Recommandations de sécurité

Article
04/01/2024

Cet article répertorie toutes les recommandations de sécurité que vous pouvez voir dans Microsoft Defender pour le cloud. Les recommandations qui apparaissent dans votre environnement sont basées sur les ressources que vous protégez et sur votre configuration personnalisée.

Les recommandations dans Defender pour le cloud sont basées sur le point de référence de sécurité du cloud Microsoft. Le benchmark de sécurité cloud De Microsoft est l’ensemble de directives créées par Microsoft pour les meilleures pratiques en matière de sécurité et de conformité. Ce benchmark largement respecté s’appuie sur les contrôles du Center for Internet Security (CIS) et de l’Institut national des normes et de la technologie (NIST), avec un focus sur la sécurité centrée sur le cloud.

Pour en savoir plus sur les actions que vous pouvez effectuer en réponse à ces recommandations, consultez Correction des recommandations dans Defender pour le cloud.

Votre score de sécurité est basé sur le nombre de recommandations de sécurité que vous avez effectuées. Pour déterminer les recommandations à résoudre en premier, examinez la gravité de chaque recommandation et son impact potentiel sur votre score sécurisé.

Conseil

Si la description d’une recommandation indique Aucune stratégie associée, il s’agit généralement du fait que cette recommandation dépend d’une recommandation différente et de sa stratégie.

Par exemple, les échecs d’intégrité endpoint protection doivent être corrigés en fonction de la recommandation qui case activée si une solution endpoint protection est même installée (la solution Endpoint Protection doit être installée). La recommandation sous-jacente est associée à une stratégie. Limiter les stratégies à la recommandation de base simplifie la gestion des stratégies.

Recommandations AppServices

L’application API doit uniquement être accessible via HTTPS

Description : L’utilisation de HTTPS garantit l’authentification du serveur/du service et protège les données en transit contre les attaques d’écoute de couche réseau. (Stratégie associée : L’application API doit uniquement être accessible via HTTPS.

Gravité : moyenne

CORS ne doit pas autoriser toutes les ressources à accéder aux applications API

Description : Le partage de ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application API. Autorisez uniquement les domaines requis à interagir avec votre application API. (Stratégie associée : CORS ne doit pas autoriser chaque ressource à accéder à votre application API.

Gravité : faible

CORS ne doit pas autoriser toutes les ressources à accéder aux applications de fonction

Description : Le partage de ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. (Stratégie associée : CORS ne doit pas autoriser chaque ressource à accéder à vos applications de fonction).

Gravité : faible

CORS ne doit pas autoriser toutes les ressources à accéder aux applications web

Description : Le partage de ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application web. Autorisez uniquement les domaines requis à interagir avec votre application web. (Stratégie associée : CORS ne doit pas autoriser chaque ressource à accéder à vos applications web).

Gravité : faible

Les journaux de diagnostic dans App Service doivent être activés

Description : Auditer l’activation des journaux de diagnostic sur l’application. Cela vous permet de recréer des pistes d’activité à des fins d’investigation si un incident de sécurité se produit ou si votre réseau est compromis (aucune stratégie associée).

Gravité : moyenne

Vérifier que les certificats clients entrants sont activés pour l’application API

Description : les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. (Stratégie associée : Vérifiez que l’application API a « Certificats clients (certificats clients entrants) » défini sur « Activé ».

Gravité : moyenne

FTPS doit être obligatoire dans les applications API

Description : Activez l’application FTPS pour une sécurité renforcée (stratégie associée : FTPS doit uniquement être requis dans votre application API).

Gravité : élevée

FTPS doit être obligatoire dans les applications de fonction

Description : Activez l’application FTPS pour une sécurité renforcée (stratégie associée : FTPS doit uniquement être requis dans votre application de fonction).

Gravité : élevée

FTPS doit être obligatoire dans les applications web

Description : Activez l’application FTPS pour une sécurité renforcée (stratégie associée : FTPS doit être nécessaire dans votre application web).

Gravité : élevée

Function App ne doit pas être accessible via HTTPS

Gravité : moyenne

L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications de fonction

Description : les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant de certificats valides peuvent accéder à l’application. (Stratégie associée : Les applications de fonction doivent avoir activé les certificats clients (certificats clients entrants).

Gravité : moyenne

Java doit être mis à jour vers la dernière version pour les applications API

Description : Régulièrement, les versions plus récentes sont publiées pour Java en raison de failles de sécurité ou d’inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Python pour les applications API afin de bénéficier des correctifs de sécurité, s’il en existe, et/ou des nouvelles fonctionnalités. (Stratégie associée : Vérifiez que la version de Java est la plus récente, si elle est utilisée dans le cadre de l’application API).

Gravité : moyenne

Une identité managée doit être utilisée dans les applications API

Description : Pour renforcer la sécurité de l’authentification, utilisez une identité managée. Dans Azure, les identités managées évitent aux développeurs d’avoir à gérer les informations d’identification en fournissant une identité pour la ressource Azure dans Azure AD, et en l’utilisant pour obtenir des jetons Azure Active Directory (Azure AD). (Stratégie associée : L’identité managée doit être utilisée dans votre application API.

Gravité : moyenne

Une identité managée doit être utilisée dans les applications de fonction

Gravité : moyenne

Une identité managée doit être utilisée dans les applications web

Gravité : moyenne

Microsoft Defender pour App Service doit être activé

Description : Microsoft Defender pour App Service tire parti de l’échelle du cloud et de la visibilité qu’Azure possède en tant que fournisseur de cloud pour surveiller les attaques courantes des applications web. Microsoft Defender pour App Service peut découvrir les attaques sur vos applications et identifier les attaques émergentes.

