Posture de sécurité pour Microsoft Defender pour le cloud

Vue d’ensemble du degré de sécurisation

Microsoft Defender pour le cloud a deux objectifs principaux :

  • Vous aider à comprendre votre situation actuelle en matière de sécurité
  • Vous aider à améliorer efficacement votre sécurité

Pour vous permettre d’atteindre ces objectifs, Defender pour le cloud met à votre disposition une fonctionnalité appelée degré de sécurisation.

Defender pour le cloud évalue en permanence les problèmes de sécurité de vos ressources multi-cloud. Il agrège ensuite toutes ses découvertes sous la forme d’un score qui vous permet de déterminer d’un coup d’œil votre niveau de sécurité actuel : plus le score est élevé, plus le niveau de risque identifié est faible.

  • Dans les pages du portail Azure, le niveau de sécurité est indiqué sous forme de pourcentage et les valeurs sous-jacentes sont également clairement présentées :

    Degré de sécurisation global comme indiqué dans le portail.

  • Dans l’application mobile Azure, le niveau de sécurité est affiché sous la forme d’une valeur de pourcentage et vous pouvez cliquer sur le niveau de sécurité pour afficher les détails qui expliquent le score :

    Score de sécurisation global comme indiqué dans Azure mobile app.

Pour renforcer votre sécurité, consultez la page de recommandations de Defender pour le cloud et corrigez la recommandation en implémentant les instructions de correction pour chaque problème. Les recommandations sont regroupées en contrôles de sécurité. Chaque contrôle est un groupe logique de recommandations de sécurité associées, et reflète les surfaces d'attaque vulnérables. Votre degré de sécurisation n’augmente que si vous avez suivi toutes les recommandations fournies pour une même ressource au sein d’un contrôle. Pour connaître le degré de sécurisation de chacune des surfaces d'attaque de votre organisation, examinez le niveau de sécurité de chaque contrôle de sécurité.

Pour plus d’informations, consultez Mode de calcul de votre degré de sécurisation, ci-dessous.

Gérer votre posture de sécurité

Sur la page Sécurité, vous pouvez voir le degré de sécurisation pour l’intégralité de votre abonnement et chaque environnement de votre abonnement. Par défaut, tous les environnements sont affichés.

Capture d’écran de la page Posture de sécurité.

Section de la page Description
Capture d’écran montrant les différentes options d’environnement. Sélectionnez votre environnement pour afficher son degré de sécurisation et les détails. Vous pouvez sélectionner plusieurs environnements à la fois. La page change en fonction de votre sélection ici.
Capture d’écran de la section Environnement de la page Posture de sécurité. Affiche le nombre total d’abonnements, de comptes et de projets qui affectent votre score global. Vous voyez également le nombre de ressources non saines et le nombre de recommandations qui existent dans vos environnements.

La moitié inférieure de la page vous permet d’afficher et de gérer l’affichage des scores de sécurisation individuels, du nombre de ressources défectueuses et même des recommandations pour l’ensemble de vos abonnements, comptes et projets.

Vous pouvez regrouper cette section par environnement en activant la case à cocher Regrouper par environnement.

Capture d’écran de la partie inférieure de la page Posture de sécurité.

Mode de calcul de votre degré de sécurisation

La contribution de chaque contrôle de sécurité au degré de sécurisation global est indiquée dans la page des recommandations.

Les contrôles de sécurité de Microsoft Defender pour le cloud et leur impact sur votre score de sécurisation.

Pour obtenir le nombre maximal de points que peut avoir un contrôle de sécurité, toutes vos ressources doivent se conformer à l’intégralité des recommandations de sécurité fournies dans le contrôle de sécurité. Par exemple, Defender pour le cloud fournit plusieurs recommandations relatives à la sécurisation de vos ports de gestion. Vous devrez toutes les appliquer pour voir votre degré de sécurisation s’améliorer.

Exemples de scores pour un contrôle

Capture d’écran montrant comment appliquer un contrôle de sécurité aux mises à jour système.

Dans cet exemple :

  • Contrôle de sécurité Corriger les vulnérabilités : Ce contrôle regroupe plusieurs recommandations relatives à la découverte et à la résolution de vulnérabilités connues.

  • Score maximal - Nombre maximal de points que vous pouvez gagner en appliquant toutes les recommandations d’un contrôle. Le score maximal d’un contrôle, qui est fixe pour chaque environnement, indique l’importance relative de ce contrôle. Utilisez les valeurs du score maximal pour que le triage des problèmes fonctionne en premier.
    Pour obtenir la liste de tous les contrôles et leurs scores maximaux, consultez Contrôles de sécurité et leurs recommandations.

