Détails de l’initiative intégrée Conformité réglementaire pour FedRAMP Moderate

L’article suivant explique en détail comment la définition de l’initiative intégrée Conformité réglementaire Azure Policy est mappée à des domaines de conformité et des contrôles dans FedRAMP Moderate. Pour plus d’informations sur cette norme de conformité, consultez FedRAMP Moderate. Pour comprendre la propriété, consultez Définition de stratégie Azure Policy et Responsabilité partagée dans le cloud.

Les correspondances suivantes concernent les contrôles FedRAMP Moderate. De nombreux contrôles sont mis en œuvre avec la définition d’une initiative Azure Policy. Pour examiner la définition d’initiative complète, ouvrez Stratégie dans le Portail Azure et sélectionnez la page Définitions. Ensuite, recherchez et sélectionnez la définition de l’initiative intégrée Conformité réglementaire FedRAMP Moderate.

Important

Chaque contrôle ci-dessous est associé à une ou plusieurs définitions Azure Policy. Ces stratégies peuvent vous aider à évaluer la conformité avec le contrôle ; toutefois, il n’existe pas souvent de correspondance un-à-un ou parfaite entre un contrôle et une ou plusieurs stratégies. Ainsi, la conformité dans Azure Policy fait uniquement référence aux définitions de stratégie elles-mêmes ; cela ne garantit pas que vous êtes entièrement conforme à toutes les exigences d’un contrôle. En outre, la norme de conformité comprend des contrôles qui ne sont traités par aucune définition Azure Policy pour l’instant. Par conséquent, la conformité dans Azure Policy n’est qu’une vue partielle de l’état de conformité global. Les associations entre les domaines de conformité, les contrôles et les définitions Azure Policy pour cette norme de conformité peuvent changer au fil du temps. Pour afficher l’historique des changements, consultez l’historique des validations GitHub.

Contrôle d’accès

Stratégie et procédures du contrôle d’accès

ID : FedRAMP Moderate AC-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Développer des stratégies et des procédures de contrôle d’accès CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès Manuel, désactivé 1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires Manuel, désactivé 1.1.0
Gouverner les stratégies et les procédures CMA_0292 - Gouverner les stratégies et les procédures Manuel, désactivé 1.1.0
Passer en revue les stratégies et les procédures de contrôle d’accès CMA_0457 - Passer en revue les stratégies et les procédures de contrôle d’accès Manuel, désactivé 1.1.0

Gestion de compte

ID : FedRAMP Moderate AC-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
3 propriétaires maximum doivent être désignés pour votre abonnement Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. AuditIfNotExists, Désactivé 3.0.0
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft AuditIfNotExists, Désactivé 1.0.0
Les applications App Service doivent utiliser une identité managée Utiliser une identité managée pour renforcer la sécurité de l’authentification AuditIfNotExists, Désactivé 3.0.0
Affecter des gestionnaires de comptes CMA_0015 - Affecter des gestionnaires de comptes Manuel, désactivé 1.1.0
Auditer l’utilisation des rôles RBAC personnalisés Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces Audit, Désactivé 1.0.1
Auditer l’état du compte d’utilisateur CMA_0020 – Auditer l’état du compte d’utilisateur Manuel, désactivé 1.1.0
Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) Pour des raisons de sécurité, il est recommandé de désactiver l’accès par clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès par clé et ne fonctionnera pas si l’accès par clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, ce qui permet de conserver le principe du privilège minimum et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth Audit, Refuser, Désactivé 1.1.0
Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. AuditIfNotExists, Désactivé 1.0.0
Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. AuditIfNotExists, Désactivé 1.0.0
Définir et appliquer des conditions pour les comptes partagés et de groupe CMA_0117 – Définir et appliquer des conditions pour les comptes partagés et de groupe Manuel, désactivé 1.1.0
Définir des types de comptes de système d’information CMA_0121 - Définir des types de comptes de système d’information Manuel, désactivé 1.1.0
Documenter les privilèges d’accès CMA_0186 - Documenter les privilèges d’accès Manuel, désactivé 1.1.0
Établir des conditions pour l’appartenance à un rôle CMA_0269 - Établir des conditions pour l’appartenance à un rôle Manuel, désactivé 1.1.0
Les applications de fonction doivent utiliser une identité managée Utiliser une identité managée pour renforcer la sécurité de l’authentification AuditIfNotExists, Désactivé 3.0.0
Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. AuditIfNotExists, Désactivé 1.0.0
Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. AuditIfNotExists, Désactivé 1.0.0
Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. AuditIfNotExists, Désactivé 1.0.0
Surveiller l’activité des comptes CMA_0377 - Surveiller l’activité des comptes Manuel, désactivé 1.1.0
Notifier les gestionnaires de compte des comptes contrôlés par le client CMA_C1009 - Notifier les gestionnaires de compte des comptes contrôlés par le client Manuel, désactivé 1.1.0
Réémettre les authentificateurs pour les groupes et les comptes modifiés CMA_0426 - Réémettre les authentificateurs pour les groupes et les comptes modifiés Manuel, désactivé 1.1.0
Exiger une approbation pour la création de compte CMA_0431 – Exiger une approbation pour la création de compte Manuel, désactivé 1.1.0
Restreindre l’accès aux comptes privilégiés CMA_0446 – Restreindre l’accès aux comptes privilégiés Manuel, désactivé 1.1.0
Examiner les journaux d’approvisionnement de compte CMA_0460 – Examiner les journaux d’approvisionnement de compte Manuel, désactivé 1.1.0
Réviser les comptes d’utilisateur CMA_0480 – Passer en revue les comptes d’utilisateurs Manuel, désactivé 1.1.0
Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric Audit, Refuser, Désactivé 1.1.0

Gestion automatisée des comptes système

ID : FedRAMP Moderate AC-2 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft AuditIfNotExists, Désactivé 1.0.0
Automatiser la gestion des comptes CMA_0026 – Automatiser la gestion des comptes Manuel, désactivé 1.1.0
Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) Pour des raisons de sécurité, il est recommandé de désactiver l’accès par clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès par clé et ne fonctionnera pas si l’accès par clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, ce qui permet de conserver le principe du privilège minimum et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth Audit, Refuser, Désactivé 1.1.0
Gérer les comptes système et d’administration CMA_0368 – Gérer les comptes système et d’administration Manuel, désactivé 1.1.0
Surveiller l’accès au sein de l’organisation CMA_0376 – Surveiller l’accès au sein de l’organisation Manuel, désactivé 1.1.0
Avertir lorsque le compte n’est pas nécessaire CMA_0383 – Avertir lorsque le compte n’est pas nécessaire Manuel, désactivé 1.1.0
Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric Audit, Refuser, Désactivé 1.1.0

Désactiver les comptes inactifs

ID : FedRAMP Moderate AC-2 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Désactiver les authentificateurs lors de l’arrêt CMA_0169 – Désactiver les authentificateurs lors de l’arrêt Manuel, désactivé 1.1.0
Révoquer les rôles privilégiés selon les besoins CMA_0483 – Révoquer les rôles privilégiés selon les besoins Manuel, désactivé 1.1.0

Actions d’audit automatisées

ID : FedRAMP Moderate AC-2 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Auditer l’état du compte d’utilisateur CMA_0020 – Auditer l’état du compte d’utilisateur Manuel, désactivé 1.1.0
Automatiser la gestion des comptes CMA_0026 – Automatiser la gestion des comptes Manuel, désactivé 1.1.0
Gérer les comptes système et d’administration CMA_0368 – Gérer les comptes système et d’administration Manuel, désactivé 1.1.0
Surveiller l’accès au sein de l’organisation CMA_0376 – Surveiller l’accès au sein de l’organisation Manuel, désactivé 1.1.0
Avertir lorsque le compte n’est pas nécessaire CMA_0383 – Avertir lorsque le compte n’est pas nécessaire Manuel, désactivé 1.1.0

Déconnexion pour inactivité

ID : FedRAMP Moderate AC-2 (5) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Définir et appliquer une stratégie de journal d’inactivité CMA_C1017 – Définir et appliquer une stratégie de journal d’inactivité Manuel, désactivé 1.1.0

Schémas basés sur les rôles

ID : FedRAMP Moderate AC-2 (7) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft AuditIfNotExists, Désactivé 1.0.0
Auditer les fonctions privilégiées CMA_0019 – Auditer les fonctions privilégiées Manuel, désactivé 1.1.0
Auditer l’utilisation des rôles RBAC personnalisés Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces Audit, Désactivé 1.0.1
Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) Pour des raisons de sécurité, il est recommandé de désactiver l’accès par clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès par clé et ne fonctionnera pas si l’accès par clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, ce qui permet de conserver le principe du privilège minimum et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth Audit, Refuser, Désactivé 1.1.0
Surveiller l’activité des comptes CMA_0377 - Surveiller l’activité des comptes Manuel, désactivé 1.1.0
Surveiller l’attribution de rôle privilégié CMA_0378 – Surveiller l’attribution de rôle privilégié Manuel, désactivé 1.1.0
Restreindre l’accès aux comptes privilégiés CMA_0446 – Restreindre l’accès aux comptes privilégiés Manuel, désactivé 1.1.0
Révoquer les rôles privilégiés selon les besoins CMA_0483 – Révoquer les rôles privilégiés selon les besoins Manuel, désactivé 1.1.0
Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric Audit, Refuser, Désactivé 1.1.0
Utiliser Privileged Identity Management CMA_0533 – Utiliser la gestion des identités privilégiées Manuel, désactivé 1.1.0

Restrictions sur l’utilisation des comptes/groupes partagés

ID : FedRAMP Moderate AC-2 (9) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Définir et appliquer des conditions pour les comptes partagés et de groupe CMA_0117 – Définir et appliquer des conditions pour les comptes partagés et de groupe Manuel, désactivé 1.1.0

Résiliation des informations d’identification de compte partagé/de groupe

ID : FedRAMP Moderate AC-2 (10) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Mettre fin aux informations d’identification de compte contrôlées par le client CMA_C1022 - Mettre fin aux informations d’identification de compte contrôlées par le client Manuel, désactivé 1.1.0

Surveillance de compte pour toute utilisation atypique

ID : FedRAMP Moderate AC-2 (12) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Désactivé 6.0.0-preview
Azure Defender pour App Service doit être activé Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour les serveurs Azure SQL Database doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour Key Vault doit être activé Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour Resource Manager doit être activé Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. AuditIfNotExists, Désactivé 1.0.0
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour les serveurs SQL sur les machines doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour SQL doit être activé pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
Microsoft Defender pour les conteneurs doit être activé Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour le stockage doit être activé Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. AuditIfNotExists, Désactivé 1.0.0
Surveiller l’activité des comptes CMA_0377 - Surveiller l’activité des comptes Manuel, désactivé 1.1.0
Signaler le comportement atypique de comptes d’utilisateur CMA_C1025 - Signaler le comportement atypique de comptes d’utilisateur Manuel, désactivé 1.1.0

Application de l’accès

ID : FedRAMP Moderate AC-3 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. modify 4.1.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. modify 4.1.0
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft AuditIfNotExists, Désactivé 1.0.0
Les applications App Service doivent utiliser une identité managée Utiliser une identité managée pour renforcer la sécurité de l’authentification AuditIfNotExists, Désactivé 3.0.0
Auditer les machines Linux qui ont des comptes sans mot de passe Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles ont des comptes sans mot de passe AuditIfNotExists, Désactivé 3.1.0
L’authentification auprès des machines Linux doit exiger des clés SSH Bien que le protocole SSH lui-même offre une connexion chiffrée, l’utilisation de mots de passe avec SSH laisse néanmoins la machine virtuelle vulnérable aux attaques en force brute. L’option la plus sûre pour l’authentification auprès d’une machine virtuelle Linux Azure via SSH est d’utiliser une paire de clés publique-privée, également appelées clés SSH. En savoir plus : https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Désactivé 3.2.0
Autoriser l’accès aux fonctions et informations de sécurité CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité Manuel, désactivé 1.1.0
Autoriser et gérer l’accès CMA_0023 – Autoriser et gérer l’accès Manuel, désactivé 1.1.0
Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) Pour des raisons de sécurité, il est recommandé de désactiver l’accès par clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès par clé et ne fonctionnera pas si l’accès par clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, ce qui permet de conserver le principe du privilège minimum et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth Audit, Refuser, Désactivé 1.1.0
Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. deployIfNotExists 3.1.0
Appliquer l’accès logique CMA_0245 – Appliquer l’accès logique Manuel, désactivé 1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires Manuel, désactivé 1.1.0
Les applications de fonction doivent utiliser une identité managée Utiliser une identité managée pour renforcer la sécurité de l’authentification AuditIfNotExists, Désactivé 3.0.0
Exiger une approbation pour la création de compte CMA_0431 – Exiger une approbation pour la création de compte Manuel, désactivé 1.1.0
Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles Manuel, désactivé 1.1.0
Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric Audit, Refuser, Désactivé 1.1.0
Les comptes de stockage doivent être migrés vers de nouvelles ressources Azure Resource Manager Profitez des nouveautés d’Azure Resource Manager pour renforcer la sécurité de vos comptes de stockage : contrôle d’accès plus puissant, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité, etc. Audit, Refuser, Désactivé 1.0.0
Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager Utilisez le nouvel Azure Resource Manager pour renforcer la sécurité de vos machines virtuelles : contrôle d’accès en fonction du rôle (RBAC) renforcé, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, et prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité. Audit, Refuser, Désactivé 1.0.0

Application du flux d’informations

ID : FedRAMP Moderate AC-4 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : L’ensemble du trafic Internet doit transiter par votre Pare-feu Azure déployé Azure Security Center a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge AuditIfNotExists, Désactivé 3.0.0-preview
[Préversion] : L’accès public au compte de stockage doit être interdit L’accès en lecture public anonyme aux conteneurs et aux blobs dans Stockage Azure est un moyen pratique de partager des données, mais peut présenter des risques pour la sécurité. Pour éviter les violations de données provoquées par un accès anonyme non souhaité, Microsoft recommande d’empêcher l’accès public à un compte de stockage, sauf si votre scénario l’exige. audit, Audit, refus, Refus, désactivé, Désactivé 3.1.0-preview
Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle AuditIfNotExists, Désactivé 3.0.0
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. AuditIfNotExists, Désactivé 3.0.0
Les services Gestion des API doivent utiliser un réseau virtuel Le déploiement d’un réseau virtuel Azure offre une sécurité renforcée et une isolation, et vous permet de placer votre service Gestion des API dans un réseau routable non-Internet auquel vous contrôlez l’accès. Ces réseaux peuvent ensuite être connectés à vos réseaux locaux à l’aide de différentes technologies VPN, ce qui permet d’accéder à vos services back-end au sein du réseau et/ou localement. Le portail des développeurs et la passerelle API peuvent être configurés pour être accessibles depuis Internet ou uniquement au sein du réseau virtuel. Audit, Refuser, Désactivé 1.0.2
App Configuration doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Désactivé 1.0.2
Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. AuditIfNotExists, Désactivé 2.0.0
Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes Limitez l’accès à l’API Gestion des services Kubernetes en n’accordant l’accès à l’API qu’à des adresses IP de plages spécifiques. Nous vous recommandons de limiter l’accès aux plages d’adresses IP autorisées afin d’être sûr que seules les applications des réseaux autorisés puissent accéder au cluster. Audit, Désactivé 2.0.1
Les ressources Azure AI Services doivent limiter l’accès réseau En limitant l’accès réseau, vous pouvez garantir que seuls les réseaux autorisés peuvent accéder au service. Pour ce faire, configurez des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder au service Azure AI. Audit, Refuser, Désactivé 3.1.0
API Azure pour FHIR doit utiliser une liaison privée API Azure pour FHIR doit avoir au moins une connexion de point de terminaison privé approuvée. Les clients d’un réseau virtuel peuvent accéder de façon sécurisée aux ressources qui ont des connexions de point de terminaison privés via des liens privés. Pour plus d’informations, consultez https://aka.ms/fhir-privatelink. Audit, Désactivé 1.0.0
Azure Cache pour Redis doit utiliser une liaison privée Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Désactivé 1.0.0
Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Refuser, Désactivé 1.0.0
Les services Recherche cognitive Azure doivent désactiver l’accès réseau public La désactivation de l’accès au réseau public améliore la sécurité en s’assurant que votre service Recherche cognitive Azure n’est pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre service de recherche. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Refuser, Désactivé 1.0.0
Les services Recherche cognitive Azure doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Désactivé 1.0.0
Les comptes Azure Cosmos DB doivent avoir des règles de pare-feu Les règles de pare-feu doivent être définies dans vos comptes Azure Cosmos DB pour empêcher le trafic provenant de sources non autorisées. Les comptes qui possèdent au moins une règle IP définie avec le filtre de réseau virtuel activé sont considérés comme conformes. Les comptes qui désactivent l’accès public sont également jugés conformes. Audit, Refuser, Désactivé 2.0.0
Azure Data Factory doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Désactivé 1.0.0
Les domaines Azure Event Grid doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Audit, Désactivé 1.0.2
Les rubriques Azure Event Grid doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Audit, Désactivé 1.0.2
Azure File Sync doit utiliser une liaison privée La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public. AuditIfNotExists, Désactivé 1.0.0
Le pare-feu doit être activé pour Azure Key Vault Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez éventuellement configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Refuser, Désactivé 3.2.1
Les coffres de clés Azure doivent utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Les espaces de travail Azure Machine Learning doivent utiliser un lien privé Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Désactivé 1.0.0
Les espaces de noms Azure Service Bus doivent utiliser la liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Désactivé 1.0.0
Azure SignalR Service doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink. Audit, Désactivé 1.0.0
Les espaces de travail Azure Synapse doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Désactivé 1.0.1
Le service Azure Web PubSub doit utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service Azure Web PubSub, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/awps/privatelink. Audit, Désactivé 1.0.0
Les comptes Cognitive Services doivent désactiver l’accès au réseau public Pour améliorer la sécurité des comptes Cognitive Services, vérifiez qu’elle n’est pas exposée à l’Internet public et qu’elle est accessible seulement à partir d’un point de terminaison privé. Désactivez la propriété d’accès réseau public, comme décrit dans https://go.microsoft.com/fwlink/?linkid=2129800. Cette option désactive l’accès à partir de tout espace d’adressage public situé en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur des adresses IP ou un réseau virtuel. Cette configuration réduit les risques de fuite de données. Audit, Refuser, Désactivé 3.0.1
Les services Cognitive Services doivent utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Désactivé 3.0.0
Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint Par défaut, les registres de conteneurs Azure acceptent les connexions via Internet à partir d’hôtes situés sur n’importe quel réseau. Pour protéger vos registres des menaces potentielles, autorisez l’accès uniquement à partir de points de terminaison privés, d’adresses ou de plages d’adresses IP publiques spécifiques. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. Découvrez plus en détail les règles réseau de Container Registry ici : https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network et https://aka.ms/acr/vnet. Audit, Refuser, Désactivé 2.0.0
Les registres de conteneurs doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. Audit, Désactivé 1.0.1
Flux d’informations de contrôle CMA_0079 – Flux d’informations de contrôle Manuel, désactivé 1.1.0
Les comptes CosmosDB doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Désactivé 1.0.0
Les ressources d’accès au disque doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Désactivé 1.0.0
Utiliser des mécanismes de contrôle de flux d’informations chiffrées CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées Manuel, désactivé 1.1.0
Les espaces de noms Event Hub doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Désactivé 1.0.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet. Audit, Désactivé 1.0.0
Le transfert IP doit être désactivé sur votre machine virtuelle L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. AuditIfNotExists, Désactivé 3.0.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
Les ports de gestion doivent être fermés sur vos machines virtuelles Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. AuditIfNotExists, Désactivé 3.0.0
Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. Audit, Désactivé 1.1.0
Le point de terminaison privé doit être activé pour les serveurs MariaDB Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database for MariaDB privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. AuditIfNotExists, Désactivé 1.0.2
Le point de terminaison privé doit être activé pour les serveurs MySQL Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour MySQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. AuditIfNotExists, Désactivé 1.0.2
Le point de terminaison privé doit être activé pour les serveurs PostgreSQL Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour PostgreSQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. AuditIfNotExists, Désactivé 1.0.2
L’accès au réseau public sur Azure SQL Database doit être désactivé Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. Audit, Refuser, Désactivé 1.1.0
L’accès au réseau public doit être désactivé pour les serveurs MariaDB Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database for MariaDB n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. Audit, Refuser, Désactivé 2.0.0
L’accès au réseau public doit être désactivé pour les serveurs MySQL Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour MySQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. Audit, Refuser, Désactivé 2.0.0
L’accès au réseau public doit être désactivé pour les serveurs PostgreSQL Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour PostgreSQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. Audit, Refuser, Désactivé 2.0.1
Les comptes de stockage doivent limiter l’accès réseau L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. Audit, Refuser, Désactivé 1.1.1
Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau Protégez vos comptes de stockage contre les menaces potentielles en utilisant des règles de réseau virtuel comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les IP publiques d’accéder à vos comptes de stockage. Audit, Refuser, Désactivé 1.0.1
Les comptes de stockage doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Désactivé 2.0.0
les sous-réseaux doivent être associés à un groupe de sécurité réseau Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. AuditIfNotExists, Désactivé 3.0.0
Les modèles VM Image Builder doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos ressources de création VM Image Builder, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Désactivé, Refus 1.1.0

Séparation physique/logique des flux d’informations

ID : FedRAMP Moderate AC-4 (21) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Flux d’informations de contrôle CMA_0079 – Flux d’informations de contrôle Manuel, désactivé 1.1.0
Établir des normes de configuration de pare-feu et de routeur CMA_0272 – Établir des normes de configuration de pare-feu et de routeur Manuel, désactivé 1.1.0
Établir une segmentation réseau pour l’environnement de données du titulaire de carte CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte Manuel, désactivé 1.1.0
Identifier et gérer les échanges d’informations en aval CMA_0298 – Identifier et gérer les échanges d’informations en aval Manuel, désactivé 1.1.0

Séparation des tâches

ID : FedRAMP Moderate AC-5 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Définir des autorisations d’accès pour prendre en charge la séparation des tâches CMA_0116 - Définir des autorisations d’accès pour prendre en charge la séparation des tâches Manuel, désactivé 1.1.0
Documenter la séparation des tâches CMA_0204 - Documenter la séparation des tâches Manuel, désactivé 1.1.0
Séparer les tâches des personnes CMA_0492 - Séparer les tâches des personnes Manuel, désactivé 1.1.0
Plusieurs propriétaires doivent être attribués à votre abonnement Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur. AuditIfNotExists, Désactivé 3.0.0

Privilège minimum

ID : FedRAMP Moderate AC-6 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
3 propriétaires maximum doivent être désignés pour votre abonnement Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. AuditIfNotExists, Désactivé 3.0.0
Auditer l’utilisation des rôles RBAC personnalisés Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces Audit, Désactivé 1.0.1
Concevoir un modèle de contrôle d’accès CMA_0129 – Concevoir un modèle de contrôle d’accès Manuel, désactivé 1.1.0
Utiliser l’accès aux privilèges minimum CMA_0212 – Utiliser l’accès aux privilèges minimum Manuel, désactivé 1.1.0

Autoriser l’accès aux fonctions de sécurité

ID : FedRAMP Moderate AC-6 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Autoriser l’accès aux fonctions et informations de sécurité CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité Manuel, désactivé 1.1.0
Autoriser et gérer l’accès CMA_0023 – Autoriser et gérer l’accès Manuel, désactivé 1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires Manuel, désactivé 1.1.0

Comptes privilégiés

ID : FedRAMP Moderate AC-6 (5) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Restreindre l’accès aux comptes privilégiés CMA_0446 – Restreindre l’accès aux comptes privilégiés Manuel, désactivé 1.1.0

Audit de l’utilisation des fonctions privilégiées

ID : FedRAMP Moderate AC-6 (9) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Auditer les fonctions privilégiées CMA_0019 – Auditer les fonctions privilégiées Manuel, désactivé 1.1.0
Effectuer une analyse de texte intégral des commandes privilégiées journalisées CMA_0056 - Effectuer une analyse de texte intégral des commandes privilégiées journalisées Manuel, désactivé 1.1.0
Surveiller l’attribution de rôle privilégié CMA_0378 – Surveiller l’attribution de rôle privilégié Manuel, désactivé 1.1.0
Restreindre l’accès aux comptes privilégiés CMA_0446 – Restreindre l’accès aux comptes privilégiés Manuel, désactivé 1.1.0
Révoquer les rôles privilégiés selon les besoins CMA_0483 – Révoquer les rôles privilégiés selon les besoins Manuel, désactivé 1.1.0
Utiliser Privileged Identity Management CMA_0533 – Utiliser la gestion des identités privilégiées Manuel, désactivé 1.1.0

Essais de connexion infructueux

ID : FedRAMP Moderate AC-7 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Appliquer une limite du nombre de tentatives de connexion consécutives ayant échoué CMA_C1044 - Appliquer une limite du nombre de tentatives de connexion consécutives ayant échoué Manuel, désactivé 1.1.0

Contrôle des sessions simultanées

ID : FedRAMP Moderate AC-10 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Définir et appliquer la limite des sessions simultanées CMA_C1050 - Définir et appliquer la limite des sessions simultanées Manuel, désactivé 1.1.0

Arrêt de session

ID : FedRAMP Moderate AC-12 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Terminer automatiquement la session utilisateur CMA_C1054 – Terminer automatiquement la session utilisateur Manuel, désactivé 1.1.0

Actions autorisées sans identification ou authentification

ID : FedRAMP Moderate AC-14 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Identifier les actions autorisées sans authentification CMA_0295 - Identifier les actions autorisées sans authentification Manuel, désactivé 1.1.0

