le protecteur TDE du serveur SQL est chiffré avec une clé gérée par le client | Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | 2.0.1 |
CIS Microsoft Azure Foundations Benchmark 2.0.0
Pour voir comment les composants intégrés Azure Policy disponibles de tous les services Azure répondent à cette norme de conformité, consultez Détails de la conformité réglementaire Azure Policy pour CIS v2.0.0. Pour plus d’informations sur cette norme de conformité, consultez CIS Microsoft Azure Foundations Benchmark.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| 4.1 | 4.1.1 | Vérifier que l’option « Audit » est définie sur « On » | L’audit sur SQL Server doit être activé | 2.0.0 |
| 4,1 | 4.1.2 | Vérifier qu'aucune base de données Azure SQL n'autorise l'entrée à partir de 0.0.0.0/0 (TOUTE IP) | L’accès au réseau public sur Azure SQL Database doit être désactivé | 1.1.0 |
| 4,1 | 4.1.3 | Vérifier que le protecteur TDE (Transparent Data Encryption) de SQL Server est chiffré avec une clé gérée par le client | Les instances gérées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | 2.0.0 |
| 4,1 | 4.1.3 | Vérifier que le protecteur TDE (Transparent Data Encryption) de SQL Server est chiffré avec une clé gérée par le client | Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | 2.0.1 |
| 4,1 | 4.1.4 | Vérifier que l'administrateur Azure Active Directory est configuré pour les serveurs SQL | Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | 1.0.0 |
| 4,1 | 4.1.5 | Vérifiez que l’option « Chiffrement des données » est définie sur « On » sur une base de données SQL | Transparent Data Encryption sur les bases de données SQL doit être activé | 2.0.0 |
| 4,1 | 4.1.6 | Vérifier que la période de rétention d’audit est supérieure à 90 jours | Les serveurs SQL avec un audit dans la destination Compte de stockage doivent être configurés avec une conservation d'au moins 90 jours | 3.0.0 |
| 4.2 | 4.2.1 | Vérifier que Microsoft Defender pour SQL est défini sur « Activé » pour les serveurs SQL critiques | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| 4.2 | 4.2.1 | Vérifier que Microsoft Defender pour SQL est défini sur « Activé » pour les serveurs SQL critiques | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| 4,2 | 4.2.2 | Vérifier que l’évaluation des vulnérabilités est activée sur un serveur SQL Server en définissant un compte de stockage | L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | 1.0.1 |
| 4,2 | 4.2.2 | Vérifier que l’évaluation des vulnérabilités est activée sur un serveur SQL Server en définissant un compte de stockage | L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | 3.0.0 |
| 4,2 | 4.2.3 | Vérifier que le paramètre d'évaluation des vulnérabilités « Analyses récurrentes périodiques » est défini sur « Activé » pour chaque serveur SQL | L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | 1.0.1 |
| 4,2 | 4.2.4 | Vérifier que le paramètre d'évaluation des vulnérabilités « Envoyer des rapports d'analyse » est configuré pour un serveur SQL | L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | 3.0.0 |
| 4,2 | 4.2.5 | Vérifier que le paramètre d'évaluation des vulnérabilités « Envoyer également des notifications par e-mail aux administrateurs et aux propriétaires d'abonnement » est défini pour chaque serveur SQL | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| 4,2 | 4.2.5 | Vérifier que le paramètre d'évaluation des vulnérabilités « Envoyer également des notifications par e-mail aux administrateurs et aux propriétaires d'abonnement » est défini pour chaque serveur SQL | L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | 3.0.0 |
CMMC niveau 3
Pour voir comment les composants intégrés Azure Policy de tous les services Azure répondent à ce standard de conformité, consultez Conformité réglementaire Azure Policy – CMMC niveau 3. Pour plus d’informations sur ce standard de conformité, consultez Cybersecurity Maturity Model Certification (CMMC).
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Contrôle d’accès | AC.1.001 | Restreindre l’accès au système d’information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes d’information). | L’accès au réseau public sur Azure SQL Database doit être désactivé | 1.1.0 |
| Contrôle d’accès | AC.1.002 | Restreindre l’accès au système d’information aux types de transactions et de fonctions que seuls les utilisateurs autorisés peuvent exécuter. | L’accès au réseau public sur Azure SQL Database doit être désactivé | 1.1.0 |
| Contrôle d’accès | AC.2.016 | Contrôler le flux de CUI conformément aux autorisations approuvées. | L’accès au réseau public sur Azure SQL Database doit être désactivé | 1.1.0 |
| Audit et responsabilité | AU.2.041 | Vérifier que les actions de chaque utilisateur du système peuvent être suivies et mises en correspondance avec les utilisateurs en question, afin qu’ils puissent être tenus responsables de leurs actions. | L’audit sur SQL Server doit être activé | 2.0.0 |
| Audit et responsabilité | AU.2.041 | Vérifier que les actions de chaque utilisateur du système peuvent être suivies et mises en correspondance avec les utilisateurs en question, afin qu’ils puissent être tenus responsables de leurs actions. | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| Audit et responsabilité | AU.2.041 | Vérifier que les actions de chaque utilisateur du système peuvent être suivies et mises en correspondance avec les utilisateurs en question, afin qu’ils puissent être tenus responsables de leurs actions. | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| Audit et responsabilité | AU.2.042 | Créer et conserver les journaux d’audit système et les enregistrements de façon à pouvoir activer la supervision, l’analyse, l’investigation et la création de rapports concernant l’activité système non légale ou non autorisée. | L’audit sur SQL Server doit être activé | 2.0.0 |
| Audit et responsabilité | AU.2.042 | Créer et conserver les journaux d’audit système et les enregistrements de façon à pouvoir activer la supervision, l’analyse, l’investigation et la création de rapports concernant l’activité système non légale ou non autorisée. | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| Audit et responsabilité | AU.2.042 | Créer et conserver les journaux d’audit système et les enregistrements de façon à pouvoir activer la supervision, l’analyse, l’investigation et la création de rapports concernant l’activité système non légale ou non autorisée. | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| Audit et responsabilité | AU.3.046 | Alerter en cas d’échec du processus de journalisation d’audit. | L’audit sur SQL Server doit être activé | 2.0.0 |
| Audit et responsabilité | AU.3.046 | Alerter en cas d’échec du processus de journalisation d’audit. | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| Audit et responsabilité | AU.3.046 | Alerter en cas d’échec du processus de journalisation d’audit. | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| Évaluation de la sécurité | CA.2.158 | Évaluer régulièrement les contrôles de sécurité dans les systèmes d’entreprise afin de déterminer s’ils sont efficaces dans leur application. | L’audit sur SQL Server doit être activé | 2.0.0 |
| Évaluation de la sécurité | CA.2.158 | Évaluer régulièrement les contrôles de sécurité dans les systèmes d’entreprise afin de déterminer s’ils sont efficaces dans leur application. | L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | 1.0.1 |
| Évaluation de la sécurité | CA.2.158 | Évaluer régulièrement les contrôles de sécurité dans les systèmes d’entreprise afin de déterminer s’ils sont efficaces dans leur application. | L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | 3.0.0 |
| Évaluation de la sécurité | CA.3.161 | Superviser les contrôles de sécurité de façon continue pour garantir l’efficacité continue des contrôles. | L’audit sur SQL Server doit être activé | 2.0.0 |
| Évaluation de la sécurité | CA.3.161 | Superviser les contrôles de sécurité de façon continue pour garantir l’efficacité continue des contrôles. | L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | 1.0.1 |
| Évaluation de la sécurité | CA.3.161 | Superviser les contrôles de sécurité de façon continue pour garantir l’efficacité continue des contrôles. | L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | 3.0.0 |