  • Score actuel : degré de sécurisation actuel du contrôle.

    Score actuel = [Score par ressource] * [Nombre de ressources saines]

    Chaque contrôle contribue au score total. Dans cet exemple, le contrôle contribue pour 2.00 points au degré de sécurisation total actuel.

  • Augmentation potentielle du score : points restants à gagner dans le contrôle. Si vous appliquez toutes les recommandations de ce contrôle, votre score augmentera de 9 %.

    Augmentation potentielle du niveau de sécurité = [Score par ressource] * [Nombre de ressources non saines]

  • Insights : fournit des détails supplémentaires pour chaque recommandation, notamment :

    • Recommandation concernant la préversion : cette recommandation n’affecte pas votre niveau de sécurité tant que la solution n’est pas en disponibilité générale.

    • Correctif : depuis la page Détails de la recommandation, vous pouvez utiliser « Correctif » pour résoudre ce problème.

    • Appliquer : depuis la page Détails de la recommandation, vous pouvez déployer automatiquement une stratégie pour résoudre ce problème quand un utilisateur crée une ressource non conforme.

    • Refuser : depuis la page Détails de la recommandation, vous pouvez empêcher la création de nouvelles ressources avec ce problème.

Calculs : comprendre votre score

Métrique Formule et exemple
Degré de sécurisation actuel du contrôle de sécurité
Équation pour le calcul du score de sécurisation d’un contrôle de sécurité.

Chaque contrôle de sécurité individuel contribue au degré de sécurisation global. Chaque ressource concernée par une recommandation dans le contrôle contribue au degré de sécurisation actuel du contrôle. Le degré de sécurisation actuel de chaque contrôle correspond à la mesure de l’état des ressources comprises dans ce contrôle.
Info-bulles présentant les valeurs utilisées lors du calcul du score de sécurisation actuel du contrôle de sécurité
Dans cet exemple, le score (ou degré) maximal de 6 est divisé par 78, car il s’agit de la somme des ressources saines et non saines.
6 / 78 = 0,0769
En multipliant ce score par le nombre de ressources saines (4), vous obtenez le score actuel :
0,0769 \* 4 = 0,31

Degré de sécurisation
Abonnement unique ou connecteur

Équation pour le calcul du score sécurisé d’un abonnement

Degré de sécurisation d’un abonnement avec tous les contrôles activés
Dans cet exemple, vous pouvez voir un abonnement ou connecteur pour lequel tous les contrôles de sécurité sont disponibles (avec un degré de sécurisation maximal potentiel de 60 points). Le degré de sécurisation indique 28 points sur 60 points possibles, et les 32 points restants correspondent aux valeurs figurant dans la colonne « Potential score increase » (Augmentation potentielle du degré de sécurisation) des contrôles de sécurité.
Liste des contrôles et augmentation potentielle du score
Cette équation est la même que celle d’un connecteur avec uniquement le mot abonnement remplacé par le mot connecteur.
Degré de sécurisation
Plusieurs abonnements et connecteurs

Équation pour le calcul du score de sécurisation de plusieurs abonnements.

Le score combiné pour plusieurs abonnements et connecteurs inclut une pondération pour chaque abonnement et connecteur. Les pondérations relatives de vos abonnements et connecteurs sont déterminées par Defender pour le cloud en fonction de facteurs tels que le nombre de ressources.
Le score actuel de chaque abonnement et connecteur est calculé de la même façon que pour un abonnement ou connecteur unique, mais le poids est appliqué comme indiqué dans l’équation.
Lorsque vous consultez plusieurs abonnements et connecteurs, le degré de sécurisation évalue toutes les ressources de toutes les stratégies activées, et regroupe leur impact combiné sur le degré maximal de chaque contrôle de sécurité.
Score de sécurisation pour plusieurs abonnements avec tous les contrôles activés
Le score combiné n’est pas une moyenne. Il s’agit plutôt d’une évaluation de l’état de toutes les ressources de tous les abonnements et connecteurs.

Ici aussi, si vous accédez à la page des recommandations et si vous ajoutez les points que vous pouvez potentiellement gagner, vous constaterez qu’il s’agit de la différence entre le score actuel (22) et le score maximal possible (58).

Quelles sont les recommandations incluses dans les calculs du degré de sécurisation ?

Seules les recommandations intégrées ont un impact sur le degré de sécurisation.

Les recommandations marquées Preview (Préversion) ne sont pas incluses dans les calculs de votre degré de sécurisation. Elles doivent tout de même être corrigées dans la mesure du possible, ainsi lorsque la période de préversion se termine, elles seront prises en compte dans le calcul.