Accès à distance

ID : FedRAMP Moderate AC-17 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. modify 4.1.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. modify 4.1.0
App Configuration doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Désactivé 1.0.2
Le débogage à distance doit être désactivé pour les applications App Service Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0
Auditer les machines Linux qui autorisent les connexions à distance des comptes sans mot de passe Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles autorisent les connexions à distance à partir de comptes sans mot de passe AuditIfNotExists, Désactivé 3.1.0
Autoriser l’accès à distance CMA_0024 – Autoriser l’accès à distance Manuel, désactivé 1.1.0
API Azure pour FHIR doit utiliser une liaison privée API Azure pour FHIR doit avoir au moins une connexion de point de terminaison privé approuvée. Les clients d’un réseau virtuel peuvent accéder de façon sécurisée aux ressources qui ont des connexions de point de terminaison privés via des liens privés. Pour plus d’informations, consultez https://aka.ms/fhir-privatelink. Audit, Désactivé 1.0.0
Azure Cache pour Redis doit utiliser une liaison privée Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Désactivé 1.0.0
Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Refuser, Désactivé 1.0.0
Les services Recherche cognitive Azure doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Désactivé 1.0.0
Azure Data Factory doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Désactivé 1.0.0
Les domaines Azure Event Grid doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Audit, Désactivé 1.0.2
Les rubriques Azure Event Grid doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Audit, Désactivé 1.0.2
Azure File Sync doit utiliser une liaison privée La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public. AuditIfNotExists, Désactivé 1.0.0
Les coffres de clés Azure doivent utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Les espaces de travail Azure Machine Learning doivent utiliser un lien privé Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Désactivé 1.0.0
Les espaces de noms Azure Service Bus doivent utiliser la liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Désactivé 1.0.0
Azure SignalR Service doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink. Audit, Désactivé 1.0.0
Azure Spring Cloud doit utiliser l’injection de réseau Les instances Azure Spring Cloud doivent utiliser l’injection de réseau virtuel pour les motifs suivants : 1. Isoler Azure Spring Cloud d’Internet. 2. Permettre à Azure Spring Cloud d’interagir avec des systèmes de centres de données locaux ou des services Azure d’autres réseaux virtuels. 3. Permettre aux clients de contrôler les communications réseau entrantes et sortantes pour Azure Spring Cloud. Audit, Désactivé, Refus 1.2.0
Les espaces de travail Azure Synapse doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Désactivé 1.0.1
Le service Azure Web PubSub doit utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service Azure Web PubSub, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/awps/privatelink. Audit, Désactivé 1.0.0
Les services Cognitive Services doivent utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Désactivé 3.0.0
Les registres de conteneurs doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. Audit, Désactivé 1.0.1
Les comptes CosmosDB doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Désactivé 1.0.0
Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. deployIfNotExists 3.1.0
Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. deployIfNotExists 1.2.0
Les ressources d’accès au disque doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Désactivé 1.0.0
Formation sur la mobilité des documents CMA_0191 – Formation sur la mobilité des documents Manuel, désactivé 1.1.0
Documentation des instructions d’accès à distance CMA_0196 – Documentation des instructions d’accès à distance Manuel, désactivé 1.1.0
Les espaces de noms Event Hub doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Désactivé 1.0.0
Le débogage à distance doit être désactivé pour les applications de fonctions Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0
Implémenter des contrôles pour sécuriser d’autres sites de travail CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail Manuel, désactivé 1.1.0
Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet. Audit, Désactivé 1.0.0
Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. Audit, Désactivé 1.1.0
Le point de terminaison privé doit être activé pour les serveurs MariaDB Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database for MariaDB privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. AuditIfNotExists, Désactivé 1.0.2
Le point de terminaison privé doit être activé pour les serveurs MySQL Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour MySQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. AuditIfNotExists, Désactivé 1.0.2
Le point de terminaison privé doit être activé pour les serveurs PostgreSQL Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour PostgreSQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. AuditIfNotExists, Désactivé 1.0.2
Fournir une formation sur la confidentialité CMA_0415 – Fournir une formation sur la confidentialité Manuel, désactivé 1.1.0
Les comptes de stockage doivent limiter l’accès réseau L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. Audit, Refuser, Désactivé 1.1.1
Les comptes de stockage doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Désactivé 2.0.0
Les modèles VM Image Builder doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos ressources de création VM Image Builder, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Désactivé, Refus 1.1.0

Contrôle/surveillance automatique

ID : FedRAMP Moderate AC-17 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. modify 4.1.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. modify 4.1.0
App Configuration doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Désactivé 1.0.2
Le débogage à distance doit être désactivé pour les applications App Service Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0
Auditer les machines Linux qui autorisent les connexions à distance des comptes sans mot de passe Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles autorisent les connexions à distance à partir de comptes sans mot de passe AuditIfNotExists, Désactivé 3.1.0
API Azure pour FHIR doit utiliser une liaison privée API Azure pour FHIR doit avoir au moins une connexion de point de terminaison privé approuvée. Les clients d’un réseau virtuel peuvent accéder de façon sécurisée aux ressources qui ont des connexions de point de terminaison privés via des liens privés. Pour plus d’informations, consultez https://aka.ms/fhir-privatelink. Audit, Désactivé 1.0.0
Azure Cache pour Redis doit utiliser une liaison privée Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Désactivé 1.0.0
Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Refuser, Désactivé 1.0.0
Les services Recherche cognitive Azure doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Désactivé 1.0.0
Azure Data Factory doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Désactivé 1.0.0
Les domaines Azure Event Grid doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Audit, Désactivé 1.0.2
Les rubriques Azure Event Grid doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Audit, Désactivé 1.0.2
Azure File Sync doit utiliser une liaison privée La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public. AuditIfNotExists, Désactivé 1.0.0
Les coffres de clés Azure doivent utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Les espaces de travail Azure Machine Learning doivent utiliser un lien privé Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Désactivé 1.0.0
Les espaces de noms Azure Service Bus doivent utiliser la liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Désactivé 1.0.0
Azure SignalR Service doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink. Audit, Désactivé 1.0.0
Azure Spring Cloud doit utiliser l’injection de réseau Les instances Azure Spring Cloud doivent utiliser l’injection de réseau virtuel pour les motifs suivants : 1. Isoler Azure Spring Cloud d’Internet. 2. Permettre à Azure Spring Cloud d’interagir avec des systèmes de centres de données locaux ou des services Azure d’autres réseaux virtuels. 3. Permettre aux clients de contrôler les communications réseau entrantes et sortantes pour Azure Spring Cloud. Audit, Désactivé, Refus 1.2.0
Les espaces de travail Azure Synapse doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Désactivé 1.0.1
Le service Azure Web PubSub doit utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service Azure Web PubSub, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/awps/privatelink. Audit, Désactivé 1.0.0
Les services Cognitive Services doivent utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Désactivé 3.0.0
Les registres de conteneurs doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. Audit, Désactivé 1.0.1
Les comptes CosmosDB doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Désactivé 1.0.0
Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. deployIfNotExists 3.1.0
Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. deployIfNotExists 1.2.0
Les ressources d’accès au disque doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Désactivé 1.0.0
Les espaces de noms Event Hub doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Désactivé 1.0.0
Le débogage à distance doit être désactivé pour les applications de fonctions Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0
Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet. Audit, Désactivé 1.0.0
Surveiller l’accès au sein de l’organisation CMA_0376 – Surveiller l’accès au sein de l’organisation Manuel, désactivé 1.1.0
Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. Audit, Désactivé 1.1.0
Le point de terminaison privé doit être activé pour les serveurs MariaDB Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database for MariaDB privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. AuditIfNotExists, Désactivé 1.0.2
Le point de terminaison privé doit être activé pour les serveurs MySQL Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour MySQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. AuditIfNotExists, Désactivé 1.0.2
Le point de terminaison privé doit être activé pour les serveurs PostgreSQL Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour PostgreSQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. AuditIfNotExists, Désactivé 1.0.2
Les comptes de stockage doivent limiter l’accès réseau L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. Audit, Refuser, Désactivé 1.1.1
Les comptes de stockage doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Désactivé 2.0.0
Les modèles VM Image Builder doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos ressources de création VM Image Builder, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Désactivé, Refus 1.1.0

Protection de la confidentialité/de l’intégrité à l’aide du chiffrement

ID : FedRAMP Moderate AC-17 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Avertir les utilisateurs de l’ouverture de session ou de l’accès au système CMA_0382 - Avertir les utilisateurs de l’ouverture de session ou de l’accès au système Manuel, désactivé 1.1.0
Protéger les données en transit à l’aide du chiffrement CMA_0403 – Protéger les données en transit à l’aide du chiffrement Manuel, désactivé 1.1.0

Points de contrôle d’accès gérés

ID : FedRAMP Moderate AC-17 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Router le trafic via des points d’accès réseau gérés CMA_0484 - Router le trafic via des points d’accès réseau gérés Manuel, désactivé 1.1.0

Commandes/accès privilégié(e)s

ID : FedRAMP Moderate AC-17 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Autoriser l’accès à distance CMA_0024 – Autoriser l’accès à distance Manuel, désactivé 1.1.0
Autoriser l’accès à distance aux commandes privilégiées CMA_C1064 – Autoriser l’accès à distance aux commandes privilégiées Manuel, désactivé 1.1.0
Documentation des instructions d’accès à distance CMA_0196 – Documentation des instructions d’accès à distance Manuel, désactivé 1.1.0
Implémenter des contrôles pour sécuriser d’autres sites de travail CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail Manuel, désactivé 1.1.0
Fournir une formation sur la confidentialité CMA_0415 – Fournir une formation sur la confidentialité Manuel, désactivé 1.1.0

Déconnexion/désactivation de l’accès

ID : FedRAMP Moderate AC-17 (9) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Offrir la possibilité de déconnecter ou de désactiver l’accès à distance CMA_C1066 - Permettre de déconnecter ou de désactiver l’accès à distance Manuel, désactivé 1.1.0

Accès sans fil

ID : FedRAMP Moderate AC-18 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Documenter et implémenter les instructions d’accès sans fil CMA_0190 - Documenter et implémenter les instructions d’accès sans fil Manuel, désactivé 1.1.0
Protéger l’accès sans fil CMA_0411 - Protéger l’accès sans fil Manuel, désactivé 1.1.0

Authentification et chiffrement

ID : FedRAMP Moderate AC-18 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Documenter et implémenter les instructions d’accès sans fil CMA_0190 - Documenter et implémenter les instructions d’accès sans fil Manuel, désactivé 1.1.0
Identifier et authentifier les périphériques réseau CMA_0296 – Identifier et authentifier les périphériques réseau Manuel, désactivé 1.1.0
Protéger l’accès sans fil CMA_0411 - Protéger l’accès sans fil Manuel, désactivé 1.1.0

Contrôle d’accès pour les appareils mobiles

ID : FedRAMP Moderate AC-19 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Définir les exigences pour les appareils mobiles CMA_0122 - Définir les exigences pour les appareils mobiles Manuel, désactivé 1.1.0

Chiffrement complet de l’appareil/du conteneur

ID : FedRAMP Moderate AC-19 (5) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Définir les exigences pour les appareils mobiles CMA_0122 - Définir les exigences pour les appareils mobiles Manuel, désactivé 1.1.0
Protéger les données en transit à l’aide du chiffrement CMA_0403 – Protéger les données en transit à l’aide du chiffrement Manuel, désactivé 1.1.0

Utilisation de systèmes d’information externes

ID : FedRAMP Moderate AC-20 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Établir les conditions générales d’accès aux ressources CMA_C1076 - Établir les conditions générales d’accès aux ressources Manuel, désactivé 1.1.0
Établir les conditions générales pour le traitement des ressources CMA_C1077 - Établir les conditions générales pour le traitement des ressources Manuel, désactivé 1.1.0

Limites d’utilisation autorisée

ID : FedRAMP Moderate AC-20 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Vérifier les contrôles de sécurité pour les systèmes d’information externes CMA_0541 - Vérifier les contrôles de sécurité pour les systèmes d’information externes Manuel, désactivé 1.1.0

Appareils de stockage portable

ID : FedRAMP Moderate AC-20 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Bloque les processus non approuvés et non signés qui s’exécutent par USB CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB Manuel, désactivé 1.1.0
Contrôler l’utilisation des périphériques de stockage portables CMA_0083 - Contrôler l’utilisation des périphériques de stockage portables Manuel, désactivé 1.1.0
Implémenter des contrôles pour sécuriser tous les supports CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports Manuel, désactivé 1.1.0

Partage d’informations

ID : FedRAMP Moderate AC-21 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Automatiser les décisions de partage d’informations CMA_0028 - Automatiser les décisions de partage d’informations Manuel, désactivé 1.1.0
Faciliter le partage des informations CMA_0284 – Faciliter le partage des informations Manuel, désactivé 1.1.0

Contenu accessible publiquement

ID : FedRAMP Moderate AC-22 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Désigner le personnel autorisé à publier des informations accessibles publiquement CMA_C1083 - Désigner le personnel autorisé à publier des informations accessibles publiquement Manuel, désactivé 1.1.0
Passer en revue le contenu avant de publier des informations accessibles publiquement CMA_C1085 – Vérifier le contenu avant de publier des informations accessibles publiquement Manuel, désactivé 1.1.0
Examiner le contenu accessible publiquement pour obtenir des informations non publiques CMA_C1086 – Vérifier le contenu accessible publiquement pour obtenir des informations non publiques Manuel, désactivé 1.1.0
Former le personnel à la divulgation d’informations non publiques CMA_C1084 - Former le personnel à la divulgation d’informations non publiques Manuel, désactivé 1.1.0

Reconnaissance et formation

Politique et procédures de formation et de sensibilisation à la sécurité

ID : FedRAMP Moderate AT-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Documenter les activités de formation à la sécurité et à la confidentialité CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité Manuel, désactivé 1.1.0
Mettre à jour les stratégies de sécurité des informations CMA_0518 - Mettre à jour les stratégies de sécurité des informations Manuel, désactivé 1.1.0

Formation sur la sécurité

ID : FedRAMP Moderate AT-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Fournir une formation périodique sur la sensibilisation à la sécurité CMA_C1091 - Fournir une formation périodique sur la sensibilisation à la sécurité Manuel, désactivé 1.1.0
Fournir une formation sur la sécurité pour les nouveaux utilisateurs CMA_0419 - Fournir une formation sur la sécurité pour les nouveaux utilisateurs Manuel, désactivé 1.1.0
Fournir une formation de sensibilisation à la sécurité mise à jour CMA_C1090 - Fournir une formation de sensibilisation à la sécurité mise à jour Manuel, désactivé 1.1.0

Menace interne

ID : FedRAMP Moderate AT-2 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Fournir une formation de sensibilisation à la sécurité pour les menaces internes CMA_0417 – Fournir une formation de sensibilisation à la sécurité pour les menaces internes Manuel, désactivé 1.1.0

Formation sur la sécurité en fonction du rôle

ID : FedRAMP Moderate AT-3 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Fournir une formation périodique sur la sécurité basée sur les rôles CMA_C1095 - Fournir une formation périodique sur la sécurité basée sur les rôles Manuel, désactivé 1.1.0
Fournir une formation sur la sécurité basée sur les rôles CMA_C1094 - Fournir une formation sur la sécurité basée sur les rôles Manuel, désactivé 1.1.0
Fournir une formation sur la sécurité avant de fournir l’accès CMA_0418 - Fournir une formation sur la sécurité avant de fournir l’accès Manuel, désactivé 1.1.0

Enregistrements de la formation sur la sécurité

ID : FedRAMP Moderate AT-4 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Documenter les activités de formation à la sécurité et à la confidentialité CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité Manuel, désactivé 1.1.0
Surveiller la réalisation des formations sur la sécurité et la confidentialité CMA_0379 - Surveiller la réalisation des formations sur la sécurité et la confidentialité Manuel, désactivé 1.1.0
Conserver les dossiers de formation CMA_0456 - Conserver les dossiers de formation Manuel, désactivé 1.1.0

Audit et responsabilité

Stratégie et procédures d’audit et de responsabilité

ID : FedRAMP Moderate AU-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Développer des stratégies et des procédures d’audit et de responsabilité CMA_0154 - Développer des stratégies et des procédures d’audit et de responsabilité Manuel, désactivé 1.1.0
Développer des stratégies et des procédures de sécurité des informations CMA_0158 -Développer des stratégies et des procédures de sécurité des informations Manuel, désactivé 1.1.0
Gouverner les stratégies et les procédures CMA_0292 - Gouverner les stratégies et les procédures Manuel, désactivé 1.1.0
Mettre à jour les stratégies de sécurité des informations CMA_0518 - Mettre à jour les stratégies de sécurité des informations Manuel, désactivé 1.1.0

Événements d’audit

ID : FedRAMP Moderate AU-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Déterminer les événements auditables CMA_0137 – Déterminer les événements auditables Manuel, désactivé 1.1.0

Revues et mises à jour

ID : FedRAMP Moderate AU-2 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Passer en revue et mettre à jour les événements définis dans AU-02 CMA_C1106 - Passer en revue et mettre à jour les événements définis dans AU-02 Manuel, désactivé 1.1.0

Contenu des enregistrements d’audit

ID : FedRAMP Moderate AU-3 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Déterminer les événements auditables CMA_0137 – Déterminer les événements auditables Manuel, désactivé 1.1.0

Informations d'audit supplémentaires

ID : FedRAMP Moderate AU-3 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Configurer les fonctionnalités d’audit d’Azure CMA_C1108 - Configurer les fonctionnalités d’audit d’Azure Manuel, désactivé 1.1.1

Capacité de stockage de l’audit

ID : FedRAMP Moderate AU-4 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Régir et surveiller les activités de traitement d’audit CMA_0289 – Régir et surveiller les activités de traitement d’audit Manuel, désactivé 1.1.0

Réponse aux échecs du processus d’audit

ID : FedRAMP Moderate AU-5 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Régir et surveiller les activités de traitement d’audit CMA_0289 – Régir et surveiller les activités de traitement d’audit Manuel, désactivé 1.1.0

Révision, analyse et rapports d’audit

ID : FedRAMP Moderate AU-6 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Désactivé 6.0.0-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. AuditIfNotExists, Désactivé 1.0.2-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. AuditIfNotExists, Désactivé 1.0.2-preview
Azure Defender pour App Service doit être activé Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour les serveurs Azure SQL Database doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour Key Vault doit être activé Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour Resource Manager doit être activé Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. AuditIfNotExists, Désactivé 1.0.0
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour les serveurs SQL sur les machines doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés Auditer les serveurs SQL sans Advanced Data Security AuditIfNotExists, Désactivé 2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2
Mettre en corrélation les enregistrements d’audit CMA_0087 - Mettre en corrélation les enregistrements d’audit Manuel, désactivé 1.1.0
Établir des exigences pour la révision et la création de rapports d’audit CMA_0277 - Établir des exigences pour la révision et la création de rapports d’audit Manuel, désactivé 1.1.0
Intégrer la révision d’audit, l’analyse et la création de rapports CMA_0339 - Intégrer la révision d’audit, l’analyse et la création de rapports Manuel, désactivé 1.1.0
Intégrer la sécurité des applications cloud à un SIEM CMA_0340 - Intégrer la sécurité des applications cloud à un SIEM Manuel, désactivé 1.1.0
Microsoft Defender pour les conteneurs doit être activé Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour le stockage doit être activé Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. AuditIfNotExists, Désactivé 1.0.0
Network Watcher doit être activé Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. AuditIfNotExists, Désactivé 3.0.0
Examiner les journaux d’approvisionnement de compte CMA_0460 – Examiner les journaux d’approvisionnement de compte Manuel, désactivé 1.1.0
Passer en revue les affectations d’administrateurs toutes les semaines CMA_0461 - Passer en revue les affectations d’administrateurs toutes les semaines Manuel, désactivé 1.1.0
Vérifier les journaux d'audit CMA_0466 – Examiner les données d’audit Manuel, désactivé 1.1.0
Passer en revue la vue d’ensemble du rapport des identités cloud CMA_0468 - Passer en revue la vue d’ensemble du rapport des identités cloud Manuel, désactivé 1.1.0
Passer en revue les événements accès contrôlé aux dossiers CMA_0471 - Passer en revue les événements d’accès contrôlé aux dossiers Manuel, désactivé 1.1.0
Examiner l’activité des fichiers et des dossiers CMA_0473 - Examiner l’activité des fichiers et des dossiers Manuel, désactivé 1.1.0
Passer en revue les modifications apportées aux groupes de rôles chaque semaine CMA_0476 - Passer en revue les modifications apportées aux groupes de rôles chaque semaine Manuel, désactivé 1.1.0

Intégration de processus

ID : FedRAMP Moderate AU-6 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Mettre en corrélation les enregistrements d’audit CMA_0087 - Mettre en corrélation les enregistrements d’audit Manuel, désactivé 1.1.0
Établir des exigences pour la révision et la création de rapports d’audit CMA_0277 - Établir des exigences pour la révision et la création de rapports d’audit Manuel, désactivé 1.1.0
Intégrer la révision d’audit, l’analyse et la création de rapports CMA_0339 - Intégrer la révision d’audit, l’analyse et la création de rapports Manuel, désactivé 1.1.0
Intégrer la sécurité des applications cloud à un SIEM CMA_0340 - Intégrer la sécurité des applications cloud à un SIEM Manuel, désactivé 1.1.0
Examiner les journaux d’approvisionnement de compte CMA_0460 – Examiner les journaux d’approvisionnement de compte Manuel, désactivé 1.1.0
Passer en revue les affectations d’administrateurs toutes les semaines CMA_0461 - Passer en revue les affectations d’administrateurs toutes les semaines Manuel, désactivé 1.1.0
Vérifier les journaux d'audit CMA_0466 – Examiner les données d’audit Manuel, désactivé 1.1.0
Passer en revue la vue d’ensemble du rapport des identités cloud CMA_0468 - Passer en revue la vue d’ensemble du rapport des identités cloud Manuel, désactivé 1.1.0
Passer en revue les événements accès contrôlé aux dossiers CMA_0471 - Passer en revue les événements d’accès contrôlé aux dossiers Manuel, désactivé 1.1.0
Examiner l’activité des fichiers et des dossiers CMA_0473 - Examiner l’activité des fichiers et des dossiers Manuel, désactivé 1.1.0
Passer en revue les modifications apportées aux groupes de rôles chaque semaine CMA_0476 - Passer en revue les modifications apportées aux groupes de rôles chaque semaine Manuel, désactivé 1.1.0

Mettre en corrélation les dépôts d’audit

ID : FedRAMP Moderate AU-6 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Mettre en corrélation les enregistrements d’audit CMA_0087 - Mettre en corrélation les enregistrements d’audit Manuel, désactivé 1.1.0
Intégrer la sécurité des applications cloud à un SIEM CMA_0340 - Intégrer la sécurité des applications cloud à un SIEM Manuel, désactivé 1.1.0

Réduction des audits et génération de rapports

ID : FedRAMP Moderate AU-7 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Vérifier que les enregistrements d’audit ne sont pas modifiés CMA_C1125 – Vérifier que les enregistrements d’audit ne sont pas modifiés Manuel, désactivé 1.1.0
Fournir une fonctionnalité de révision, d’analyse et de création de rapports d’audit CMA_C1124 – Fournir une fonctionnalité de révision, d’analyse et de création de rapports d’audit Manuel, désactivé 1.1.0

Traitement automatique

ID : FedRAMP Moderate AU-7 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Fournir la possibilité de traiter les enregistrements d’audit contrôlés par le client CMA_C1126 - Fournir la possibilité de traiter les enregistrements d’audit contrôlés par le client Manuel, désactivé 1.1.0

Horodatages

ID : FedRAMP Moderate AU-8 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Utiliser des horloges système pour les enregistrements d’audit CMA_0535 - Utiliser des horloges système pour les enregistrements d’audit Manuel, désactivé 1.1.0

Synchronisation avec une source de temps faisant autorité

ID : FedRAMP Moderate AU-8 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Utiliser des horloges système pour les enregistrements d’audit CMA_0535 - Utiliser des horloges système pour les enregistrements d’audit Manuel, désactivé 1.1.0

Protection des informations d’audit

ID : FedRAMP Moderate AU-9 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Activer l’autorisation double ou conjointe CMA_0226 – Activer l’autorisation double ou conjointe Manuel, désactivé 1.1.0
Protéger les informations d’audit CMA_0401 – Protéger les informations d’audit Manuel, désactivé 1.1.0

Sauvegarde de l’audit sur des composants/systèmes physiques distincts

ID : FedRAMP Moderate AU-9 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Établir des stratégies et des procédures de sauvegarde CMA_0268 - Établir des stratégies et des procédures de sauvegarde Manuel, désactivé 1.1.0

Accès par un sous-ensemble d’utilisateurs disposant de privilèges

ID : FedRAMP Moderate AU-9 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Protéger les informations d’audit CMA_0401 – Protéger les informations d’audit Manuel, désactivé 1.1.0

Rétention des enregistrements d’audit

ID : FedRAMP Moderate AU-11 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Respecter les périodes de rétention définies CMA_0004 – Respecter les périodes de rétention définies Manuel, désactivé 1.1.0
Conserver les stratégies et procédures de sécurité CMA_0454 – Conserver les stratégies et procédures de sécurité Manuel, désactivé 1.1.0
Conserver les données utilisateur terminées CMA_0455 – Conserver les données utilisateur terminées Manuel, désactivé 1.1.0
Les serveurs SQL avec un audit dans la destination Compte de stockage doivent être configurés avec une conservation d'au moins 90 jours À des fins d’investigation d’incident, nous vous recommandons de définir la conservation des données pour la fonctionnalité d’audit de votre serveur SQL Server sur au moins 90 jours. Confirmez que vous respectez les règles de conservation nécessaires pour les régions dans lesquelles vous travaillez. Cela est parfois nécessaire pour la conformité aux normes réglementaires. AuditIfNotExists, Désactivé 3.0.0