| Gestion de la configuration | CM.2.064 | Établir et appliquer des paramètres de configuration de sécurité pour les produits informatiques utilisés dans les systèmes d’entreprise. | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| Gestion de la configuration | CM.2.064 | Établir et appliquer des paramètres de configuration de sécurité pour les produits informatiques utilisés dans les systèmes d’entreprise. | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| Gestion de la configuration | CM.3.068 | Limiter, désactiver ou empêcher l’utilisation de programmes, fonctions, ports, protocoles et services non essentiels. | L’accès au réseau public sur Azure SQL Database doit être désactivé | 1.1.0 |
| Récupération | RE.2.137 | Exécuter et tester régulièrement des sauvegardes de données. | La sauvegarde géoredondante à long terme doit être activée pour les bases de données Azure SQL | 2.0.0 |
| Récupération | RE.3.139 | Effectuer régulièrement des sauvegardes de données complètes et résilientes, tel que défini par l’organisation. | La sauvegarde géoredondante à long terme doit être activée pour les bases de données Azure SQL | 2.0.0 |
| Évaluation des risques | RM.2.141 | Évaluer régulièrement les risques liés aux opérations organisationnelles (notamment la mission, les fonctions, l’image ou la réputation), aux ressources organisationnelles et aux individus, résultant du fonctionnement des systèmes d’entreprise ainsi que du traitement, du stockage et de la transmission d’informations CUI associés. | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| Évaluation des risques | RM.2.141 | Évaluer régulièrement les risques liés aux opérations organisationnelles (notamment la mission, les fonctions, l’image ou la réputation), aux ressources organisationnelles et aux individus, résultant du fonctionnement des systèmes d’entreprise ainsi que du traitement, du stockage et de la transmission d’informations CUI associés. | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| Évaluation des risques | RM.2.141 | Évaluer régulièrement les risques liés aux opérations organisationnelles (notamment la mission, les fonctions, l’image ou la réputation), aux ressources organisationnelles et aux individus, résultant du fonctionnement des systèmes d’entreprise ainsi que du traitement, du stockage et de la transmission d’informations CUI associés. | L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | 1.0.1 |
| Évaluation des risques | RM.2.141 | Évaluer régulièrement les risques liés aux opérations organisationnelles (notamment la mission, les fonctions, l’image ou la réputation), aux ressources organisationnelles et aux individus, résultant du fonctionnement des systèmes d’entreprise ainsi que du traitement, du stockage et de la transmission d’informations CUI associés. | L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | 3.0.0 |
| Évaluation des risques | RM.2.142 | Rechercher régulièrement les vulnérabilités dans les applications et les systèmes de l’organisation et quand de nouvelles vulnérabilités affectant ces systèmes et applications sont identifiées. | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| Évaluation des risques | RM.2.142 | Rechercher régulièrement les vulnérabilités dans les applications et les systèmes de l’organisation et quand de nouvelles vulnérabilités affectant ces systèmes et applications sont identifiées. | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| Évaluation des risques | RM.2.142 | Rechercher régulièrement les vulnérabilités dans les applications et les systèmes de l’organisation et quand de nouvelles vulnérabilités affectant ces systèmes et applications sont identifiées. | L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | 1.0.1 |
| Évaluation des risques | RM.2.142 | Rechercher régulièrement les vulnérabilités dans les applications et les systèmes de l’organisation et quand de nouvelles vulnérabilités affectant ces systèmes et applications sont identifiées. | L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | 3.0.0 |
| Évaluation des risques | RM.2.143 | Corriger les vulnérabilités conformément aux évaluations des risques. | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| Évaluation des risques | RM.2.143 | Corriger les vulnérabilités conformément aux évaluations des risques. | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| Évaluation des risques | RM.2.143 | Corriger les vulnérabilités conformément aux évaluations des risques. | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| Évaluation des risques | RM.2.143 | Corriger les vulnérabilités conformément aux évaluations des risques. | L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | 1.0.1 |
| Évaluation des risques | RM.2.143 | Corriger les vulnérabilités conformément aux évaluations des risques. | L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | 3.0.0 |
| Protection du système et des communications | SC.1.175 | Superviser, contrôler et protéger les communications (c’est-à-dire les informations transmises ou reçues par les systèmes de l’organisation) aux limites externes et aux limites internes clés des systèmes de l’organisation. | L’accès au réseau public sur Azure SQL Database doit être désactivé | 1.1.0 |
| Protection du système et des communications | SC.3.177 | Utiliser le chiffrement validé FIPS quand il est utilisé pour protéger la confidentialité d’informations CUI. | Les instances gérées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | 2.0.0 |
| Protection du système et des communications | SC.3.177 | Utiliser le chiffrement validé FIPS quand il est utilisé pour protéger la confidentialité d’informations CUI. | Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | 2.0.1 |
| Protection du système et des communications | SC.3.177 | Utiliser le chiffrement validé FIPS quand il est utilisé pour protéger la confidentialité d’informations CUI. | Transparent Data Encryption sur les bases de données SQL doit être activé | 2.0.0 |
| Protection du système et des communications | SC.3.181 | Séparer les fonctionnalités utilisateur des fonctionnalités de gestion du système. | Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | 1.0.0 |
| Protection du système et des communications | SC.3.183 | Refuser le trafic des communications réseau par défaut et autoriser le trafic des communications réseau par exception (c’est-à-dire, tout refuser, autoriser par exception). | L’accès au réseau public sur Azure SQL Database doit être désactivé | 1.1.0 |
| Protection du système et des communications | SC.3.191 | Protéger la confidentialité de CUI au repos. | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| Protection du système et des communications | SC.3.191 | Protéger la confidentialité de CUI au repos. | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| Protection du système et des communications | SC.3.191 | Protéger la confidentialité de CUI au repos. | Transparent Data Encryption sur les bases de données SQL doit être activé | 2.0.0 |
| Intégrité du système et des informations | SI.1.210 | Identifier, signaler et corriger les failles des systèmes d’information en temps voulu. | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| Intégrité du système et des informations | SI.2.216 | Superviser les systèmes de l’organisation, notamment le trafic des communications entrantes et sortantes, pour détecter les attaques et les indicateurs d’attaques potentielles. | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| Intégrité du système et des informations | SI.2.216 | Superviser les systèmes de l’organisation, notamment le trafic des communications entrantes et sortantes, pour détecter les attaques et les indicateurs d’attaques potentielles. | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| Intégrité du système et des informations | SI.2.217 | Identifier les utilisations non autorisées des systèmes d’entreprise. | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| Intégrité du système et des informations | SI.2.217 | Identifier les utilisations non autorisées des systèmes d’entreprise. | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
FedRAMP Niveau élevé
Pour voir le mappage entre les composants intégrés Azure Policy disponibles pour tous les services Azure et cette norme de conformité, consultez Conformité réglementaire d’Azure Policy – FedRAMP High. Pour plus d’informations sur cette norme de conformité, consultez FedRAMP High.