Les recommandations en préversion sont marquées avec :

Améliorer votre score de sécurité

Pour améliorer votre degré de sécurisation, appliquez les recommandations de sécurité qui figurent dans la liste des recommandations. Vous pouvez corriger chaque recommandation manuellement pour chaque ressource ou à l’aide de l’option Corriger (si disponible) pour résoudre rapidement un problème sur plusieurs ressources. Pour plus d’informations, consultez Appliquer des recommandations.

Une autre façon d’améliorer votre score et de vous assurer que vos utilisateurs ne créent pas de ressources ayant un impact négatif sur votre score consiste à configurer les options Appliquer et Refuser sur les recommandations pertinentes.

Contrôles de sécurité et leurs recommandations

Le tableau ci-dessous liste les contrôles de sécurité dans Microsoft Defender pour le cloud. Pour chaque contrôle, vous pouvez voir le nombre maximal de points que vous pouvez ajouter à votre degré de sécurisation si vous appliquez toutes les recommandations indiquées dans le contrôle, pour toutes vos ressources.

L’ensemble de recommandations de sécurité fournies par Defender pour le cloud est adapté aux ressources disponibles dans l’environnement de chaque organisation. Vous pouvez Désactiver les stratégies et Exempter des ressources spécifiques d’une recommandation pour personnaliser davantage les recommandations.

Nous recommandons à chaque organisation d’examiner attentivement les initiatives Azure Policy qui lui ont été attribuées.

Conseil

Pour plus d’informations sur l’examen et la modification de vos initiatives, consultez Utilisation de stratégies de sécurité.

Bien que l’initiative de sécurité par défaut de Defender pour le cloud soit basée sur les bonnes pratiques et les standards du secteur, il existe des scénarios dans lesquels les recommandations intégrées listées ci-dessous ne sont pas tout à fait adaptées à votre organisation. Il est parfois nécessaire de modifier l’initiative par défaut (sans compromettre la sécurité) pour garantir son alignement sur les propres stratégies, points de référence, normes et réglementations du secteur d’activité de votre organisation.