Génération de l’audit

ID : FedRAMP Moderate AU-12 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Désactivé 6.0.0-preview
[Préversion] : l’extension Log Analytics doit être installée sur vos machines Linux Azure Arc Cette stratégie audite les machines Linux Azure Arc si l’extension Log Analytics n’est pas installée. AuditIfNotExists, Désactivé 1.0.1-preview
[Préversion] : l’extension Log Analytics doit être installée sur vos machines Windows Azure Arc Cette stratégie audite les machines Windows Azure Arc si l’extension Log Analytics n’est pas installée. AuditIfNotExists, Désactivé 1.0.1-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. AuditIfNotExists, Désactivé 1.0.2-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. AuditIfNotExists, Désactivé 1.0.2-preview
Les applications App Service doivent avoir activé les journaux des ressources Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 2.0.1
Auditer les fonctions privilégiées CMA_0019 – Auditer les fonctions privilégiées Manuel, désactivé 1.1.0
Auditer l’état du compte d’utilisateur CMA_0020 – Auditer l’état du compte d’utilisateur Manuel, désactivé 1.1.0
L’audit sur SQL Server doit être activé L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. AuditIfNotExists, Désactivé 2.0.0
Le provisionnement automatique de l’agent Log Analytics doit être activé sur votre abonnement Pour superviser les menaces et les vulnérabilités de sécurité, Azure Security Center collecte des données à partir de vos machines virtuelles Azure. Les données sont collectées par l’agent Log Analytics, auparavant appelé Microsoft Monitoring Agent (MMA). Cet agent lit divers journaux d’événements et configurations liés à la sécurité de la machine, puis copie les données dans votre espace de travail Log Analytics à des fins d’analyse. Nous vous recommandons d’activer l’approvisionnement automatique pour déployer automatiquement l’agent sur toutes les machines virtuelles Azure prises en charge et sur toutes celles qui sont créées. AuditIfNotExists, Désactivé 1.0.1
Azure Defender pour App Service doit être activé Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour les serveurs Azure SQL Database doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour Key Vault doit être activé Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour Resource Manager doit être activé Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. AuditIfNotExists, Désactivé 1.0.0
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour les serveurs SQL sur les machines doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés Auditer les serveurs SQL sans Advanced Data Security AuditIfNotExists, Désactivé 2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2
Déterminer les événements auditables CMA_0137 – Déterminer les événements auditables Manuel, désactivé 1.1.0
L’extension Guest Configuration doit être installée sur vos machines Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. AuditIfNotExists, Désactivé 1.0.3
L’agent Log Analytics doit être installé sur votre machine virtuelle pour la supervision Azure Security Center Cette stratégie audite les machines virtuelles Windows/Linux si l’agent Log Analytics, que Security Center utilise pour superviser les vulnérabilités et les menaces liées à la sécurité, n’est pas installé AuditIfNotExists, Désactivé 1.0.0
L’agent Log Analytics doit être installé sur vos groupes de machines virtuelles identiques pour la supervision Azure Security Center Azure Security Center collecte des données à partir de vos machines virtuelles Azure pour surveiller les menaces et vulnérabilités de sécurité. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour les conteneurs doit être activé Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour le stockage doit être activé Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. AuditIfNotExists, Désactivé 1.0.0
Network Watcher doit être activé Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. AuditIfNotExists, Désactivé 3.0.0
Les journaux de ressources dans Azure Data Lake Store doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Azure Stream Analytics doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans les comptes Batch doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Data Lake Analytics doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Event Hub doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans IoT Hub doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 3.1.0
Les journaux de ressources dans Key Vault doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Logic Apps doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.1.0
Les journaux de ressources dans les services Search doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Service Bus doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Vérifier les journaux d'audit CMA_0466 – Examiner les données d’audit Manuel, désactivé 1.1.0
L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol AuditIfNotExists, Désactivé 1.0.1

Autorisation et évaluation de la sécurité

Stratégie et procédures d’autorisation et d’évaluation de la sécurité

ID : FedRAMP Moderate CA-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation CMA_C1143 - Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation Manuel, désactivé 1.1.0

Évaluations de la sécurité

ID : FedRAMP Moderate CA-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Évaluer les contrôles de sécurité CMA_C1145 - Évaluer les contrôles de sécurité Manuel, désactivé 1.1.0
Fournir les résultats de l’évaluation de la sécurité CMA_C1147 - Fournir les résultats de l’évaluation de la sécurité Manuel, désactivé 1.1.0
Développer un plan d’évaluation de la sécurité CMA_C1144 - Développer un plan d’évaluation de la sécurité Manuel, désactivé 1.1.0
Produire un rapport d’évaluation de la sécurité CMA_C1146 - Produire un rapport d’évaluation de la sécurité Manuel, désactivé 1.1.0

Évaluateurs indépendants

ID : FedRAMP Moderate CA-2 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Utiliser des évaluateurs indépendants pour effectuer des évaluations des contrôles de sécurité CMA_C1148 - Utiliser des évaluateurs indépendants pour effectuer des évaluations des contrôles de sécurité Manuel, désactivé 1.1.0

Évaluations spécialisées

ID : FedRAMP Moderate CA-2 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Sélectionner des tests supplémentaires pour les évaluations des contrôles de sécurité CMA_C1149 - Sélectionner des tests supplémentaires pour les évaluations des contrôles de sécurité Manuel, désactivé 1.1.0

Organisations externes

ID : FedRAMP Moderate CA-2 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Accepter les résultats de l’évaluation CMA_C1150 - Accepter les résultats de l’évaluation Manuel, désactivé 1.1.0

Interconnexions de systèmes

ID : FedRAMP Moderate CA-3 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Exiger des contrats de sécurité des interconnexion CMA_C1151 - Exiger des contrats de sécurité des interconnexions Manuel, désactivé 1.1.0
Mettre à jour les contrats de sécurité des interconnexions CMA_0519 - Mettre à jour les contrats de sécurité des interconnexions Manuel, désactivé 1.1.0

Connexions non classifiées du système de sécurité non national

ID : FedRAMP Moderate CA-3 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Implémenter la protection des limites des systèmes CMA_0328 - Implémenter la protection des limites des systèmes Manuel, désactivé 1.1.0

Restrictions sur les connexions de systèmes externes

ID : FedRAMP Moderate CA-3 (5) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Restrictions d’emploi sur les interconnexions de système externe CMA_C1155 – Restrictions d’emploi sur les interconnexions de système externe Manuel, désactivé 1.1.0

Plan d’action et jalons

ID : FedRAMP Moderate CA-5 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Développer des POA&M CMA_C1156 – Développer POA&M Manuel, désactivé 1.1.0
Mettre à jour les éléments POA&M CMA_C1157 – Mettre à jour des éléments POA&M Manuel, désactivé 1.1.0

Autorisation de sécurité

ID : FedRAMP Moderate CA-6 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Affecter un responsable des autorisations CMA_C1158 - Affecter un responsable des autorisations Manuel, désactivé 1.1.0
Vérifier que les ressources sont autorisées CMA_C1159 - Vérifier que les ressources sont autorisées Manuel, désactivé 1.1.0
Mettre à jour l’autorisation de sécurité CMA_C1160 – Mettre à jour l’autorisation de sécurité Manuel, désactivé 1.1.0

Surveillance continue

ID : FedRAMP Moderate CA-7 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Configurer la liste verte des détections CMA_0068 - Configurer la liste verte des détections Manuel, désactivé 1.1.0
Activer les capteurs pour la solution de sécurité de point de terminaison CMA_0514 – Activer les capteurs pour la solution de sécurité de point de terminaison Manuel, désactivé 1.1.0
Faire l’objet d’une révision de sécurité indépendante CMA_0515 - Faire l’objet d’une révision de sécurité indépendante Manuel, désactivé 1.1.0

Évaluation indépendante

ID : FedRAMP Moderate CA-7 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Utiliser des évaluateurs indépendants pour une surveillance continue CMA_C1168 - Utiliser des évaluateurs indépendants pour une surveillance continue Manuel, désactivé 1.1.0

Agent ou équipe de pénétration indépendant(e)

ID : FedRAMP Moderate CA-8 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Utiliser une équipe indépendante pour les tests d’intrusion CMA_C1171 - Utiliser une équipe indépendante pour les tests d’intrusion Manuel, désactivé 1.1.0

Connexions internes du système

ID : FedRAMP Moderate CA-9 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Vérifier la conformité de la confidentialité et de la sécurité avant d’établir des connexions internes CMA_0053 - Vérifier la conformité de la confidentialité et de la sécurité avant d’établir des connexions internes Manuel, désactivé 1.1.0

Gestion de la configuration

Stratégie et procédures de gestion de la configuration

ID : FedRAMP Moderate CM-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations CMA_C1175 - Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations Manuel, désactivé 1.1.0

Configuration de base

ID : FedRAMP Moderate CM-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Configurer des actions pour les appareils non conformes CMA_0062 – Configurer des actions pour les appareils non conformes Manuel, désactivé 1.1.0
Développer et tenir à jour les configurations de base CMA_0153 – Développer et tenir à jour les configurations de base Manuel, désactivé 1.1.0
Appliquer les paramètres de configuration de sécurité CMA_0249 – Appliquer les paramètres de configuration de sécurité Manuel, désactivé 1.1.0
Établir un panneau de configuration CMA_0254 – Établir un panneau de configuration Manuel, désactivé 1.1.0
Établir et documenter un plan de gestion de la configuration CMA_0264 – Établir et documenter un plan de gestion de la configuration Manuel, désactivé 1.1.0
Implémenter un outil de gestion de la configuration automatisée CMA_0311 – Implémenter un outil de gestion de la configuration automatisée Manuel, désactivé 1.1.0

Prise en charge de l’automatisation pour la précision/l’actualisation

ID : FedRAMP Moderate CM-2 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Configurer des actions pour les appareils non conformes CMA_0062 – Configurer des actions pour les appareils non conformes Manuel, désactivé 1.1.0
Développer et tenir à jour les configurations de base CMA_0153 – Développer et tenir à jour les configurations de base Manuel, désactivé 1.1.0
Appliquer les paramètres de configuration de sécurité CMA_0249 – Appliquer les paramètres de configuration de sécurité Manuel, désactivé 1.1.0
Établir un panneau de configuration CMA_0254 – Établir un panneau de configuration Manuel, désactivé 1.1.0
Établir et documenter un plan de gestion de la configuration CMA_0264 – Établir et documenter un plan de gestion de la configuration Manuel, désactivé 1.1.0
Implémenter un outil de gestion de la configuration automatisée CMA_0311 – Implémenter un outil de gestion de la configuration automatisée Manuel, désactivé 1.1.0

Rétention des configurations précédentes

ID : FedRAMP Moderate CM-2 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Conserver les versions précédentes des configurations de base de référence CMA_C1181 - Conserver les versions précédentes des configurations de base de référence Manuel, désactivé 1.1.0

Configurer des systèmes, composants ou appareils pour les zones à risque élevé

ID : FedRAMP Moderate CM-2 (7) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
S’assurer que les protections de sécurité ne sont pas nécessaires quand les personnes reviennent CMA_C1183 - S’assurer que les protections de sécurité ne sont pas nécessaires quand les personnes reviennent Manuel, désactivé 1.1.0
Empêcher les systèmes d’information d’être associés à des personnes CMA_C1182 - Empêcher les systèmes d’information d’être associés à des personnes Manuel, désactivé 1.1.0

Contrôle de la modification de la configuration

ID : FedRAMP Moderate CM-3 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Effectuer une analyse d’impact sur la sécurité CMA_0057 - Effectuer une analyse d’impact sur la sécurité Manuel, désactivé 1.1.0
Développer et gérer un standard de gestion des vulnérabilités CMA_0152 - Développer et gérer un standard de gestion des vulnérabilités Manuel, désactivé 1.1.0
Établir une stratégie de gestion des risques CMA_0258 - Établir une stratégie de gestion des risques Manuel, désactivé 1.1.0
Établir et documenter les processus de contrôle des modifications CMA_0265 – Établir et documenter les processus de contrôle des modifications Manuel, désactivé 1.1.0
Établir des exigences de gestion de configuration pour les développeurs CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs Manuel, désactivé 1.1.0
Effectuer une évaluation de l’impact sur la confidentialité CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité Manuel, désactivé 1.1.0
Effectuer une évaluation des risques CMA_0388 - Effectuer une évaluation des risques Manuel, désactivé 1.1.0
Effectuer un audit pour le contrôle des modifications de configuration CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration Manuel, désactivé 1.1.0

Analyse de l’impact sur la sécurité

ID : FedRAMP Moderate CM-4 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Effectuer une analyse d’impact sur la sécurité CMA_0057 - Effectuer une analyse d’impact sur la sécurité Manuel, désactivé 1.1.0
Développer et gérer un standard de gestion des vulnérabilités CMA_0152 - Développer et gérer un standard de gestion des vulnérabilités Manuel, désactivé 1.1.0
Établir une stratégie de gestion des risques CMA_0258 - Établir une stratégie de gestion des risques Manuel, désactivé 1.1.0
Établir et documenter les processus de contrôle des modifications CMA_0265 – Établir et documenter les processus de contrôle des modifications Manuel, désactivé 1.1.0
Établir des exigences de gestion de configuration pour les développeurs CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs Manuel, désactivé 1.1.0
Effectuer une évaluation de l’impact sur la confidentialité CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité Manuel, désactivé 1.1.0
Effectuer une évaluation des risques CMA_0388 - Effectuer une évaluation des risques Manuel, désactivé 1.1.0
Effectuer un audit pour le contrôle des modifications de configuration CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration Manuel, désactivé 1.1.0

Restrictions d’accès pour les modifications

ID : FedRAMP Moderate CM-5 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Établir et documenter les processus de contrôle des modifications CMA_0265 – Établir et documenter les processus de contrôle des modifications Manuel, désactivé 1.1.0

Application/audit d’accès automatique

ID : FedRAMP Moderate CM-5 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Appliquer et auditer les restrictions d’accès CMA_C1203 - Appliquer et auditer les restrictions d’accès Manuel, désactivé 1.1.0

Composants signés

ID : FedRAMP Moderate CM-5 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Restreindre l’installation de logiciels et de microprogrammes non autorisés CMA_C1205 - Restreindre l’installation de logiciels et de microprogrammes non autorisés Manuel, désactivé 1.1.0

Limiter les privilèges de production/opérationnels

ID : FedRAMP Moderate CM-5 (5) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Limiter les privilèges pour apporter des modifications dans l’environnement de production CMA_C1206 - Limiter les privilèges pour apporter des modifications dans l’environnement de production Manuel, désactivé 1.1.0
Passer en revue et réévaluer les privilèges CMA_C1207 - Passer en revue et réévaluer les privilèges Manuel, désactivé 1.1.0

Paramètres de configuration

ID : FedRAMP Moderate CM-6 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Déconseillé] L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications de fonction Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant de certificats valides peuvent accéder à l’application. Cette stratégie a été remplacée par une nouvelle stratégie portant le même nom, car HTTP 2.0 ne prend pas en charge les certificats clients. Audit, Désactivé 3.1.0-deprecated
L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications App service Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. AuditIfNotExists, Désactivé 1.0.0
Le débogage à distance doit être désactivé pour les applications App Service Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0
Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. AuditIfNotExists, Désactivé 2.0.0
L’extension Azure Policy pour Azure Kubernetes Service (AKS) doit être installée et activée sur vos clusters L’extension Azure Policy pour Azure Kubernetes Service (AKS) étend Gatekeeper v3, webhook de contrôleur d’admission pour Open Policy Agent (OPA), afin d’appliquer des mesures et des protections à grande échelle sur vos clusters de manière centralisée et cohérente. Audit, Désactivé 1.0.2
Appliquer les paramètres de configuration de sécurité CMA_0249 – Appliquer les paramètres de configuration de sécurité Manuel, désactivé 1.1.0
Le débogage à distance doit être désactivé pour les applications de fonctions Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0
Les applications de fonctions ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. AuditIfNotExists, Désactivé 2.0.0
Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées Appliquez des limites de ressources processeur et de mémoire au conteneur pour empêcher les attaques d’épuisement des ressources dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 9.2.0
Les conteneurs de cluster Kubernetes ne doivent pas partager l’espace de noms de l’ID de processus hôte ou l’espace de noms IPC hôte Empêche les conteneurs de pod de partager l’espace de noms de l’ID de processus hôte et l’espace de noms IPC hôte dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.2 et du CIS 5.2.3, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 5.1.0
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés Les conteneurs de clusters Kubernetes doivent utiliser uniquement des profils AppArmor autorisés. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.1.1
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées Limitez les fonctionnalités afin de réduire la surface d’attaque des conteneurs dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.8 et du CIS 5.2.9, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.1.0
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées Utilisez des images provenant de registres approuvés pour réduire le risque d’exposition du cluster Kubernetes aux vulnérabilités inconnues, aux problèmes de sécurité et aux images malveillantes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 9.2.0
Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule Exécutez des conteneurs avec un système de fichiers racine en lecture seule pour le protéger contre les modifications au moment de l’exécution avec des fichiers binaires malveillants ajoutés au chemin d’accès dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.2.0
Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés Limitez les montages de volume HostPath sur le pod aux chemins d’accès hôtes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.1.1
Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés Contrôle les ID d’utilisateur, de groupe principal, de groupe supplémentaire et de groupe de systèmes de fichiers que les pods et les conteneurs peuvent utiliser pour s’exécuter dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.1.1
Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés Restreignez l’accès des pods au réseau hôte et à la plage de ports hôtes autorisés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.4, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.1.0
Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés Limitez l’écoute des services aux ports autorisés pour sécuriser l’accès au cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 8.1.0
Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés Ne pas autoriser pas la création de conteneurs privilégiés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.1, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 9.1.0
Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur N’autorisez pas les conteneurs à s’exécuter avec une élévation des privilèges vers la racine dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.5, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 7.1.0
Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute. AuditIfNotExists, Désactivé 2.2.0
Corriger les défauts du système d’information CMA_0427 – Corriger les défauts du système d’information Manuel, désactivé 1.1.0
Les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute. AuditIfNotExists, Désactivé 2.0.0

Gestion/application/vérification centrale automatique

ID : FedRAMP Moderate CM-6 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Appliquer les paramètres de configuration de sécurité CMA_0249 – Appliquer les paramètres de configuration de sécurité Manuel, désactivé 1.1.0
Gouverner la conformité des fournisseurs de services cloud CMA_0290 - Gouverner la conformité des fournisseurs de services cloud Manuel, désactivé 1.1.0
Visualiser et configurer les données de diagnostic système CMA_0544 - Visualiser et configurer les données de diagnostic système Manuel, désactivé 1.1.0

Fonctionnalités essentielles

ID : FedRAMP Moderate CM-7 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables. AuditIfNotExists, Désactivé 3.0.0
Les règles de liste verte dans votre stratégie de contrôle d’application adaptatif doivent être mises à jour Supervisez les changements de comportement sur les groupes de machines configurés pour être audités par les contrôles d’application adaptatifs d’Azure Security Center. Security Center utilise le Machine Learning pour analyser les processus en cours d’exécution sur vos machines, et suggérer une liste d’applications reconnues fiables. Elles sont présentées comme des applications recommandées à autoriser dans les stratégies de contrôles d’application adaptatifs. AuditIfNotExists, Désactivé 3.0.0
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3

Blocage de l’exécution des programmes

ID : FedRAMP Moderate CM-7 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables. AuditIfNotExists, Désactivé 3.0.0
Les règles de liste verte dans votre stratégie de contrôle d’application adaptatif doivent être mises à jour Supervisez les changements de comportement sur les groupes de machines configurés pour être audités par les contrôles d’application adaptatifs d’Azure Security Center. Security Center utilise le Machine Learning pour analyser les processus en cours d’exécution sur vos machines, et suggérer une liste d’applications reconnues fiables. Elles sont présentées comme des applications recommandées à autoriser dans les stratégies de contrôles d’application adaptatifs. AuditIfNotExists, Désactivé 3.0.0

Logiciels autorisés et création de listes autorisées

ID : FedRAMP Moderate CM-7 (5) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables. AuditIfNotExists, Désactivé 3.0.0
Les règles de liste verte dans votre stratégie de contrôle d’application adaptatif doivent être mises à jour Supervisez les changements de comportement sur les groupes de machines configurés pour être audités par les contrôles d’application adaptatifs d’Azure Security Center. Security Center utilise le Machine Learning pour analyser les processus en cours d’exécution sur vos machines, et suggérer une liste d’applications reconnues fiables. Elles sont présentées comme des applications recommandées à autoriser dans les stratégies de contrôles d’application adaptatifs. AuditIfNotExists, Désactivé 3.0.0

Inventaire des composants du système informatique

ID : FedRAMP Moderate CM-8 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Créer un inventaire des données CMA_0096 - Créer un inventaire des données Manuel, désactivé 1.1.0
Conserver les enregistrements de traitement des données personnelles CMA_0353 - Conserver les enregistrements de traitement des données personnelles Manuel, désactivé 1.1.0

Mises à jour durant les installations/suppressions

ID : FedRAMP Moderate CM-8 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Créer un inventaire des données CMA_0096 - Créer un inventaire des données Manuel, désactivé 1.1.0
Conserver les enregistrements de traitement des données personnelles CMA_0353 - Conserver les enregistrements de traitement des données personnelles Manuel, désactivé 1.1.0

Détection automatique de composant non autorisé

ID : FedRAMP Moderate CM-8 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Activer la détection des périphériques réseau CMA_0220 - Activer la détection des périphériques réseau Manuel, désactivé 1.1.0
Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation Manuel, désactivé 1.1.0

Plan de gestion de la configuration

ID : FedRAMP Moderate CM-9 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Créer une protection du plan de configuration CMA_C1233 - Créer une protection du plan de configuration Manuel, désactivé 1.1.0
Développer et tenir à jour les configurations de base CMA_0153 – Développer et tenir à jour les configurations de base Manuel, désactivé 1.1.0
Développer un plan d’identification des éléments de configuration CMA_C1231 - Développer un plan d’identification des éléments de configuration Manuel, désactivé 1.1.0
Développer un plan de gestion des configurations CMA_C1232 - Développer un plan de gestion des configurations Manuel, désactivé 1.1.0
Établir et documenter un plan de gestion de la configuration CMA_0264 – Établir et documenter un plan de gestion de la configuration Manuel, désactivé 1.1.0
Implémenter un outil de gestion de la configuration automatisée CMA_0311 – Implémenter un outil de gestion de la configuration automatisée Manuel, désactivé 1.1.0

Restrictions d’utilisation de logiciels

ID : FedRAMP Moderate CM-10 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables. AuditIfNotExists, Désactivé 3.0.0
Les règles de liste verte dans votre stratégie de contrôle d’application adaptatif doivent être mises à jour Supervisez les changements de comportement sur les groupes de machines configurés pour être audités par les contrôles d’application adaptatifs d’Azure Security Center. Security Center utilise le Machine Learning pour analyser les processus en cours d’exécution sur vos machines, et suggérer une liste d’applications reconnues fiables. Elles sont présentées comme des applications recommandées à autoriser dans les stratégies de contrôles d’application adaptatifs. AuditIfNotExists, Désactivé 3.0.0
Exiger la conformité avec les droits de propriété intellectuelle CMA_0432 - Exiger la conformité avec les droits de propriété intellectuelle Manuel, désactivé 1.1.0
Suivre l’utilisation des licences logicielles CMA_C1235 - Suivre l’utilisation des licences logicielles Manuel, désactivé 1.1.0

Logiciel open source

ID : FedRAMP Moderate CM-10 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Restreindre l’utilisation de logiciels open source CMA_C1237 – Restreindre l’utilisation de logiciels open source Manuel, désactivé 1.1.0

Logiciels installés par le client

ID : FedRAMP Moderate CM-11 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables. AuditIfNotExists, Désactivé 3.0.0
Les règles de liste verte dans votre stratégie de contrôle d’application adaptatif doivent être mises à jour Supervisez les changements de comportement sur les groupes de machines configurés pour être audités par les contrôles d’application adaptatifs d’Azure Security Center. Security Center utilise le Machine Learning pour analyser les processus en cours d’exécution sur vos machines, et suggérer une liste d’applications reconnues fiables. Elles sont présentées comme des applications recommandées à autoriser dans les stratégies de contrôles d’application adaptatifs. AuditIfNotExists, Désactivé 3.0.0

Planification d’urgence

Stratégie et procédures de planification d’urgence

ID : FedRAMP Moderate CP-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Examiner et mettre à jour les stratégies et les procédures de planification d’urgence CMA_C1243 - Examiner et mettre à jour les stratégies et les procédures de planification d’urgence Manuel, désactivé 1.1.0

Plan d’urgence

ID : FedRAMP Moderate CP-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Communiquer les modifications apportées au plan d’urgence CMA_C1249 - Communiquer les modifications apportées au plan d’urgence Manuel, désactivé 1.1.0
Coordonner les plans d’urgence avec les plans associés CMA_0086 - Coordonner les plans d’urgence avec les plans associés Manuel, désactivé 1.1.0
Développer et documenter un plan de continuité d’activité et de reprise d’activité CMA_0146 - Développer et documenter un plan de continuité d’activité et de reprise d’activité Manuel, désactivé 1.1.0
Développer un plan d’urgence CMA_C1244 - Développer un plan d’urgence Manuel, désactivé 1.1.0
Développer des stratégies et des procédures de planification d’urgence CMA_0156 - Développer des stratégies et des procédures de planification d’urgence Manuel, désactivé 1.1.0
Distribuer des stratégies et des procédures CMA_0185 - Distribuer des stratégies et des procédures Manuel, désactivé 1.1.0
Passer en revue le plan d’urgence CMA_C1247 - Passer en revue le plan d’urgence Manuel, désactivé 1.1.0
Mettre à jour le plan d’urgence CMA_C1248 - Mettre à jour le plan d’urgence Manuel, désactivé 1.1.0

ID : FedRAMP Moderate CP-2 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Coordonner les plans d’urgence avec les plans associés CMA_0086 - Coordonner les plans d’urgence avec les plans associés Manuel, désactivé 1.1.0

Planification de la capacité

ID : FedRAMP Moderate CP-2 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Effectuer la planification des capacités CMA_C1252 - Effectuer la planification des capacités Manuel, désactivé 1.1.0

Reprise des missions/fonctions métier essentielles

ID : FedRAMP Moderate CP-2 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Planifier la reprise des fonctions métier essentielles CMA_C1253 - Planifier la reprise des fonctions métier essentielles Manuel, désactivé 1.1.0

Identification des ressources critiques

ID : FedRAMP Moderate CP-2 (8) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Effectuer une évaluation de l’impact sur l’activité et l’évaluation de la critique des applications CMA_0386 - Effectuer une évaluation de l’impact sur l’activité et une évaluation de la criticité des applications Manuel, désactivé 1.1.0

Formation aux urgences

ID : FedRAMP Moderate CP-3 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Fournir une formation à l’urgence CMA_0412 - Fournir une formation à l’urgence Manuel, désactivé 1.1.0

Test du plan d’urgence

ID : FedRAMP Moderate CP-4 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Lancer des actions correctives du test du plan d’urgence CMA_C1263 - Lancer des actions correctives du test du plan d’urgence Manuel, désactivé 1.1.0
Passer en revue les résultats des tests du plan d’urgence CMA_C1262 - Passer en revue les résultats des tests du plan d’urgence Manuel, désactivé 1.1.0
Tester le plan de continuité d’activité et de reprise d’activité CMA_0509 - Tester le plan de continuité d’activité et de reprise d’activité Manuel, désactivé 1.1.0

ID : FedRAMP Moderate CP-4 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Coordonner les plans d’urgence avec les plans associés CMA_0086 - Coordonner les plans d’urgence avec les plans associés Manuel, désactivé 1.1.0

Site de stockage secondaire

ID : FedRAMP Moderate CP-6 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Vérifier que les protections du site de stockage alternatif sont équivalentes à celles du site principal CMA_C1268 - Vérifier que les protections du site de stockage alternatif sont équivalentes à celles du site principal Manuel, désactivé 1.1.0
Établir un site de stockage alternatif pour stocker et récupérer les informations de sauvegarde CMA_C1267 - Établir un site de stockage alternatif pour stocker et récupérer les informations de sauvegarde Manuel, désactivé 1.1.0
La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
Le stockage géoredondant doit être activé pour les comptes de stockage Utiliser la géoredondance pour créer des applications hautement disponibles Audit, Désactivé 1.0.0
La sauvegarde géoredondante à long terme doit être activée pour les bases de données Azure SQL Cette stratégie permet d’effectuer un audit d’une base de données Azure SQL Database si la sauvegarde géoredondante à long terme n’est pas activée. AuditIfNotExists, Désactivé 2.0.0