Important : L’application de cette recommandation entraîne des frais pour la protection de vos registres plans App Service. Si vous n’avez pas de plan App Service dans cet abonnement, cela n’entraîne pas de frais. Si vous créez des plans App Service sur cet abonnement à l’avenir, ceux-ci seront automatiquement protégés et des frais seront facturés à ce moment-là. Pour en savoir plus, consultez Protéger vos applications web et vos API. (Stratégie associée : Azure Defender pour App Service doit être activé).

Gravité : élevée

PHP doit être mis à jour vers la dernière version pour les applications API

Description : Régulièrement, les versions plus récentes sont publiées pour les logiciels PHP en raison de failles de sécurité ou d’inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de PHP pour les applications API afin de bénéficier des correctifs de sécurité, s’il en existe, et/ou des nouvelles fonctionnalités. (Stratégie associée : Vérifiez que la version de PHP est la plus récente, si elle est utilisée dans le cadre de l’application API).

Gravité : moyenne

Python doit être mis à jour vers la dernière version pour les applications API

Description : Régulièrement, les versions plus récentes sont publiées pour les logiciels Python en raison de failles de sécurité ou d’inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Python pour les applications API afin de bénéficier des correctifs de sécurité, s’il en existe, et/ou des nouvelles fonctionnalités. (Stratégie associée : Vérifiez que la version de Python est la plus récente, si elle est utilisée dans le cadre de l’application API).

Gravité : moyenne

Le débogage à distance doit être désactivé pour l’application API

Description : le débogage à distance nécessite l’ouverture de ports entrants sur une application API. Le débogage à distance doit être désactivé. (Stratégie associée : Le débogage à distance doit être désactivé pour les applications API).

Gravité : faible

Le débogage à distance doit être désactivé pour Function App

Description : le débogage à distance nécessite l’ouverture de ports entrants sur une application de fonction Azure. Le débogage à distance doit être désactivé. (Stratégie associée : Le débogage à distance doit être désactivé pour Function Apps).

Gravité : faible

Le débogage à distance doit être désactivé pour les applications web

Description : le débogage à distance nécessite l’ouverture de ports entrants sur une application web. Le débogage à distance est activé. Si vous n’avez plus besoin d’utiliser le débogage à distance, celui-ci doit être désactivé. (Stratégie associée : Le débogage à distance doit être désactivé pour les applications web.

Gravité : faible

TLS doit être mis à jour vers la dernière version pour les applications API

Description : Effectuez une mise à niveau vers la dernière version tls. (Stratégie associée : La dernière version tls doit être utilisée dans votre application API.

Gravité : élevée

TLS doit être mis à jour vers la dernière version pour les applications de fonction

Description : Effectuez une mise à niveau vers la dernière version tls. (Stratégie associée : La dernière version tls doit être utilisée dans votre application de fonction.

Gravité : élevée

TLS doit être mis à jour vers la dernière version pour les applications web

Description : Effectuez une mise à niveau vers la dernière version tls. (Stratégie associée : La dernière version tls doit être utilisée dans votre application web.

Gravité : élevée

L’application web ne doit pas être accessible via HTTPS

Gravité : moyenne

Les applications web doivent exiger un certificat SSL pour toutes les demandes entrantes

Description : les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. (Stratégie associée : Vérifiez que l’application WEB a « Certificats clients (certificats clients entrants) » défini sur « Activé ».

Gravité : moyenne

Recommandations relatives au calcul

Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines

Description : Activez les contrôles d’application pour définir la liste des applications connues en cours d’exécution sur vos machines et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Defender pour le cloud utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables. (Stratégie associée : Les contrôles d’application adaptatifs pour définir des applications sécurisées doivent être activés sur vos machines.

Gravité : élevée

Les règles de liste verte dans votre stratégie de contrôle d’application adaptatif doivent être mises à jour

Description : Surveillez les modifications du comportement sur les groupes de machines configurés pour l’audit par les contrôles d’application adaptatifs de Defender pour le cloud. Defender pour le cloud utilise le Machine Learning pour analyser les processus en cours d’exécution sur vos machines et suggérer une liste d’applications reconnues fiables. Elles sont présentées comme des applications recommandées à autoriser dans les stratégies de contrôles d’application adaptatifs. (Stratégie associée : Les règles de liste verte dans votre stratégie de contrôle d’application adaptative doivent être mises à jour).

Gravité : élevée

L’authentification auprès des machines Linux doit exiger des clés SSH

Description : Bien que SSH lui-même fournisse une connexion chiffrée, l’utilisation de mots de passe avec SSH laisse toujours la machine virtuelle vulnérable aux attaques par force brute. L’option la plus sûre pour l’authentification auprès d’une machine virtuelle Linux Azure via SSH est d’utiliser une paire de clés publique-privée, également appelées clés SSH. Pour en savoir plus, consultez Étapes détaillées : Créer et gérer des clés SSH pour l’authentification sur une machine virtuelle Linux dans Azure. (Stratégie associée : Auditez les machines Linux qui n’utilisent pas de clé SSH pour l’authentification.

Gravité : moyenne

Les variables de compte Automation doivent être chiffrées

Description : il est important d’activer le chiffrement des ressources de variables de compte Automation lors du stockage de données sensibles. (Stratégie associée : Les variables de compte Automation doivent être chiffrées).

Gravité : élevée

Sauvegarde Azure doit être activé pour les machines virtuelles

Description : Protégez les données sur vos machines virtuelles Azure avec Sauvegarde Azure. La Sauvegarde Azure est une solution Azure sécurisée et économique pour la protection des données. Elle crée des points de récupération stockés dans des coffres de récupération géoredondants. Quand vous effectuez une restauration à partir d’un point de récupération, vous pouvez restaurer la machine virtuelle entière ou des fichiers spécifiques. (Stratégie associée : Sauvegarde Azure doit être activé pour Machines Virtuelles).