Degré de sécurisation Contrôle de sécurité et description Recommandations
10 Activer MFA - Defender pour le cloud fixe une valeur élevée sur l’authentification multifacteur (MFA). Utilisez ces recommandations pour sécuriser les utilisateurs de vos abonnements.
Il existe trois façons d’activer la MFA et de respecter les recommandations : valeurs de sécurité par défaut, attribution par utilisateur, stratégie d’accès conditionnel. Pour plus d’informations sur ces options, consultez Gérer l’application MFA sur vos abonnements.
- Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent avoir MFA activé
- Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent avoir MFA activé
- MFA doit être activé sur les comptes disposant d’autorisations de propriétaire sur les abonnements
- MFA doit être activé sur les comptes disposant d’autorisations d’accès en écriture sur les abonnements
8 Ports de gestion sécurisés - Les attaques par force brute ciblent souvent des ports de gestion. Utilisez ces recommandations afin de réduire votre exposition grâce aux outils tels que l’accès juste-à-temps VM etles groupes de sécurité réseau. - Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau
- Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps
- Les ports de gestion doivent être fermés sur vos machines virtuelles
6 Appliquer des mises à jour système - Si vous n’appliquez pas de mises à jour, les vulnérabilités et les résultats des environnements qui sont susceptibles d’être attaqués ne sont pas corrigés. Utilisez ces recommandations pour maintenir l’efficacité opérationnelle, réduire les vulnérabilités de sécurité et fournir un environnement plus stable aux utilisateurs finaux. Pour déployer les mises à jour système, vous pouvez utiliser la solution Update Management pour gérer les mises à jour et les correctifs pour vos machines. - L’agent Log Analytics doit être installé sur vos machines avec Azure Arc Linux
- L’agent Log Analytics doit être installé sur les groupes de machines virtuelles identiques
- L’agent Log Analytics doit être installé sur les machines virtuelles
- L’agent Log Analytics doit être installé sur vos machines avec Azure Arc Windows
- Les mises à jour système sur les groupes de machines virtuelles identiques doivent être installées
- Les mises à jour système doivent être installées sur vos machines
- Les mises à jour système doivent être installées sur vos machines (avec le Centre des mises à jour)
6 Corriger les vulnérabilités - Defender pour le cloud comprend plusieurs analyseurs d’évaluation des vulnérabilités pour vérifier vos machines, bases de données et registres de conteneurs en cas de faiblesses susceptibles d’être exploitées par les acteurs des menaces. Utilisez ces recommandations pour activer ces analyseurs et examiner leurs résultats.
En savoir plus sur les machines d’analyse, les serveurs SQL et les registres de conteneur.
– L’extension Azure Policy doit être installée sur les clusters Kubernetes avec Azure Arc
– L’extension Azure Policy pour Kubernetes doit être installée sur les clusters Azure Kubernetes Service
- Les dépôts de code doivent avoir les résultats de l’analyse du code résolus
- Les dépôts de code doivent avoir les résultats de l’analyse Dependabot résolus
- Les dépôts de code doivent avoir les résultats de l’analyse de l’infrastructure en tant que code résolus
- Les dépôts de code doivent avoir les résultats de l’analyse des secrets résolus
- Les images conteneur doivent être déployées à partir de registres approuvés uniquement
- Les images de registre de conteneurs doivent avoir des résultats de vulnérabilité résolus
- Les vulnérabilités des applications de fonction doivent être résolues
- Les clusters Kubernetes doivent contrôler le déploiement des images vulnérables
- Les machines doivent avoir une solution d’évaluation des vulnérabilités
- Vous devez résoudre les vulnérabilités découvertes des bases des machines
- Les résultats de l’analyse des vulnérabilités doivent être résolus pour exécuter des images conteneurs
4 Corriger les configurations de sécurité - Les ressources informatiques mal configurées présentent un risque plus élevé d’attaque. Utilisez ces recommandations pour renforcer les configurations incohérentes identifiées au sein de votre infrastructure. – L’extension Azure Policy doit être installée sur les clusters Kubernetes avec Azure Arc
- Les conclusions relatives à la posture de sécurité Azure DevOps doivent être traitées
– L’extension Azure Policy pour Kubernetes doit être installée sur les clusters Azure Kubernetes Service
- Les conteneurs doivent uniquement utiliser des profils AppArmor autorisés
- L’agent Log Analytics doit être installé sur vos machines avec Azure Arc Linux
- L’agent Log Analytics doit être installé sur les groupes de machines virtuelles identiques
- L’agent Log Analytics doit être installé sur les machines virtuelles
- L’agent Log Analytics doit être installé sur vos machines avec Azure Arc Windows
- Les machines doivent être configurées en toute sécurité
- Les résultats des vulnérabilités des bases de données SQL doivent être résolus
- L’évaluation des vulnérabilités doit être configurée pour les instances managées SQL
- Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus
- L’évaluation des vulnérabilités doit être configurée pour les serveurs SQL
- Les groupes de machines virtuelles identiques doivent être configurés en toute sécurité
- Les vulnérabilités dans la configuration de la sécurité sur vos machines Linux doivent être corrigées (avec Guest Configuration)
- Les vulnérabilités dans la configuration de la sécurité sur vos machines Windows doivent être corrigées (avec Guest Configuration)
4 Gérer l’accès et les autorisations - L’un des principaux éléments d’un programme de sécurité est de s’assurer que vos utilisateurs bénéficient de l’accès nécessaire pour effectuer leurs tâches, mais pas plus que le modèle d’accès au moindre privilège. Utilisez ces recommandations pour gérer vos exigences d’accès et d’identité. - L’authentification auprès des machines Linux doit exiger des clés SSH
– L’extension Azure Policy doit être installée sur les clusters Kubernetes avec Azure Arc
- Les comptes Azure Cosmos DB doivent utiliser Azure Active Directory comme seule méthode d’authentification
– L’extension Azure Policy pour Kubernetes doit être installée sur les clusters Azure Kubernetes Service
- Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés
- Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés
- Tout conteneur avec réaffectation de privilèges doit être évité