Séparation avec le site principal

ID : FedRAMP Moderate CP-6 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Créer des sites de stockage alternatifs et principaux distincts CMA_C1269 - Créer des sites de stockage alternatifs et principaux distincts Manuel, désactivé 1.1.0
La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
Le stockage géoredondant doit être activé pour les comptes de stockage Utiliser la géoredondance pour créer des applications hautement disponibles Audit, Désactivé 1.0.0
La sauvegarde géoredondante à long terme doit être activée pour les bases de données Azure SQL Cette stratégie permet d’effectuer un audit d’une base de données Azure SQL Database si la sauvegarde géoredondante à long terme n’est pas activée. AuditIfNotExists, Désactivé 2.0.0

Accessibilité

ID : FedRAMP Moderate CP-6 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Identifier et résoudre les problèmes potentiels sur le site de stockage alternatif CMA_C1271 - Identifier et résoudre les problèmes potentiels sur le site de stockage alternatif Manuel, désactivé 1.1.0

Site de traitement secondaire

ID : FedRAMP Moderate CP-7 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée Auditez les machines virtuelles configurées sans reprise d’activité. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Établir un site de traitement alternatif CMA_0262 - Établir un site de traitement alternatif Manuel, désactivé 1.1.0

Séparation avec le site principal

ID : FedRAMP Moderate CP-7 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Établir un site de traitement alternatif CMA_0262 - Établir un site de traitement alternatif Manuel, désactivé 1.1.0

Accessibilité

ID : FedRAMP Moderate CP-7 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Établir un site de traitement alternatif CMA_0262 - Établir un site de traitement alternatif Manuel, désactivé 1.1.0

Priorité de service

ID : FedRAMP Moderate CP-7 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Établir un site de traitement alternatif CMA_0262 - Établir un site de traitement alternatif Manuel, désactivé 1.1.0
Établir les exigences pour les fournisseurs de services Internet CMA_0278 - Établir les exigences pour les fournisseurs de services Internet Manuel, désactivé 1.1.0

Clauses de priorité de service

ID : FedRAMP Moderate CP-8 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Établir les exigences pour les fournisseurs de services Internet CMA_0278 - Établir les exigences pour les fournisseurs de services Internet Manuel, désactivé 1.1.0

Sauvegarde du système d’information

ID : FedRAMP Moderate CP-9 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La sauvegarde Azure doit être activée pour les machines virtuelles Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. AuditIfNotExists, Désactivé 3.0.0
Effectuer une sauvegarde de la documentation du système d’information CMA_C1289 - Effectuer une sauvegarde de la documentation du système d’information Manuel, désactivé 1.1.0
Établir des stratégies et des procédures de sauvegarde CMA_0268 - Établir des stratégies et des procédures de sauvegarde Manuel, désactivé 1.1.0
La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
Implémenter des contrôles pour sécuriser tous les supports CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports Manuel, désactivé 1.1.0
La protection contre la suppression doit être activée pour les coffres de clés La suppression malveillante d’un coffre de clés peut entraîner une perte définitive des données. Vous pouvez empêcher la perte permanente de données en activant la protection contre la suppression définitive et la suppression réversible. La protection contre la suppression définitive vous protège des attaques internes en appliquant une période de conservation obligatoire pour les coffres de clés supprimés de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne pourra supprimer définitivement vos coffres de clés pendant la période de conservation de la suppression réversible. N’oubliez pas que la suppression réversible est activée par défaut pour les coffres de clés créés après le 1er septembre 2019. Audit, Refuser, Désactivé 2.1.0
La suppression réversible doit être activée sur les coffres de clés La suppression d’un coffre de clés sur lequel la suppression réversible n’est pas activée supprime définitivement tous les secrets, toutes les clés et tous les certificats qui y stockés. La suppression accidentelle d’un coffre de clés peut entraîner la perte définitive des données. La suppression réversible vous permet de récupérer un coffre de clés supprimé accidentellement, pendant une période de conservation configurable. Audit, Refuser, Désactivé 3.0.0

Stockage distinct pour les informations critiques

ID : FedRAMP Moderate CP-9 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Stocker séparément les informations de sauvegarde CMA_C1293 - Stocker séparément les informations de sauvegarde Manuel, désactivé 1.1.0

Récupération et la reconstitution du système d’information

ID : FedRAMP Moderate CP-10 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Récupérer et reconstruire des ressources après toute interruption CMA_C1295 - Récupérer et reconstruire des ressources après toute interruption Manuel, désactivé 1.1.1

Récupération des transactions

ID : FedRAMP Moderate CP-10 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Implémenter une récupération basée sur les transactions CMA_C1296 - Implémenter une récupération basée sur les transactions Manuel, désactivé 1.1.0

Identification et authentification

Stratégie et procédures d’identification et d’authentification

ID : FedRAMP Moderate IA-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification CMA_C1299 - Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification Manuel, désactivé 1.1.0

Identification et authentification (Utilisateurs de l’organisation)

ID : FedRAMP Moderate IA-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft AuditIfNotExists, Désactivé 1.0.0
Les applications App Service doivent utiliser une identité managée Utiliser une identité managée pour renforcer la sécurité de l’authentification AuditIfNotExists, Désactivé 3.0.0
Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) Pour des raisons de sécurité, il est recommandé de désactiver l’accès par clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès par clé et ne fonctionnera pas si l’accès par clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, ce qui permet de conserver le principe du privilège minimum et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth Audit, Refuser, Désactivé 1.1.0
Appliquer l’unicité de l’utilisateur CMA_0250 – Appliquer l’unicité de l’utilisateur Manuel, désactivé 1.1.0
Les applications de fonction doivent utiliser une identité managée Utiliser une identité managée pour renforcer la sécurité de l’authentification AuditIfNotExists, Désactivé 3.0.0
Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric Audit, Refuser, Désactivé 1.1.0
Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques CMA_0507 – Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques Manuel, désactivé 1.1.0

Accès réseau aux comptes privilégiés

ID : FedRAMP Moderate IA-2 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Adopter des mécanismes d’authentification biométrique CMA_0005 – Adopter des mécanismes d’authentification biométrique Manuel, désactivé 1.1.0

Accès réseau aux comptes non privilégiés

ID : FedRAMP Moderate IA-2 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Adopter des mécanismes d’authentification biométrique CMA_0005 – Adopter des mécanismes d’authentification biométrique Manuel, désactivé 1.1.0

Accès local aux comptes privilégiés

ID : FedRAMP Moderate IA-2 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Adopter des mécanismes d’authentification biométrique CMA_0005 – Adopter des mécanismes d’authentification biométrique Manuel, désactivé 1.1.0

Authentification de groupe

ID : FedRAMP Moderate IA-2 (5) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Exiger l’utilisation d’authentificateurs individuels CMA_C1305 – Exiger l’utilisation d’authentificateurs individuels Manuel, désactivé 1.1.0

Accès à distance - Appareil séparé

ID : FedRAMP Moderate IA-2 (11) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Adopter des mécanismes d’authentification biométrique CMA_0005 – Adopter des mécanismes d’authentification biométrique Manuel, désactivé 1.1.0
Identifier et authentifier les périphériques réseau CMA_0296 – Identifier et authentifier les périphériques réseau Manuel, désactivé 1.1.0

Acceptation d’informations d’identification de la vérification d’identité personnelle

ID : FedRAMP Moderate IA-2 (12) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques CMA_0507 – Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques Manuel, désactivé 1.1.0

Gestion des identificateurs

ID : FedRAMP Moderate IA-4 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft AuditIfNotExists, Désactivé 1.0.0
Les applications App Service doivent utiliser une identité managée Utiliser une identité managée pour renforcer la sécurité de l’authentification AuditIfNotExists, Désactivé 3.0.0
Attribuer des identificateurs système CMA_0018 - Attribuer des identificateurs système Manuel, désactivé 1.1.0
Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) Pour des raisons de sécurité, il est recommandé de désactiver l’accès par clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès par clé et ne fonctionnera pas si l’accès par clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, ce qui permet de conserver le principe du privilège minimum et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth Audit, Refuser, Désactivé 1.1.0
Les applications de fonction doivent utiliser une identité managée Utiliser une identité managée pour renforcer la sécurité de l’authentification AuditIfNotExists, Désactivé 3.0.0
Empêcher la réutilisation de l’identificateur pour la période définie CMA_C1314 - Empêcher la réutilisation de l’identificateur pour la période définie Manuel, désactivé 1.1.0
Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric Audit, Refuser, Désactivé 1.1.0

Identifier l’état utilisateur

ID : FedRAMP Moderate IA-4 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Identifier l’état des utilisateurs individuels CMA_C1316 - Identifier l’état des utilisateurs individuels Manuel, désactivé 1.1.0

Gestion des authentificateurs

ID : FedRAMP Moderate IA-5 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. modify 4.1.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. modify 4.1.0
Auditer les machines Linux qui n’ont pas les autorisations de fichier passwd définies sur 0644 Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles n’ont pas les autorisations de fichier de mot de passe définies sur 0644 AuditIfNotExists, Désactivé 3.1.0
Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne stockent pas les mots de passe à l’aide du chiffrement réversible AuditIfNotExists, Désactivé 2.0.0
L’authentification auprès des machines Linux doit exiger des clés SSH Bien que le protocole SSH lui-même offre une connexion chiffrée, l’utilisation de mots de passe avec SSH laisse néanmoins la machine virtuelle vulnérable aux attaques en force brute. L’option la plus sûre pour l’authentification auprès d’une machine virtuelle Linux Azure via SSH est d’utiliser une paire de clés publique-privée, également appelées clés SSH. En savoir plus : https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Désactivé 3.2.0
La période de validité maximale doit être spécifiée pour les certificats Gérez les exigences en matière de conformité de votre organisation en spécifiant la durée maximale pendant laquelle un certificat peut être valide dans votre coffre de clés. audit, Audit, refus, Refus, désactivé, Désactivé 2.2.1
Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. deployIfNotExists 3.1.0
Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. deployIfNotExists 1.2.0
Établir des types et des processus d’authentificateur CMA_0267 - Établir des types et des processus d’authentificateur Manuel, désactivé 1.1.0
Établir des procédures pour la distribution initiale de l’authentificateur CMA_0276 - Établir des procédures pour la distribution initiale de l’authentificateur Manuel, désactivé 1.1.0
Implémenter une formation pour la protection des authentificateurs CMA_0329 – Implémenter une formation pour la protection des authentificateurs Manuel, désactivé 1.1.0
Les clés Key Vault doivent avoir une date d’expiration Les clés de chiffrement doivent avoir une date d’expiration définie et ne pas être permanentes. Les clés valides indéfiniment offrent à un intrus potentiel plus de temps pour compromettre la clé. Il est recommandé de définir les dates d’expiration des clés de chiffrement. Audit, Refuser, Désactivé 1.0.2
Les secrets Key Vault doivent avoir une date d’expiration Les secrets doivent avoir une date d’expiration définie et ne pas être permanents. Les secrets valides indéfiniment offrent à un attaquant potentiel plus de temps pour les compromettre. Il est recommandé de définir les dates d’expiration des secrets. Audit, Refuser, Désactivé 1.0.2
Gérer la durée de vie et la réutilisation de l’authentificateur CMA_0355 - Gérer la durée de vie et la réutilisation de l’authentificateur Manuel, désactivé 1.1.0
Gérer les authentificateurs CMA_C1321 - Gérer les authentificateurs Manuel, désactivé 1.1.0
Actualiser les authentificateurs CMA_0425 - Actualiser les authentificateurs Manuel, désactivé 1.1.0
Réémettre les authentificateurs pour les groupes et les comptes modifiés CMA_0426 - Réémettre les authentificateurs pour les groupes et les comptes modifiés Manuel, désactivé 1.1.0
Vérifier l’identité avant de distribuer les authentificateurs CMA_0538 - Vérifier l’identité avant de distribuer les authentificateurs Manuel, désactivé 1.1.0

Authentification basée sur un mot de passe

ID : FedRAMP Moderate IA-5 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. modify 4.1.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. modify 4.1.0
Auditer les machines Linux qui n’ont pas les autorisations de fichier passwd définies sur 0644 Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles n’ont pas les autorisations de fichier de mot de passe définies sur 0644 AuditIfNotExists, Désactivé 3.1.0
Auditer les machines Windows qui autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si les machines Windows autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques. La valeur par défaut pour les mots de passe uniques est 24 AuditIfNotExists, Désactivé 2.1.0
Auditer les machines Windows dont la durée de vie maximale du mot de passe n’est pas définie sur le nombre de jours spécifié Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si la durée de vie maximale de leur mot de passe n’est pas définie sur le nombre de jours spécifié. La valeur par défaut de la durée de vie maximale du mot de passe est de 70 jours AuditIfNotExists, Désactivé 2.1.0
Auditer les machines Windows dont la durée de vie minimale du mot de passe n’est pas définie sur le nombre de jours spécifié Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si la durée de vie minimale du mot de passe n’est pas définie sur le nombre de jours spécifié. La valeur par défaut pour la durée de vie minimale du mot de passe est de 1 jour AuditIfNotExists, Désactivé 2.1.0
Auditer les machines Windows qui n’ont pas le paramètre de complexité de mot de passe activé Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles n’ont pas le paramètre de complexité de mot de passe activé AuditIfNotExists, Désactivé 2.0.0
Auditer les machines Windows qui ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié. La valeur par défaut pour la longueur minimale du mot de passe est de 14 caractères AuditIfNotExists, Désactivé 2.1.0
Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne stockent pas les mots de passe à l’aide du chiffrement réversible AuditIfNotExists, Désactivé 2.0.0
Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. deployIfNotExists 3.1.0
Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. deployIfNotExists 1.2.0
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition Manuel, désactivé 1.1.0
Établir une stratégie de mot de passe CMA_0256 - Établir une stratégie de mot de passe Manuel, désactivé 1.1.0
Implémenter des paramètres pour les vérificateurs de secrets mémorisés CMA_0321 - Implémenter des paramètres pour les vérificateurs de secrets mémorisés Manuel, désactivé 1.1.0
Protéger les mots de passe avec le chiffrement CMA_0408 – Protéger les mots de passe avec le chiffrement Manuel, désactivé 1.1.0

Authentification basée sur une infrastructure à clé publique

ID : FedRAMP Moderate IA-5 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Lier dynamiquement les authentificateurs et les identités CMA_0035 – Lier dynamiquement les authentificateurs et les identités Manuel, désactivé 1.1.0
Établir des types et des processus d’authentificateur CMA_0267 - Établir des types et des processus d’authentificateur Manuel, désactivé 1.1.0
Établir des paramètres pour la recherche d’authentificateurs et de vérificateurs secrets CMA_0274 – Établir des paramètres pour la recherche d’authentificateurs et de vérificateurs secrets Manuel, désactivé 1.1.0
Établir des procédures pour la distribution initiale de l’authentificateur CMA_0276 - Établir des procédures pour la distribution initiale de l’authentificateur Manuel, désactivé 1.1.0
Mapper des identités authentifiées à des individus CMA_0372 - Mapper des identités authentifiées à des individus Manuel, désactivé 1.1.0
Restreindre l’accès aux clés privées CMA_0445 – Restreindre l’accès aux clés privées Manuel, désactivé 1.1.0
Vérifier l’identité avant de distribuer les authentificateurs CMA_0538 - Vérifier l’identité avant de distribuer les authentificateurs Manuel, désactivé 1.1.0

Inscription de tiers physiques ou de confiance

ID : FedRAMP Moderate IA-5 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Distribuer des authentificateurs CMA_0184 – Distribuer des authentificateurs Manuel, désactivé 1.1.0

Prise en charge automatisée du niveau de sécurité du mot de passe

ID : FedRAMP Moderate IA-5 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition Manuel, désactivé 1.1.0
Établir une stratégie de mot de passe CMA_0256 - Établir une stratégie de mot de passe Manuel, désactivé 1.1.0
Implémenter des paramètres pour les vérificateurs de secrets mémorisés CMA_0321 - Implémenter des paramètres pour les vérificateurs de secrets mémorisés Manuel, désactivé 1.1.0

Protection des authentificateurs

ID : FedRAMP Moderate IA-5 (6) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Vérifier que les utilisateurs autorisés protègent les authentificateurs fournis CMA_C1339 – S’assurer que les utilisateurs autorisés protègent les authentificateurs fournis Manuel, désactivé 1.1.0

Aucun authentificateur statique non chiffré incorporé

ID : FedRAMP Moderate IA-5 (7) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Vérifier qu’il n’existe aucun authentificateur statique non chiffré CMA_C1340 - Vérifier qu’il n’existe aucun authentificateur statique non chiffré Manuel, désactivé 1.1.0

Authentification basée sur les jetons matériels

ID : FedRAMP Moderate IA-5 (11) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Répondre aux exigences de qualité des jetons CMA_0487 – Répondre aux exigences de qualité des jetons Manuel, désactivé 1.1.0

Commentaires au sujet des authentificateurs

ID : FedRAMP Moderate IA-6 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Masquer les informations de feedback lors du processus d’authentification CMA_C1344 - Masquer les informations de feedback lors du processus d’authentification Manuel, désactivé 1.1.0

Authentification du module de chiffrement

ID : FedRAMP Moderate IA-7 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
S’authentifier auprès du module de chiffrement CMA_0021 – S’authentifier auprès du module de chiffrement Manuel, désactivé 1.1.0

Identification et authentification (utilisateurs extérieurs à l’organisation)

ID : FedRAMP Moderate IA-8 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Identifier et authentifier les utilisateurs qui ne font pas partie de l’organisation CMA_C1346 - Identifier et authentifier les utilisateurs qui ne font pas partie de l’organisation Manuel, désactivé 1.1.0

Acceptation d’informations d’identification de la vérification d’identité personnelle émanant d’autres agences

ID : FedRAMP Moderate IA-8 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Accepter les informations d’identification PIV CMA_C1347 – Accepter les informations d’identification PIV Manuel, désactivé 1.1.0

Acceptation d’informations d’identification tierces

ID : FedRAMP Moderate IA-8 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Accepter uniquement les informations d’identification tierces approuvées par FICAM CMA_C1348 – Accepter uniquement les informations d’identification tierces approuvées par FICAM Manuel, désactivé 1.1.0

Utilisation de produits approuvés par la FICAM

ID : FedRAMP Moderate IA-8 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Utiliser des ressources approuvées par la FICAM pour accepter des informations d’identification tierces CMA_C1349 - Utiliser des ressources approuvées par la FICAM pour accepter des informations d’identification tierces Manuel, désactivé 1.1.0

Utilisation de profils émis par la FICAM

ID : FedRAMP Moderate IA-8 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Se conformer aux profils émis par FICAM CMA_C1350 – Se conformer aux profils émis par FICAM Manuel, désactivé 1.1.0

Réponse aux incidents

Stratégie et procédures de réponse aux incidents

ID : FedRAMP Moderate IR-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents CMA_C1352 - Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents Manuel, désactivé 1.1.0

Formation de réponse aux incidents

ID : FedRAMP Moderate IR-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Fournir une formation sur les fuites d’informations CMA_0413 - Fournir une formation sur les fuites d’informations Manuel, désactivé 1.1.0

Test de réponse aux incidents

ID : FedRAMP Moderate IR-3 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Effectuer des tests de réponse aux incidents CMA_0060 – Mener des tests de réponse aux incidents Manuel, désactivé 1.1.0
Établir un programme de sécurité des informations CMA_0263 - Établir un programme de sécurité des informations Manuel, désactivé 1.1.0
Exécuter des attaques de simulation CMA_0486 – Exécuter des attaques de simulation Manuel, désactivé 1.1.0

ID : FedRAMP Moderate IR-3 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Effectuer des tests de réponse aux incidents CMA_0060 – Mener des tests de réponse aux incidents Manuel, désactivé 1.1.0
Établir un programme de sécurité des informations CMA_0263 - Établir un programme de sécurité des informations Manuel, désactivé 1.1.0
Exécuter des attaques de simulation CMA_0486 – Exécuter des attaques de simulation Manuel, désactivé 1.1.0

Gestion des incidents

ID : FedRAMP Moderate IR-4 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Évaluer les événements de sécurité des informations CMA_0013 - Évaluer les événements de sécurité des informations Manuel, désactivé 1.1.0
Azure Defender pour App Service doit être activé Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour les serveurs Azure SQL Database doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour Key Vault doit être activé Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour Resource Manager doit être activé Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. AuditIfNotExists, Désactivé 1.0.0
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour les serveurs SQL sur les machines doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés Auditer les serveurs SQL sans Advanced Data Security AuditIfNotExists, Désactivé 2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2
Coordonner les plans d’urgence avec les plans associés CMA_0086 - Coordonner les plans d’urgence avec les plans associés Manuel, désactivé 1.1.0
Mettez sur pied un plan de réponse en cas d'incident CMA_0145 – Développer un plan de réponse aux incidents Manuel, désactivé 1.1.0
Développer des protections de sécurité CMA_0161 - Développer des protections de sécurité Manuel, désactivé 1.1.0
La notification par e-mail pour les alertes à gravité élevée doit être activée Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. AuditIfNotExists, Désactivé 1.0.1
La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. AuditIfNotExists, Désactivé 2.0.0
Activer la protection du réseau CMA_0238 - Activer la protection réseau Manuel, désactivé 1.1.0
Éradiquer les informations contaminées CMA_0253 - Éradiquer les informations contaminées Manuel, désactivé 1.1.0
Exécuter des actions en réponse à des fuites d’informations CMA_0281 - Exécuter des actions en réponse à des fuites d’informations Manuel, désactivé 1.1.0
Implémenter une gestion des incidents CMA_0318 - Implémenter une gestion des incidents Manuel, désactivé 1.1.0
Gérer le plan de réponse aux incidents CMA_0352 - Gérer le plan de réponse aux incidents Manuel, désactivé 1.1.0
Microsoft Defender pour les conteneurs doit être activé Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour le stockage doit être activé Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. AuditIfNotExists, Désactivé 1.0.0
Effectuer une analyse des tendances sur les menaces CMA_0389 – Effectuer une analyse des tendances sur les menaces Manuel, désactivé 1.1.0
Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. AuditIfNotExists, Désactivé 1.0.1
Visualiser et examiner les utilisateurs restreints CMA_0545 - Visualiser et examiner les utilisateurs restreints Manuel, désactivé 1.1.0

Processus de gestion des incidents automatisés

ID : FedRAMP Moderate IR-4 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Mettez sur pied un plan de réponse en cas d'incident CMA_0145 – Développer un plan de réponse aux incidents Manuel, désactivé 1.1.0
Activer la protection du réseau CMA_0238 - Activer la protection réseau Manuel, désactivé 1.1.0
Implémenter une gestion des incidents CMA_0318 - Implémenter une gestion des incidents Manuel, désactivé 1.1.0

Surveillance des incidents

ID : FedRAMP Moderate IR-5 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Azure Defender pour App Service doit être activé Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour les serveurs Azure SQL Database doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour Key Vault doit être activé Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour Resource Manager doit être activé Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. AuditIfNotExists, Désactivé 1.0.0
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour les serveurs SQL sur les machines doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés Auditer les serveurs SQL sans Advanced Data Security AuditIfNotExists, Désactivé 2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2
La notification par e-mail pour les alertes à gravité élevée doit être activée Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. AuditIfNotExists, Désactivé 1.0.1
La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. AuditIfNotExists, Désactivé 2.0.0
Microsoft Defender pour les conteneurs doit être activé Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour le stockage doit être activé Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. AuditIfNotExists, Désactivé 1.0.0
Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. AuditIfNotExists, Désactivé 1.0.1

Création de rapports automatisée

ID : FedRAMP Moderate IR-6 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Documenter les opérations de sécurité CMA_0202 – Documenter les opérations de sécurité Manuel, désactivé 1.1.0

Assistance sur les réponses aux incidents

ID : FedRAMP Moderate IR-7 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Documenter les opérations de sécurité CMA_0202 – Documenter les opérations de sécurité Manuel, désactivé 1.1.0

Prise en charge de l’automatisation pour la disponibilité des informations/support

ID : FedRAMP Moderate IR-7 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Mettez sur pied un plan de réponse en cas d'incident CMA_0145 – Développer un plan de réponse aux incidents Manuel, désactivé 1.1.0
Activer la protection du réseau CMA_0238 - Activer la protection réseau Manuel, désactivé 1.1.0
Éradiquer les informations contaminées CMA_0253 - Éradiquer les informations contaminées Manuel, désactivé 1.1.0
Exécuter des actions en réponse à des fuites d’informations CMA_0281 - Exécuter des actions en réponse à des fuites d’informations Manuel, désactivé 1.1.0
Implémenter une gestion des incidents CMA_0318 - Implémenter une gestion des incidents Manuel, désactivé 1.1.0
Effectuer une analyse des tendances sur les menaces CMA_0389 – Effectuer une analyse des tendances sur les menaces Manuel, désactivé 1.1.0
Visualiser et examiner les utilisateurs restreints CMA_0545 - Visualiser et examiner les utilisateurs restreints Manuel, désactivé 1.1.0

Coordination avec les fournisseurs externes

ID : FedRAMP Moderate IR-7 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Établir une relation entre la fonctionnalité de réponse aux incidents et les fournisseurs externes CMA_C1376 – Établir une relation entre la fonctionnalité de réponse aux incidents et les fournisseurs externes Manuel, désactivé 1.1.0
Identifier le personnel de réponse aux incidents CMA_0301 – Identifier le personnel de réponse aux incidents Manuel, désactivé 1.1.0

Plan de réponse aux incidents

ID : FedRAMP Moderate IR-8 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Évaluer les événements de sécurité des informations CMA_0013 - Évaluer les événements de sécurité des informations Manuel, désactivé 1.1.0
Mettez sur pied un plan de réponse en cas d'incident CMA_0145 – Développer un plan de réponse aux incidents Manuel, désactivé 1.1.0
Implémenter une gestion des incidents CMA_0318 - Implémenter une gestion des incidents Manuel, désactivé 1.1.0
Conserver les enregistrements de divulgation de données CMA_0351 - Conserver les enregistrements de divulgation de données Manuel, désactivé 1.1.0
Gérer le plan de réponse aux incidents CMA_0352 - Gérer le plan de réponse aux incidents Manuel, désactivé 1.1.0
Protéger le plan de réponse aux incidents CMA_0405 - Protéger le plan de réponse aux incidents Manuel, désactivé 1.1.0

