Détails de l’initiative intégrée de conformité réglementaire pour Australian Government ISM PROTECTED
L’article suivant explique en détail comment la définition de l’initiative intégrée Conformité réglementaire Azure Policy est mappée à des domaines de conformité et des contrôles dans Australian Government ISM PROTECTED. Pour plus d’informations sur cette norme de conformité, consultez Australian Government ISM PROTECTED. Pour comprendre la Propriété, consultez le type de stratégie et la responsabilité partagée dans le cloud.
Les mappages suivants concernent les contrôles Australian Government ISM PROTECTED. De nombreux contrôles sont mis en œuvre avec la définition d’une initiative Azure Policy. Pour examiner la définition d’initiative complète, ouvrez Stratégie dans le Portail Azure et sélectionnez la page Définitions. Ensuite, recherchez et sélectionnez la définition d’initiative intégrée de conformité réglementaire [Préversion] : Australian Government ISM PROTECTED.
Important
Chaque contrôle ci-dessous est associé à une ou plusieurs définitions Azure Policy. Ces stratégies peuvent vous aider à évaluer la conformité avec le contrôle ; toutefois, il n’existe pas souvent de correspondance un-à-un ou parfaite entre un contrôle et une ou plusieurs stratégies. Ainsi, la conformité dans Azure Policy fait uniquement référence aux définitions de stratégie elles-mêmes ; cela ne garantit pas que vous êtes entièrement conforme à toutes les exigences d’un contrôle. En outre, la norme de conformité comprend des contrôles qui ne sont traités par aucune définition Azure Policy pour l’instant. Par conséquent, la conformité dans Azure Policy n’est qu’une vue partielle de l’état de conformité global. Les associations entre les domaines de conformité, les contrôles et les définitions Azure Policy pour cette norme de conformité peuvent changer au fil du temps. Pour afficher l’historique des changements, consultez l’historique des validations GitHub.
Instructions pour la sécurité personnelle - Accès aux systèmes et à leurs ressources
Identification de l’utilisateur - 414
ID : AU ISM 414
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Identification de l’utilisateur - 415
ID : AU ISM 415
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
| Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local contient un ou plusieurs des membres listés dans le paramètre de stratégie. | auditIfNotExists | 2.0.0 |
| Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Suspension de l’accès aux systèmes - 430
ID : AU ISM 430
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés | Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
Accès temporaire aux systèmes - 441
ID : AU ISM 441
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés | Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
Accès privilégié aux systèmes - 445
ID : AU ISM 445
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
| Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local contient un ou plusieurs des membres listés dans le paramètre de stratégie. | auditIfNotExists | 2.0.0 |
| Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Accès standard aux systèmes - 1503
ID : AU ISM 1503
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| 3 propriétaires maximum doivent être désignés pour votre abonnement | Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
| Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local contient un ou plusieurs des membres listés dans le paramètre de stratégie. | auditIfNotExists | 2.0.0 |
| Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Plusieurs propriétaires doivent être attribués à votre abonnement | Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur. | AuditIfNotExists, Désactivé | 3.0.0 |
Accès privilégié aux systèmes - 1507
ID : AU ISM 1507
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
| Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local contient un ou plusieurs des membres listés dans le paramètre de stratégie. | auditIfNotExists | 2.0.0 |
| Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Accès privilégié aux systèmes - 1508
ID : AU ISM 1508
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| 3 propriétaires maximum doivent être désignés pour votre abonnement | Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
| Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local contient un ou plusieurs des membres listés dans le paramètre de stratégie. | auditIfNotExists | 2.0.0 |
| Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
| Plusieurs propriétaires doivent être attribués à votre abonnement | Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur. | AuditIfNotExists, Désactivé | 3.0.0 |
Instructions pour les supports - Utilisation des supports
Utilisation d’un support pour les transferts de données - 947
ID : AU ISM 947
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Instructions pour le durcissement du système - Durcissement du système d’exploitation
Configuration du système d’exploitation - 380
ID : AU ISM 380
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés | Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
Logiciel antivirus - 1417
ID : AU ISM 1417
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| L’extension Microsoft IaaSAntimalware doit être déployée sur des serveurs Windows | Cette stratégie permet d’auditer toute machine virtuelle Windows Server sans extension Microsoft IaaSAntimalware déployée. | AuditIfNotExists, Désactivé | 1.1.0 |
Instructions pour le durcissement du système - Durcissement de l’authentification
Authentification monofacteur - 421
ID : AU ISM 421
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
| Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Les machines Windows doivent répondre aux exigences de « Paramètres de sécurité - Stratégies de compte » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Paramètres de sécurité - Stratégies de compte » pour l’historique, l’âge, la longueur et la complexité des mots de passe, et leur stockage à l’aide du chiffrement réversible. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
Authentification multifacteur - 1173
ID : AU ISM 1173
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Authentification multifacteur -1384
ID : AU ISM 1384
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Authentification dans les systèmes - 1546
ID : AU ISM 1546
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
| Auditer les machines Linux qui autorisent les connexions à distance des comptes sans mot de passe | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles autorisent les connexions à distance à partir de comptes sans mot de passe | AuditIfNotExists, Désactivé | 3.1.0 |
| Auditer les machines Linux qui ont des comptes sans mot de passe | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles ont des comptes sans mot de passe | AuditIfNotExists, Désactivé | 3.1.0 |
| Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux | Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client | Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric | Audit, Refuser, Désactivé | 1.1.0 |
| Les comptes de stockage doivent limiter l’accès réseau | L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. | Audit, Refuser, Désactivé | 1.1.1 |
Instructions pour la gestion de système - Administration de système
Restriction des flux de trafic de gestion - 1386
ID : AU ISM 1386
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Le débogage à distance doit être désactivé pour les applications App Service | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
| Le débogage à distance doit être désactivé pour les applications de fonctions | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
Instructions pour la gestion de système - Mise à jour corrective de système
Quand corriger les vulnérabilités de sécurité - 940
ID : AU ISM 940
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les résultats des vulnérabilités des bases de données SQL doivent être résolus | Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. | AuditIfNotExists, Désactivé | 4.1.0 |
| Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.1.0 |
| L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 1.0.1 |
| L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 3.0.0 |
Quand corriger les vulnérabilités de sécurité - 1144
ID : AU ISM 1144
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les résultats des vulnérabilités des bases de données SQL doivent être résolus | Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. | AuditIfNotExists, Désactivé | 4.1.0 |
| Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.1.0 |
| L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 1.0.1 |
| L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 3.0.0 |
Quand corriger les vulnérabilités de sécurité - 1472
ID : AU ISM 1472
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les résultats des vulnérabilités des bases de données SQL doivent être résolus | Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. | AuditIfNotExists, Désactivé | 4.1.0 |
| Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.1.0 |
| L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 1.0.1 |
| L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 3.0.0 |
Quand corriger les vulnérabilités de sécurité - 1494
ID : AU ISM 1494
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les résultats des vulnérabilités des bases de données SQL doivent être résolus | Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. | AuditIfNotExists, Désactivé | 4.1.0 |
| Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.1.0 |
| L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 1.0.1 |
| L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 3.0.0 |
Quand corriger les vulnérabilités de sécurité - 1495
ID : AU ISM 1495
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les résultats des vulnérabilités des bases de données SQL doivent être résolus | Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. | AuditIfNotExists, Désactivé | 4.1.0 |
| Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.1.0 |
| L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 1.0.1 |
| L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 3.0.0 |
Quand corriger les vulnérabilités de sécurité - 1496
ID : AU ISM 1496
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les résultats des vulnérabilités des bases de données SQL doivent être résolus | Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. | AuditIfNotExists, Désactivé | 4.1.0 |
| Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.1.0 |
| L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 1.0.1 |
| L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 3.0.0 |
Instructions pour la gestion de système - Sauvegarde et restauration de données
Effectuer des sauvegardes - 1511
ID : AU ISM 1511
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée | Auditez les machines virtuelles configurées sans reprise d’activité. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
Instructions pour la supervision du système - Journalisation des événements et audit
Événements à journaliser - 582
ID : AU ISM 582
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Auditez le paramètre de diagnostic pour les types de ressources sélectionnés | Auditez le paramètre de diagnostic pour les types de ressources sélectionnés. Assurez-vous que vous sélectionnez uniquement des types de ressources qui prennent en charge les paramètres de diagnostic. | AuditIfNotExists | 2.0.1 |