- Les conteneurs partageant des espaces de noms d’hôte sensibles doivent être évités
- Les comptes dépréciés doivent être supprimés les abonnements
- Les comptes dépréciés disposant d’autorisations de propriétaire doivent être supprimés des abonnements
- Les comptes externes disposant d’autorisations de propriétaire doivent être supprimés des abonnements
- Les comptes externes disposant d’autorisations d’accès en écriture doivent être supprimés les abonnements
- L’option Certificats clients (certificats clients entrants) doit être activée sur les applications de fonction
- Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés
- Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés
- L’extension Configuration Invité doit être installée sur les machines
- Le système de fichiers racine (en lecture seule) immuable doit être appliqué pour les conteneurs
- Les fonctionnalités Linux à privilèges minimum doivent être appliquées pour les conteneurs
- Une identité managée doit être utilisée dans les applications API
- Une identité managée doit être utilisée dans les applications de fonction
- Une identité managée doit être utilisée dans les applications web
- Les conteneurs disposant de privilèges doivent être évités
- Le contrôle d’accès en fonction du rôle doit être utilisé sur les services Kubernetes
- L’exécution de conteneurs en tant qu’utilisateur racine doit être évitée
- Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client
- L’accès public au compte de stockage doit être interdit
- L’utilisation de montages de volume HostPath de pod doit être limitée à une liste connue pour restreindre l’accès aux nœuds à partir de conteneurs compromis
- L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système
4 Activer le chiffrement au repos - Utilisez ces recommandations pour vous assurer d’atténuer les problèmes de configuration de la protection de vos données stockées. - La propriété ClusterProtectionLevel doit être définie sur EncryptAndSign pour les clusters Service Fabric
- Transparent Data Encryption sur les bases de données SQL doit être activé
- Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage
4 Chiffrer les données en transit – Utilisez ces recommandations pour sécuriser les données qui se déplacent entre des composants, des emplacements ou des programmes. Ces données sont sujettes à des attaques de type « Man-in-the-Middle », d’écoute clandestine et de piratage de session. - L’application API doit uniquement être accessible via HTTPS
- L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL
- L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL
- FTPS doit être obligatoire dans les applications API
- FTPS doit être obligatoire dans les applications de fonction
- FTPS doit être obligatoire dans les applications web
- L’application de fonction ne doit pas être accessible via HTTPS
- Le cache Redis doit autoriser l’accès uniquement via SSL
- La sécurisation du transfert vers des comptes de stockage doit être activée
- TLS doit être mis à jour vers la dernière version pour les applications API
- TLS doit être mis à jour vers la dernière version pour les applications de fonction
- TLS doit être mis à jour vers la dernière version pour les applications web
- L’application web ne doit pas être accessible via HTTPS
4 Restreindre l’accès réseau non autorisé - Azure offre une suite d’outils conçus pour garantir que les accès à travers votre réseau respectent les normes de sécurité les plus élevées.
Utilisez ces recommandations pour gérer les paramètres dedurcissement du réseau adaptatif de Defender pour le cloud, garantir que vous avez configuré Azure Private Link pour l’ensemble des services PaaS pertinents, activer le Pare-feu Azuresur vos réseaux virtuels et plus encore.
- Les recommandations de durcissement du réseau adaptatif doivent être appliquées sur les machines virtuelles connectées à Internet
- Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle
- App Configuration doit utiliser une liaison privée
– L’extension Azure Policy doit être installée sur les clusters Kubernetes avec Azure Arc
- Azure Cache pour Redis doit se trouver dans un réseau virtuel
- Les domaines Azure Event Grid doivent utiliser une liaison privée
- Les rubriques Azure Event Grid doivent utiliser une liaison privée
– L’extension Azure Policy pour Kubernetes doit être installée sur les clusters Azure Kubernetes Service
- Les espaces de travail Azure Machine Learning doivent utiliser une liaison privée
- Azure SignalR Service doit utiliser une liaison privée
- Azure Spring Cloud doit utiliser l’injection de réseau
- Les registres de conteneurs ne doivent pas autoriser un accès réseau sans restriction
- Les registres de conteneurs doivent utiliser une liaison privée
- CORS ne doit pas autoriser toutes les ressources à accéder aux applications API
- CORS ne doit pas autoriser toutes les ressources à accéder aux applications de fonction
- CORS ne doit pas autoriser toutes les ressources à accéder aux applications web
- Le pare-feu doit être activé sur Key Vault
- Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau
- Le transfert IP doit être désactivé sur votre machine virtuelle
- Le serveur de l’API Kubernetes doit être configuré avec un accès restreint
- Le point de terminaison privé doit être configuré pour Key Vault
- Le point de terminaison privé doit être activé pour les serveurs MariaDB
- Le point de terminaison privé doit être activé pour les serveurs MySQL
- Le point de terminaison privé doit être activé pour les serveurs PostgreSQL
- L’accès au réseau public doit être désactivé pour les serveurs MariaDB
- L’accès au réseau public doit être désactivé pour les serveurs MySQL
- L’accès au réseau public doit être désactivé pour les serveurs PostgreSQL
- Les services doivent écouter uniquement sur les ports autorisés
- Le compte de stockage doit utiliser une connexion de liaison privée
- Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau
- L’utilisation des ports et des réseaux hôtes doit être limitée
- Les réseaux virtuels doivent être protégés par le pare-feu Azure
- Les modèles VM Image Builder doivent utiliser une liaison privée
3 Appliquer un contrôle d’application adaptatif - Le contrôle d’application adaptatif (AAC) est une solution de bout en bout intelligente et automatisée qui vous permet de contrôler les applications qui peuvent s’exécuter sur vos machines. Il permet également de renforcer vos ordinateurs contre les logiciels malveillants. - Les contrôles d’application adaptatifs permettant de définir les applications sécurisées doivent être activés sur vos machines