Réponse aux débordements d’informations

ID : FedRAMP Moderate IR-9 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Alerter le personnel d’un débordement d’informations CMA_0007 – Alerter le personnel d’un débordement d’informations Manuel, désactivé 1.1.0
Mettez sur pied un plan de réponse en cas d'incident CMA_0145 – Développer un plan de réponse aux incidents Manuel, désactivé 1.1.0
Éradiquer les informations contaminées CMA_0253 - Éradiquer les informations contaminées Manuel, désactivé 1.1.0
Exécuter des actions en réponse à des fuites d’informations CMA_0281 - Exécuter des actions en réponse à des fuites d’informations Manuel, désactivé 1.1.0
Identifier les systèmes et composants contaminés CMA_0300 – Identifier les systèmes et composants contaminés Manuel, désactivé 1.1.0
Identifier les informations propagées CMA_0303 – Identifier les informations propagées Manuel, désactivé 1.1.0
Isoler les débordements d’informations CMA_0346 – Isoler les débordements d’informations Manuel, désactivé 1.1.0

Personnel responsable

ID : FedRAMP Moderate IR-9 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Identifier le personnel de réponse aux incidents CMA_0301 – Identifier le personnel de réponse aux incidents Manuel, désactivé 1.1.0

Entrainement

ID : FedRAMP Moderate IR-9 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Fournir une formation sur les fuites d’informations CMA_0413 - Fournir une formation sur les fuites d’informations Manuel, désactivé 1.1.0

Opérations post-débordements

ID : FedRAMP Moderate IR-9 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Développer des procédures de réponse aux débordements CMA_0162 - Développer des procédures de réponse aux fuites de données Manuel, désactivé 1.1.0

Exposition au personnel non autorisé

ID : FedRAMP Moderate IR-9 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Développer des protections de sécurité CMA_0161 - Développer des protections de sécurité Manuel, désactivé 1.1.0

Maintenance

Stratégie et procédures de maintenance du système

ID : FedRAMP Moderate MA-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes CMA_C1395 - Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes Manuel, désactivé 1.1.0

Maintenance contrôlée

ID : FedRAMP Moderate MA-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôler les activités de maintenance et de réparation CMA_0080 - Contrôler les activités de maintenance et de réparation Manuel, désactivé 1.1.0
Utiliser un mécanisme de nettoyage des médias CMA_0208 - Utiliser un mécanisme de nettoyage des médias Manuel, désactivé 1.1.0
Implémenter des contrôles pour sécuriser tous les supports CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports Manuel, désactivé 1.1.0
Gérer les activités de maintenance et de diagnostic non locales CMA_0364 - Gérer les activités de maintenance et de diagnostic non locales Manuel, désactivé 1.1.0

Outils de maintenance

ID : FedRAMP Moderate MA-3 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôler les activités de maintenance et de réparation CMA_0080 - Contrôler les activités de maintenance et de réparation Manuel, désactivé 1.1.0
Gérer les activités de maintenance et de diagnostic non locales CMA_0364 - Gérer les activités de maintenance et de diagnostic non locales Manuel, désactivé 1.1.0

Inspection des outils

ID : FedRAMP Moderate MA-3 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôler les activités de maintenance et de réparation CMA_0080 - Contrôler les activités de maintenance et de réparation Manuel, désactivé 1.1.0
Gérer les activités de maintenance et de diagnostic non locales CMA_0364 - Gérer les activités de maintenance et de diagnostic non locales Manuel, désactivé 1.1.0

Inspection des supports

ID : FedRAMP Moderate MA-3 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôler les activités de maintenance et de réparation CMA_0080 - Contrôler les activités de maintenance et de réparation Manuel, désactivé 1.1.0
Gérer les activités de maintenance et de diagnostic non locales CMA_0364 - Gérer les activités de maintenance et de diagnostic non locales Manuel, désactivé 1.1.0

Empêcher le retrait non autorisé

ID : FedRAMP Moderate MA-3 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôler les activités de maintenance et de réparation CMA_0080 - Contrôler les activités de maintenance et de réparation Manuel, désactivé 1.1.0
Utiliser un mécanisme de nettoyage des médias CMA_0208 - Utiliser un mécanisme de nettoyage des médias Manuel, désactivé 1.1.0
Implémenter des contrôles pour sécuriser tous les supports CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports Manuel, désactivé 1.1.0
Gérer les activités de maintenance et de diagnostic non locales CMA_0364 - Gérer les activités de maintenance et de diagnostic non locales Manuel, désactivé 1.1.0

Maintenance non locale

ID : FedRAMP Moderate MA-4 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Gérer les activités de maintenance et de diagnostic non locales CMA_0364 - Gérer les activités de maintenance et de diagnostic non locales Manuel, désactivé 1.1.0

Documenter la maintenance non locale

ID : FedRAMP Moderate MA-4 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Gérer les activités de maintenance et de diagnostic non locales CMA_0364 - Gérer les activités de maintenance et de diagnostic non locales Manuel, désactivé 1.1.0

Personnel en charge de la maintenance

ID : FedRAMP Moderate MA-5 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Désigner du personnel pour surveiller les activités de maintenance non autorisées CMA_C1422 - Désigner du personnel pour surveiller les activités de maintenance non autorisées Manuel, désactivé 1.1.0
Tenir à jour la liste du personnel de maintenance à distance autorisé CMA_C1420 - Tenir à jour la liste du personnel de maintenance à distance autorisé Manuel, désactivé 1.1.0
Gérer le personnel de maintenance CMA_C1421 - Gérer le personnel de maintenance Manuel, désactivé 1.1.0

Individus sans accès approprié

ID : FedRAMP Moderate MA-5 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Utiliser un mécanisme de nettoyage des médias CMA_0208 - Utiliser un mécanisme de nettoyage des médias Manuel, désactivé 1.1.0
Implémenter des contrôles pour sécuriser tous les supports CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports Manuel, désactivé 1.1.0

Maintenance adéquate

ID : FedRAMP Moderate MA-6 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Assurer la maintenance en temps opportun CMA_C1425 - Assurer la maintenance en temps opportun Manuel, désactivé 1.1.0

Protection média

Procédures et stratégie de protection des supports

ID : FedRAMP Moderate MP-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Passer en revue et mettre à jour les stratégies et les procédures de protection des médias CMA_C1427 - Passer en revue et mettre à jour les stratégies et les procédures de protection des médias Manuel, désactivé 1.1.0

Accès aux supports

ID : FedRAMP Moderate MP-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Implémenter des contrôles pour sécuriser tous les supports CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports Manuel, désactivé 1.1.0

Marquage de supports

ID : FedRAMP Moderate MP-3 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Implémenter des contrôles pour sécuriser tous les supports CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports Manuel, désactivé 1.1.0

Supports de stockage

ID : FedRAMP Moderate MP-4 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Utiliser un mécanisme de nettoyage des médias CMA_0208 - Utiliser un mécanisme de nettoyage des médias Manuel, désactivé 1.1.0
Implémenter des contrôles pour sécuriser tous les supports CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports Manuel, désactivé 1.1.0

Transport de supports

ID : FedRAMP Moderate MP-5 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Implémenter des contrôles pour sécuriser tous les supports CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports Manuel, désactivé 1.1.0
Gérer le transport des ressources CMA_0370 - Gérer le transport des ressources Manuel, désactivé 1.1.0

Protection par chiffrement

ID : FedRAMP Moderate MP-5 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Implémenter des contrôles pour sécuriser tous les supports CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports Manuel, désactivé 1.1.0
Gérer le transport des ressources CMA_0370 - Gérer le transport des ressources Manuel, désactivé 1.1.0

Assainissement des supports

ID : FedRAMP Moderate MP-6 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Utiliser un mécanisme de nettoyage des médias CMA_0208 - Utiliser un mécanisme de nettoyage des médias Manuel, désactivé 1.1.0
Implémenter des contrôles pour sécuriser tous les supports CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports Manuel, désactivé 1.1.0

Test de l’équipement

ID : FedRAMP Moderate MP-6 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Utiliser un mécanisme de nettoyage des médias CMA_0208 - Utiliser un mécanisme de nettoyage des médias Manuel, désactivé 1.1.0
Implémenter des contrôles pour sécuriser tous les supports CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports Manuel, désactivé 1.1.0

Utilisation des supports

ID : FedRAMP Moderate MP-7 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Bloque les processus non approuvés et non signés qui s’exécutent par USB CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB Manuel, désactivé 1.1.0
Contrôler l’utilisation des périphériques de stockage portables CMA_0083 - Contrôler l’utilisation des périphériques de stockage portables Manuel, désactivé 1.1.0
Implémenter des contrôles pour sécuriser tous les supports CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports Manuel, désactivé 1.1.0
Restreindre l’utilisation des médias CMA_0450 - Restreindre l’utilisation des médias Manuel, désactivé 1.1.0

Interdire l’utilisation en absence de propriétaire

ID : FedRAMP Moderate MP-7 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Bloque les processus non approuvés et non signés qui s’exécutent par USB CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB Manuel, désactivé 1.1.0
Contrôler l’utilisation des périphériques de stockage portables CMA_0083 - Contrôler l’utilisation des périphériques de stockage portables Manuel, désactivé 1.1.0
Implémenter des contrôles pour sécuriser tous les supports CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports Manuel, désactivé 1.1.0
Restreindre l’utilisation des médias CMA_0450 - Restreindre l’utilisation des médias Manuel, désactivé 1.1.0

Protection physique et environnementale

Stratégie et procédures de protection physique et environnementale

ID : FedRAMP Moderate PE-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Examiner et mettre à jour les stratégies et procédures physiques et environnementales CMA_C1446 - Examiner et mettre à jour les stratégies et procédures physiques et environnementales Manuel, désactivé 1.1.0

Autorisations d’accès physique

ID : FedRAMP Moderate PE-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôler l’accès physique CMA_0081 – Contrôler l’accès physique Manuel, désactivé 1.1.0

Contrôle d’accès physique

ID : FedRAMP Moderate PE-3 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôler l’accès physique CMA_0081 – Contrôler l’accès physique Manuel, désactivé 1.1.0
Définir un processus de gestion des clés physiques CMA_0115 – Définir un processus de gestion des clés physiques Manuel, désactivé 1.1.0
Établir et tenir à jour un inventaire des ressources CMA_0266 - Établir et tenir à jour un inventaire des ressources Manuel, désactivé 1.1.0
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées Manuel, désactivé 1.1.0

Contrôle d’accès pour les moyens de transmission

ID : FedRAMP Moderate PE-4 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôler l’accès physique CMA_0081 – Contrôler l’accès physique Manuel, désactivé 1.1.0
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées Manuel, désactivé 1.1.0

Contrôle d’accès aux périphériques de sortie

ID : FedRAMP Moderate PE-5 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôler l’accès physique CMA_0081 – Contrôler l’accès physique Manuel, désactivé 1.1.0
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées Manuel, désactivé 1.1.0
Gérer l’entrée, la sortie, le traitement et le stockage des données CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données Manuel, désactivé 1.1.0

Alarmes d’intrusion/équipements de surveillance

ID : FedRAMP Moderate PE-6 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Installer un système d’alarme CMA_0338 - Installer un système d’alarme Manuel, désactivé 1.1.0
Gérer un système de caméras de surveillance sécurisé CMA_0354 - Gérer un système de caméras de surveillance sécurisé Manuel, désactivé 1.1.0

Enregistrements des accès des visiteurs

ID : FedRAMP Moderate PE-8 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôler l’accès physique CMA_0081 – Contrôler l’accès physique Manuel, désactivé 1.1.0
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées Manuel, désactivé 1.1.0

Éclairage de secours

ID : FedRAMP Moderate PE-12 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Utiliser un éclairage d’urgence automatique CMA_0209 - Utiliser un éclairage d’urgence automatique Manuel, désactivé 1.1.0

Protection incendie

ID : FedRAMP Moderate PE-13 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées Manuel, désactivé 1.1.0

Dispositifs/systèmes d’extinction

ID : FedRAMP Moderate PE-13 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées Manuel, désactivé 1.1.0

Extinction automatique

ID : FedRAMP Moderate PE-13 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées Manuel, désactivé 1.1.0

Contrôles de température et d’humidité

ID : FedRAMP Moderate PE-14 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées Manuel, désactivé 1.1.0

Surveillance à l’aide d’alarmes et de notifications

ID : FedRAMP Moderate PE-14 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées Manuel, désactivé 1.1.0
Installer un système d’alarme CMA_0338 - Installer un système d’alarme Manuel, désactivé 1.1.0

Protection contre les dégâts des eaux

ID : FedRAMP Moderate PE-15 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées Manuel, désactivé 1.1.0

Livraison et élimination

ID : FedRAMP Moderate PE-16 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Définir les exigences pour la gestion des ressources CMA_0125 - Définir les exigences pour la gestion des ressources Manuel, désactivé 1.1.0
Gérer le transport des ressources CMA_0370 - Gérer le transport des ressources Manuel, désactivé 1.1.0

Site de travail de secours

ID : FedRAMP Moderate PE-17 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Implémenter des contrôles pour sécuriser d’autres sites de travail CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail Manuel, désactivé 1.1.0

Planification

Stratégie et procédures de planification de la sécurité

ID : FedRAMP Moderate PL-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Passer en revue et mettre à jour les stratégies et les procédures de planification CMA_C1491 - Passer en revue et mettre à jour les stratégies et les procédures de planification Manuel, désactivé 1.1.0

Plan de sécurité système

ID : FedRAMP Moderate PL-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Développer et établir un plan de sécurité des systèmes CMA_0151 - Développer et établir un plan de sécurité des systèmes Manuel, désactivé 1.1.0
Développer des stratégies et des procédures de sécurité des informations CMA_0158 -Développer des stratégies et des procédures de sécurité des informations Manuel, désactivé 1.1.0
Développer un SSP qui répond aux critères CMA_C1492 - Développer un SSP qui répond aux critères Manuel, désactivé 1.1.0
Établir un programme de confidentialité CMA_0257 - Établir un programme de confidentialité Manuel, désactivé 1.1.0
Établir les exigences de sécurité pour la fabrication d’appareils connectés CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés Manuel, désactivé 1.1.0
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information Manuel, désactivé 1.1.0

Planifier/coordonner avec d’autres entités organisationnelles

ID : FedRAMP Moderate PL-2 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Développer et établir un plan de sécurité des systèmes CMA_0151 - Développer et établir un plan de sécurité des systèmes Manuel, désactivé 1.1.0
Établir les exigences de sécurité pour la fabrication d’appareils connectés CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés Manuel, désactivé 1.1.0
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information Manuel, désactivé 1.1.0

Règles de comportement

ID : FedRAMP Moderate PL-4 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Développer des stratégies et des procédures d’utilisation acceptables CMA_0143 - Développer des stratégies et des procédures d’utilisation acceptables Manuel, désactivé 1.1.0
Développer une stratégie de code de conduite de l’organisation CMA_0159 - Développer une stratégie de code de conduite de l’organisation Manuel, désactivé 1.1.0
Documenter l’acceptation des exigences de confidentialité par le personnel CMA_0193 - Documenter l’acceptation des exigences de confidentialité par le personnel Manuel, désactivé 1.1.0
Appliquer des règles de comportement et des contrats d’accès CMA_0248 - Appliquer des règles de comportement et des contrats d’accès Manuel, désactivé 1.1.0
Interdire les pratiques déloyales CMA_0396 - Interdire les pratiques déloyales Manuel, désactivé 1.1.0
Passer en revue et signer les règles de comportement révisées CMA_0465 - Passer en revue et signer les règles de comportement révisées Manuel, désactivé 1.1.0
Mettre à jour les stratégies de sécurité des informations CMA_0518 - Mettre à jour les stratégies de sécurité des informations Manuel, désactivé 1.1.0
Mettre à jour les règles de comportement et les contrats d’accès CMA_0521 - Mettre à jour les règles de comportement et les contrats d’accès Manuel, désactivé 1.1.0
Mettre à jour les règles de comportement et les contrats d’accès tous les 3 ans CMA_0522 - Mettre à jour les règles de comportement et les contrats d’accès tous les 3 ans Manuel, désactivé 1.1.0

Restrictions liées aux réseaux sociaux et aux services de réseau

ID : FedRAMP Moderate PL-4 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Développer des stratégies et des procédures d’utilisation acceptables CMA_0143 - Développer des stratégies et des procédures d’utilisation acceptables Manuel, désactivé 1.1.0

Architecture de sécurité des informations

ID : FedRAMP Moderate PL-8 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Développer un concept d’opérations (CONOPS) CMA_0141 - Développer un concept d’opérations (CONOPS) Manuel, désactivé 1.1.0
Passer en revue et mettre à jour l’architecture de sécurité des informations CMA_C1504 - Passer en revue et mettre à jour l’architecture de sécurité des informations Manuel, désactivé 1.1.0

Sécurité du personnel

Stratégie et procédures de sécurité du personnel

ID : FedRAMP Moderate PS-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel CMA_C1507 - Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel Manuel, désactivé 1.1.0

Désignation des risques de postes

ID : FedRAMP Moderate PS-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Attribuer des désignations de risque CMA_0016 – Attribuer des désignations de risque Manuel, désactivé 1.1.0

Sélection du personnel

ID : FedRAMP Moderate PS-3 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Habiliter le personnel ayant accès aux informations classifiées CMA_0054 - Habiliter le personnel ayant accès aux informations classifiées Manuel, désactivé 1.1.0
Implémenter le filtrage du personnel CMA_0322 - Implémenter le filtrage du personnel Manuel, désactivé 1.1.0
Refiltrer les personnes à une fréquence définie CMA_C1512 - Refiltrer les personnes à une fréquence définie Manuel, désactivé 1.1.0

Informations avec mesures de protection spéciales

ID : FedRAMP Moderate PS-3 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Protéger des informations spéciales CMA_0409 – Protéger des informations spéciales Manuel, désactivé 1.1.0

Licenciement du personnel

ID : FedRAMP Moderate PS-4 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Mener un entretien de sortie après la fin du contrat de travail CMA_0058 - Mener un entretien de sortie après la fin du contrat de travail Manuel, désactivé 1.1.0
Désactiver les authentificateurs lors de l’arrêt CMA_0169 – Désactiver les authentificateurs lors de l’arrêt Manuel, désactivé 1.1.0
Notifier après une fin de contrat ou un transfert CMA_0381 - Notifier après une fin de contrat ou un transfert Manuel, désactivé 1.1.0
Protéger contre et empêcher le vol de données par des employés sur le départ CMA_0398 - Protéger contre et empêcher le vol de données par des employés sur le départ Manuel, désactivé 1.1.0
Conserver les données utilisateur terminées CMA_0455 – Conserver les données utilisateur terminées Manuel, désactivé 1.1.0

Transfert du personnel

ID : FedRAMP Moderate PS-5 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Lancer des actions de transfert ou de réaffectation CMA_0333 - Lancer des actions de transfert ou de réaffectation Manuel, désactivé 1.1.0
Modifier les autorisations d’accès lors du transfert de personnel CMA_0374 - Modifier les autorisations d’accès lors du transfert de personnel Manuel, désactivé 1.1.0
Notifier après une fin de contrat ou un transfert CMA_0381 - Notifier après une fin de contrat ou un transfert Manuel, désactivé 1.1.0
Réévaluer l’accès lors du transfert de personnel CMA_0424 - Réévaluer l’accès lors du transfert de personnel Manuel, désactivé 1.1.0

Accords d’accès

ID : FedRAMP Moderate PS-6 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Documenter les contrats d’accès de l’organisation CMA_0192 - Documenter les contrats d’accès de l’organisation Manuel, désactivé 1.1.0
Appliquer des règles de comportement et des contrats d’accès CMA_0248 - Appliquer des règles de comportement et des contrats d’accès Manuel, désactivé 1.1.0
Vérifier que les contrats d’accès sont signés ou dénoncés en temps voulu CMA_C1528 - Vérifier que les contrats d’accès sont signés ou dénoncés en temps voulu Manuel, désactivé 1.1.0
Exiger des utilisateurs qu’ils signent un contrat d’accès CMA_0440 - Exiger des utilisateurs qu’ils signent un contrat d’accès Manuel, désactivé 1.1.0
Mettre à jour les contrats d’accès de l’organisation CMA_0520 - Mettre à jour les contrats d’accès de l’organisation Manuel, désactivé 1.1.0

Sécurité du personnel tiers

ID : FedRAMP Moderate PS-7 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Documenter les exigences de sécurité pour le personnel de tiers CMA_C1531 - Documenter les exigences de sécurité pour le personnel de tiers Manuel, désactivé 1.1.0
Établir les exigences de sécurité pour le personnel de tiers CMA_C1529 - Établir les exigences de sécurité pour le personnel de tiers Manuel, désactivé 1.1.0
Surveiller la conformité des fournisseurs tiers CMA_C1533 - Surveiller la conformité des fournisseurs tiers Manuel, désactivé 1.1.0
Exiger une notification de transfert ou de fin de contrat du personnel de tiers CMA_C1532 - Exiger une notification de transfert ou de fin de contrat du personnel de tiers Manuel, désactivé 1.1.0
Exiger des fournisseurs tiers qu’ils se conforment aux stratégies et aux procédures de sécurité du personnel CMA_C1530 - Exiger des fournisseurs tiers qu’ils se conforment aux stratégies et aux procédures de sécurité du personnel Manuel, désactivé 1.1.0

Sanctions du personnel

ID : FedRAMP Moderate PS-8 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Implémenter un processus formel de sanctions CMA_0317 - Implémenter un processus formel de sanctions Manuel, désactivé 1.1.0
Notifier le personnel en cas de sanctions CMA_0380 - Notifier le personnel en cas de sanctions Manuel, désactivé 1.1.0

Évaluation des risques

Stratégie et procédures d’évaluation des risques

ID : FedRAMP Moderate RA-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques CMA_C1537 - Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques Manuel, désactivé 1.1.0

Catégorisation de sécurité

ID : FedRAMP Moderate RA-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Catégoriser les informations CMA_0052 - Catégoriser les informations Manuel, désactivé 1.1.0
Développer des schémas de classification métier CMA_0155 - Développer des schémas de classification métier Manuel, désactivé 1.1.0
Vérifier que la catégorisation de sécurité est approuvée CMA_C1540 - Vérifier que la catégorisation de sécurité est approuvée Manuel, désactivé 1.1.0
Examiner l’activité et l’analytique de l’étiquette CMA_0474 – Examiner l’activité et l’analytique de l’étiquette Manuel, désactivé 1.1.0

Évaluation des risques

ID : FedRAMP Moderate RA-3 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Effectuer une évaluation des risques CMA_C1543 - Effectuer une évaluation des risques Manuel, désactivé 1.1.0
Effectuer une évaluation des risques et distribuer ses résultats CMA_C1544 - Effectuer une évaluation des risques et distribuer ses résultats Manuel, désactivé 1.1.0
Effectuer l’évaluation des risques et documenter ses résultats CMA_C1542 - Effectuer l’évaluation des risques et documenter ses résultats Manuel, désactivé 1.1.0
Effectuer une évaluation des risques CMA_0388 - Effectuer une évaluation des risques Manuel, désactivé 1.1.0

Analyse des vulnérabilités

ID : FedRAMP Moderate RA-5 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. AuditIfNotExists, Désactivé 3.0.0
Azure Defender pour App Service doit être activé Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour les serveurs Azure SQL Database doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour Key Vault doit être activé Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour Resource Manager doit être activé Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. AuditIfNotExists, Désactivé 1.0.0
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour les serveurs SQL sur les machines doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés Auditer les serveurs SQL sans Advanced Data Security AuditIfNotExists, Désactivé 2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2
Les vulnérabilités doivent être résolues sur les images conteneur de registre Azure (technologie Qualys) L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de failles de sécurité et présente des résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. AuditIfNotExists, Désactivé 2.0.2
Microsoft Defender pour les conteneurs doit être activé Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour le stockage doit être activé Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. AuditIfNotExists, Désactivé 1.0.0
Effectuer des analyses de vulnérabilité CMA_0393 – Effectuer des analyses de vulnérabilité Manuel, désactivé 1.1.0
Corriger les défauts du système d’information CMA_0427 – Corriger les défauts du système d’information Manuel, désactivé 1.1.0
Les résultats des vulnérabilités des bases de données SQL doivent être résolus Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. AuditIfNotExists, Désactivé 4.1.0
Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus L'évaluation des vulnérabilités SQL analyse votre base de données à la recherche de vulnérabilités de sécurité et expose tout écart par rapport aux meilleures pratiques, tel que les erreurs de configuration, les autorisations excessives et les données sensibles non protégées. La résolution des vulnérabilités détectées peut améliorer considérablement la posture de sécurité de votre base de données. AuditIfNotExists, Désactivé 1.0.0
Les vulnérabilités dans les configurations de la sécurité des conteneurs doivent être corrigées Auditer les vulnérabilités dans la configuration de sécurité sur les machines où Docker est installé et afficher en tant que recommandations dans Azure Security Center. AuditIfNotExists, Désactivé 3.0.0
Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.1.0
Les vulnérabilités dans la configuration de la sécurité de vos groupes de machines virtuelles identiques doivent être corrigées Auditez les vulnérabilités de système d’exploitation dans vos groupes de machines virtuelles identiques pour les protéger des attaques. AuditIfNotExists, Désactivé 3.0.0
L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. AuditIfNotExists, Désactivé 1.0.1
L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. AuditIfNotExists, Désactivé 3.0.0
L’évaluation des vulnérabilités doit être activée sur vos espaces de travail Synapse Découvrez, suivez et corrigez les vulnérabilités potentielles en configurant des analyses récurrentes d’évaluation des vulnérabilités SQL sur vos espaces de travail Synapse. AuditIfNotExists, Désactivé 1.0.0

Fonctionnalité de l’outil de mise à jour

ID : FedRAMP Moderate RA-5 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Effectuer des analyses de vulnérabilité CMA_0393 – Effectuer des analyses de vulnérabilité Manuel, désactivé 1.1.0
Corriger les défauts du système d’information CMA_0427 – Corriger les défauts du système d’information Manuel, désactivé 1.1.0

Mise à jour en fonction de la fréquence/avant une nouvelle analyse/au moment de l’identification

ID : FedRAMP Moderate RA-5 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Effectuer des analyses de vulnérabilité CMA_0393 – Effectuer des analyses de vulnérabilité Manuel, désactivé 1.1.0
Corriger les défauts du système d’information CMA_0427 – Corriger les défauts du système d’information Manuel, désactivé 1.1.0

Étendue/profondeur de couverture

ID : FedRAMP Moderate RA-5 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Effectuer des analyses de vulnérabilité CMA_0393 – Effectuer des analyses de vulnérabilité Manuel, désactivé 1.1.0
Corriger les défauts du système d’information CMA_0427 – Corriger les défauts du système d’information Manuel, désactivé 1.1.0