FedRAMP Niveau modéré
Pour voir le mappage entre les composants intégrés Azure Policy disponibles pour tous les services Azure et cette norme de conformité, consultez Conformité réglementaire d’Azure Policy – FedRAMP Moderate. Pour plus d’informations sur cette norme de conformité, consultez FedRAMP Moderate.
HIPAA HITRUST 9.2
Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure correspondent à ce standard de conformité, consultez Conformité réglementaire Azure Policy – HIPAA HITRUST 9.2. Pour plus d’informations sur cette norme de conformité, consultez HIPAA HITRUST 9.2.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| 03 Sécurité des médias portables | 0301.09o1Organizational.123-09.o | 0301.09o1Organisationnel.123-09.o 09.07 Gestion multimédia | Transparent Data Encryption sur les bases de données SQL doit être activé | 2.0.0 |
| 03 Sécurité des médias portables | 0304.09o3Organizational.1-09 - 09.o | 0304.09o3Organisationnel.1-09.o 09.07 Gestion multimédia | Les instances managées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | 2.0.0 |
| 03 Sécurité des médias portables | 0304.09o3Organizational.1-09 - 09.o | 0304.09o3Organisationnel.1-09.o 09.07 Gestion multimédia | Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | 2.0.1 |
| 07 Gestion des vulnérabilités | 0709.10m1Organizational.1-10.m | 0709.10m1Organisationnel.1-10.m 10.06 Gestion technique des vulnérabilités | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| 07 Gestion des vulnérabilités | 0709.10m1Organizational.1-10.m | 0709.10m1Organisationnel.1-10.m 10.06 Gestion technique des vulnérabilités | L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | 1.0.1 |
| 07 Gestion des vulnérabilités | 0709.10m1Organizational.1-10.m | 0709.10m1Organisationnel.1-10.m 10.06 Gestion technique des vulnérabilités | L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | 3.0.0 |
| 07 Gestion des vulnérabilités | 0710.10m2Organizational.1-10.m | 0710.10m2Organisationnel.1-10.m 10.06 Gestion technique des vulnérabilités | L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | 1.0.1 |
| 07 Gestion des vulnérabilités | 0716.10m3Organizational.1-10.m | 0716.10m3Organisationnel.1-10.m 10.06 Gestion des vulnérabilités techniques | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| 07 Gestion des vulnérabilités | 0719.10m3Organizational.5-10.m | 0719.10m3Organisationnel.5-10.m 10.06 Gestion technique des vulnérabilités | L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | 1.0.1 |
| 08 Protection réseau | 0805.01m1Organizational.12-01.m | 0805.01m1Organisationnel.12-01.m 01.04 Access Control réseau | SQL Server doit utiliser un point de terminaison de service de réseau virtuel | 1.0.0 |
| 08 Protection réseau | 0806.01m2Organizational.12356-01.m | 0806.01m2Organisationnel.12356-01.m 01.04 Access Control réseau | SQL Server doit utiliser un point de terminaison de service de réseau virtuel | 1.0.0 |
| 08 Protection réseau | 0862.09m2Organizational.8-09.m | 0862.09m2Organisationnel.8-09.m 09.06 Gestion de la sécurité réseau | SQL Server doit utiliser un point de terminaison de service de réseau virtuel | 1.0.0 |
| 08 Protection réseau | 0894.01m2Organizational.7-01.m | 0894.01m2Organisationnel.7-01.m 01.04 Access Control réseau | SQL Server doit utiliser un point de terminaison de service de réseau virtuel | 1.0.0 |
| 12 Journalisation et surveillance de l’audit | 1211.09aa3System.4-09.aa | 1211.09aa3Système.4-09.aa 09.10 Analyse | L’audit sur SQL Server doit être activé | 2.0.0 |
| 16 Continuité d’activité et reprise d’activité | 1616.09l1Organizational.16-09.l | 1616.09l1Organisationnel.16-09.l 09.05 Sauvegarde d’informations | La sauvegarde géoredondante à long terme doit être activée pour les bases de données Azure SQL | 2.0.0 |
| 16 Continuité d’activité et reprise d’activité | 1621.09l2Organizational.1-09.l | 1621.09l2Organisationnel.1-09.l 09.05 Sauvegarde d’informations | La sauvegarde géoredondante à long terme doit être activée pour les bases de données Azure SQL | 2.0.0 |
IRS 1075 septembre 2016
Pour voir comment les composants intégrés Azure Policy disponibles de tous les services Azure répondent à cette norme de conformité, consultez Conformité réglementaire Azure Policy – IRS 1075 septembre 2016. Pour plus d’informations sur cette norme de conformité, consultez IRS 1075 septembre 2016.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Contrôle d’accès | 9.3.1.2 | Gestion de compte (AC-2) | Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | 1.0.0 |
| Évaluation des risques | 9.3.14.3 | Analyse des vulnérabilités (RA-5) | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| Évaluation des risques | 9.3.14.3 | Analyse des vulnérabilités (RA-5) | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| Évaluation des risques | 9.3.14.3 | Analyse des vulnérabilités (RA-5) | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| Protection du système et des communications | 9.3.16.15 | Protection des informations au repos (SC-28) | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| Protection du système et des communications | 9.3.16.15 | Protection des informations au repos (SC-28) | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| Protection du système et des communications | 9.3.16.15 | Protection des informations au repos (SC-28) | Transparent Data Encryption sur les bases de données SQL doit être activé | 2.0.0 |
| Intégrité du système et des informations | 9.3.17.2 | Correction des défauts (SI-2) | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| Intégrité du système et des informations | 9.3.17.4 | Supervision du système d’information (SI-4) | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| Intégrité du système et des informations | 9.3.17.4 | Supervision du système d’information (SI-4) | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| Reconnaissance et formation | 9.3.3.11 | Génération de l’audit (AU-12) | L’audit sur SQL Server doit être activé | 2.0.0 |
| Reconnaissance et formation | 9.3.3.11 | Génération de l’audit (AU-12) | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| Reconnaissance et formation | 9.3.3.11 | Génération de l’audit (AU-12) | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| Reconnaissance et formation | 9.3.3.5 | Réponse aux échecs du processus d’audit (AU-5) | L’audit sur SQL Server doit être activé | 2.0.0 |
| Reconnaissance et formation | 9.3.3.5 | Réponse aux échecs du processus d’audit (AU-5) | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| Reconnaissance et formation | 9.3.3.5 | Réponse aux échecs du processus d’audit (AU-5) | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
ISO 27001:2013
Pour voir comment les composants intégrés Azure Policy disponibles de tous les services Azure répondent à cette norme de conformité, consultez Conformité réglementaire Azure Policy – ISO 27001:2013. Pour plus d’informations sur cette norme de conformité, consultez ISO 27001:2013.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Chiffrement | 10.1.1 | Stratégie sur l’utilisation des contrôles de chiffrement | Transparent Data Encryption sur les bases de données SQL doit être activé | 2.0.0 |
| Sécurité des opérations | 12.4.1 | Journalisation des événements | L’audit sur SQL Server doit être activé | 2.0.0 |
| Sécurité des opérations | 12.4.3 | Journaux des administrateurs et opérateurs | L’audit sur SQL Server doit être activé | 2.0.0 |
| Sécurité des opérations | 12.4.4 | Synchronisation des horloges | L’audit sur SQL Server doit être activé | 2.0.0 |
| Sécurité des opérations | 12.6.1 | Gestion des vulnérabilités techniques | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| Gestion des ressources | 8.2.1 | Classification des informations | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| Contrôle d’accès | 9.2.3 | Gestion des droits d’accès privilégié | Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | 1.0.0 |