Gravité : faible

Les hôtes de conteneur doivent être configurés en toute sécurité

Description : Corrigez les vulnérabilités dans la configuration de la sécurité sur les machines avec Docker installé pour les protéger contre les attaques. (Stratégie associée : Les vulnérabilités dans les configurations de sécurité de conteneur doivent être corrigées).

Gravité : élevée

Les journaux de diagnostic dans Azure Stream Analytics doivent être activés

Description : activez les journaux et conservez-les pendant un an. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. (Stratégie associée : Les journaux de diagnostic dans Azure Stream Analytics doivent être activés).

Gravité : faible

Les journaux de diagnostic dans les comptes Batch doivent être activés

Gravité : faible

Les journaux de diagnostic dans Event Hubs doivent être activés

Gravité : faible

Les journaux de diagnostic dans Logic Apps doivent être activés

Description : Pour vous assurer que vous pouvez recréer des pistes d’activité à des fins d’investigation lorsqu’un incident de sécurité se produit ou que votre réseau est compromis, activez la journalisation. Si vos journaux de diagnostic ne sont pas envoyés à un espace de travail Log Analytics, Stockage Azure compte ou Azure Event Hubs, vérifiez que vous avez configuré les paramètres de diagnostic pour envoyer des métriques de plateforme et des journaux de plateforme aux destinations appropriées. Pour en savoir plus, consultez Créer des paramètres de diagnostic pour envoyer des journaux et des métriques de plateforme à différentes destinations. (Stratégie associée : Les journaux de diagnostic dans Logic Apps doivent être activés).

Gravité : faible

Les journaux de diagnostic dans les services Search doivent être activés

Gravité : faible

Les journaux de diagnostic dans Service Bus doivent être activés

Gravité : faible

Les journaux de diagnostic dans les groupes de machines virtuelles identiques doivent être activés

Gravité : élevée

Les problèmes de configuration d'EDR doivent être résolus sur les machines virtuelles

Description : Pour protéger les machines virtuelles contre les dernières menaces et vulnérabilités, résolvez tous les problèmes de configuration identifiés avec la solution de détection et de réponse de point de terminaison installée (PEPT).
Remarque : actuellement, cette recommandation s'applique uniquement aux ressources avec Microsoft Defender for Endpoint (MDE) activé.

Gravité : faible

La solution EDR doit être installée sur des machines virtuelles

Description : l’installation d’une solution de détection et de réponse de point de terminaison (PEPT) sur des machines virtuelles est importante pour la protection contre les menaces avancées. PEPT aide à prévenir, détecter, examiner et répondre à ces menaces. Microsoft Defender pour serveurs peut être utilisé pour déployer Microsoft Defender pour point de terminaison. Si une ressource est classée comme « non saine », elle indique l’absence d’une solution de PEPT prise en charge. Si une solution PEPT est installée, mais qu’elle n’est pas détectable par cette recommandation, elle peut être exemptée. Sans solution PEPT, les machines virtuelles sont exposées à des menaces avancées.

Gravité : élevée

Les problèmes d’intégrité Endpoint Protection sur les groupes de machines virtuelles identiques doivent être résolus

Description : Corrigez les défaillances d’intégrité de la protection des points de terminaison sur vos groupes de machines virtuelles identiques pour les protéger contre les menaces et les vulnérabilités. (Stratégie associée : La solution Endpoint Protection doit être installée sur des groupes de machines virtuelles identiques).

Gravité : faible

Endpoint Protection doit être installé sur les groupes de machines virtuelles identiques

Description : Installez une solution endpoint protection sur vos groupes de machines virtuelles identiques pour les protéger contre les menaces et les vulnérabilités. (Stratégie associée : La solution Endpoint Protection doit être installée sur des groupes de machines virtuelles identiques).

Gravité : élevée

Le monitoring de l’intégrité des fichiers doit être activé sur les machines

Description : Defender pour le cloud a identifié des ordinateurs qui ne disposent pas d’une solution de surveillance de l’intégrité des fichiers. Pour superviser les modifications apportées aux fichiers critiques, aux clés de Registre, etc. sur vos serveurs, activez le monitoring de l’intégrité des fichiers. Lorsque la solution de monitoring de l’intégrité des fichiers est activée, créez des règles de collecte de données pour définir les fichiers à superviser. Pour définir des règles ou voir les fichiers modifiés sur des machines avec des règles existantes, accédez à la page de gestion de l’intégrité des fichiers. (Aucune stratégie associée)

Gravité : élevée

L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Linux pris en charge

Description : Installez l’extension Attestation invité sur les groupes de machines virtuelles identiques Linux pris en charge pour permettre à Microsoft Defender pour le cloud d’attester et de surveiller de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique uniquement aux groupes de machines virtuelles identiques Linux pour lesquels le lancement fiable est activé.

Important : le lancement approuvé nécessite la création de nouvelles machines virtuelles. Vous ne pouvez pas activer le lancement fiable sur les machines virtuelles existantes qui ont été créées initialement sans cette fonctionnalité. En savoir plus sur le lancement fiable pour les machines virtuelles Azure. (Aucune stratégie associée)

Gravité : faible

L’extension Attestation d’invité doit être installée sur les machines virtuelles Linux prises en charge

Description : Installez l’extension Attestation invité sur les machines virtuelles Linux prises en charge pour permettre à Microsoft Defender pour le cloud d’attester et de surveiller de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique uniquement aux machines virtuelles Linux pour lesquelles le lancement fiable est activé.

Gravité : faible

L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Windows pris en charge

Description : Installez l’extension Attestation invité sur les groupes de machines virtuelles identiques pris en charge pour permettre à Microsoft Defender pour le cloud d’attester et de surveiller de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique uniquement aux groupes de machines virtuelles identiques pour lesquels le lancement fiable est activé.

Gravité : faible

L’extension Attestation d’invité doit être installée sur les machines virtuelles Windows prises en charge

Description : Installez l’extension Attestation invité sur les machines virtuelles prises en charge pour permettre à Microsoft Defender pour le cloud d’attester et de surveiller de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique uniquement aux machines virtuelles pour lesquelles le lancement fiable est activé.