Accès privilégié

ID : FedRAMP Moderate RA-5 (5) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Implémenter un accès privilégié pour l’exécution d’activités d’analyse des vulnérabilités CMA_C1555 - Implémenter un accès privilégié pour l’exécution d’activités d’analyse des vulnérabilités Manuel, désactivé 1.1.0

Analyses des tendances automatisées

ID : FedRAMP Moderate RA-5 (6) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Observer et signaler les failles de sécurité CMA_0384 – Observer et signaler les failles de sécurité Manuel, désactivé 1.1.0
Effectuer une analyse des tendances sur les menaces CMA_0389 – Effectuer une analyse des tendances sur les menaces Manuel, désactivé 1.1.0
Effectuer la modélisation des menaces CMA_0392 - Effectuer la modélisation de menaces Manuel, désactivé 1.1.0
Effectuer des analyses de vulnérabilité CMA_0393 – Effectuer des analyses de vulnérabilité Manuel, désactivé 1.1.0
Corriger les défauts du système d’information CMA_0427 – Corriger les défauts du système d’information Manuel, désactivé 1.1.0

Examen des journaux d’activité d’audit historiques

ID : FedRAMP Moderate RA-5 (8) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Auditer les fonctions privilégiées CMA_0019 – Auditer les fonctions privilégiées Manuel, désactivé 1.1.0
Auditer l’état du compte d’utilisateur CMA_0020 – Auditer l’état du compte d’utilisateur Manuel, désactivé 1.1.0
Mettre en corrélation les enregistrements d’audit CMA_0087 - Mettre en corrélation les enregistrements d’audit Manuel, désactivé 1.1.0
Déterminer les événements auditables CMA_0137 – Déterminer les événements auditables Manuel, désactivé 1.1.0
Établir des exigences pour la révision et la création de rapports d’audit CMA_0277 - Établir des exigences pour la révision et la création de rapports d’audit Manuel, désactivé 1.1.0
Intégrer la révision d’audit, l’analyse et la création de rapports CMA_0339 - Intégrer la révision d’audit, l’analyse et la création de rapports Manuel, désactivé 1.1.0
Intégrer la sécurité des applications cloud à un SIEM CMA_0340 - Intégrer la sécurité des applications cloud à un SIEM Manuel, désactivé 1.1.0
Examiner les journaux d’approvisionnement de compte CMA_0460 – Examiner les journaux d’approvisionnement de compte Manuel, désactivé 1.1.0
Passer en revue les affectations d’administrateurs toutes les semaines CMA_0461 - Passer en revue les affectations d’administrateurs toutes les semaines Manuel, désactivé 1.1.0
Vérifier les journaux d'audit CMA_0466 – Examiner les données d’audit Manuel, désactivé 1.1.0
Passer en revue la vue d’ensemble du rapport des identités cloud CMA_0468 - Passer en revue la vue d’ensemble du rapport des identités cloud Manuel, désactivé 1.1.0
Passer en revue les événements accès contrôlé aux dossiers CMA_0471 - Passer en revue les événements d’accès contrôlé aux dossiers Manuel, désactivé 1.1.0
Examiner les événements de protection contre l’exploitation CMA_0472 – Examiner les événements de protection contre l’exploitation Manuel, désactivé 1.1.0
Examiner l’activité des fichiers et des dossiers CMA_0473 - Examiner l’activité des fichiers et des dossiers Manuel, désactivé 1.1.0
Passer en revue les modifications apportées aux groupes de rôles chaque semaine CMA_0476 - Passer en revue les modifications apportées aux groupes de rôles chaque semaine Manuel, désactivé 1.1.0

Acquisition du système et des services

Stratégie et procédures d’acquisition du système et des services

ID : FedRAMP Moderate SA-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services CMA_C1560 - Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services Manuel, désactivé 1.1.0

Allocation de ressources

ID : FedRAMP Moderate SA-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Aligner les objectifs métier et les objectifs de l’informatique CMA_0008 - Aligner les objectifs métier et les objectifs de l’informatique Manuel, désactivé 1.1.0
Allouer des ressources pour déterminer les exigences du système d’information CMA_C1561 - Allouer des ressources pour déterminer les exigences du système d’information Manuel, désactivé 1.1.0
Établir un élément de ligne discret dans la documentation du budget CMA_C1563 - Établir un élément de ligne discret dans la documentation du budget Manuel, désactivé 1.1.0
Établir un programme de confidentialité CMA_0257 - Établir un programme de confidentialité Manuel, désactivé 1.1.0
Gouverner l’allocation des ressources CMA_0293 - Gouverner l’allocation des ressources Manuel, désactivé 1.1.0
Sécuriser l’engagement de la part de la direction CMA_0489 - Sécuriser l’engagement de la part de la direction Manuel, désactivé 1.1.0

Cycle de vie de développement de système

ID : FedRAMP Moderate SA-3 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Définir les rôles et les responsabilités de sécurité des informations CMA_C1565 - Définir les rôles et les responsabilités de sécurité des informations Manuel, désactivé 1.1.0
Identifier les utilisateurs dotés de rôles et de responsabilités en matière de sécurité CMA_C1566 - Identifier les utilisateurs dotés de rôles et de responsabilités en matière de sécurité Manuel, désactivé 1.1.1
Intégrer le processus de gestion des risques au SDLC CMA_C1567 - Intégrer le processus de gestion des risques au SDLC Manuel, désactivé 1.1.0

Processus d’acquisition

ID : FedRAMP Moderate SA-4 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Déterminer les obligations des contrats fournisseur CMA_0140 - Déterminer les obligations des contrats fournisseur Manuel, désactivé 1.1.0
Documenter les critères d’acceptation des contrats d’acquisition CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition Manuel, désactivé 1.1.0
Documenter la protection des données personnelles dans les contrats d’acquisition CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter la protection des informations de sécurité dans les contrats d’acquisition CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter les exigences pour l’utilisation des données partagées dans les contrats CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats Manuel, désactivé 1.1.0
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter l’environnement du système d’information dans les contrats d’acquisition CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter la protection des données des détenteurs de carte dans les contrats de tiers CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers Manuel, désactivé 1.1.0

Propriétés fonctionnelles des contrôles de sécurité

ID : FedRAMP Moderate SA-4 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Obtenir les propriétés fonctionnelles des contrôles de sécurité CMA_C1575 - Obtenir les propriétés fonctionnelles des contrôles de sécurité Manuel, désactivé 1.1.0

Informations conception/mise en œuvre pour les contrôles de sécurité

ID : FedRAMP Moderate SA-4 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Obtenir des informations de conception et d’implémentation pour les contrôles de sécurité CMA_C1576 - Obtenir des informations de conception et d’implémentation pour les contrôles de sécurité Manuel, désactivé 1.1.1

Plan de surveillance continue

ID : FedRAMP Moderate SA-4 (8) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Obtenir un plan de surveillance continue pour les contrôles de sécurité CMA_C1577 - Obtenir un plan de surveillance continue pour les contrôles de sécurité Manuel, désactivé 1.1.0

Fonctions/ports/protocoles/services utilisés

ID : FedRAMP Moderate SA-4 (9) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Exiger du développeur qu’il identifie les ports, protocoles et services SDLC CMA_C1578 – Exiger du développeur qu’il identifie les ports, protocoles et services SDLC Manuel, désactivé 1.1.0

Utilisation des produits de vérification d’identité personnelle approuvés

ID : FedRAMP Moderate SA-4 (10) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Utiliser une technologie approuvée par FIPS 201 pour PIV CMA_C1579 – Utiliser une technologie approuvée par FIPS 201 pour PIV Manuel, désactivé 1.1.0

Documentation du système d’information

ID : FedRAMP Moderate SA-5 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Distribuer la documentation du système d’information CMA_C1584 - Distribuer la documentation du système d’information Manuel, désactivé 1.1.0
Documenter les actions définies par le client CMA_C1582 - Documenter les actions définies par le client Manuel, désactivé 1.1.0
Obtenir la documentation sur l’administration CMA_C1580 - Obtenir la documentation sur l’administration Manuel, désactivé 1.1.0
Obtenir la documentation sur la fonction de sécurité utilisateur CMA_C1581 - Obtenir la documentation sur la fonction de sécurité utilisateur Manuel, désactivé 1.1.0
Protéger la documentation de l’administrateur et de l’utilisateur CMA_C1583 - Protéger la documentation de l’administrateur et de l’utilisateur Manuel, désactivé 1.1.0

Services de système d’information externes

ID : FedRAMP Moderate SA-9 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Définir et documenter la supervision du secteur public CMA_C1587 - Définir et documenter la supervision du secteur public Manuel, désactivé 1.1.0
Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes CMA_C1586 - Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes Manuel, désactivé 1.1.0
Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats CMA_0469 - Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats Manuel, désactivé 1.1.0
Faire l’objet d’une révision de sécurité indépendante CMA_0515 - Faire l’objet d’une révision de sécurité indépendante Manuel, désactivé 1.1.0

Évaluation des risques/approbations organisationnelles

ID : FedRAMP Moderate SA-9 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Évaluer les risques dans les relations avec les tiers CMA_0014 - Évaluer les risques dans les relations avec les tiers Manuel, désactivé 1.1.0
Obtenir des approbations pour les acquisitions et les acquisitions CMA_C1590 – Obtenir des approbations pour les acquisitions et les acquisitions Manuel, désactivé 1.1.0

Identification des fonctions/ports/protocoles/services

ID : FedRAMP Moderate SA-9 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Identifier les fournisseurs de services externes CMA_C1591 - Identifier les fournisseurs de services externes Manuel, désactivé 1.1.0

Intérêts cohérents des consommateurs et des fournisseurs

ID : FedRAMP Moderate SA-9 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
S’assurer que les fournisseurs externes répondent de manière cohérente aux intérêts des clients CMA_C1592 - S’assurer que les fournisseurs externes répondent systématiquement aux intérêts des clients Manuel, désactivé 1.1.0

Traitement, Stockage et Emplacement du service

ID : FedRAMP Moderate SA-9 (5) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Restreindre l’emplacement du traitement des informations, du stockage et des services CMA_C1593 – Restreindre l’emplacement du traitement des informations, du stockage et des services Manuel, désactivé 1.1.0

Gestion de configuration par le développeur

ID : FedRAMP Moderate SA-10 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Résoudre les vulnérabilités de codage CMA_0003 - Résoudre les vulnérabilités de codage Manuel, désactivé 1.1.0
Développer et documenter les exigences de sécurité des applications CMA_0148 - Développer et documenter les exigences de sécurité des applications Manuel, désactivé 1.1.0
Documenter l’environnement du système d’information dans les contrats d’acquisition CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition Manuel, désactivé 1.1.0
Établir un programme de développement de logiciels sécurisés CMA_0259 - Établir un programme de développement de logiciels sécurisés Manuel, désactivé 1.1.0
Effectuer des analyses de vulnérabilité CMA_0393 – Effectuer des analyses de vulnérabilité Manuel, désactivé 1.1.0
Corriger les défauts du système d’information CMA_0427 – Corriger les défauts du système d’information Manuel, désactivé 1.1.0
Exiger des développeurs qu’ils documentent les modifications approuvées et l’impact potentiel CMA_C1597 - Exiger des développeurs qu’ils documentent les modifications approuvées et l’impact potentiel Manuel, désactivé 1.1.0
Exiger des développeurs qu’ils implémentent seulement les modifications approuvées CMA_C1596 - Exiger des développeurs qu’ils implémentent seulement les modifications approuvées Manuel, désactivé 1.1.0
Exiger des développeurs qu’ils gèrent l’intégrité des modifications CMA_C1595 - Exiger des développeurs qu’ils gèrent l’intégrité des modifications Manuel, désactivé 1.1.0

Vérification de l’intégrité des logiciels/microprogrammes

ID : FedRAMP Moderate SA-10 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Vérifier l’intégrité des logiciels, des microprogrammes et des informations CMA_0542 – Vérifier l’intégrité des logiciels, des microprogrammes et des informations Manuel, désactivé 1.1.0

Test et évaluation de la sécurité par le développeur

ID : FedRAMP Moderate SA-11 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Effectuer des analyses de vulnérabilité CMA_0393 – Effectuer des analyses de vulnérabilité Manuel, désactivé 1.1.0
Corriger les défauts du système d’information CMA_0427 – Corriger les défauts du système d’information Manuel, désactivé 1.1.0
Exiger des développeurs qu’ils produisent une preuve de l’exécution du plan d’évaluation de la sécurité CMA_C1602 - Exiger des développeurs qu’ils produisent une preuve de l’exécution du plan d’évaluation de la sécurité Manuel, désactivé 1.1.0

Protection du système et des communications

Stratégie et procédures de protection du système et des communications

ID : FedRAMP Moderate SC-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Examiner et mettre à jour les stratégies et procédures de protection du système et des communications CMA_C1616 - Examiner et mettre à jour les stratégies et procédures de protection du système et des communications Manuel, désactivé 1.1.0

Partitionnement d’application

ID : FedRAMP Moderate SC-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Autoriser l’accès à distance CMA_0024 – Autoriser l’accès à distance Manuel, désactivé 1.1.0
Séparer les fonctionnalités de gestion des utilisateurs et des systèmes d’information CMA_0493 - Séparer les fonctionnalités de gestion des utilisateurs et des systèmes d’information Manuel, désactivé 1.1.0
Utiliser des machines dédiées pour les tâches d’administration CMA_0527 - Utiliser des machines dédiées pour les tâches d’administration Manuel, désactivé 1.1.0

Protection contre le déni de service

ID : FedRAMP Moderate SC-5 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Azure DDoS Protection doit être activé La protection DDoS doit être activée pour tous les réseaux virtuels avec un sous-réseau qui fait partie d’une passerelle applicative avec une adresse IP publique. AuditIfNotExists, Désactivé 3.0.1
Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 1.0.2
Développer et documenter un plan de réponse DDoS CMA_0147 – Développer et documenter un plan de réponse DDoS Manuel, désactivé 1.1.0
Le transfert IP doit être désactivé sur votre machine virtuelle L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. AuditIfNotExists, Désactivé 3.0.0
Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 2.0.0

Disponibilité des ressources

ID : FedRAMP Moderate SC-6 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Gouverner l’allocation des ressources CMA_0293 - Gouverner l’allocation des ressources Manuel, désactivé 1.1.0
Gérer la disponibilité et la capacité CMA_0356 – Gérer la disponibilité et la capacité Manuel, désactivé 1.1.0
Sécuriser l’engagement de la part de la direction CMA_0489 - Sécuriser l’engagement de la part de la direction Manuel, désactivé 1.1.0

Protection de la limite

ID : FedRAMP Moderate SC-7 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : L’ensemble du trafic Internet doit transiter par votre Pare-feu Azure déployé Azure Security Center a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge AuditIfNotExists, Désactivé 3.0.0-preview
[Préversion] : L’accès public au compte de stockage doit être interdit L’accès en lecture public anonyme aux conteneurs et aux blobs dans Stockage Azure est un moyen pratique de partager des données, mais peut présenter des risques pour la sécurité. Pour éviter les violations de données provoquées par un accès anonyme non souhaité, Microsoft recommande d’empêcher l’accès public à un compte de stockage, sauf si votre scénario l’exige. audit, Audit, refus, Refus, désactivé, Désactivé 3.1.0-preview
Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle AuditIfNotExists, Désactivé 3.0.0
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. AuditIfNotExists, Désactivé 3.0.0
Les services Gestion des API doivent utiliser un réseau virtuel Le déploiement d’un réseau virtuel Azure offre une sécurité renforcée et une isolation, et vous permet de placer votre service Gestion des API dans un réseau routable non-Internet auquel vous contrôlez l’accès. Ces réseaux peuvent ensuite être connectés à vos réseaux locaux à l’aide de différentes technologies VPN, ce qui permet d’accéder à vos services back-end au sein du réseau et/ou localement. Le portail des développeurs et la passerelle API peuvent être configurés pour être accessibles depuis Internet ou uniquement au sein du réseau virtuel. Audit, Refuser, Désactivé 1.0.2
App Configuration doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Désactivé 1.0.2
Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes Limitez l’accès à l’API Gestion des services Kubernetes en n’accordant l’accès à l’API qu’à des adresses IP de plages spécifiques. Nous vous recommandons de limiter l’accès aux plages d’adresses IP autorisées afin d’être sûr que seules les applications des réseaux autorisés puissent accéder au cluster. Audit, Désactivé 2.0.1
Les ressources Azure AI Services doivent limiter l’accès réseau En limitant l’accès réseau, vous pouvez garantir que seuls les réseaux autorisés peuvent accéder au service. Pour ce faire, configurez des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder au service Azure AI. Audit, Refuser, Désactivé 3.1.0
API Azure pour FHIR doit utiliser une liaison privée API Azure pour FHIR doit avoir au moins une connexion de point de terminaison privé approuvée. Les clients d’un réseau virtuel peuvent accéder de façon sécurisée aux ressources qui ont des connexions de point de terminaison privés via des liens privés. Pour plus d’informations, consultez https://aka.ms/fhir-privatelink. Audit, Désactivé 1.0.0
Azure Cache pour Redis doit utiliser une liaison privée Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Désactivé 1.0.0
Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Refuser, Désactivé 1.0.0
Les services Recherche cognitive Azure doivent désactiver l’accès réseau public La désactivation de l’accès au réseau public améliore la sécurité en s’assurant que votre service Recherche cognitive Azure n’est pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre service de recherche. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Refuser, Désactivé 1.0.0
Les services Recherche cognitive Azure doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Désactivé 1.0.0
Les comptes Azure Cosmos DB doivent avoir des règles de pare-feu Les règles de pare-feu doivent être définies dans vos comptes Azure Cosmos DB pour empêcher le trafic provenant de sources non autorisées. Les comptes qui possèdent au moins une règle IP définie avec le filtre de réseau virtuel activé sont considérés comme conformes. Les comptes qui désactivent l’accès public sont également jugés conformes. Audit, Refuser, Désactivé 2.0.0
Azure Data Factory doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Désactivé 1.0.0
Les domaines Azure Event Grid doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Audit, Désactivé 1.0.2
Les rubriques Azure Event Grid doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Audit, Désactivé 1.0.2
Azure File Sync doit utiliser une liaison privée La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public. AuditIfNotExists, Désactivé 1.0.0
Le pare-feu doit être activé pour Azure Key Vault Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez éventuellement configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Refuser, Désactivé 3.2.1
Les coffres de clés Azure doivent utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Les espaces de travail Azure Machine Learning doivent utiliser un lien privé Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Désactivé 1.0.0
Les espaces de noms Azure Service Bus doivent utiliser la liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Désactivé 1.0.0
Azure SignalR Service doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink. Audit, Désactivé 1.0.0
Les espaces de travail Azure Synapse doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Désactivé 1.0.1
Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 1.0.2
Le service Azure Web PubSub doit utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service Azure Web PubSub, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/awps/privatelink. Audit, Désactivé 1.0.0
Les comptes Cognitive Services doivent désactiver l’accès au réseau public Pour améliorer la sécurité des comptes Cognitive Services, vérifiez qu’elle n’est pas exposée à l’Internet public et qu’elle est accessible seulement à partir d’un point de terminaison privé. Désactivez la propriété d’accès réseau public, comme décrit dans https://go.microsoft.com/fwlink/?linkid=2129800. Cette option désactive l’accès à partir de tout espace d’adressage public situé en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur des adresses IP ou un réseau virtuel. Cette configuration réduit les risques de fuite de données. Audit, Refuser, Désactivé 3.0.1
Les services Cognitive Services doivent utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Désactivé 3.0.0
Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint Par défaut, les registres de conteneurs Azure acceptent les connexions via Internet à partir d’hôtes situés sur n’importe quel réseau. Pour protéger vos registres des menaces potentielles, autorisez l’accès uniquement à partir de points de terminaison privés, d’adresses ou de plages d’adresses IP publiques spécifiques. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. Découvrez plus en détail les règles réseau de Container Registry ici : https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network et https://aka.ms/acr/vnet. Audit, Refuser, Désactivé 2.0.0
Les registres de conteneurs doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. Audit, Désactivé 1.0.1
Les comptes CosmosDB doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Désactivé 1.0.0
Les ressources d’accès au disque doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Désactivé 1.0.0
Les espaces de noms Event Hub doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Désactivé 1.0.0
Implémenter la protection des limites des systèmes CMA_0328 - Implémenter la protection des limites des systèmes Manuel, désactivé 1.1.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet. Audit, Désactivé 1.0.0
Le transfert IP doit être désactivé sur votre machine virtuelle L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. AuditIfNotExists, Désactivé 3.0.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
Les ports de gestion doivent être fermés sur vos machines virtuelles Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. AuditIfNotExists, Désactivé 3.0.0
Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. Audit, Désactivé 1.1.0
Le point de terminaison privé doit être activé pour les serveurs MariaDB Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database for MariaDB privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. AuditIfNotExists, Désactivé 1.0.2
Le point de terminaison privé doit être activé pour les serveurs MySQL Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour MySQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. AuditIfNotExists, Désactivé 1.0.2
Le point de terminaison privé doit être activé pour les serveurs PostgreSQL Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour PostgreSQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. AuditIfNotExists, Désactivé 1.0.2
L’accès au réseau public sur Azure SQL Database doit être désactivé Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. Audit, Refuser, Désactivé 1.1.0
L’accès au réseau public doit être désactivé pour les serveurs MariaDB Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database for MariaDB n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. Audit, Refuser, Désactivé 2.0.0
L’accès au réseau public doit être désactivé pour les serveurs MySQL Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour MySQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. Audit, Refuser, Désactivé 2.0.0
L’accès au réseau public doit être désactivé pour les serveurs PostgreSQL Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour PostgreSQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. Audit, Refuser, Désactivé 2.0.1
Les comptes de stockage doivent limiter l’accès réseau L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. Audit, Refuser, Désactivé 1.1.1
Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau Protégez vos comptes de stockage contre les menaces potentielles en utilisant des règles de réseau virtuel comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les IP publiques d’accéder à vos comptes de stockage. Audit, Refuser, Désactivé 1.0.1
Les comptes de stockage doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Désactivé 2.0.0
les sous-réseaux doivent être associés à un groupe de sécurité réseau Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. AuditIfNotExists, Désactivé 3.0.0
Les modèles VM Image Builder doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos ressources de création VM Image Builder, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Désactivé, Refus 1.1.0
Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 2.0.0

Points d’accès

ID : FedRAMP Moderate SC-7 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : L’ensemble du trafic Internet doit transiter par votre Pare-feu Azure déployé Azure Security Center a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge AuditIfNotExists, Désactivé 3.0.0-preview
[Préversion] : L’accès public au compte de stockage doit être interdit L’accès en lecture public anonyme aux conteneurs et aux blobs dans Stockage Azure est un moyen pratique de partager des données, mais peut présenter des risques pour la sécurité. Pour éviter les violations de données provoquées par un accès anonyme non souhaité, Microsoft recommande d’empêcher l’accès public à un compte de stockage, sauf si votre scénario l’exige. audit, Audit, refus, Refus, désactivé, Désactivé 3.1.0-preview
Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle AuditIfNotExists, Désactivé 3.0.0
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. AuditIfNotExists, Désactivé 3.0.0
Les services Gestion des API doivent utiliser un réseau virtuel Le déploiement d’un réseau virtuel Azure offre une sécurité renforcée et une isolation, et vous permet de placer votre service Gestion des API dans un réseau routable non-Internet auquel vous contrôlez l’accès. Ces réseaux peuvent ensuite être connectés à vos réseaux locaux à l’aide de différentes technologies VPN, ce qui permet d’accéder à vos services back-end au sein du réseau et/ou localement. Le portail des développeurs et la passerelle API peuvent être configurés pour être accessibles depuis Internet ou uniquement au sein du réseau virtuel. Audit, Refuser, Désactivé 1.0.2
App Configuration doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Désactivé 1.0.2
Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes Limitez l’accès à l’API Gestion des services Kubernetes en n’accordant l’accès à l’API qu’à des adresses IP de plages spécifiques. Nous vous recommandons de limiter l’accès aux plages d’adresses IP autorisées afin d’être sûr que seules les applications des réseaux autorisés puissent accéder au cluster. Audit, Désactivé 2.0.1
Les ressources Azure AI Services doivent limiter l’accès réseau En limitant l’accès réseau, vous pouvez garantir que seuls les réseaux autorisés peuvent accéder au service. Pour ce faire, configurez des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder au service Azure AI. Audit, Refuser, Désactivé 3.1.0
API Azure pour FHIR doit utiliser une liaison privée API Azure pour FHIR doit avoir au moins une connexion de point de terminaison privé approuvée. Les clients d’un réseau virtuel peuvent accéder de façon sécurisée aux ressources qui ont des connexions de point de terminaison privés via des liens privés. Pour plus d’informations, consultez https://aka.ms/fhir-privatelink. Audit, Désactivé 1.0.0
Azure Cache pour Redis doit utiliser une liaison privée Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Désactivé 1.0.0
Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Refuser, Désactivé 1.0.0
Les services Recherche cognitive Azure doivent désactiver l’accès réseau public La désactivation de l’accès au réseau public améliore la sécurité en s’assurant que votre service Recherche cognitive Azure n’est pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre service de recherche. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Refuser, Désactivé 1.0.0
Les services Recherche cognitive Azure doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Désactivé 1.0.0
Les comptes Azure Cosmos DB doivent avoir des règles de pare-feu Les règles de pare-feu doivent être définies dans vos comptes Azure Cosmos DB pour empêcher le trafic provenant de sources non autorisées. Les comptes qui possèdent au moins une règle IP définie avec le filtre de réseau virtuel activé sont considérés comme conformes. Les comptes qui désactivent l’accès public sont également jugés conformes. Audit, Refuser, Désactivé 2.0.0
Azure Data Factory doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Désactivé 1.0.0
Les domaines Azure Event Grid doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Audit, Désactivé 1.0.2
Les rubriques Azure Event Grid doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Audit, Désactivé 1.0.2
Azure File Sync doit utiliser une liaison privée La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public. AuditIfNotExists, Désactivé 1.0.0
Le pare-feu doit être activé pour Azure Key Vault Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez éventuellement configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Refuser, Désactivé 3.2.1
Les coffres de clés Azure doivent utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Les espaces de travail Azure Machine Learning doivent utiliser un lien privé Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Désactivé 1.0.0
Les espaces de noms Azure Service Bus doivent utiliser la liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Désactivé 1.0.0
Azure SignalR Service doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink. Audit, Désactivé 1.0.0
Les espaces de travail Azure Synapse doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Désactivé 1.0.1
Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 1.0.2
Le service Azure Web PubSub doit utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service Azure Web PubSub, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/awps/privatelink. Audit, Désactivé 1.0.0
Les comptes Cognitive Services doivent désactiver l’accès au réseau public Pour améliorer la sécurité des comptes Cognitive Services, vérifiez qu’elle n’est pas exposée à l’Internet public et qu’elle est accessible seulement à partir d’un point de terminaison privé. Désactivez la propriété d’accès réseau public, comme décrit dans https://go.microsoft.com/fwlink/?linkid=2129800. Cette option désactive l’accès à partir de tout espace d’adressage public situé en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur des adresses IP ou un réseau virtuel. Cette configuration réduit les risques de fuite de données. Audit, Refuser, Désactivé 3.0.1
Les services Cognitive Services doivent utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Désactivé 3.0.0
Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint Par défaut, les registres de conteneurs Azure acceptent les connexions via Internet à partir d’hôtes situés sur n’importe quel réseau. Pour protéger vos registres des menaces potentielles, autorisez l’accès uniquement à partir de points de terminaison privés, d’adresses ou de plages d’adresses IP publiques spécifiques. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. Découvrez plus en détail les règles réseau de Container Registry ici : https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network et https://aka.ms/acr/vnet. Audit, Refuser, Désactivé 2.0.0
Les registres de conteneurs doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. Audit, Désactivé 1.0.1
Les comptes CosmosDB doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Désactivé 1.0.0
Les ressources d’accès au disque doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Désactivé 1.0.0
Les espaces de noms Event Hub doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Désactivé 1.0.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet. Audit, Désactivé 1.0.0
Le transfert IP doit être désactivé sur votre machine virtuelle L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. AuditIfNotExists, Désactivé 3.0.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
Les ports de gestion doivent être fermés sur vos machines virtuelles Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. AuditIfNotExists, Désactivé 3.0.0
Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. Audit, Désactivé 1.1.0
Le point de terminaison privé doit être activé pour les serveurs MariaDB Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database for MariaDB privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. AuditIfNotExists, Désactivé 1.0.2
Le point de terminaison privé doit être activé pour les serveurs MySQL Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour MySQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. AuditIfNotExists, Désactivé 1.0.2
Le point de terminaison privé doit être activé pour les serveurs PostgreSQL Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour PostgreSQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. AuditIfNotExists, Désactivé 1.0.2
L’accès au réseau public sur Azure SQL Database doit être désactivé Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. Audit, Refuser, Désactivé 1.1.0
L’accès au réseau public doit être désactivé pour les serveurs MariaDB Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database for MariaDB n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. Audit, Refuser, Désactivé 2.0.0
L’accès au réseau public doit être désactivé pour les serveurs MySQL Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour MySQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. Audit, Refuser, Désactivé 2.0.0
L’accès au réseau public doit être désactivé pour les serveurs PostgreSQL Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour PostgreSQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. Audit, Refuser, Désactivé 2.0.1
Les comptes de stockage doivent limiter l’accès réseau L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. Audit, Refuser, Désactivé 1.1.1
Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau Protégez vos comptes de stockage contre les menaces potentielles en utilisant des règles de réseau virtuel comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les IP publiques d’accéder à vos comptes de stockage. Audit, Refuser, Désactivé 1.0.1
Les comptes de stockage doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Désactivé 2.0.0
les sous-réseaux doivent être associés à un groupe de sécurité réseau Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. AuditIfNotExists, Désactivé 3.0.0
Les modèles VM Image Builder doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos ressources de création VM Image Builder, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Désactivé, Refus 1.1.0
Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 2.0.0