Stratégies confidentielles de référence Microsoft Cloud for Sovereignty
Pour savoir dans quelle mesure les intégrations Azure Policy disponibles pour tous les services Azure correspondent à cette norme de conformité, consultez les détails de la conformité réglementaire d’Azure Policy pour les stratégies confidentielles de référence Microsoft Cloud for Sovereignty. Pour plus d’informations sur cette norme de conformité, consultez Portefeuille stratégique Microsoft Cloud for Sovereignty.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| SO.3 – Clés gérées par le client | SO.3 | Vous devez configurer les produits Azure pour utiliser des clés gérées par le client, le cas échéant. | Les instances gérées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | 2.0.0 |
| SO.3 – Clés gérées par le client | SO.3 | Vous devez configurer les produits Azure pour utiliser des clés gérées par le client, le cas échéant. | Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | 2.0.1 |
Benchmark de sécurité cloud Microsoft
Le point de référence de sécurité du cloud Microsoft fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Pour voir comment ce service correspond totalement au point de référence de sécurité du cloud Microsoft, consultez les fichiers de correspondance Azure Security Benchmark.
Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure correspondent à cette norme de conformité, consultez l’article Conformité réglementaire Azure Policy – Point de référence de sécurité du cloud Microsoft.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Sécurité réseau | NS-2 | Sécuriser les services cloud avec des contrôles réseau | Azure SQL Managed Instances doit désactiver l’accès au réseau public | 1.0.0 |
| Sécurité réseau | NS-2 | Sécuriser les services cloud avec des contrôles réseau | Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées | 1.1.0 |
| Sécurité réseau | NS-2 | Sécuriser les services cloud avec des contrôles réseau | L’accès au réseau public sur Azure SQL Database doit être désactivé | 1.1.0 |
| Gestion des identités | IM-1 | Utiliser le système d’identité et d’authentification centralisé | Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | 1.0.0 |
| Gestion des identités | IM-1 | Utiliser le système d’identité et d’authentification centralisé | L’authentification Microsoft Entra uniquement doit être activée pour Azure SQL Database | 1.0.0 |
| Gestion des identités | IM-1 | Utiliser le système d’identité et d’authentification centralisé | L’authentification Microsoft Entra uniquement doit être activée pour Azure SQL Database lors de la création | 1.2.0 |
| Gestion des identités | IM-1 | Utiliser le système d’identité et d’authentification centralisé | L’authentification Microsoft Entra uniquement doit être activée pour Azure SQL Managed Instance | 1.0.0 |
| Gestion des identités | IM-1 | Utiliser le système d’identité et d’authentification centralisé | L’authentification Microsoft Entra uniquement doit être activée pour Azure SQL Managed Instances lors de la création | 1.2.0 |
| Gestion des identités | IM-4 | Authentifier le serveur et les services | Azure SQL Database doit exécuter TLS version 1.2 ou ultérieure | 2.0.0 |
| Protection des données | DP-2 | Surveiller les anomalies et les menaces ciblant les données sensibles | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| Protection des données | DP-3 | Chiffrer les données sensibles en transit | Azure SQL Database doit exécuter TLS version 1.2 ou ultérieure | 2.0.0 |
| Protection des données | DP-4 | Activer le chiffrement des données au repos par défaut | Transparent Data Encryption sur les bases de données SQL doit être activé | 2.0.0 |
| Protection des données | DP-5 | Utiliser l’option de clé gérée par le client dans le chiffrement des données au repos si nécessaire | Les instances managées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | 2.0.0 |
| Protection des données | DP-5 | Utiliser l’option de clé gérée par le client dans le chiffrement des données au repos si nécessaire | Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | 2.0.1 |
| Journalisation et détection des menaces | LT-1 | Activer les fonctionnalités de détection des menaces | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| Journalisation et détection des menaces | LT-1 | Activer les fonctionnalités de détection des menaces | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| Journalisation et détection des menaces | LT-2 | Activer la détection des menaces pour la gestion des identités et des accès | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| Journalisation et détection des menaces | LT-2 | Activer la détection des menaces pour la gestion des identités et des accès | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| Journalisation et détection des menaces | LT-3 | Activer la journalisation pour l’examen de sécurité | L’audit sur SQL Server doit être activé | 2.0.0 |
| Journalisation et détection des menaces | LT-6 | Configurer la rétention du stockage des journaux | Les serveurs SQL avec un audit dans la destination Compte de stockage doivent être configurés avec une conservation d'au moins 90 jours | 3.0.0 |
| Réponse aux incidents | IR-3 | Détection et analyse : créer des incidents en fonction d’alertes de haute qualité | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| Réponse aux incidents | IR-3 | Détection et analyse : créer des incidents en fonction d’alertes de haute qualité | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| Gestion de la posture et des vulnérabilités | PV-5 | Effectuer des évaluations des vulnérabilités | L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | 1.0.1 |
| Gestion de la posture et des vulnérabilités | PV-5 | Effectuer des évaluations des vulnérabilités | L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | 3.0.0 |
| Gestion de la posture et des vulnérabilités | PV-6 | Corriger rapidement et automatiquement les vulnérabilités | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| Réponse aux incidents | AIR-5 | Détection et analyse : classer par ordre de priorité les incidents | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| Réponse aux incidents | AIR-5 | Détection et analyse : classer par ordre de priorité les incidents | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
NIST SP 800-171 R2
Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure correspondent à ce standard de conformité, consultez Conformité réglementaire Azure Policy – NIST SP 800-171 R2. Pour plus d’informations sur cette norme de conformité, consultez NIST SP 800-171 R2.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Contrôle d’accès | 3.1.1 | Limiter l’accès système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes). | Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | 1.0.0 |
| Contrôle d’accès | 3.1.1 | Limiter l’accès système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes). | Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées | 1.1.0 |
| Contrôle d’accès | 3.1.12 | Superviser et contrôler les sessions d’accès à distance. | Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées | 1.1.0 |
| Contrôle d’accès | 3.1.13 | Utilisez des mécanismes de chiffrement pour protéger la confidentialité des sessions d’accès à distance. | Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées | 1.1.0 |
| Contrôle d’accès | 3.1.14 | Router l’accès à distance via des points de contrôle d’accès managés. | Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées | 1.1.0 |
| Contrôle d’accès | 3.1.2 | Restreindre l’accès du système aux types de transactions et de fonctions que seuls les utilisateurs autorisés peuvent exécuter. | Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | 1.0.0 |
| Contrôle d’accès | 3.1.3 | Contrôler le flux de CUI conformément aux autorisations approuvées. | Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées | 1.1.0 |