Gravité : faible

L’extension Configuration Invité doit être installée sur les machines

Description : Pour garantir des configurations sécurisées des paramètres dans l’invité de votre ordinateur, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois installées, les stratégies in-guest seront disponibles, telles que Windows Exploit Guard, doit être activée. (Stratégie associée : Les machines virtuelles doivent avoir l’extension Guest Configuration).

Gravité : moyenne

Installer la solution de protection de point de terminaison sur les machines virtuelles

Description : Installez une solution endpoint protection sur vos machines virtuelles pour les protéger contre les menaces et les vulnérabilités. (Stratégie associée : Surveillez l’absence de Endpoint Protection dans Azure Security Center.

Gravité : élevée

Les machines virtuelles Linux doivent appliquer la validation de signature du module de noyau

Description : Pour aider à atténuer l’exécution de code malveillant ou non autorisé en mode noyau, appliquez la validation de la signature du module de noyau sur les machines virtuelles Linux prises en charge. La validation de la signature du module de noyau garantit que seuls les modules de noyau approuvés pourront être exécutés. Cette évaluation s’applique uniquement aux machines virtuelles Linux sur lesquelles l’agent Azure Monitor est installé. (Aucune stratégie associée)

Gravité : faible

Les machines virtuelles Linux doivent utiliser uniquement des composants de démarrage signés et approuvés

Description : Avec le démarrage sécurisé activé, tous les composants de démarrage du système d’exploitation (chargeur de démarrage, noyau, pilotes de noyau) doivent être signés par des éditeurs approuvés. Defender pour le cloud a identifié des composants de démarrage du système d’exploitation non approuvés sur une ou plusieurs de vos machines Linux. Pour protéger vos machines contre les composants potentiellement malveillants, ajoutez-les à votre liste d’autorisation ou supprimez les composants identifiés. (Aucune stratégie associée)

Gravité : faible

Les machines virtuelles Linux doivent utiliser le démarrage sécurisé

Description : Pour vous protéger contre l’installation des rootkits et kits de démarrage basés sur des programmes malveillants, activez le démarrage sécurisé sur les machines virtuelles Linux prises en charge. Le démarrage sécurisé garantit que seuls les systèmes d’exploitation et pilotes signés sont autorisés à s’exécuter. Cette évaluation s’applique uniquement aux machines virtuelles Linux sur lesquelles l’agent Azure Monitor est installé. (Aucune stratégie associée)

Gravité : faible

L’agent Log Analytics doit être installé sur vos machines avec Azure Arc Linux

Description : Defender pour le cloud utilise l’agent Log Analytics (également appelé OMS) pour collecter des événements de sécurité à partir de vos machines Azure Arc. Pour déployer l’agent sur tous vos ordinateurs Azure Arc, suivez la procédure de correction. (Aucune stratégie associée)

Gravité : élevée

L’agent Log Analytics doit être installé sur les groupes de machines virtuelles identiques

Description : Defender pour le cloud collecte des données à partir de vos machines virtuelles Azure pour surveiller les vulnérabilités et menaces de sécurité. Les données sont collectées à l’aide de l’agent Log Analytics, anciennement « Microsoft Monitoring Agent » (MMA), qui lit divers journaux d’événements et configurations liées à la sécurité de la machine, et copie les données dans votre espace de travail à des fins d’analyse. Vous devez également suivre cette procédure si vos machines virtuelles sont utilisées par un service managé Azure comme Azure Kubernetes Service ou Azure Service Fabric. Vous ne pouvez pas configurer l’approvisionnement automatique de l’agent pour des groupes de machines virtuelles identiques Azure. Pour déployer l’agent sur des groupes de machines virtuelles identiques (y compris ceux utilisés par des services gérés Azure comme Azure Kubernetes Service et Azure Service Fabric), suivez la procédure décrite dans les étapes de correction. (Stratégie associée : L’agent Log Analytics doit être installé sur vos groupes de machines virtuelles identiques pour la surveillance d’Azure Security Center.

Gravité : élevée

L’agent Log Analytics doit être installé sur les machines virtuelles

Description : Defender pour le cloud collecte des données à partir de vos machines virtuelles Azure pour surveiller les vulnérabilités et menaces de sécurité. Les données sont collectées à l’aide de l’agent Log Analytics, anciennement « Microsoft Monitoring Agent » (MMA), qui lit divers journaux d’événements et configurations liées à la sécurité de la machine, et copie les données dans votre espace de travail Log Analytics à des fins d’analyse. Cet agent est également nécessaire si vos machines virtuelles sont utilisées par un service géré Azure comme Azure Kubernetes Service ou Azure Service Fabric. Nous vous recommandons de configurer l’approvisionnement automatique pour déployer automatiquement l’agent. Si vous choisissez de ne pas utiliser l’approvisionnement automatique, déployez manuellement l’agent sur vos machines virtuelles en suivant les instructions fournies dans les étapes de correction. (Stratégie associée : L’agent Log Analytics doit être installé sur votre machine virtuelle pour la surveillance d’Azure Security Center).

Gravité : élevée

L’agent Log Analytics doit être installé sur vos machines avec Azure Arc Windows

Description : Defender pour le cloud utilise l’agent Log Analytics (également appelé MMA) pour collecter des événements de sécurité à partir de vos machines Azure Arc. Pour déployer l’agent sur tous vos ordinateurs Azure Arc, suivez la procédure de correction. (Aucune stratégie associée)

Gravité : élevée

Les machines doivent être configurées en toute sécurité

Description : Corrigez les vulnérabilités dans la configuration de la sécurité sur vos machines pour les protéger contre les attaques. (Stratégie associée : Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées.