- Les règles de liste verte de la stratégie de contrôles d’application adaptatifs doivent être mises à jour
- L’agent Log Analytics doit être installé sur vos machines avec Azure Arc Linux
- L’agent Log Analytics doit être installé sur les machines virtuelles
- L’agent Log Analytics doit être installé sur vos machines avec Azure Arc Windows
2 Protéger les applications contre les attaques DDoS : Les solutions de sécurité réseau avancées d’Azure incluent Azure DDoS Protection, Azure Web Application Firewall et le module complémentaire Azure Policy pour Kubernetes. Utilisez ces recommandations pour vous assurer que vos applications sont protégées avec ces outils et d’autres. – L’extension Azure Policy doit être installée sur les clusters Kubernetes avec Azure Arc
- La Protection Azure DDoS standard doit être activée
– L’extension Azure Policy pour Kubernetes doit être installée sur les clusters Azure Kubernetes Service
- Les limites de mémoire et de processeur des conteneurs doivent être appliquées
- Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway
- Web Application Firewall (WAF) doit être activé pour le service Azure Front Door Service)
2 Activer la protection des points de terminaison – Defender pour le cloud vérifie les points de terminaison de votre organisation afin de détecter les menaces actives et de proposer des solutions comme Microsoft Defender pour point de terminaison ou l’une des principales solutions figurant dans cette liste.
Quand aucune solution de détection de point de terminaison et réponse (EDR) n’est trouvée, vous pouvez utiliser ces recommandations pour déployer Microsoft Defender pour point de terminaison (inclus dans Microsoft Defender pour les serveurs).
D’autres recommandations vous aident à déployer l’agent Log Analytics et à configurer la supervision de l’intégrité des fichiers.
- Les problèmes d’intégrité Endpoint Protection sur les machines doivent être résolus
- Les problèmes d’intégrité Endpoint Protection sur les machines doivent être résolus
- Les problèmes d’intégrité Endpoint Protection sur les groupes de machines virtuelles identiques doivent être résolus
- Endpoint Protection doit être installé sur les machines
- Endpoint Protection doit être installé sur les machines
- Endpoint Protection doit être installée sur les groupes de machines virtuelles identiques
- Installer la solution Endpoint Protection sur les machines virtuelles
- L’agent Log Analytics doit être installé sur vos machines avec Azure Arc Linux
- L’agent Log Analytics doit être installé sur les groupes de machines virtuelles identiques
- L’agent Log Analytics doit être installé sur les machines virtuelles
- L’agent Log Analytics doit être installé sur vos machines avec Azure Arc Windows
1 Activer l’audit et la journalisation - Les journaux détaillés constituent un élément essentiel des investigations d’incident et de nombreuses autres opérations de résolution des problèmes. Les présentes recommandations visent à vérifier que vous avez activé les journaux de diagnostic quand cela est pertinent. - L’audit sur SQL Server doit être activé
– Les journaux de diagnostic dans App Service doivent être activés
- Les journaux de diagnostic dans Azure Data Lake Store doivent être activés
- Les journaux de diagnostic dans Azure Stream Analytics doivent être activés
- Les journaux de diagnostic dans les comptes Batch doivent être activés
- Les journaux de diagnostic dans Data Lake Analytics doivent être activés
- Les journaux de diagnostic dans Event Hub doivent être activés
- Les journaux de diagnostic dans Key Vault doivent être activés
- Les journaux de diagnostic du service Kubernetes doivent être activés
- Les journaux de diagnostic dans Logic Apps doivent être activés
- Les journaux de diagnostic dans les services Search doivent être activés
- Les journaux de diagnostic dans Service Bus doivent être activés
- Les journaux de diagnostic dans les groupes de machines virtuelles identiques doivent être activés
0 Activer les fonctionnalités de sécurité avancées - Utilisez ces recommandations pour activer l’un des plans Microsoft Defender. - Les clusters Kubernetes avec Azure Arc doivent avoir l’extension Defender installée
- Les clusters Azure Kubernetes Service doivent avoir le profil Defender activé
- Le monitoring de l’intégrité des fichiers doit être activé sur les machines
- L’analyse du code doit être activée dans les dépôts GitHub
- L’analyse Dependabot doit être activée dans les dépôts GitHub
- L’analyse des secrets doit être activée dans les dépôts GitHub
- Microsoft Defender pour App Service doit être activé
- Microsoft Defender pour les serveurs Azure SQL Database doit être activé
- Microsoft Defender pour les conteneurs doit être activé
- Microsoft Defender pour DNS doit être activé
- Microsoft Defender pour Key Vault doit être activé
- Microsoft Defender pour les bases de données relationnelles open source doit être activé
- Microsoft Defender pour Resource Manager doit être activé
- Microsoft Defender pour les serveurs doit être activé
- Microsoft Defender pour les serveurs doit être activé sur les espaces de travail
- Microsoft Defender pour SQL sur les ordinateurs doit être activé sur les espaces de travail
- Microsoft Defender pour les serveurs SQL sur les machines doit être activé
- Microsoft Defender pour le stockage doit être activé
0 Implémenter les bonnes pratiques de sécurité - Ce contrôle n’a aucun impact sur votre score de sécurité. C’est pourquoi il s’agit d’un ensemble de recommandations importantes à suivre au nom de la sécurité de votre organisation, mais qui selon nous n’ont pas à faire partie de la façon dont vous évaluez votre score global. - [Activer si nécessaire] Les comptes Azure Cosmos DB doivent utiliser des clés gérées par le client pour chiffrer les données au repos
- [Activer si nécessaire] Les espaces de travail Azure Machine Learning doivent être chiffrés avec une clé gérée par le client (CMK)
- [Activer si nécessaire] Les comptes Cognitive Services doivent activer le chiffrement des données avec une clé gérée par le client (CMK)
- [Activer si nécessaire] Les registres de conteneur doivent être chiffrés avec une clé gérée par le client (CMK)
- [Activer si nécessaire] Les serveurs MySQL doivent utiliser des clés gérées par le client afin de chiffrer les données au repos
- [Activer si nécessaire] Les serveurs PostgreSQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos
- [Activer si nécessaire] Les instances gérées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos
- [Activer si nécessaire] Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos
- [Activer si nécessaire] Les comptes de stockage doivent utiliser une clé gérée par le client (CMK) pour le chiffrement
- Un maximum de 3 propriétaires doit être désigné pour les abonnements
- L’accès aux comptes de stockage avec des configurations de pare-feu et de réseau virtuel doit être limité
- Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent avoir MFA activé
- Tous les types Advanced Threat Protection doivent être activés dans les paramètres Advanced Data Security de l’instance managée SQL
- Tous les types Advanced Threat Protection doivent être activés dans les paramètres Advanced Data Security de SQL Server
- Les services de Gestion des API doivent utiliser un réseau virtuel
- La conservation des audits pour les serveurs SQL Server doit être définie sur au moins 90 jours
- Le provisionnement automatique de l’agent Log Analytics doit être activé sur les abonnements
- Les variables de compte Automation doivent être chiffrées
- La Sauvegarde Azure doit être activée pour les machines virtuelles
- Les comptes Azure Cosmos DB doivent avoir des règles de pare-feu
- Les comptes Cognitive Services doivent activer le chiffrement des données
- Les comptes Cognitive Services doivent limiter l’accès réseau
- Les comptes Cognitive Services doivent utiliser le stockage appartenant au client ou activer le chiffrement des données
- Les hôtes de conteneur doivent être configurés en toute sécurité
- La stratégie de filtre IP par défaut devrait être de refuser
- Les journaux de diagnostic dans IoT Hub doivent être activés
- La notification par e-mail pour les alertes à gravité élevée doit être activée
- La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée
- Vérifier que « Certificats clients (certificats clients entrants) » est activé pour l’application API
- Les comptes externes disposant d’autorisations d’accès en lecture doivent être supprimés des abonnements
- La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB
- La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL
- La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL
- Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés
- L’extension Guest Attestation doit être installée sur les groupes de machines virtuelles identiques Linux pris en charge
- L’extension Guest Attestation doit être installée sur les machines virtuelles Linux prises en charge
- L’extension Guest Attestation doit être installée sur les groupes de machines virtuelles identiques Windows pris en charge
- L’extension Guest Attestation doit être installée sur les machines virtuelles Windows prises en charge
- L’extension Configuration Invité doit être installée sur les machines
- Informations d’identification d’authentification identiques
- Plage IP large pour la règle de filtre IP
- Java doit être mis à jour vers la dernière version pour les applications API
- Java doit être mis à jour vers la dernière version pour les applications de fonction
- Java doit être mis à jour vers la dernière version pour les applications web
- Les clés Key Vault doivent avoir une date d’expiration
- Les secrets Key Vault doivent avoir une date d’expiration
- La protection contre la suppression définitive doit être activée sur les coffres de clés
- La suppression réversible doit être activée sur les coffres de clés
- Les clusters Kubernetes doivent être accessibles uniquement via HTTPS
- Les clusters Kubernetes doivent désactiver le montage automatique des informations d’identification d’API
- Les clusters Kubernetes ne doivent pas octroyer de capacités de sécurité CAPSYSADMIN
- Les clusters Kubernetes ne doivent pas utiliser l’espace de noms par défaut
- Les machines virtuelles Linux doivent appliquer la validation de signature du module de noyau
- Les machines virtuelles Linux doivent utiliser uniquement des composants de démarrage signés et approuvés
- Les machines virtuelles Linux doivent utiliser le démarrage sécurisé
- Les machines doivent être redémarrées pour appliquer les mises à jour de la configuration de sécurité
- Les ordinateurs doivent avoir des ports fermés susceptibles d’exposer des vecteurs d’attaque
- MFA doit être activé sur les comptes disposant d’autorisations d’accès en lecture les abonnements
- Microsoft Defender pour SQL doit être activé pour les serveurs Azure SQL non protégés
- Vous devez activer Microsoft Defender pour SQL pour les instances managées SQL non protégées
- Network Watcher doit être activé
- Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau
- Les identités surprovisionnées dans les abonnements doivent être examinées pour réduire l’index d’analyse des autorisations (PCI)
- PHP doit être mis à jour vers la dernière version pour les applications API
- PHP doit être mis à jour vers la dernière version pour les applications web
- Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées
- L’accès au réseau public sur Azure SQL Database doit être désactivé
- L’accès au réseau public doit être désactivé pour les comptes Cognitive Services
- Python doit être mis à jour vers la dernière version pour les applications API
- Python doit être mis à jour vers la dernière version pour les applications de fonction
- Python doit être mis à jour vers la dernière version pour les applications web
- Le débogage à distance doit être désactivé pour l’application API
- Le débogage à distance doit être désactivé pour l’application de fonction
- Le débogage à distance doit être désactivé pour les applications web
- Le démarrage sécurisé doit être activé sur les machines virtuelles Windows prises en charge
- Un administrateur Azure Active Directory doit être configuré sur les serveurs SQL
- Les comptes de stockage doivent faire l’objet d’une migration vers de nouvelles ressources Azure Resource Manager
- Les sous-réseaux doivent être associés à un groupe de sécurité réseau
- Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité
- Il doit y avoir plus d’un propriétaire attribué aux abonnements
- La période de validité des certificats stockés dans Azure Key Vault ne doit pas dépasser 12 mois
- L’état de l’attestation d’invité des machines virtuelles doit être sain
- L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système
- Les machines virtuelles doivent faire l’objet d’une migration vers de nouvelles ressources Azure Resource Manager
- vTPM doit être activé sur les machines virtuelles prises en charge
- Les applications web doivent exiger un certificat SSL pour toutes les demandes entrantes
- Windows Defender Exploit Guard doit être activé sur les machines
- Les serveurs web Windows doivent être configurés de façon à utiliser des protocoles de communication sécurisés