| Les machines virtuelles doivent être connectées à un espace de travail spécifié | Les machines virtuelles dont la journalisation ne s’effectue pas sur l’espace de travail Log Analytics spécifié dans l’attribution de stratégie/d’initiative sont signalées comme non conformes. | AuditIfNotExists, Désactivé | 1.1.0 |
Événements à journaliser - 1537
ID : AU ISM 1537
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Auditez le paramètre de diagnostic pour les types de ressources sélectionnés | Auditez le paramètre de diagnostic pour les types de ressources sélectionnés. Assurez-vous que vous sélectionnez uniquement des types de ressources qui prennent en charge les paramètres de diagnostic. | AuditIfNotExists | 2.0.1 |
| Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 2.0.1 |
| Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
Instructions pour le développement de logiciels - Développement d’applications web
Contrôles de sécurité basés sur un navigateur web - 1424
ID : AU ISM 1424
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications | Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. | AuditIfNotExists, Désactivé | 2.0.0 |
Interactions d’application web - 1552
ID : AU ISM 1552
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les applications App Service doivent être accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 4.0.0 |
| Les applications Function App ne doivent être accessibles que via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 5.0.0 |
| Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées | Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). | Audit, Refuser, Désactivé | 1.0.0 |
Instructions pour les systèmes de base de données - Serveurs de base de données
Communications entre les serveurs de base de données et les serveurs web - 1277
ID : AU ISM 1277
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
| Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées | Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). | Audit, Refuser, Désactivé | 1.0.0 |
| La sécurisation du transfert vers des comptes de stockage doit être activée | Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) | Audit, Refuser, Désactivé | 2.0.0 |
| Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. | AuditIfNotExists, Désactivé | 4.1.1 |
Protection du contenu d’un serveur de base de données - 1425
ID : AU ISM 1425
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Transparent Data Encryption sur les bases de données SQL doit être activé | Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises | AuditIfNotExists, Désactivé | 2.0.0 |
Instructions pour les systèmes de base de données - Logiciels de système de gestion de base de données
Comptes d’administrateur de base de données - 1260
ID : AU ISM 1260
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.0.0 |
Comptes d’administrateur de base de données - 1261
ID : AU ISM 1261
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.0.0 |
Comptes d’administrateur de base de données - 1262
ID : AU ISM 1262
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.0.0 |
Comptes d’administrateur de base de données - 1263
ID : AU ISM 1263
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.0.0 |
Comptes d’administrateur de base de données - 1264
ID : AU ISM 1264
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.0.0 |
Instructions pour le réseau - Conception et configuration du réseau
Contrôles d’accès réseau - 520
ID : AU ISM 520
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les comptes de stockage doivent limiter l’accès réseau | L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. | Audit, Refuser, Désactivé | 1.1.1 |
Contrôles d’accès réseau - 1182
ID : AU ISM 1182
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les comptes de stockage doivent limiter l’accès réseau | L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. | Audit, Refuser, Désactivé | 1.1.1 |
Instructions pour le réseau - Continuité de service pour les services en ligne
Stratégies de déni de service - 1431
ID : AU ISM 1431
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Azure DDoS Protection doit être activé | La protection DDoS doit être activée pour tous les réseaux virtuels avec un sous-réseau qui fait partie d’une passerelle applicative avec une adresse IP publique. | AuditIfNotExists, Désactivé | 3.0.1 |
Instructions pour le chiffrement - Protocole TLS (Transport Layer Security)
Utilisation du protocole TLS (Transport Layer Security) - 1139
ID : AU ISM 1139
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
| Les applications App Service doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.0.1 |
| Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Les applications de fonctions doivent utiliser la dernière version du protocole TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.0.1 |
| Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. | AuditIfNotExists, Désactivé | 4.1.1 |
Instructions pour les passerelles - Filtrage de contenu
Analyse antivirus - 1288
ID : AU ISM 1288
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| L’extension Microsoft IaaSAntimalware doit être déployée sur des serveurs Windows | Cette stratégie permet d’auditer toute machine virtuelle Windows Server sans extension Microsoft IaaSAntimalware déployée. | AuditIfNotExists, Désactivé | 1.1.0 |
Étapes suivantes
Autres articles sur Azure Policy :
- Présentation de la Conformité réglementaire.
- Voir la structure de la définition d’initiative.
- Passez en revue d’autres exemples de la page Exemples Azure Policy.
- Consultez la page Compréhension des effets de Policy.
- Découvrez comment corriger des ressources non conformes.