Gravité : faible

Les machines doivent être redémarrées pour appliquer les mises à jour de la configuration de sécurité

Description : Pour appliquer des mises à jour de configuration de sécurité et protéger contre les vulnérabilités, redémarrez vos machines. Cette évaluation s’applique uniquement aux machines virtuelles Linux sur lesquelles l’agent Azure Monitor est installé. (Aucune stratégie associée)

Gravité : faible

Les machines doivent avoir une solution d’évaluation des vulnérabilités

Description : Defender pour le cloud régulièrement case activée vos machines connectées pour s’assurer qu’elles exécutent des outils d’évaluation des vulnérabilités. Utilisez cette recommandation pour déployer une solution d’évaluation des vulnérabilités. (Stratégie associée : Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles.

Gravité : moyenne

Les résultats des vulnérabilités des machines doivent être résolus

Description : Résolvez les résultats des solutions d’évaluation des vulnérabilités sur vos machines virtuelles. (Stratégie associée : Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles.

Gravité : faible

Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps

Description : Defender pour le cloud a identifié certaines règles entrantes trop permissives pour les ports de gestion dans votre groupe de sécurité réseau. Activez le contrôle d’accès juste-à-temps pour protéger votre machine virtuelle contre les attaques en force brute provenant d’Internet. Pour en savoir plus, consultez Fonctionnement de l’accès aux machines virtuelles juste-à-temps (JAT). (Stratégie associée : Les ports de gestion des machines virtuelles doivent être protégés par le contrôle d’accès réseau juste-à-temps).

Gravité : élevée

Microsoft Defender pour les serveurs doit être activé

Description : Microsoft Defender pour serveurs fournit une protection contre les menaces en temps réel pour vos charges de travail de serveur et génère des recommandations de renforcement ainsi que des alertes sur les activités suspectes. Vous pouvez utiliser ces informations pour remédier rapidement aux problèmes de sécurité et améliorer la sécurité de vos serveurs.

Important : L’application de cette recommandation entraîne des frais liés à la protection de vos serveurs. Si vous n’avez pas de serveurs dans cet abonnement, cela n’entraînera aucuns frais. Si vous créez par la suite des serveurs dans cet abonnement, ceux-ci seront automatiquement protégés, ce qui entraînera des frais. Pour en savoir plus, consultez Présentation de Microsoft Defender pour les serveurs. (Stratégie associée : Azure Defender pour serveurs doit être activé).

Gravité : élevée

Microsoft Defender pour les serveurs doit être activé sur les espaces de travail

Description : Microsoft Defender pour serveurs met en place la détection des menaces et les défenses avancées pour vos machines Windows et Linux. Si vous activez ce plan Defender sur vos abonnements, mais pas sur vos espaces de travail, vous ne profitez pas de certaines fonctionnalités de Microsoft Defender pour les serveurs qui sont incluses dans le prix. Quand vous activez Microsoft Defender pour les serveurs sur un espace de travail, toutes les machines relevant de cet espace de travail sont facturées pour ce service, même si elles se trouvent dans un abonnement sur lequel les plans Defender ne sont pas activés. Vous devez donc également activer Microsoft Defender pour les serveurs sur l’abonnement afin que ces machines puissent tirer parti de l’accès juste-à-temps aux machines virtuelles, des contrôles d’application adaptatifs et des détections de réseau pour les ressources Azure. Pour en savoir plus, consultez Présentation de Microsoft Defender pour les serveurs. (Aucune stratégie associée)

Gravité : moyenne

Le démarrage sécurisé doit être activé sur les machines virtuelles Windows prises en charge

Description : activez le démarrage sécurisé sur les machines virtuelles Windows prises en charge pour atténuer les modifications malveillantes et non autorisées apportées à la chaîne de démarrage. Une fois activé, seuls les chargeurs de démarrage approuvés, le noyau et les pilotes de noyau sont autorisés à s’exécuter. Cette évaluation s’applique uniquement aux machines virtuelles Windows pour lesquelles le lancement fiable est activé.

Gravité : faible

La propriété ClusterProtectionLevel doit être définie sur EncryptAndSign pour les clusters Service Fabric

Description : Service Fabric fournit trois niveaux de protection (None, Sign et EncryptAndSign) pour la communication de nœud à nœud à nœud à l’aide d’un certificat de cluster principal. Définissez le niveau de protection pour vous assurer que tous les messages de nœud à nœud sont chiffrés et signés numériquement. (Stratégie associée : Les clusters Service Fabric doivent avoir la propriété ClusterProtectionLevel définie sur EncryptAndSign).

Gravité : élevée

Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client

Description : Effectuez l’authentification du client uniquement via Azure Active Directory dans Service Fabric (stratégie associée : les clusters Service Fabric doivent uniquement utiliser Azure Active Directory pour l’authentification du client).

Gravité : élevée

Les mises à jour système sur les groupes de machines virtuelles identiques doivent être installées

Description : Installez des mises à jour critiques et de sécurité système manquantes pour sécuriser vos groupes de machines virtuelles identiques Windows et Linux. (Stratégie associée : Les mises à jour système sur les groupes de machines virtuelles identiques doivent être installées).

Gravité : élevée

Les mises à jour système doivent être installées sur vos machines

Description : Installez des mises à jour critiques et de sécurité système manquantes pour sécuriser vos ordinateurs et machines virtuelles Windows et Linux (stratégie associée : les mises à jour système doivent être installées sur vos machines).

Gravité : élevée

Les mises à jour système doivent être installées sur vos machines (avec le Centre des mises à jour)

Description : vos ordinateurs ne disposent pas de mises à jour système, de sécurité et critiques. Les mises à jour de logiciel incluent souvent des correctifs critiques pour les failles de sécurité. Ces failles sont souvent exploitées lors d’attaques de programmes malveillants. Il est donc essentiel de maintenir vos logiciels à jour. Pour installer tous les correctifs en attente et sécuriser vos machines, suivez la procédure de correction. (Aucune stratégie associée)

Gravité : élevée

Les groupes de machines virtuelles identiques doivent être configurés en toute sécurité

Description : Corrigez les vulnérabilités de la configuration de sécurité sur vos groupes de machines virtuelles identiques pour les protéger contre les attaques. (Stratégie associée : Les vulnérabilités dans la configuration de la sécurité sur vos groupes de machines virtuelles identiques doivent être corrigées.