Questions fréquentes (FAQ) – Degré de sécurisation

Si je n’applique que trois recommandations sur quatre dans un contrôle de sécurité, mon degré de sécurisation changera-t-il ?

Non. Il ne changera pas tant que vous n’aurez pas appliqué toutes les recommandations fournies pour une même ressource. Pour obtenir le score maximal d’un contrôle, vous devez appliquer toutes les recommandations de l’ensemble des ressources.

Si je désactive une recommandation dans ma stratégie car elle ne s’applique pas à mon cas, mon contrôle de sécurité sera-t-il respecté et mon degré de sécurisation sera-t-il mis à jour ?

Oui. Nous vous recommandons de désactiver les recommandations qui ne s’appliquent pas à votre environnement. Pour obtenir des instructions sur la désactivation d’une recommandation, consultez Désactiver des stratégies de sécurité.

Si un contrôle de sécurité n’ajoute aucun point à mon degré de sécurisation, dois-je l’ignorer ?

Dans certains cas, vous verrez un score de contrôle maximal supérieur à zéro, mais son impact est égal à zéro. Lorsque le score incrémentiel relatif à la correction de ressources est négligeable, celui-ci est arrondi à zéro. N’ignorez pas ces recommandations, car elles offrent malgré tout des améliorations au niveau de la sécurité. La seule exception concerne le contrôle « Bonne pratique supplémentaire ». L’application de ces recommandations n’augmentera pas votre score, mais elle améliorera votre sécurité globale.

Étapes suivantes

Cet article a décrit le degré de sécurisation et les contrôles de sécurité inclus.

Pour des informations connexes, consultez les articles suivants :