Services de télécommunications externes

ID : FedRAMP Moderate SC-7 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Implémenter une interface managée pour chaque service externe CMA_C1626 - Implémenter une interface managée pour chaque service externe Manuel, désactivé 1.1.0
Implémenter la protection des limites des systèmes CMA_0328 - Implémenter la protection des limites des systèmes Manuel, désactivé 1.1.0
Sécuriser l’interface pour les systèmes externes CMA_0491 - Sécuriser l’interface pour les systèmes externes Manuel, désactivé 1.1.0

Empêcher le tunneling fractionné pour les appareils distants

ID : FedRAMP Moderate SC-7 (7) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Empêcher le tunneling fractionné pour les appareils distants CMA_C1632 - Empêcher le tunneling fractionné pour les appareils distants Manuel, désactivé 1.1.0

Acheminer le trafic aux serveurs proxy authentifiés

ID : FedRAMP Moderate SC-7 (8) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Acheminer le trafic via un réseau proxy authentifié CMA_C1633 - Acheminer le trafic via un réseau proxy authentifié Manuel, désactivé 1.1.0

Protection basée sur l’hôte

ID : FedRAMP Moderate SC-7 (12) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Implémenter la protection des limites des systèmes CMA_0328 - Implémenter la protection des limites des systèmes Manuel, désactivé 1.1.0

Isolation des outils de sécurité/mécanismes/composants de support

ID : FedRAMP Moderate SC-7 (13) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Isoler les systèmes SecurID et les systèmes de gestion des incidents de sécurité CMA_C1636 - Isoler les systèmes SecurID et les systèmes de gestion des incidents de sécurité Manuel, désactivé 1.1.0

Échec en toute sécurité

ID : FedRAMP Moderate SC-7 (18) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Implémenter la protection des limites des systèmes CMA_0328 - Implémenter la protection des limites des systèmes Manuel, désactivé 1.1.0
Gérer les transferts entre les composants système actifs et de secours CMA_0371 - Gérer les transferts entre les composants système actifs et en attente Manuel, désactivé 1.1.0

Confidentialité et intégrité des transmissions

ID : FedRAMP Moderate SC-8 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les applications App Service doivent être accessibles uniquement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 4.0.0
Les applications App Service doivent exiger FTPS uniquement Activer la mise en œuvre de FTPS pour renforcer la sécurité. AuditIfNotExists, Désactivé 3.0.0
Les applications App Service doivent utiliser la dernière version TLS Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 2.0.1
Les clusters Azure HDInsight doivent utiliser le chiffrement en transit pour chiffrer la communication entre les nœuds de cluster Azure HDInsight Les données peuvent être falsifiées pendant leur transmission entre les nœuds de cluster Azure HDInsight. L’activation du chiffrement en transit résout les problèmes d’utilisation abusive et de falsification des données pendant leur transmission. Audit, Refuser, Désactivé 1.0.0
L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
Les applications Function App ne doivent être accessibles que via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 5.0.0
Les applications de fonction doivent exiger FTPS uniquement Activer la mise en œuvre de FTPS pour renforcer la sécurité. AuditIfNotExists, Désactivé 3.0.0
Les applications de fonctions doivent utiliser la dernière version TLS Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 2.0.1
Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Cette capacité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc audit, Audit, refus, Refus, désactivé, Désactivé 8.1.0
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). Audit, Refuser, Désactivé 1.0.0
Protéger les données en transit à l’aide du chiffrement CMA_0403 – Protéger les données en transit à l’aide du chiffrement Manuel, désactivé 1.1.0
Protéger les mots de passe avec le chiffrement CMA_0408 – Protéger les mots de passe avec le chiffrement Manuel, désactivé 1.1.0
La sécurisation du transfert vers des comptes de stockage doit être activée Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) Audit, Refuser, Désactivé 2.0.0
Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. AuditIfNotExists, Désactivé 4.1.1

Protection par chiffrement ou autre protection physique

ID : FedRAMP Moderate SC-8 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les applications App Service doivent être accessibles uniquement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 4.0.0
Les applications App Service doivent exiger FTPS uniquement Activer la mise en œuvre de FTPS pour renforcer la sécurité. AuditIfNotExists, Désactivé 3.0.0
Les applications App Service doivent utiliser la dernière version TLS Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 2.0.1
Les clusters Azure HDInsight doivent utiliser le chiffrement en transit pour chiffrer la communication entre les nœuds de cluster Azure HDInsight Les données peuvent être falsifiées pendant leur transmission entre les nœuds de cluster Azure HDInsight. L’activation du chiffrement en transit résout les problèmes d’utilisation abusive et de falsification des données pendant leur transmission. Audit, Refuser, Désactivé 1.0.0
Configurer des stations de travail pour rechercher des certificats numériques CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques Manuel, désactivé 1.1.0
L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
Les applications Function App ne doivent être accessibles que via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 5.0.0
Les applications de fonction doivent exiger FTPS uniquement Activer la mise en œuvre de FTPS pour renforcer la sécurité. AuditIfNotExists, Désactivé 3.0.0
Les applications de fonctions doivent utiliser la dernière version TLS Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 2.0.1
Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Cette capacité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc audit, Audit, refus, Refus, désactivé, Désactivé 8.1.0
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). Audit, Refuser, Désactivé 1.0.0
La sécurisation du transfert vers des comptes de stockage doit être activée Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) Audit, Refuser, Désactivé 2.0.0
Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. AuditIfNotExists, Désactivé 4.1.1

Déconnexion réseau

ID : FedRAMP Moderate SC-10 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Réauthentifier ou mettre fin à une session utilisateur CMA_0421 - Réauthentifier ou mettre fin à une session utilisateur Manuel, désactivé 1.1.0

Établissement et gestion de clés de chiffrement

ID : FedRAMP Moderate SC-12 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : les coffres Azure Recovery Services doivent utiliser des clés gérées par le client pour chiffrer les données de sauvegarde Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos données de sauvegarde. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/AB-CmkEncryption. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : Les données du service d’approvisionnement d’appareils IoT Hub doivent être chiffrées à l’aide de clés gérées par le client (CMK) Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre service d’approvisionnement d’appareils IoT Hub. Les données sont automatiquement chiffrées au repos avec des clés gérées par le service, mais des clés gérées par le client (CMK) sont généralement requises pour répondre aux normes de conformité réglementaire. Les CMK permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Pour en savoir plus sur le chiffrement par clés gérées par le client, consultez https://aka.ms/dps/CMK. Audit, Refuser, Désactivé 1.0.0-preview
API Azure pour FHIR doit utiliser une clé gérée par le client pour chiffrer les données au repos Utilisez une clé gérée par le client pour contrôler le chiffrement au repos des données stockées dans API Azure pour FHIR lorsqu’il s’agit d’une exigence réglementaire ou de conformité. Les clés gérées par le client fournissent également un double chiffrement en ajoutant une deuxième couche de chiffrement en plus du chiffrement par défaut effectué avec les clés gérées par le service. audit, Audit, désactivé, Désactivé 1.1.0
Les comptes Azure Automation doivent utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos comptes Azure Automation. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/automation-cmk. Audit, Refuser, Désactivé 1.0.0
Le compte Azure Batch doit utiliser des clés gérées par le client pour chiffrer les données Utilisez des clés gérées par le client pour gérer le chiffrement au repos des données de votre compte Batch. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/Batch-CMK. Audit, Refuser, Désactivé 1.0.1
Le groupe de conteneurs Azure Container Instances doit utiliser une clé gérée par le client pour le chiffrement Sécurisez vos conteneurs avec plus de flexibilité à l’aide de clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. Audit, Désactivé, Refus 1.0.0
Les comptes Azure Cosmos DB doivent utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre compte Azure Cosmos DB. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/cosmosdb-cmk. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Les travaux Azure Data Box doivent utiliser une clé gérée par le client pour chiffrer le mot de passe de déverrouillage de l’appareil Utilisez une clé gérée par le client pour contrôler le chiffrement du mot de passe de déverrouillage de l’appareil pour Azure Data Box. Les clés gérées par le client permettent également de gérer l’accès au mot de passe de déverrouillage de l’appareil par le service Data Box afin de préparer l’appareil et de copier des données de manière automatisée. Les données situées sur l’appareil lui-même sont déjà chiffrées au repos par un chiffrement Advanced Encryption Standard 256 bits, et le mot de passe de déverrouillage de l’appareil est chiffré par défaut avec une clé gérée par Microsoft. Audit, Refuser, Désactivé 1.0.0
Le chiffrement au repos Azure Data Explorer doit utiliser une clé gérée par le client Le fait d’activer le chiffrement au repos à l’aide d’une clé gérée par le client dans votre cluster Azure Data Explorer vous offre un contrôle supplémentaire sur cette clé. Cette fonctionnalité est souvent utilisée par les clients qui ont des exigences particulières au niveau de la conformité. Par ailleurs, elle nécessite un coffre de clés pour la gestion des clés. Audit, Refuser, Désactivé 1.0.0
Les fabriques de données Azure doivent être chiffrées avec une clé gérée par le client Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre instance Azure Data Factory. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/adf-cmk. Audit, Refuser, Désactivé 1.0.1
Les clusters Azure HDInsight doivent utiliser les clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos clusters Azure HDInsight. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/hdi.cmk. Audit, Refuser, Désactivé 1.0.1
Les clusters Azure HDInsight doivent utiliser le chiffrement sur l’hôte pour chiffrer les données au repos Le fait d’activer le chiffrement sur l’hôte vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque vous activez le chiffrement sur l'hôte, les données stockées sur l'hôte de machine virtuelle sont chiffrées au repos et les flux sont chiffrés dans le service de stockage. Audit, Refuser, Désactivé 1.0.0
Les espaces de travail Azure Machine Learning doivent être chiffrés au moyen d’une clé gérée par le client Gérez le chiffrement au repos des données de votre espace de travail Azure Machine Learning à l’aide de clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/azureml-workspaces-cmk. Audit, Refuser, Désactivé 1.0.3
Les clusters de journaux Azure Monitor doivent être chiffrés avec une clé gérée par le client Créez un cluster de journaux Azure Monitor avec un chiffrement au moyen de clés gérées par le client. Par défaut, les données des journaux sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre à la conformité réglementaire. La clé gérée par le client dans Azure Monitor vous donne davantage de contrôle sur l’accès à vos données ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Les travaux de Azure Stream Analytics doivent utiliser des clés gérées par le client pour chiffrer les données Utilisez des clés gérées par le client pour stocker de manière sécurisée les ressources de métadonnées et de données privées de vos travaux Stream Analytics dans votre compte de stockage. Cela vous permet de contrôler totalement la manière dont vos données Stream Analytics sont chiffrées. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Les espaces de travail Azure Synapse doivent utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour contrôler le chiffrement au repos des données stockées dans des espaces de travail Azure synapse. Les clés gérées par le client fournissent un double chiffrement en ajoutant une deuxième couche de chiffrement en plus du chiffrement par défaut avec les clés gérées par le service. Audit, Refuser, Désactivé 1.0.0
Bot Service doit être chiffré avec une clé gérée par le client Azure Bot Service chiffre automatiquement votre ressource pour protéger vos données et satisfaire aux engagements de sécurité et de conformité de l’organisation. Par défaut, les clés de chiffrement gérées par Microsoft sont utilisées. Pour une plus grande flexibilité dans la gestion des clés ou le contrôle de l’accès à votre abonnement, sélectionnez des clés gérées par le client, option également appelée Bring Your Own Key (BYOK). En savoir plus sur le chiffrement Azure Bot Service : https://docs.microsoft.com/azure/bot-service/bot-service-encryption. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Les disques de système d’exploitation et de données dans les clusters Azure Kubernetes Service doivent être chiffrés par des clés gérées par le client Le chiffrement des disques de système d’exploitation et de données à l’aide de clés gérées par le client offre davantage de contrôle et de flexibilité dans la gestion des clés. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. Audit, Refuser, Désactivé 1.0.1
Les comptes Cognitive Services doivent activer le chiffrement des données avec une clé gérée par le client Des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données stockées dans Cognitive Services avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. En savoir plus sur les clés gérées par le client sur https://go.microsoft.com/fwlink/?linkid=2121321. Audit, Refuser, Désactivé 2.1.0
Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos registres. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/acr/CMK. Audit, Refuser, Désactivé 1.1.2
Définir un processus de gestion des clés physiques CMA_0115 – Définir un processus de gestion des clés physiques Manuel, désactivé 1.1.0
Définir l’utilisation du chiffrement CMA_0120 – Définir l’utilisation du chiffrement Manuel, désactivé 1.1.0
Définir les exigences organisationnelles pour la gestion des clés de chiffrement CMA_0123 – Définir les exigences organisationnelles pour la gestion des clés de chiffrement Manuel, désactivé 1.1.0
Déterminer les exigences d’assertion CMA_0136 – Déterminer les exigences d’assertion Manuel, désactivé 1.1.0
Les espaces de noms Event Hub doivent utiliser une clé gérée par le client pour le chiffrement Azure Event Hubs prend en charge le chiffrement des données au repos à l’aide de clés gérées par Microsoft (par défaut) ou de clés gérées par le client. Si vous choisissez de chiffrer les données à l’aide de clés gérées par le client, vous pouvez attribuer, faire pivoter, désactiver et révoquer l’accès aux clés utilisées par Event Hub pour chiffrer les données dans votre espace de noms. Notez qu’Event Hub ne prend en charge que le chiffrement avec des clés gérées par le client pour les espaces de noms dans les clusters dédiés. Audit, Désactivé 1.0.0
Les comptes HPC Cache doivent utiliser une clé gérée par le client pour le chiffrement Gérez le chiffrement au repos d’Azure HPC Cache avec des clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Audit, Désactivé, Refus 2.0.0
Émettre des certificats de clé publique CMA_0347 – Émettre des certificats de clé publique Manuel, désactivé 1.1.0
L’environnement de service d’intégration Logic Apps doit être chiffré avec des clés gérées par le client Effectuez des déploiements dans un environnement de service d’intégration pour gérer le chiffrement au repos des données Logic Apps avec des clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Audit, Refuser, Désactivé 1.0.0
Gérer les clés de chiffrement symétriques CMA_0367 – Gérer les clés de chiffrement symétriques Manuel, désactivé 1.1.0
Les disques managés doivent être doublement chiffrés avec des clés gérées par la plateforme et des clés gérées par le client Les clients sensibles haute sécurité qui sont concernés par les risques associés à un algorithme de chiffrement particulier, une implémentation ou une clé compromise, peuvent choisir une couche supplémentaire de chiffrement à l’aide d’un algorithme/mode de chiffrement différent au niveau de la couche d’infrastructure à l’aide de clés de chiffrement gérées par la plateforme. Les jeux de chiffrement de disque sont requis pour utiliser le chiffrement double. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-doubleEncryption. Audit, Refuser, Désactivé 1.0.0
Les serveurs MySQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos serveurs MySQL. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. AuditIfNotExists, Désactivé 1.0.4
Les disques de système d’exploitation et de données doivent être chiffrés avec une clé gérée par le client Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos disques managés. Par défaut, les données sont chiffrées au repos avec des clés gérées par la plateforme. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-cmk. Audit, Refuser, Désactivé 3.0.0
Les serveurs PostgreSQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos serveurs PostgreSQL. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. AuditIfNotExists, Désactivé 1.0.4
Restreindre l’accès aux clés privées CMA_0445 – Restreindre l’accès aux clés privées Manuel, désactivé 1.1.0
Les requêtes enregistrées dans Azure Monitor doivent être enregistrées dans le compte de stockage du client pour le chiffrement des journaux Liez le compte de stockage à un espace de travail Log Analytics pour protéger les requêtes enregistrées avec le chiffrement du compte de stockage. Les clés gérées par le client sont généralement nécessaires pour respecter la conformité réglementaire et pour mieux contrôler l’accès à vos requêtes enregistrées dans Azure Monitor. Pour plus d’informations, consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Les espaces de noms Service Bus Premium doivent utiliser une clé gérée par le client pour le chiffrement Azure Service Bus prend en charge le chiffrement des données au repos à l’aide de clés gérées par Microsoft (par défaut) ou de clés gérées par le client. Si vous choisissez de chiffrer les données à l’aide de clés gérées par le client, vous pouvez attribuer, faire pivoter, désactiver et révoquer l’accès aux clés utilisées par Service Bus pour chiffrer les données dans votre espace de noms. Notez que Service Bus ne prend en charge que le chiffrement avec des clés gérées par le client pour les espaces de noms premium. Audit, Désactivé 1.0.0
Les instances managées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. Audit, Refuser, Désactivé 2.0.0
Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. Audit, Refuser, Désactivé 2.0.1
Les étendues de chiffrement des comptes de stockage doivent utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour gérer le chiffrement au repos des étendues de chiffrement des comptes de stockage. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Découvrez-en plus sur les étendues de chiffrement des comptes de stockage à l’adresse https://aka.ms/encryption-scopes-overview. Audit, Refuser, Désactivé 1.0.0
Les comptes de stockage doivent utiliser une clé gérée par le client pour le chiffrement Sécurisez votre compte de stockage blob et fichier avec une plus grande flexibilité en utilisant des clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. Audit, Désactivé 1.0.3

Clés symétriques

ID : FedRAMP Moderate SC-12 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Produire, contrôler et distribuer des clés de chiffrement symétriques CMA_C1645 – Produire, contrôler et distribuer des clés de chiffrement symétriques Manuel, désactivé 1.1.0

Clés asymétriques

ID : FedRAMP Moderate SC-12 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Produire, contrôler et distribuer des clés de chiffrement asymétriques CMA_C1646 - Produire, contrôler et distribuer des clés de chiffrement asymétriques Manuel, désactivé 1.1.0

Protection par chiffrement

ID : FedRAMP Moderate SC-13 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Définir l’utilisation du chiffrement CMA_0120 – Définir l’utilisation du chiffrement Manuel, désactivé 1.1.0

Appareils informatiques collaboratifs

ID : FedRAMP Moderate SC-15 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Notifier explicitement l’utilisation d’appareils informatiques collaboratifs CMA_C1649 - Notifier explicitement l’utilisation d’appareils informatiques collaboratifs Manuel, désactivé 1.1.1
Interdire l’activation à distance d’appareils informatiques collaboratifs CMA_C1648 - Interdire l’activation à distance d’appareils informatiques collaboratifs Manuel, désactivé 1.1.0

Certificats d’infrastructure de clé publique

ID : FedRAMP Moderate SC-17 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Émettre des certificats de clé publique CMA_0347 – Émettre des certificats de clé publique Manuel, désactivé 1.1.0

Code mobile

ID : FedRAMP Moderate SC-18 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Autoriser, surveiller et contrôler l’utilisation des technologies de code mobile CMA_C1653 - Autoriser, surveiller et contrôler l’utilisation des technologies de code mobile Manuel, désactivé 1.1.0
Définir des technologies de code mobile acceptables et inacceptables CMA_C1651 - Définir des technologies de code mobile acceptables et inacceptables Manuel, désactivé 1.1.0
Établir des restrictions d’utilisation pour les technologies de code mobile CMA_C1652 – Établir des restrictions d’utilisation pour les technologies de code mobile Manuel, désactivé 1.1.0

Protocole voix sur IP (VoIP)

ID : FedRAMP Moderate SC-19 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Autoriser, surveiller et contrôler la VoIP CMA_0025 - Autoriser, surveiller et contrôler la VoIP Manuel, désactivé 1.1.0
Établir des restrictions d’utilisation VoIP CMA_0280 – Établir des restrictions d’utilisation de la VoIP Manuel, désactivé 1.1.0

Service sécurisé de résolution de nom / d’adresse (source faisant autorité)

ID : FedRAMP Moderate SC-20 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Implémenter un service d’adresse/nom à tolérance de panne CMA_0305 - Implémenter un service de nom/adresse à tolérance de panne Manuel, désactivé 1.1.0
Fournir des services sécurisés de résolution de noms et d’adresses CMA_0416 - Fournir des services sécurisés de résolution de noms et d’adresses Manuel, désactivé 1.1.0

Service sécurisé de résolution de nom/d’adresse (outil de résolution récursif ou de mise en cache)

ID : FedRAMP Moderate SC-21 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Implémenter un service d’adresse/nom à tolérance de panne CMA_0305 - Implémenter un service de nom/adresse à tolérance de panne Manuel, désactivé 1.1.0
Vérifier l’intégrité des logiciels, des microprogrammes et des informations CMA_0542 – Vérifier l’intégrité des logiciels, des microprogrammes et des informations Manuel, désactivé 1.1.0

Architecture et provisionnement du service de résolution de nom/d’adresse

ID : FedRAMP Moderate SC-22 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Implémenter un service d’adresse/nom à tolérance de panne CMA_0305 - Implémenter un service de nom/adresse à tolérance de panne Manuel, désactivé 1.1.0

Authenticité de session

ID : FedRAMP Moderate SC-23 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Configurer des stations de travail pour rechercher des certificats numériques CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques Manuel, désactivé 1.1.0
Appliquer des identificateurs de session uniques aléatoires CMA_0247 – Appliquer des identificateurs de session uniques aléatoires Manuel, désactivé 1.1.0