Gravité : élevée

L’état de l’attestation d’invité des machines virtuelles doit être sain

Description : l’attestation d’invité est effectuée en envoyant un journal approuvé (TCGLog) à un serveur d’attestation. Le serveur utilise ces journaux pour déterminer si les composants de démarrage sont dignes de confiance. Cette évaluation vise à détecter les compromissions de la chaîne de démarrage, ce qui peut être le résultat d’une infection par bootkit ou rootkit. Cette évaluation s’applique uniquement aux machines virtuelles compatibles avec le lancement fiable sur lesquelles l’extension d’attestation d’invité est installée. (Aucune stratégie associée)

Gravité : moyenne

L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système

Description : l’extension Guest Configuration nécessite une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. En savoir plus (Stratégie associée : l’extension Guest Configuration doit être déployée sur des machines virtuelles Azure avec une identité managée affectée par le système).

Gravité : moyenne

Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager

Description : Machines Virtuelles (classique) a été déconseillé et ces machines virtuelles doivent être migrées vers Azure Resource Manager. Comme Azure Resource Manager intègre désormais des fonctionnalités IaaS complètes et d’autres avancées, nous avons déprécié la gestion des machines virtuelles IaaS via Azure Service Manager (ASM) le 28 février 2020. Cette fonctionnalité sera entièrement mise hors service le 1er mars 2023.

Pour afficher toutes les machines virtuelles classiques concernées, veillez à sélectionner tous vos abonnements Azure sous l’onglet « Répertoires et abonnements ».

Ressources disponibles et informations sur cet outil et migration : vue d’ensemble de la dépréciation des machines virtuelles (classique), processus pas à pas pour la migration et les ressources Microsoft disponibles.Détails sur la migration vers l’outil de migration Azure Resource Manager.Migrez vers l’outil de migration Azure Resource Manager à l’aide de PowerShell. (Stratégie associée : Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager.

Gravité : élevée

Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage

Description : par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme ; les disques temporaires et les caches de données ne sont pas chiffrés et les données ne sont pas chiffrées lors du flux entre les ressources de calcul et de stockage. Pour une comparaison des différentes technologies de chiffrement de disque dans Azure, consultez https://aka.ms/diskencryptioncomparison. Utilisez Azure Disk Encryption pour chiffrer toutes ces données. Ignorer cette recommandation dans les cas suivants :

Vous utilisez la fonctionnalité de chiffrement à l’hôte, ou 2. Le chiffrement côté serveur des disques managés répond à vos besoins de sécurité. Pour en savoir plus, consultez Chiffrement côté serveur de Stockage sur disque Azure. (Stratégie associée : Le chiffrement de disque doit être appliqué aux machines virtuelles)

Gravité : élevée

vTPM doit être activé sur les machines virtuelles prises en charge

Description : activez l’appareil TPM virtuel sur les machines virtuelles prises en charge pour faciliter le démarrage mesuré et d’autres fonctionnalités de sécurité du système d’exploitation qui nécessitent un module TPM. Une fois l’appareil vTPM activé, il permet d’attester l’intégrité du démarrage. Cette évaluation s’applique uniquement aux machines virtuelles pour lesquelles le lancement fiable est activé.

Gravité : faible

Les vulnérabilités dans la configuration de la sécurité sur vos machines Linux doivent être corrigées (avec Guest Configuration)

Description : Corrigez les vulnérabilités dans la configuration de la sécurité sur vos machines Linux pour les protéger contre les attaques. (Stratégie associée : Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure.

Gravité : faible

Les vulnérabilités dans la configuration de la sécurité sur vos machines Windows doivent être corrigées (avec Guest Configuration)

Description : Corrigez les vulnérabilités dans la configuration de sécurité sur vos machines Windows pour les protéger contre les attaques. (Aucune stratégie associée)

Gravité : faible

Windows Defender Exploit Guard doit être activé sur les machines

Description : Windows Defender Exploit Guard utilise l’agent Azure Policy Guest Configuration. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement). (Stratégie associée : Auditez les machines Windows sur lesquelles Windows Defender Exploit Guard n’est pas activé).

Gravité : moyenne

Les serveurs web Windows doivent être configurés de façon à utiliser des protocoles de communication sécurisés

Description : Pour protéger la confidentialité des informations communiquées sur Internet, vos serveurs web doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). Le protocole TLS sécurise les communications sur un réseau en chiffrant une connexion entre les ordinateurs à l’aide de certificats de sécurité. (Stratégie associée : Auditez les serveurs web Windows qui n’utilisent pas de protocoles de communication sécurisés.

Gravité : élevée

[Préversion] : les machines virtuelles Linux doivent activer Azure Disk Encryption ou EncryptionAtHost

Description : par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme ; les disques temporaires et les caches de données ne sont pas chiffrés et les données ne sont pas chiffrées lors du flux entre les ressources de calcul et de stockage. Utilisez Azure Disk Encryption ou EncryptionAtHost pour chiffrer toutes ces données. Consultez https://aka.ms/diskencryptioncomparison pour comparer les offres de chiffrement. Cette stratégie nécessite deux conditions préalables pour être déployée dans l’étendue de l’affectation de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. (Stratégie associée : [Préversion] : les machines virtuelles Linux doivent activer Azure Disk Encryption ou EncryptionAtHost).