| Contrôle d’accès | 3.1.3 | Contrôler le flux de CUI conformément aux autorisations approuvées. | L’accès au réseau public sur Azure SQL Database doit être désactivé | 1.1.0 |
| Évaluation des risques | 3.11.2 | Rechercher régulièrement les vulnérabilités dans les applications et les systèmes de l’organisation et quand de nouvelles vulnérabilités affectant ces systèmes et applications sont identifiées. | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| Évaluation des risques | 3.11.2 | Rechercher régulièrement les vulnérabilités dans les applications et les systèmes de l’organisation et quand de nouvelles vulnérabilités affectant ces systèmes et applications sont identifiées. | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| Évaluation des risques | 3.11.2 | Rechercher régulièrement les vulnérabilités dans les applications et les systèmes de l’organisation et quand de nouvelles vulnérabilités affectant ces systèmes et applications sont identifiées. | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| Évaluation des risques | 3.11.2 | Rechercher régulièrement les vulnérabilités dans les applications et les systèmes de l’organisation et quand de nouvelles vulnérabilités affectant ces systèmes et applications sont identifiées. | L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | 1.0.1 |
| Évaluation des risques | 3.11.2 | Rechercher régulièrement les vulnérabilités dans les applications et les systèmes de l’organisation et quand de nouvelles vulnérabilités affectant ces systèmes et applications sont identifiées. | L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | 3.0.0 |
| Évaluation des risques | 3.11.3 | Corriger les vulnérabilités conformément aux évaluations des risques. | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| Évaluation des risques | 3.11.3 | Corriger les vulnérabilités conformément aux évaluations des risques. | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| Évaluation des risques | 3.11.3 | Corriger les vulnérabilités conformément aux évaluations des risques. | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| Évaluation des risques | 3.11.3 | Corriger les vulnérabilités conformément aux évaluations des risques. | L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | 1.0.1 |
| Évaluation des risques | 3.11.3 | Corriger les vulnérabilités conformément aux évaluations des risques. | L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | 3.0.0 |
| Protection du système et des communications | 3.13.1 | Superviser, contrôler et protéger les communications (c’est-à-dire les informations transmises ou reçues par les systèmes de l’organisation) aux limites externes et aux limites internes clés des systèmes de l’organisation. | Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées | 1.1.0 |
| Protection du système et des communications | 3.13.1 | Superviser, contrôler et protéger les communications (c’est-à-dire les informations transmises ou reçues par les systèmes de l’organisation) aux limites externes et aux limites internes clés des systèmes de l’organisation. | L’accès au réseau public sur Azure SQL Database doit être désactivé | 1.1.0 |
| Protection du système et des communications | 3.13.10 | Établir et gérer des clés de chiffrement pour le chiffrement utilisé dans les systèmes d’entreprise. | Les instances gérées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | 2.0.0 |
| Protection du système et des communications | 3.13.10 | Établir et gérer des clés de chiffrement pour le chiffrement utilisé dans les systèmes d’entreprise. | Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | 2.0.1 |
| Protection du système et des communications | 3.13.16 | Protéger la confidentialité de CUI au repos. | Transparent Data Encryption sur les bases de données SQL doit être activé | 2.0.0 |
| Protection du système et des communications | 3.13.2 | Utiliser les conceptions architecturales, les techniques de développement de logiciels et les principes d’ingénierie des systèmes qui favorisent la sécurité des informations au sein des systèmes d’entreprise. | Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées | 1.1.0 |
| Protection du système et des communications | 3.13.2 | Utiliser les conceptions architecturales, les techniques de développement de logiciels et les principes d’ingénierie des systèmes qui favorisent la sécurité des informations au sein des systèmes d’entreprise. | L’accès au réseau public sur Azure SQL Database doit être désactivé | 1.1.0 |
| Protection du système et des communications | 3.13.5 | Implémenter des sous-réseaux pour les composants système accessibles publiquement qui sont physiquement ou logiquement séparés des réseaux internes. | Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées | 1.1.0 |
| Protection du système et des communications | 3.13.5 | Implémenter des sous-réseaux pour les composants système accessibles publiquement qui sont physiquement ou logiquement séparés des réseaux internes. | L’accès au réseau public sur Azure SQL Database doit être désactivé | 1.1.0 |
| Protection du système et des communications | 3.13.6 | Refuser le trafic des communications réseau par défaut et autoriser le trafic des communications réseau par exception (c’est-à-dire, tout refuser, autoriser par exception). | L’accès au réseau public sur Azure SQL Database doit être désactivé | 1.1.0 |
| Intégrité du système et des informations | 3.14.1 | Identifier, signaler et corriger les failles système en temps voulu. | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| Intégrité du système et des informations | 3.14.6 | Superviser les systèmes de l’organisation, notamment le trafic des communications entrantes et sortantes, pour détecter les attaques et les indicateurs d’attaques potentielles. | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| Intégrité du système et des informations | 3.14.6 | Superviser les systèmes de l’organisation, notamment le trafic des communications entrantes et sortantes, pour détecter les attaques et les indicateurs d’attaques potentielles. | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| Intégrité du système et des informations | 3.14.7 | Identifier les utilisations non autorisées des systèmes d’entreprise. | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| Intégrité du système et des informations | 3.14.7 | Identifier les utilisations non autorisées des systèmes d’entreprise. | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| Audit et responsabilité | 3.3.1 | Créer et conserver les journaux d’audit système et les enregistrements de façon à pouvoir activer la supervision, l’analyse, l’investigation et la création de rapports concernant l’activité système non légale ou non autorisée | L’audit sur SQL Server doit être activé | 2.0.0 |
| Audit et responsabilité | 3.3.1 | Créer et conserver les journaux d’audit système et les enregistrements de façon à pouvoir activer la supervision, l’analyse, l’investigation et la création de rapports concernant l’activité système non légale ou non autorisée | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| Audit et responsabilité | 3.3.1 | Créer et conserver les journaux d’audit système et les enregistrements de façon à pouvoir activer la supervision, l’analyse, l’investigation et la création de rapports concernant l’activité système non légale ou non autorisée | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| Audit et responsabilité | 3.3.1 | Créer et conserver les journaux d’audit système et les enregistrements de façon à pouvoir activer la supervision, l’analyse, l’investigation et la création de rapports concernant l’activité système non légale ou non autorisée | Les serveurs SQL avec un audit dans la destination Compte de stockage doivent être configurés avec une conservation d'au moins 90 jours | 3.0.0 |