Protection des informations au repos

ID : FedRAMP Moderate SC-28 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
App Service Environment doit avoir le chiffrement interne activé Affecter la valeur true à InternalEncryption permet de chiffrer le fichier d’échange, les disques des Workers et le trafic réseau interne entre les front-ends et les Workers dans App Service Environment. Pour plus d’informations, reportez-vous à https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Audit, Désactivé 1.0.1
Les variables de compte Automation doivent être chiffrées Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles Audit, Refuser, Désactivé 1.1.0
Les travaux Azure Data Box doivent activer le chiffrement double pour les données au repos sur l’appareil Activez une deuxième couche de chiffrement basé sur un logiciel pour les données au repos sur l’appareil. L’appareil est déjà protégé par un chiffrement Advanced Encryption Standard 256 bits pour les données au repos. Cette option ajoute une deuxième couche de chiffrement des données. Audit, Refuser, Désactivé 1.0.0
Les clusters de journaux Azure Monitor doivent être créés avec le chiffrement d’infrastructure activé (chiffrement double) Pour que le chiffrement des données sécurisées soit activé au niveau du service et de l’infrastructure avec deux algorithmes de chiffrement différents et deux clés différentes, utilisez un cluster Azure Monitor dédié. Cette option est activée par défaut quand elle est prise en charge dans la région ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Les appareils Azure Stack Edge doivent utiliser le chiffrement double Pour sécuriser les données au repos sur l’appareil, vérifiez qu’elles sont chiffrées doublement, que l’accès aux données est contrôlé et une fois que l’appareil est désactivé, que les données sont effacées de façon sécurisée des disques de données. Le chiffrement double correspond à l’utilisation de deux couches de chiffrement : Chiffrement BitLocker XTS-AES 256 bits sur les volumes de données et chiffrement intégré des disques durs. Pour plus d’informations, consultez la documentation de présentation de la sécurité de l’appareil Azure Stack Edge. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Le chiffrement de disque doit être activé dans Azure Data Explorer Le fait d’activer le chiffrement de disque vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Audit, Refuser, Désactivé 2.0.0
Le chiffrement double doit être activé dans Azure Data Explorer Le fait d’activer le chiffrement double vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque le chiffrement double est activé, les données d’un compte de stockage sont chiffrées deux fois : une fois au niveau du service et une fois au niveau de l’infrastructure, avec deux algorithmes de chiffrement différents et deux clés différentes. Audit, Refuser, Désactivé 2.0.0
Établir une procédure de gestion des fuites de données CMA_0255 – Établir une procédure de gestion des fuites de données Manuel, désactivé 1.1.0
Le chiffrement d’infrastructure doit être activé sur les serveurs Azure Database pour MySQL Activez le chiffrement d’infrastructure pour les serveurs Azure Database pour MySQL garantir une sécurité renforcée des données. Lorsque le chiffrement de l’infrastructure est activé, les données au repos sont chiffrées deux fois à l’aide des clés gérées par Microsoft conformes FIPS 140-2. Audit, Refuser, Désactivé 1.0.0
Le chiffrement d’infrastructure doit être activé sur les serveurs Azure Database pour PostgreSQL Activez le chiffrement d’infrastructure pour les serveurs Azure Database pour PostgreSQL garantir une sécurité renforcée des données. Lorsque le chiffrement de l’infrastructure est activé, les données au repos sont chiffrées deux fois à l’aide des clés gérées par Microsoft conformes FIPS 140-2 Audit, Refuser, Désactivé 1.0.0
Protéger des informations spéciales CMA_0409 – Protéger des informations spéciales Manuel, désactivé 1.1.0
La propriété ClusterProtectionLevel doit être définie sur EncryptAndSign pour les clusters Service Fabric Service Fabric fournit trois niveaux de protection (None, Sign et EncryptAndSign) pour la communication nœud à nœud à l’aide d’un certificat de cluster principal. Définissez le niveau de protection pour vous assurer que tous les messages de nœud à nœud sont chiffrés et signés numériquement Audit, Refuser, Désactivé 1.1.0
Les comptes de stockage doivent avoir le chiffrement d’infrastructure activé Activez le chiffrement d’infrastructure pour garantir une sécurité renforcée des données. Quand le chiffrement d’infrastructure est activé, les données d’un compte de stockage sont chiffrées deux fois. Audit, Refuser, Désactivé 1.0.0
Les disques temporaires et le cache pour les pools de nœuds d’agent dans les clusters Azure Kubernetes Service doivent être chiffrés sur l’hôte Pour améliorer la sécurité des données, les données stockées sur l’hôte de machine virtuelle de vos machines virtuelles de nœuds Azure Kubernetes Service doivent être chiffrées au repos. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. Audit, Refuser, Désactivé 1.0.1
Transparent Data Encryption sur les bases de données SQL doit être activé Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises AuditIfNotExists, Désactivé 2.0.0
Les machines virtuelles et les groupes de machines virtuelles identiques doivent avoir le chiffrement sur l’hôte activé Utilisez le chiffrement sur l’hôte pour obtenir un chiffrement de bout en bout pour vos données de machine virtuelle et de groupes de machines virtuelles identiques. Le chiffrement sur l’hôte permet le chiffrement au repos pour votre disque temporaire et les caches du système d’exploitation/disque de données. Les disques de système d’exploitation temporaires et éphémères sont chiffrés avec des clés gérées par la plateforme lorsque le chiffrement sur l’hôte est activé. Les caches du système d’exploitation et du disque de données sont chiffrés au repos avec des clés gérées par le client ou par la plateforme, selon le type de chiffrement sélectionné sur le disque. Pour en savoir plus, rendez-vous sur https://aka.ms/vm-hbe. Audit, Refuser, Désactivé 1.0.0
Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage Par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme. Les disques temporaires, les caches de données et le flux de données entre le calcul et le stockage ne sont pas chiffrés. Ignorez cette recommandation dans les deux cas suivants : Vous utilisez le chiffrement sur l’hôte. Le chiffrement côté serveur des Disques managés répond à vos besoins en matière de sécurité. Pour en savoir plus, consultez : Chiffrement côté serveur de Stockage sur disque Azure : https://aka.ms/disksse, Différentes offres de chiffrement de disque : https://aka.ms/diskencryptioncomparison AuditIfNotExists, Désactivé 2.0.3

Protection par chiffrement

ID : FedRAMP Moderate SC-28 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
App Service Environment doit avoir le chiffrement interne activé Affecter la valeur true à InternalEncryption permet de chiffrer le fichier d’échange, les disques des Workers et le trafic réseau interne entre les front-ends et les Workers dans App Service Environment. Pour plus d’informations, reportez-vous à https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Audit, Désactivé 1.0.1
Les variables de compte Automation doivent être chiffrées Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles Audit, Refuser, Désactivé 1.1.0
Les travaux Azure Data Box doivent activer le chiffrement double pour les données au repos sur l’appareil Activez une deuxième couche de chiffrement basé sur un logiciel pour les données au repos sur l’appareil. L’appareil est déjà protégé par un chiffrement Advanced Encryption Standard 256 bits pour les données au repos. Cette option ajoute une deuxième couche de chiffrement des données. Audit, Refuser, Désactivé 1.0.0
Les clusters de journaux Azure Monitor doivent être créés avec le chiffrement d’infrastructure activé (chiffrement double) Pour que le chiffrement des données sécurisées soit activé au niveau du service et de l’infrastructure avec deux algorithmes de chiffrement différents et deux clés différentes, utilisez un cluster Azure Monitor dédié. Cette option est activée par défaut quand elle est prise en charge dans la région ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Les appareils Azure Stack Edge doivent utiliser le chiffrement double Pour sécuriser les données au repos sur l’appareil, vérifiez qu’elles sont chiffrées doublement, que l’accès aux données est contrôlé et une fois que l’appareil est désactivé, que les données sont effacées de façon sécurisée des disques de données. Le chiffrement double correspond à l’utilisation de deux couches de chiffrement : Chiffrement BitLocker XTS-AES 256 bits sur les volumes de données et chiffrement intégré des disques durs. Pour plus d’informations, consultez la documentation de présentation de la sécurité de l’appareil Azure Stack Edge. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Le chiffrement de disque doit être activé dans Azure Data Explorer Le fait d’activer le chiffrement de disque vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Audit, Refuser, Désactivé 2.0.0
Le chiffrement double doit être activé dans Azure Data Explorer Le fait d’activer le chiffrement double vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque le chiffrement double est activé, les données d’un compte de stockage sont chiffrées deux fois : une fois au niveau du service et une fois au niveau de l’infrastructure, avec deux algorithmes de chiffrement différents et deux clés différentes. Audit, Refuser, Désactivé 2.0.0
Implémenter des contrôles pour sécuriser tous les supports CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports Manuel, désactivé 1.1.0
Le chiffrement d’infrastructure doit être activé sur les serveurs Azure Database pour MySQL Activez le chiffrement d’infrastructure pour les serveurs Azure Database pour MySQL garantir une sécurité renforcée des données. Lorsque le chiffrement de l’infrastructure est activé, les données au repos sont chiffrées deux fois à l’aide des clés gérées par Microsoft conformes FIPS 140-2. Audit, Refuser, Désactivé 1.0.0
Le chiffrement d’infrastructure doit être activé sur les serveurs Azure Database pour PostgreSQL Activez le chiffrement d’infrastructure pour les serveurs Azure Database pour PostgreSQL garantir une sécurité renforcée des données. Lorsque le chiffrement de l’infrastructure est activé, les données au repos sont chiffrées deux fois à l’aide des clés gérées par Microsoft conformes FIPS 140-2 Audit, Refuser, Désactivé 1.0.0
Protéger les données en transit à l’aide du chiffrement CMA_0403 – Protéger les données en transit à l’aide du chiffrement Manuel, désactivé 1.1.0
La propriété ClusterProtectionLevel doit être définie sur EncryptAndSign pour les clusters Service Fabric Service Fabric fournit trois niveaux de protection (None, Sign et EncryptAndSign) pour la communication nœud à nœud à l’aide d’un certificat de cluster principal. Définissez le niveau de protection pour vous assurer que tous les messages de nœud à nœud sont chiffrés et signés numériquement Audit, Refuser, Désactivé 1.1.0
Les comptes de stockage doivent avoir le chiffrement d’infrastructure activé Activez le chiffrement d’infrastructure pour garantir une sécurité renforcée des données. Quand le chiffrement d’infrastructure est activé, les données d’un compte de stockage sont chiffrées deux fois. Audit, Refuser, Désactivé 1.0.0
Les disques temporaires et le cache pour les pools de nœuds d’agent dans les clusters Azure Kubernetes Service doivent être chiffrés sur l’hôte Pour améliorer la sécurité des données, les données stockées sur l’hôte de machine virtuelle de vos machines virtuelles de nœuds Azure Kubernetes Service doivent être chiffrées au repos. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. Audit, Refuser, Désactivé 1.0.1
Transparent Data Encryption sur les bases de données SQL doit être activé Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises AuditIfNotExists, Désactivé 2.0.0
Les machines virtuelles et les groupes de machines virtuelles identiques doivent avoir le chiffrement sur l’hôte activé Utilisez le chiffrement sur l’hôte pour obtenir un chiffrement de bout en bout pour vos données de machine virtuelle et de groupes de machines virtuelles identiques. Le chiffrement sur l’hôte permet le chiffrement au repos pour votre disque temporaire et les caches du système d’exploitation/disque de données. Les disques de système d’exploitation temporaires et éphémères sont chiffrés avec des clés gérées par la plateforme lorsque le chiffrement sur l’hôte est activé. Les caches du système d’exploitation et du disque de données sont chiffrés au repos avec des clés gérées par le client ou par la plateforme, selon le type de chiffrement sélectionné sur le disque. Pour en savoir plus, rendez-vous sur https://aka.ms/vm-hbe. Audit, Refuser, Désactivé 1.0.0
Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage Par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme. Les disques temporaires, les caches de données et le flux de données entre le calcul et le stockage ne sont pas chiffrés. Ignorez cette recommandation dans les deux cas suivants : Vous utilisez le chiffrement sur l’hôte. Le chiffrement côté serveur des Disques managés répond à vos besoins en matière de sécurité. Pour en savoir plus, consultez : Chiffrement côté serveur de Stockage sur disque Azure : https://aka.ms/disksse, Différentes offres de chiffrement de disque : https://aka.ms/diskencryptioncomparison AuditIfNotExists, Désactivé 2.0.3

Isolation des processus

ID : FedRAMP Moderate SC-39 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Gérer des domaines d’exécution distincts pour l’exécution de processus CMA_C1665 - Gérer des domaines d’exécution distincts pour les processus en cours d’exécution Manuel, désactivé 1.1.0

Intégrité du système et des informations

Stratégie et procédures relatives à l’intégrité du système et des informations

ID : FedRAMP Moderate SI-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations CMA_C1667 - Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations Manuel, désactivé 1.1.0

Correction des défauts

ID : FedRAMP Moderate SI-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. AuditIfNotExists, Désactivé 3.0.0
Les applications App Service doivent utiliser la dernière « version HTTP » Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 4.0.0
Azure Defender pour App Service doit être activé Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour les serveurs Azure SQL Database doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour Key Vault doit être activé Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour Resource Manager doit être activé Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. AuditIfNotExists, Désactivé 1.0.0
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour les serveurs SQL sur les machines doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Les applications de fonctions doivent utiliser la dernière « version HTTP » Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 4.0.0
Incorporer la correction des défauts dans la gestion de configuration CMA_C1671 - Incorporer la correction des défauts dans la gestion de configuration Manuel, désactivé 1.1.0
Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes Mettez à niveau votre cluster Kubernetes Services vers une version ultérieure de Kubernetes pour le protéger des vulnérabilités connues de votre version Kubernetes actuelle. La vulnérabilité CVE-2019-9946 a été corrigée dans Kubernetes versions 1.11.9+, 1.12.7+, 1.13.5+ et 1.14.0+ Audit, Désactivé 1.0.2
Microsoft Defender pour les conteneurs doit être activé Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour le stockage doit être activé Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. AuditIfNotExists, Désactivé 1.0.0
Corriger les défauts du système d’information CMA_0427 – Corriger les défauts du système d’information Manuel, désactivé 1.1.0
Les résultats des vulnérabilités des bases de données SQL doivent être résolus Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. AuditIfNotExists, Désactivé 4.1.0
Les mises à jour système sur les groupes de machines virtuelles identiques doivent être installées Vérifiez si des mises à jour de sécurité système et des mises à jour critiques sont manquantes et doivent être installées pour assurer la sécurité de vos groupes de machines virtuelles identiques Windows et Linux. AuditIfNotExists, Désactivé 3.0.0
Les mises à jour système doivent être installées sur vos machines Les mises à jour système de sécurité manquantes sur vos serveurs seront supervisées par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 4.0.0
Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.1.0
Les vulnérabilités dans la configuration de la sécurité de vos groupes de machines virtuelles identiques doivent être corrigées Auditez les vulnérabilités de système d’exploitation dans vos groupes de machines virtuelles identiques pour les protéger des attaques. AuditIfNotExists, Désactivé 3.0.0

État de la correction automatisée des défauts

ID : FedRAMP Moderate SI-2 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Automatiser la correction des défauts CMA_0027 – Automatiser la correction des défauts Manuel, désactivé 1.1.0
Corriger les défauts du système d’information CMA_0427 – Corriger les défauts du système d’information Manuel, désactivé 1.1.0

Délai de correction des défauts/évaluation des actions correctives

ID : FedRAMP Moderate SI-2 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Établir des points de référence pour la correction des failles CMA_C1675 - Établir des points de référence pour la correction des failles Manuel, désactivé 1.1.0
Mesurer le temps entre l’identification des failles et la correction des failles CMA_C1674 - Mesurer le temps entre l’identification des failles et la correction des failles Manuel, désactivé 1.1.0

Protection contre les codes malveillants

ID : FedRAMP Moderate SI-3 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Bloque les processus non approuvés et non signés qui s’exécutent par USB CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB Manuel, désactivé 1.1.0
La solution de protection du point de terminaison doit être installée sur les groupes de machines virtuelles identiques Vérifiez l’existence et l’intégrité d’une solution Endpoint Protection dans vos groupes de machines virtuelles identiques, pour les protéger des menaces et des vulnérabilités. AuditIfNotExists, Désactivé 3.0.0
Gérer les passerelles CMA_0363 – Gérer les passerelles Manuel, désactivé 1.1.0
Superviser les agents Endpoint Protection manquants dans Azure Security Center Les serveurs sans agent Endpoint Protection installé seront supervisés par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
Effectuer une analyse des tendances sur les menaces CMA_0389 – Effectuer une analyse des tendances sur les menaces Manuel, désactivé 1.1.0
Effectuer des analyses de vulnérabilité CMA_0393 – Effectuer des analyses de vulnérabilité Manuel, désactivé 1.1.0
Examiner le rapport hebdomadaire sur les détections de programmes malveillants CMA_0475 – Examiner le rapport hebdomadaire sur les détections de programmes malveillants Manuel, désactivé 1.1.0
Passer en revue l’état de la protection contre les menaces chaque semaine CMA_0479 – Passer en revue l’état de la protection contre les menaces chaque semaine Manuel, désactivé 1.1.0
Mettre à jour les définitions de l’antivirus CMA_0517 – Mettre à jour les définitions de l’antivirus Manuel, désactivé 1.1.0
Windows Defender Exploit Guard doit être activé sur vos machines Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement). AuditIfNotExists, Désactivé 2.0.0

Gestion centralisée

ID : FedRAMP Moderate SI-3 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Bloque les processus non approuvés et non signés qui s’exécutent par USB CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB Manuel, désactivé 1.1.0
La solution de protection du point de terminaison doit être installée sur les groupes de machines virtuelles identiques Vérifiez l’existence et l’intégrité d’une solution Endpoint Protection dans vos groupes de machines virtuelles identiques, pour les protéger des menaces et des vulnérabilités. AuditIfNotExists, Désactivé 3.0.0
Gérer les passerelles CMA_0363 – Gérer les passerelles Manuel, désactivé 1.1.0
Superviser les agents Endpoint Protection manquants dans Azure Security Center Les serveurs sans agent Endpoint Protection installé seront supervisés par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
Effectuer une analyse des tendances sur les menaces CMA_0389 – Effectuer une analyse des tendances sur les menaces Manuel, désactivé 1.1.0
Effectuer des analyses de vulnérabilité CMA_0393 – Effectuer des analyses de vulnérabilité Manuel, désactivé 1.1.0
Examiner le rapport hebdomadaire sur les détections de programmes malveillants CMA_0475 – Examiner le rapport hebdomadaire sur les détections de programmes malveillants Manuel, désactivé 1.1.0
Mettre à jour les définitions de l’antivirus CMA_0517 – Mettre à jour les définitions de l’antivirus Manuel, désactivé 1.1.0
Windows Defender Exploit Guard doit être activé sur vos machines Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement). AuditIfNotExists, Désactivé 2.0.0

Mises à jour automatiques

ID : FedRAMP Moderate SI-3 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Bloque les processus non approuvés et non signés qui s’exécutent par USB CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB Manuel, désactivé 1.1.0
Gérer les passerelles CMA_0363 – Gérer les passerelles Manuel, désactivé 1.1.0
Effectuer une analyse des tendances sur les menaces CMA_0389 – Effectuer une analyse des tendances sur les menaces Manuel, désactivé 1.1.0
Effectuer des analyses de vulnérabilité CMA_0393 – Effectuer des analyses de vulnérabilité Manuel, désactivé 1.1.0
Examiner le rapport hebdomadaire sur les détections de programmes malveillants CMA_0475 – Examiner le rapport hebdomadaire sur les détections de programmes malveillants Manuel, désactivé 1.1.0
Mettre à jour les définitions de l’antivirus CMA_0517 – Mettre à jour les définitions de l’antivirus Manuel, désactivé 1.1.0

Détection de codes non basée sur la signature

ID : FedRAMP Moderate SI-3 (7) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Bloque les processus non approuvés et non signés qui s’exécutent par USB CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB Manuel, désactivé 1.1.0
Gérer les passerelles CMA_0363 – Gérer les passerelles Manuel, désactivé 1.1.0
Effectuer une analyse des tendances sur les menaces CMA_0389 – Effectuer une analyse des tendances sur les menaces Manuel, désactivé 1.1.0
Effectuer des analyses de vulnérabilité CMA_0393 – Effectuer des analyses de vulnérabilité Manuel, désactivé 1.1.0
Examiner le rapport hebdomadaire sur les détections de programmes malveillants CMA_0475 – Examiner le rapport hebdomadaire sur les détections de programmes malveillants Manuel, désactivé 1.1.0
Mettre à jour les définitions de l’antivirus CMA_0517 – Mettre à jour les définitions de l’antivirus Manuel, désactivé 1.1.0

Surveillance du système d’information

ID : FedRAMP Moderate SI-4 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : L’ensemble du trafic Internet doit transiter par votre Pare-feu Azure déployé Azure Security Center a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge AuditIfNotExists, Désactivé 3.0.0-preview
[Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Désactivé 6.0.0-preview
[Préversion] : l’extension Log Analytics doit être installée sur vos machines Linux Azure Arc Cette stratégie audite les machines Linux Azure Arc si l’extension Log Analytics n’est pas installée. AuditIfNotExists, Désactivé 1.0.1-preview
[Préversion] : l’extension Log Analytics doit être installée sur vos machines Windows Azure Arc Cette stratégie audite les machines Windows Azure Arc si l’extension Log Analytics n’est pas installée. AuditIfNotExists, Désactivé 1.0.1-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. AuditIfNotExists, Désactivé 1.0.2-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. AuditIfNotExists, Désactivé 1.0.2-preview
Le provisionnement automatique de l’agent Log Analytics doit être activé sur votre abonnement Pour superviser les menaces et les vulnérabilités de sécurité, Azure Security Center collecte des données à partir de vos machines virtuelles Azure. Les données sont collectées par l’agent Log Analytics, auparavant appelé Microsoft Monitoring Agent (MMA). Cet agent lit divers journaux d’événements et configurations liés à la sécurité de la machine, puis copie les données dans votre espace de travail Log Analytics à des fins d’analyse. Nous vous recommandons d’activer l’approvisionnement automatique pour déployer automatiquement l’agent sur toutes les machines virtuelles Azure prises en charge et sur toutes celles qui sont créées. AuditIfNotExists, Désactivé 1.0.1
Azure Defender pour App Service doit être activé Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour les serveurs Azure SQL Database doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour Key Vault doit être activé Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour Resource Manager doit être activé Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. AuditIfNotExists, Désactivé 1.0.0
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour les serveurs SQL sur les machines doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés Auditer les serveurs SQL sans Advanced Data Security AuditIfNotExists, Désactivé 2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2
L’extension Guest Configuration doit être installée sur vos machines Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. AuditIfNotExists, Désactivé 1.0.3
L’agent Log Analytics doit être installé sur votre machine virtuelle pour la supervision Azure Security Center Cette stratégie audite les machines virtuelles Windows/Linux si l’agent Log Analytics, que Security Center utilise pour superviser les vulnérabilités et les menaces liées à la sécurité, n’est pas installé AuditIfNotExists, Désactivé 1.0.0
L’agent Log Analytics doit être installé sur vos groupes de machines virtuelles identiques pour la supervision Azure Security Center Azure Security Center collecte des données à partir de vos machines virtuelles Azure pour surveiller les menaces et vulnérabilités de sécurité. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour les conteneurs doit être activé Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour le stockage doit être activé Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. AuditIfNotExists, Désactivé 1.0.0
Network Watcher doit être activé Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. AuditIfNotExists, Désactivé 3.0.0
Obtenir un avis juridique pour la supervision des activités du système CMA_C1688 - Obtenir un avis juridique pour la supervision des activités du système Manuel, désactivé 1.1.0
Effectuer une analyse des tendances sur les menaces CMA_0389 – Effectuer une analyse des tendances sur les menaces Manuel, désactivé 1.1.0
Fournir des informations de supervision selon les besoins CMA_C1689 - Fournir des informations de supervision selon les besoins Manuel, désactivé 1.1.0
L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol AuditIfNotExists, Désactivé 1.0.1

Outils automatisés pour l’analyse en temps réel

ID : FedRAMP Moderate SI-4 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Documenter les opérations de sécurité CMA_0202 – Documenter les opérations de sécurité Manuel, désactivé 1.1.0
Activer les capteurs pour la solution de sécurité de point de terminaison CMA_0514 – Activer les capteurs pour la solution de sécurité de point de terminaison Manuel, désactivé 1.1.0

Trafic des communications entrantes et sortantes

ID : FedRAMP Moderate SI-4 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Autoriser, surveiller et contrôler la VoIP CMA_0025 - Autoriser, surveiller et contrôler la VoIP Manuel, désactivé 1.1.0
Implémenter la protection des limites des systèmes CMA_0328 - Implémenter la protection des limites des systèmes Manuel, désactivé 1.1.0
Gérer les passerelles CMA_0363 – Gérer les passerelles Manuel, désactivé 1.1.0
Router le trafic via des points d’accès réseau gérés CMA_0484 - Router le trafic via des points d’accès réseau gérés Manuel, désactivé 1.1.0

Alertes générées par le système

ID : FedRAMP Moderate SI-4 (5) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Alerter le personnel d’un débordement d’informations CMA_0007 – Alerter le personnel d’un débordement d’informations Manuel, désactivé 1.1.0
Mettez sur pied un plan de réponse en cas d'incident CMA_0145 – Développer un plan de réponse aux incidents Manuel, désactivé 1.1.0
Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation Manuel, désactivé 1.1.0

Détection sans fil des intrusions

ID : FedRAMP Moderate SI-4 (14) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôles de sécurité d’accès sans fil du document CMA_C1695 – Contrôles de sécurité d’accès sans fil du document Manuel, désactivé 1.1.0

Alertes de sécurité, conseils et directives

ID : FedRAMP Moderate SI-5 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Diffuser les alertes de sécurité au personnel CMA_C1705 - Diffuser les alertes de sécurité au personnel Manuel, désactivé 1.1.0
Établir un programme de renouvellement sur les menaces CMA_0260 - Établir un programme de renseignement sur les menaces Manuel, désactivé 1.1.0
Générer des alertes de sécurité internes CMA_C1704 - Générer des alertes de sécurité internes Manuel, désactivé 1.1.0
Implémenter des directives de sécurité CMA_C1706 - Implémenter des directives de sécurité Manuel, désactivé 1.1.0

Vérification de la fonction de sécurité

ID : FedRAMP Moderate SI-6 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Créer des actions alternatives pour les anomalies identifiées CMA_C1711 - Créer des actions alternatives pour les anomalies identifiées Manuel, désactivé 1.1.0
Avertir le personnel de l’échec des tests de vérification de sécurité CMA_C1710 – Avertir le personnel de l’échec des tests de vérification de sécurité Manuel, désactivé 1.1.0
Effectuer la vérification de la fonction de sécurité à une fréquence définie CMA_C1709 – Effectuer la vérification de la fonction de sécurité à une fréquence définie Manuel, désactivé 1.1.0
Vérifier les fonctions de sécurité CMA_C1708 – Vérifier les fonctions de sécurité Manuel, désactivé 1.1.0

Intégrité des informations, des microprogrammes et des logiciels

ID : FedRAMP Moderate SI-7 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Vérifier l’intégrité des logiciels, des microprogrammes et des informations CMA_0542 – Vérifier l’intégrité des logiciels, des microprogrammes et des informations Manuel, désactivé 1.1.0

Vérifications de l’intégrité

ID : FedRAMP Moderate SI-7 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Vérifier l’intégrité des logiciels, des microprogrammes et des informations CMA_0542 – Vérifier l’intégrité des logiciels, des microprogrammes et des informations Manuel, désactivé 1.1.0
Visualiser et configurer les données de diagnostic système CMA_0544 - Visualiser et configurer les données de diagnostic système Manuel, désactivé 1.1.0

Validation des entrées d’informations

ID : FedRAMP Moderate SI-10 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Effectuer la validation des entrées d’informations CMA_C1723 - Effectuer la validation des entrées d’informations Manuel, désactivé 1.1.0

Gestion des erreurs

ID : FedRAMP Moderate SI-11 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Générer des messages d’erreur CMA_C1724 - Générer des messages d’erreur Manuel, désactivé 1.1.0
Afficher les messages d’erreur CMA_C1725 - Afficher les messages d’erreur Manuel, désactivé 1.1.0

Conservation et gestion des informations

ID : FedRAMP Moderate SI-12 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôler l’accès physique CMA_0081 – Contrôler l’accès physique Manuel, désactivé 1.1.0
Gérer l’entrée, la sortie, le traitement et le stockage des données CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données Manuel, désactivé 1.1.0
Examiner l’activité et l’analytique de l’étiquette CMA_0474 – Examiner l’activité et l’analytique de l’étiquette Manuel, désactivé 1.1.0

Protection de la mémoire

ID : FedRAMP Moderate SI-16 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Windows Defender Exploit Guard doit être activé sur vos machines Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement). AuditIfNotExists, Désactivé 2.0.0

Étapes suivantes

Autres articles sur Azure Policy :