Gravité : élevée

[Préversion] : les machines virtuelles Windows doivent activer Azure Disk Encryption ou EncryptionAtHost

Description : par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme ; les disques temporaires et les caches de données ne sont pas chiffrés et les données ne sont pas chiffrées lors du flux entre les ressources de calcul et de stockage. Utilisez Azure Disk Encryption ou EncryptionAtHost pour chiffrer toutes ces données. Consultez https://aka.ms/diskencryptioncomparison pour comparer les offres de chiffrement. Cette stratégie nécessite deux conditions préalables pour être déployée dans l’étendue de l’affectation de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. (Stratégie associée : [Préversion] : les machines virtuelles Windows doivent activer Azure Disk Encryption ou EncryptionAtHost).

Gravité : élevée

Les machines virtuelles et les groupes de machines virtuelles identiques doivent avoir le chiffrement sur l’hôte activé

Description : Utilisez le chiffrement sur l’hôte pour obtenir le chiffrement de bout en bout pour vos données de groupe de machines virtuelles identiques et de machine virtuelle. Le chiffrement sur l’hôte permet le chiffrement au repos pour votre disque temporaire et les caches du système d’exploitation/disque de données. Les disques de système d’exploitation temporaires et éphémères sont chiffrés avec des clés gérées par la plateforme lorsque le chiffrement sur l’hôte est activé. Les caches du système d’exploitation et du disque de données sont chiffrés au repos avec des clés gérées par le client ou par la plateforme, selon le type de chiffrement sélectionné sur le disque. En savoir plus sur Utiliser le Portail Azure pour activer le chiffrement de bout en bout à l’aide du chiffrement sur l’hôte. (Stratégie associée : le chiffrement doit être activé sur l’hôte pour les machines virtuelles et les groupes de machines virtuelles identiques).

Gravité : moyenne

Les serveurs Azure Stack HCI (version préliminaire) doivent répondre aux exigences de base sécurisée

Description : Vérifiez que tous les serveurs Azure Stack HCI répondent aux exigences de base sécurisée. (Stratégie associée : L’extension Guest Configuration doit être installée sur des machines - Microsoft Azure).

Gravité : faible

Les serveurs Azure Stack HCI (version préliminaire) devraient avoir des politiques de contrôle des applications appliquées de manière cohérente

Description : Au minimum, appliquez la stratégie de base Microsoft WDAC en mode appliqué sur tous les serveurs Azure Stack HCI. Les stratégies appliquées par Windows Defender Application Control (WDAC) doivent être cohérentes entre les serveurs d'un même cluster. (Stratégie associée : L’extension Guest Configuration doit être installée sur des machines - Microsoft Azure).

Gravité : élevée

Les systèmes Azure Stack HCI (version préliminaire) doivent disposer de volumes chiffrés

Description : Utilisez BitLocker pour chiffrer le système d’exploitation et les volumes de données sur les systèmes Azure Stack HCI. (Stratégie associée : L’extension Guest Configuration doit être installée sur des machines - Microsoft Azure).

Gravité : élevée

Le réseau des hôtes et des machines virtuelles (version préliminaire) doit être protégé sur les systèmes Azure Stack HCI

Description : Protégez les données sur le réseau de l’hôte Azure Stack HCI et sur les connexions réseau de machines virtuelles. (Stratégie associée : L’extension Guest Configuration doit être installée sur des machines - Microsoft Azure).

Gravité : faible

Recommandations relatives aux conteneurs

[Préversion] Les images conteneur dans le Registre Azure doivent avoir des résultats de vulnérabilité résolus

Description : Defender pour le cloud analyse vos images de Registre pour détecter les vulnérabilités connues (CVE) et fournit des résultats détaillés pour chaque image analysée. L’analyse et la correction des vulnérabilités pour les images conteneur dans le Registre permettent de maintenir une chaîne d’approvisionnement logicielle sécurisée et fiable, réduit le risque d’incidents de sécurité et garantit la conformité aux normes du secteur.

Gravité : élevée

Type : Évaluation des vulnérabilités

[Préversion] Les conteneurs s’exécutant dans Azure doivent avoir des résultats de vulnérabilité résolus

Description : Defender pour le cloud crée un inventaire de toutes les charges de travail de conteneur en cours d’exécution dans vos clusters Kubernetes et fournit des rapports de vulnérabilité pour ces charges de travail en correspondant aux images utilisées et aux rapports de vulnérabilité créés pour les images de Registre. L’analyse et la correction des vulnérabilités des charges de travail de conteneur sont essentielles pour garantir une chaîne d’approvisionnement logicielle robuste et sécurisée, réduire le risque d’incidents de sécurité et garantir la conformité aux normes du secteur.

Gravité : élevée

Type : Évaluation des vulnérabilités

(Activer si nécessaire) Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client (CMK)

Description : Recommandations utiliser des clés gérées par le client pour le chiffrement des données au repos ne sont pas évaluées par défaut, mais sont disponibles pour activer les scénarios applicables. Puisque les données sont chiffrées automatiquement à l’aide de clés gérées par la plateforme, l’utilisation de clés gérées par le client doit uniquement être appliquée lorsqu’elle est rendue obligatoire par des exigences de conformité ou de stratégie restrictive. Pour activer cette recommandation, accédez à votre Stratégie de sécurité pour l’étendue applicable et mettez à jour le paramètre Effet de la stratégie correspondante afin d’auditer ou d’appliquer l’utilisation des clés gérées par le client. Pour en savoir plus, consultez Gérer les stratégies de sécurité. Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos registres. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service, mais des clés gérées par le client (CMK) sont généralement requises pour répondre aux normes de conformité réglementaire. Les CMK permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus sur le chiffrement par clés gérées par le client, consultez https://aka.ms/acr/CMK. (Stratégie associée : Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client (CMK)).