| Audit et responsabilité | 3.3.2 | Vérifier que les actions de chaque utilisateur du système peuvent être suivies et mises en correspondance avec les utilisateurs en question, afin qu’ils puissent être tenus responsables de leurs actions. | L’audit sur SQL Server doit être activé | 2.0.0 |
| Audit et responsabilité | 3.3.2 | Vérifier que les actions de chaque utilisateur du système peuvent être suivies et mises en correspondance avec les utilisateurs en question, afin qu’ils puissent être tenus responsables de leurs actions. | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| Audit et responsabilité | 3.3.2 | Vérifier que les actions de chaque utilisateur du système peuvent être suivies et mises en correspondance avec les utilisateurs en question, afin qu’ils puissent être tenus responsables de leurs actions. | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| Audit et responsabilité | 3.3.2 | Vérifier que les actions de chaque utilisateur du système peuvent être suivies et mises en correspondance avec les utilisateurs en question, afin qu’ils puissent être tenus responsables de leurs actions. | Les serveurs SQL avec un audit dans la destination Compte de stockage doivent être configurés avec une conservation d'au moins 90 jours | 3.0.0 |
| Audit et responsabilité | 3.3.4 | Alerter en cas d’échec du processus de journalisation d’audit. | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| Audit et responsabilité | 3.3.4 | Alerter en cas d’échec du processus de journalisation d’audit. | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| Audit et responsabilité | 3.3.5 | Mettez en corrélation les processus d'évaluation, d'analyse et de création de rapports d'enregistrements d'audit pour enquêter et réagir face aux indications d'activités illégales, non autorisées, suspectes ou inhabituelles. | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| Audit et responsabilité | 3.3.5 | Mettez en corrélation les processus d'évaluation, d'analyse et de création de rapports d'enregistrements d'audit pour enquêter et réagir face aux indications d'activités illégales, non autorisées, suspectes ou inhabituelles. | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| Identification et authentification | 3.5.1 | Identifier les utilisateurs du système, les processus agissant au nom des utilisateurs et les appareils. | Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | 1.0.0 |
| Identification et authentification | 3.5.2 | Authentifier (ou vérifier) les identités des utilisateurs, des processus ou des appareils, comme condition préalable à l’autorisation de l’accès aux systèmes de l’organisation. | Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | 1.0.0 |
| Identification et authentification | 3.5.5 | Empêchez la réutilisation des identificateurs pour une période définie. | Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | 1.0.0 |
| Identification et authentification | 3.5.6 | Désactivez les identificateurs après une période d’inactivité définie. | Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | 1.0.0 |
NIST SP 800-53 Rev. 4
Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure correspondent à cette norme de conformité, consultez Conformité réglementaire Azure Policy – NIST SP 800-53 Rév. 4. Pour plus d’informations sur cette norme de conformité, consultez NIST SP 800-53 Rév. 4.
NIST SP 800-53 Rev. 5
Pour voir le mappage entre les composants intégrés Azure Policy disponibles pour tous les services Azure et cette norme de conformité, consultez Conformité réglementaire d’Azure Policy – NIST SP 800-53 Rev. 5. Pour plus d’informations sur cette norme de conformité, consultez NIST SP 800-53 Rev. 5.
Thème cloud BIO NL
Pour évaluer comment les composants intégrés Azure Policy disponibles pour tous les services Azure répondent à cette norme de conformité, consultez Détails de la conformité réglementaire Azure Policy pour le thème cloud BIO NL. Pour plus d’informations sur cette norme de conformité, consultez Cybersécurité du gouvernement de la sécurité des informations de référence - Digital Government (digitaleoverheid.nl).
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| C.04.3 Gestion des vulnérabilités techniques – Chronologies | C.04.3 | Si la probabilité d’abus et les dommages attendus sont tous les deux élevés, les correctifs sont installés au plus tard dans les sept jours. | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| C.04.6 Gestion des vulnérabilités techniques – Chronologies | C.04.6 | Les faiblesses techniques peuvent être corrigées en effectuant une gestion des correctifs en temps opportun. | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| C.04.7 Gestion des vulnérabilités techniques – Évaluation | C.04.7 | Les évaluations des vulnérabilités techniques sont enregistrées et signalées. | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| C.04.8 Gestion des vulnérabilités techniques – Évaluation | C.04.8 | Les rapports d’évaluation contiennent des suggestions d’amélioration et sont communiqués aux gestionnaires/propriétaires. | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| U.05.1 - Protection des données - Mesures de chiffrement | U.05.1 | Le transport de données est sécurisé par chiffrement, où la gestion des clés est effectuée par le CSC lui-même si possible. | Azure SQL Database doit exécuter TLS version 1.2 ou ultérieure | 2.0.0 |
| U.05.2 Protection des données – Mesures cryptographiques | U.05.2 | Les données stockées dans le service cloud doivent être protégées avec les technologie les plus récentes. | Les instances gérées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | 2.0.0 |
| U.05.2 Protection des données – Mesures cryptographiques | U.05.2 | Les données stockées dans le service cloud doivent être protégées avec les technologie les plus récentes. | Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | 2.0.1 |
| U.05.2 - Protection des données - Mesures de chiffrement | U.05.2 | Les données stockées dans le service cloud doivent être protégées avec les technologie les plus récentes. | Transparent Data Encryption sur les bases de données SQL doit être activé | 2.0.0 |
| U.07.1 Séparation des données : isolation | U.07.1 | L’isolation permanente des données est une architecture multi-tenant. Les correctifs sont réalisés de manière contrôlée. | Azure SQL Managed Instances doit désactiver l’accès au réseau public | 1.0.0 |
| U.07.1 Séparation des données : isolation | U.07.1 | L’isolation permanente des données est une architecture multi-tenant. Les correctifs sont réalisés de manière contrôlée. | Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées | 1.1.0 |
| U.07.1 Séparation des données : isolation | U.07.1 | L’isolation permanente des données est une architecture multi-tenant. Les correctifs sont réalisés de manière contrôlée. | L’accès au réseau public sur Azure SQL Database doit être désactivé | 1.1.0 |
| U.07.3 Séparation des données - Fonctionnalités de gestion | U.07.3 | U.07.3 - Les privilèges permettant d’afficher ou de modifier les données CSC et/ou les clés de chiffrement sont accordés de manière contrôlée et l’utilisation est journalisée. | Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | 1.0.0 |
| U.07.3 Séparation des données - Fonctionnalités de gestion | U.07.3 | U.07.3 - Les privilèges permettant d’afficher ou de modifier les données CSC et/ou les clés de chiffrement sont accordés de manière contrôlée et l’utilisation est journalisée. | Transparent Data Encryption sur les bases de données SQL doit être activé | 2.0.0 |
| U.09.3 Protection contre les programmes malveillants : détection, prévention et récupération | U.09.3 | La protection contre les programmes malveillants s’exécute sur différents environnements. | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| U.09.3 Protection contre les programmes malveillants : détection, prévention et récupération | U.09.3 | La protection contre les programmes malveillants s’exécute sur différents environnements. | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| U.09.3 Protection contre les programmes malveillants : détection, prévention et récupération | U.09.3 | La protection contre les programmes malveillants s’exécute sur différents environnements. | L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | 1.0.1 |
| U.09.3 Protection contre les programmes malveillants : détection, prévention et récupération | U.09.3 | La protection contre les programmes malveillants s’exécute sur différents environnements. | L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | 3.0.0 |
| U.10.2 Accès aux services et données informatiques – Utilisateurs | U.10.2 | Sous la responsabilité du CSP, l’accès est accordé aux administrateurs. | Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | 1.0.0 |
| U.10.3 Accès aux services et données informatiques - Utilisateurs | U.10.3 | Seuls les utilisateurs disposant d’un équipement authentifié peuvent accéder aux services et données informatiques. | Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | 1.0.0 |
| U.10.3 Accès aux services et données informatiques - Utilisateurs | U.10.3 | Seuls les utilisateurs disposant d’un équipement authentifié peuvent accéder aux services et données informatiques. | Les serveurs SQL avec un audit dans la destination Compte de stockage doivent être configurés avec une conservation d'au moins 90 jours | 3.0.0 |
| U.10.5 Accès aux services et données informatiques – Compétent | U.10.5 | L’accès aux services et données informatiques est limité par les mesures techniques et a été implémenté. | Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | 1.0.0 |
| U.11.1 Services de chiffrement - Stratégie | U.11.1 | Dans la stratégie de chiffrement, au minimum les sujets conformes à BIO ont été élaborés. | Transparent Data Encryption sur les bases de données SQL doit être activé | 2.0.0 |
| U.11.2 Services de chiffrement – Mesures de chiffrement | U.11.2 | Dans le cas de certificats PKIoverheid, utilisez les exigences PKIoverheid pour la gestion des clés. Dans les autres situations, utilisez ISO11770. | Transparent Data Encryption sur les bases de données SQL doit être activé | 2.0.0 |
| U.11.3 Cryptoservices – Chiffrés | U.11.3 | Les données sensibles sont toujours chiffrées, avec des clés privées gérées par le CSC. | Les instances gérées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | 2.0.0 |
| U.11.3 Cryptoservices – Chiffrés | U.11.3 | Les données sensibles sont toujours chiffrées, avec des clés privées gérées par le CSC. | Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | 2.0.1 |
| U.11.3 Services de chiffrement : chiffrement | U.11.3 | Les données sensibles sont toujours chiffrées, avec des clés privées gérées par le CSC. | Transparent Data Encryption sur les bases de données SQL doit être activé | 2.0.0 |
| U.15.1 Journalisation et surveillance : événements enregistrés | U.15.1 | La violation des règles de politique est enregistrée par le CSP et le CSC. | L’audit sur SQL Server doit être activé | 2.0.0 |
| U.15.1 Journalisation et surveillance : événements enregistrés | U.15.1 | La violation des règles de politique est enregistrée par le CSP et le CSC. | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 |
| U.15.1 Journalisation et surveillance : événements enregistrés | U.15.1 | La violation des règles de politique est enregistrée par le CSP et le CSC. | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 |
| U.15.3 Journalisation et surveillance : événements enregistrés | U.15.3 | Le CSP conserve une liste de toutes les ressources critiques en termes de journalisation et de surveillance et consulte cette liste. | L’audit sur SQL Server doit être activé | 2.0.0 |
PCI DSS 3.2.1
Pour voir comment les éléments intégrés Azure Policy disponibles pour tous les services Azure correspondent à cette norme de conformité, consultez PCI DSS 3.2.1. Pour plus d’informations sur cette norme de conformité, consultez PCI DSS 3.2.1.
PCI DSS v4.0
Pour voir comment les composants intégrés Azure Policy disponibles de tous les services Azure répondent à cette norme de conformité, consultez Conformité réglementaire Azure Policy pour PCI DSS v4.0. Pour plus d’informations sur ce standard de conformité, consultez PCI DSS v4.0.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Exigence 10 : Enregistrer et surveiller tous les accès aux composants système et aux données de titulaires de carte | 10.2.2 | Les journaux d’audit sont implémentés pour faciliter la détection d’anomalies et d’activités suspectes ainsi que l’analyse d’investigation des événements | L’audit sur SQL Server doit être activé | 2.0.0 |
| Exigence 10 : Enregistrer et surveiller tous les accès aux composants système et aux données de titulaires de carte | 10.3.3 | Les journaux d’audit sont protégés contre la destruction et les modifications non autorisées | L’audit sur SQL Server doit être activé | 2.0.0 |
| Exigence 11 : Tester régulièrement la sécurité des systèmes et des réseaux | 11.3.1 | Les vulnérabilités externes et internes sont régulièrement identifiées, hiérarchisées et traitées | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| Exigence 03 : Protéger les données de compte stockées | 3.3.3 | Les données d’authentification sensibles (SAD) ne sont pas stockées après l’autorisation | Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | 1.0.0 |
| Exigence 03 : Protéger les données de compte stockées | 3.5.1 | Le numéro de compte principal (PAN) est sécurisé partout où il est stocké | Transparent Data Encryption sur les bases de données SQL doit être activé | 2.0.0 |
| Exigence 05 : Protéger tous les systèmes et réseaux contre les logiciels malveillants | 5.2.1 | Les logiciels malveillants sont endigués ou détectés et traités | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| Exigence 05 : Protéger tous les systèmes et réseaux contre les logiciels malveillants | 5.2.2 | Les logiciels malveillants sont endigués ou détectés et traités | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| Exigence 05 : Protéger tous les systèmes et réseaux contre les logiciels malveillants | 5.2.3 | Les logiciels malveillants sont endigués ou détectés et traités | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| Exigence 06 : Développer et gérer des systèmes et logiciels sécurisés | 6.2.4 | Des logiciels personnalisés et sur mesure sont développés de manière sécurisée | Transparent Data Encryption sur les bases de données SQL doit être activé | 2.0.0 |
| Exigence 06 : Développer et gérer des systèmes et logiciels sécurisés | 6.3.3 | Les vulnérabilités de sécurité sont identifiées et corrigées | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| Exigence 06 : Développer et gérer des systèmes et logiciels sécurisés | 6.4.1 | Les applications web publiques sont protégées contre les attaques | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| Exigence 07 : Restreindre l’accès aux composants système et aux données de titulaires de carte aux seuls individus qui doivent les connaître | 7.3.1 | L’accès aux composants système et aux données est géré via un ou plusieurs systèmes de contrôle d’accès | Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | 1.0.0 |
| Exigence 08 : Identifier les utilisateurs et authentifier l’accès aux composants système | 8.4.1 | L’authentification multifacteur (MFA) est implémentée pour sécuriser l’accès au CDE | Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | 1.0.0 |
Reserve Bank of India - Infrastructure informatique pour NBFC
Pour évaluer comment les composants intégrés Azure Policy disponibles de tous les services Azure répondent à cette norme de conformité, consultez Conformité réglementaire Azure Policy - Reserve Bank of India - Infrastructure informatique pour NBFC. Pour plus d’informations sur cette norme de conformité, consultez Reserve Bank of India - Infrastructure informatique pour NBFC.