Gravité : faible

Type : plan de contrôle

L’extension Azure Policy doit être installée sur les clusters Kubernetes avec Azure Arc

Description : l’extension Azure Policy pour Kubernetes étend Gatekeeper v3, un webhook de contrôleur d’admission pour Open Policy Agent (OPA), pour appliquer des mises en œuvre à grande échelle et des garanties sur vos clusters de manière centralisée et cohérente. (Aucune stratégie associée)

Gravité : élevée

Type : plan de contrôle

L’extension Defender doit être installée sur les clusters Kubernetes avec Azure Arc

Description : l’extension de Defender pour Azure Arc offre une protection contre les menaces pour vos clusters Kubernetes avec Arc. L’extension collecte des données à partir de tous les nœuds de plan de contrôle (maître) du cluster et les envoie au back-end Microsoft Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. (Aucune stratégie associée)

Gravité : élevée

Type : plan de contrôle

Le profil Defender doit être activé sur les clusters Azure Kubernetes Service

Description : Microsoft Defender pour conteneurs fournit des fonctionnalités de sécurité Kubernetes natives dans le cloud, notamment le renforcement de l’environnement, la protection des charges de travail et la protection au moment de l’exécution. Quand vous activez le profil SecurityProfile.AzureDefender sur votre cluster Azure Kubernetes Service, un agent est déployé sur votre cluster pour collecter les données d’événement de sécurité. Pour en savoir plus, consultez Présentation de Microsoft Defender pour les conteneurs. (Aucune stratégie associée)

Gravité : élevée

Type : plan de contrôle

L’extension Azure Policy pour Kubernetes doit être installée sur les clusters Azure Kubernetes Service

Description : Le module complémentaire Azure Policy pour Kubernetes étend Gatekeeper v3, un webhook de contrôleur d’admission pour Open Policy Agent (OPA), pour appliquer des mises en œuvre à grande échelle et des garanties sur vos clusters de manière centralisée et cohérente. Defender pour le cloud nécessite le module complémentaire pour auditer et appliquer les capacités de sécurité et la conformité au sein de vos clusters. Plus d’informations Nécessite Kubernetes v1.14.0 ou ultérieur. (Stratégie associée : Le module complémentaire Azure Policy pour Kubernetes Service (AKS) doit être installé et activé sur vos clusters.

Gravité : élevée

Type : plan de contrôle

Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint

Description : les registres de conteneurs Azure acceptent par défaut les connexions via Internet à partir d’hôtes sur n’importe quel réseau. Pour protéger vos registres contre les menaces potentielles, autorisez l’accès uniquement à partir d’IP publiques ou de plages d’adresses spécifiques. Si votre registre n’a pas de règle IP/de pare-feu ou de réseau virtuel configuré, il apparaîtra dans les ressources non saines. Apprenez-en plus sur les règles réseau de Container Registry aux adresses suivantes : https://aka.ms/acr/portal/public-network et https://aka.ms/acr/vnet. (Stratégie associée : Les registres de conteneurs ne doivent pas autoriser l’accès réseau illimité).

Gravité : moyenne

Type : plan de contrôle

Les registres de conteneurs doivent utiliser une liaison privée

Description : Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à vos registres de conteneur plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. (Stratégie associée : Les registres de conteneurs doivent utiliser une liaison privée).

Gravité : moyenne

Type : plan de contrôle

Les journaux de diagnostic des services Kubernetes doivent être activés

Description : activez les journaux de diagnostic dans vos services Kubernetes et conservez-les jusqu’à un an. Cela vous permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité. (Aucune stratégie associée)

Gravité : faible

Type : plan de contrôle

Le serveur de l’API Kubernetes doit être configuré avec un accès restreint

Description : Pour vous assurer que seules les applications provenant de réseaux, de machines ou de sous-réseaux autorisés peuvent accéder à votre cluster, restreindre l’accès à votre serveur d’API Kubernetes. Vous pouvez restreindre l’accès en définissant des plages d’adresses IP autorisées ou en configurant vos serveurs d’API en tant que clusters privés, comme expliqué dans Créer un cluster Azure Kubernetes Service privé. (Stratégie associée : Les plages d’adresses IP autorisées doivent être définies sur Kubernetes Services.

Gravité : élevée

Type : plan de contrôle

Le contrôle d’accès en fonction du rôle doit être utilisé sur Kubernetes Service

Description : Pour fournir un filtrage granulaire sur les actions que les utilisateurs peuvent effectuer, utilisez le contrôle d’accès en fonction du rôle (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurer des stratégies d’autorisation pertinentes. (Stratégie associée : Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur Kubernetes Services.

Gravité : élevée

Type : plan de contrôle

Microsoft Defender pour les conteneurs doit être activé

Description : Microsoft Defender pour conteneurs fournit des protections de renforcement, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. Vous pouvez utiliser ces informations pour remédier rapidement aux problèmes de sécurité et améliorer la sécurité de vos conteneurs.

Important : L’application de cette recommandation entraîne des frais liés à la protection de vos clusters Kubernetes. Si vous n’avez pas de clusters Kubernetes dans cet abonnement, cela n’entraînera aucuns frais. Si vous créez par la suite des clusters Kubernetes dans cet abonnement, ceux-ci seront protégés automatiquement, des frais commençant alors à être facturés. Pour en savoir plus, consultez Présentation de Microsoft Defender pour les conteneurs. (Aucune stratégie associée)

Gravité : élevée

Type : plan de contrôle

Les limites de mémoire et de processeur des conteneurs doivent être appliquées

Description : l’application des limites de processeur et de mémoire empêche les attaques d’épuisement des ressources (une forme d’attaque par déni de service).

Nous vous recommandons de définir des limites pour les conteneurs afin de garantir que le runtime empêche le conteneur d’utiliser plus que la limite de ressources configurée.

(Stratégie associée : Vérifiez que les limites de ressources processeur et mémoire du conteneur ne dépassent pas les limites spécifiées dans le cluster Kubernetes.

Gravité : moyenne