Banque de réserve de l’Inde – Infrastructure informatique pour les banques v2016
Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure répondent à cette norme de conformité, consultez Conformité réglementaire Azure Policy - RBI ITF Banks v2016. Pour plus d’informations sur cette norme de conformité, consultez RBI ITF Banks v2016 (PDF).
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Contrôle d’accès/Gestion des utilisateurs | Gestion/Contrôle de l’accès utilisateur-8.2 | Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | 1.0.0 | |
| Gestion et sécurité du réseau | Centre d’opérations de sécurité-4.9 | Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | 2.0.1 | |
| Gestion et sécurité du réseau | Centre d’opérations de sécurité-4.9 | Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | 1.0.2 | |
| Gestion des correctifs/vulnérabilités et des changements | Gestion des correctifs/vulnérabilités et des changements-7.7 | Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées | 1.1.0 | |
| Gestion des correctifs/vulnérabilités et des changements | Gestion des correctifs/vulnérabilités et des changements-7.7 | L’accès au réseau public sur Azure SQL Database doit être désactivé | 1.1.0 | |
| Interdiction de l’exécution de logiciels non autorisés | Gestion des correctifs de sécurité-2.3 | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 | |
| Métriques | Mesures-21.1 | Les instances managées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | 2.0.0 | |
| Mesures | Mesures-21.1 | Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | 2.0.1 | |
| Défense et gestion des menaces en temps réel avancées | Advanced Real-Timethreat Defenceand Management-13.4 | Transparent Data Encryption sur les bases de données SQL doit être activé | 2.0.0 | |
| Gestion des correctifs/vulnérabilités et des changements | Gestion des correctifs/vulnérabilités et des changements-7.1 | L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | 1.0.1 | |
| Gestion des correctifs/vulnérabilités et des changements | Gestion des correctifs/vulnérabilités et des changements-7.1 | L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | 3.0.0 |
RMIT Malaysia
Pour voir comment les composants intégrés Azure Policy disponibles de tous les services Azure répondent à cette norme de conformité, consultez Conformité réglementaire Azure Policy – RMIT Malaysia. Pour plus d’informations sur cette norme de conformité, consultez RMIT Malaysia.
SWIFT CSP-CSCF v2021
Pour évaluer le lien entre les éléments intégrés Azure Policy, disponibles pour tous les services Azure, et cette norme de conformité, consultez Informations relatives à la conformité réglementaire Azure Policy de SWIFT CSP-CSCF v2021. Pour plus d’informations sur cette norme de conformité, consultez SWIFT CSP-CSCF v2021.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Protection de l’environnement SWIFT | 1.1 | Protection de l’environnement SWIFT | Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées | 1.1.0 |
| Protection de l’environnement SWIFT | 1.1 | Protection de l’environnement SWIFT | SQL Server doit utiliser un point de terminaison de service de réseau virtuel | 1.0.0 |
| Protection de l’environnement SWIFT | 1.2 | Contrôle de compte privilégié du système d’exploitation | Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | 1.0.0 |
| Réduire la surface d’attaque et les vulnérabilités | 2.1 | Sécurité interne du flux de données | Azure SQL Database doit exécuter TLS version 1.2 ou ultérieure | 2.0.0 |
| Réduire la surface d’attaque et les vulnérabilités | 2.1 | Sécurité interne du flux de données | SQL Managed Instance doit avoir la version TLS minimale 1.2 | 1.0.1 |
| Réduire la surface d’attaque et les vulnérabilités | 2.5A | Protection des données de transmission externe | La sauvegarde géoredondante à long terme doit être activée pour les bases de données Azure SQL | 2.0.0 |
| Réduire la surface d’attaque et les vulnérabilités | 2.5A | Protection des données de transmission externe | Transparent Data Encryption sur les bases de données SQL doit être activé | 2.0.0 |
| Réduire la surface d’attaque et les vulnérabilités | 2.6 | Confidentialité et intégrité des sessions d’opérateur | Azure SQL Database doit exécuter TLS version 1.2 ou ultérieure | 2.0.0 |
| Réduire la surface d’attaque et les vulnérabilités | 2.6 | Confidentialité et intégrité des sessions d’opérateur | SQL Managed Instance doit avoir la version TLS minimale 1.2 | 1.0.1 |
| Réduire la surface d’attaque et les vulnérabilités | 2.7 | Analyse des vulnérabilités | Les résultats des vulnérabilités des bases de données SQL doivent être résolus | 4.1.0 |
| Réduire la surface d’attaque et les vulnérabilités | 2.7 | Analyse des vulnérabilités | L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | 1.0.1 |
| Réduire la surface d’attaque et les vulnérabilités | 2.7 | Analyse des vulnérabilités | L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | 3.0.0 |
| Détecter les activités anormales dans les systèmes ou les enregistrements de transaction | 6.3 | Intégrité de la base de données | L’audit sur SQL Server doit être activé | 2.0.0 |
| Détecter les activités anormales dans les systèmes ou les enregistrements de transaction | 6.3 | Intégrité de la base de données | L’accès au réseau public sur Azure SQL Database doit être désactivé | 1.1.0 |
| Détecter les activités anormales dans les systèmes ou les enregistrements de transaction | 6.3 | Intégrité de la base de données | Les serveurs SQL avec un audit dans la destination Compte de stockage doivent être configurés avec une conservation d'au moins 90 jours | 3.0.0 |
| Détecter les activités anormales dans les systèmes ou les enregistrements de transaction | 6.3 | Intégrité de la base de données | Transparent Data Encryption sur les bases de données SQL doit être activé | 2.0.0 |
| Détecter les activités anormales dans les systèmes ou les enregistrements de transaction | 6.4 | Journalisation et supervision | L’audit sur SQL Server doit être activé | 2.0.0 |
UK OFFICIAL et UK NHS
Pour voir comment les composants intégrés Azure Policy disponibles de tous les services Azure répondent à cette norme de conformité, consultez Conformité réglementaire Azure Policy – UK OFFICIAL et UK NHS. Pour plus d’informations sur cette norme de conformité, consultez UK OFFICIAL.
Étapes suivantes
- Apprenez-en davantage sur la Conformité réglementaire d’Azure Policy.
- Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub.