Détails de l’initiative intégrée de conformité réglementaire HIPAA HITRUST 9.2

L’article suivant explique en détail comment la définition de l’initiative intégrée Conformité réglementaire Azure Policy est mappée à des domaines de conformité et des contrôles dans HIPAA HITRUST 9.2. Pour plus d’informations sur cette norme de conformité, consultez HIPAA HITRUST 9.2. Pour comprendre la propriété, consultez Définition de stratégie Azure Policy et Responsabilité partagée dans le cloud.

Les mappages suivants concernent les contrôles HIPAA HITRUST 9.2. Utilisez le volet de navigation de droite pour accéder directement à un domaine de conformité spécifique. De nombreux contrôles sont mis en œuvre avec la définition d’une initiative Azure Policy. Pour examiner la définition d’initiative complète, ouvrez Stratégie dans le Portail Azure et sélectionnez la page Définitions. Ensuite, recherchez et sélectionnez la définition d’initiative intégrée de conformité réglementaire HITRUST/HIPAA.

Cette initiative intégrée est déployée dans le cadre de l’exemple de blueprint HIPAA HITRUST 9.2.

Important

Chaque contrôle ci-dessous est associé à une ou plusieurs définitions Azure Policy. Ces stratégies peuvent vous aider à évaluer la conformité avec le contrôle ; toutefois, il n’existe pas souvent de correspondance un-à-un ou parfaite entre un contrôle et une ou plusieurs stratégies. Ainsi, la conformité dans Azure Policy fait uniquement référence aux définitions de stratégie elles-mêmes ; cela ne garantit pas que vous êtes entièrement conforme à toutes les exigences d’un contrôle. En outre, la norme de conformité comprend des contrôles qui ne sont traités par aucune définition Azure Policy pour l’instant. Par conséquent, la conformité dans Azure Policy n’est qu’une vue partielle de l’état de conformité global. Les associations entre les domaines de conformité, les contrôles et les définitions Azure Policy pour cette norme de conformité peuvent changer au fil du temps. Pour afficher l’historique des changements, consultez l’historique des validations GitHub.

Gestion des privilèges

L’accès aux fonctions de gestion ou aux consoles d’administration des systèmes qui hébergent les systèmes virtualisés se limite au personnel selon le principe du moindre privilège et il est pris en charge par le biais des contrôles techniques.

ID : 11180.01c3System.6 - 01.c Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0

Les privilèges sont rigoureusement autorisés et contrôlés, alloués aux utilisateurs en fonction des besoins d’utilisation et événement par événement pour leur rôle fonctionnel (par exemple, utilisateur ou administrateur) et documentés pour chaque produit/élément système.

ID : 1143.01c1System.123 - 01.c Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les ports de gestion doivent être fermés sur vos machines virtuelles Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. AuditIfNotExists, Désactivé 3.0.0

L’organisation autorise explicitement l’accès aux fonctions de sécurité spécifiques (déployées dans le matériel, les logiciels et les microprogrammes) et aux informations relatives à la sécurité.

ID : 1144.01c1System.4 - 01.c Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
3 propriétaires maximum doivent être désignés pour votre abonnement Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. AuditIfNotExists, Désactivé 3.0.0

Le contrôle d’accès en fonction du rôle est implémenté et peut mapper chaque utilisateur à un ou plusieurs rôles, et chaque rôle à une ou plusieurs fonctions système.

ID : 1145.01c2System.1 - 01.c Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Plusieurs propriétaires doivent être attribués à votre abonnement Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur. AuditIfNotExists, Désactivé 3.0.0

L’organisation promeut le développement et l’utilisation de programmes qui évitent d’avoir à s’exécuter avec des privilèges élevés et des routines système pour éviter d’avoir à accorder des privilèges aux utilisateurs.

ID : 1146.01c2System.23 - 01.c Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les comptes externes disposant d’autorisations de propriétaire doivent être supprimés de votre abonnement Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. AuditIfNotExists, Désactivé 3.0.0

Des privilèges élevés sont attribués à un identifiant utilisateur différent de ceux utilisés pour une utilisation professionnelle normale, tous les utilisateurs accèdent aux services privilégiés dans un rôle unique et ce type d’accès privilégié est réduit.

ID : 1147.01c2System.456 - 01.c Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les comptes déconseillés disposant d’autorisations de propriétaire doivent être supprimés de votre abonnement Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. AuditIfNotExists, Désactivé 3.0.0

L’organisation restreint l’accès aux fonctions privilégiées et à toutes les informations relatives à la sécurité.

ID : 1148.01c2System.78 - 01.c Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Auditer l’utilisation de règles personnalisées RBAC Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces Audit, Désactivé 1.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Comptes » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Comptes » pour limiter l’utilisation par le compte local de mots de passe vides et pour l’état du compte Invité. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0

L’organisation facilite le partage d’informations en donnant l’autorisation aux utilisateurs de déterminer un accès pour les partenaires commerciaux et en utilisant des processus manuels ou des mécanismes automatisés pour aider les utilisateurs à prendre des décisions de collaboration ou de partage d’informations.

ID : 1149.01c2System.9 - 01.c Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes Pour fournir un filtrage précis des actions que les utilisateurs peuvent effectuer, utilisez le contrôle d’accès en fonction du rôle (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurez les stratégies d’autorisation appropriées. Audit, Désactivé 1.0.2

Le système de contrôle d’accès pour les composants système qui stockent, traitent ou transmettent des informations couvertes est défini avec un paramètre de « refus complet » par défaut.

ID : 1150.01c2System.10 - 01.c Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les ports de gestion doivent être fermés sur vos machines virtuelles Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. AuditIfNotExists, Désactivé 3.0.0

L’organisation limite l’autorisation accordée aux comptes privilégiés sur les systèmes d’information à un sous-ensemble prédéfini d’utilisateurs.

ID : 1151.01c3System.1 - 01.c Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
3 propriétaires maximum doivent être désignés pour votre abonnement Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. AuditIfNotExists, Désactivé 3.0.0

L’organisation audite l’exécution des fonctions privilégiées sur les systèmes d’information et s’assure que ceux-ci empêchent les utilisateurs non privilégiés d’exécuter des fonctions privilégiées.

ID : 1152.01c3System.2 - 01.c Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Plusieurs propriétaires doivent être attribués à votre abonnement Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur. AuditIfNotExists, Désactivé 3.0.0

L’accès à la totalité du système de fichiers est désactivé s’il n’est pas explicitement requis, et seuls les utilisateurs autorisés se voient accorder uniquement l’accès qui est expressément requis pour l’exécution de leurs tâches.

ID : 1153.01c3System.35 - 01.c Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes Pour fournir un filtrage précis des actions que les utilisateurs peuvent effectuer, utilisez le contrôle d’accès en fonction du rôle (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurez les stratégies d’autorisation appropriées. Audit, Désactivé 1.0.2

Les sous-traitants se voient accorder un accès au système et physique minimal uniquement après que l’organisation a évalué leur capacité à se conformer à ses exigences de sécurité et qu’ils se sont engagés à les respecter.

ID : 1154.01c3System.4 - 01.c Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
3 propriétaires maximum doivent être désignés pour votre abonnement Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. AuditIfNotExists, Désactivé 3.0.0

Authentification utilisateur pour les connexions externes

Les méthodes d’authentification fortes comme que MFA, Radius ou Kerberos (pour l’accès privilégié) et CHAP (pour le chiffrement des informations d’identification pour les méthodes d’accès à distance) sont implémentées pour toutes les connexions externes au réseau de l’organisation.

ID : 1116.01j1Organizational.145 - 01.j Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’authentification multifacteur (MFA) doit être activée sur les comptes disposant d’autorisations de propriétaire sur votre abonnement MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 3.0.0

L’accès à distance par les fournisseurs et les partenaires commerciaux (par exemple, pour la maintenance à distance) est désactivé quand il n’est pas utilisé.

ID : 1117.01j1Organizational.23 - 01.j Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations d’écriture sur votre abonnement MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 3.0.0

Les organisations implémentent le chiffrement (par exemple, des solutionsVPN ou des lignes privées) et journalisent l’accès à distance au réseau de l’organisation par les employés, les sous-traitants ou les tiers (par exemple, les fournisseurs).

ID : 1118.01j2Organizational.124 - 01.j Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’authentification multifacteur (MFA) doit être activée sur les comptes disposant d’autorisations de lecture sur votre abonnement MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 3.0.0

Les fonctionnalités d’accès à distance imprévues sont vérifiées pour l’équipement réseau.

ID : 1119.01j2Organizational.3 - 01.j Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0

Les sessions d’administration à distance sont autorisées, chiffrées et utilisent des mesures de sécurité accrues.

ID : 1121.01j3Organizational.2 - 01.j Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’authentification multifacteur (MFA) doit être activée sur les comptes disposant d’autorisations de propriétaire sur votre abonnement MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 3.0.0

Si le chiffrement n’est pas utilisé pour les connexions d’accès à distance, le directeur informatique ou son représentant désigné fournit une autorisation écrite spécifique.

ID : 1173.01j1Organizational.6 - 01.j Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations d’écriture sur votre abonnement MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 3.0.0

L’organisation protège l’accès sans fil aux systèmes contenant des informations sensibles en authentifiant à la fois les utilisateurs et les appareils.

ID : 1174.01j1Organizational.7 - 01.j Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’authentification multifacteur (MFA) doit être activée sur les comptes disposant d’autorisations de lecture sur votre abonnement MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 3.0.0

L’accès à distance aux informations métier sur les réseaux publics a lieu uniquement après une identification et une authentification réussies.

ID : 1175.01j1Organizational.8 - 01.j Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0

L’organisation nécessite une fonctionnalité de rappel avec une nouvelle authentification pour vérifier les connexions d’accès à distance à partir de lieux autorisés.

ID : 1176.01j2Organizational.5 - 01.j Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’authentification multifacteur (MFA) doit être activée sur les comptes disposant d’autorisations de propriétaire sur votre abonnement MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 3.0.0

Les identifiants utilisateur affectés aux fournisseurs sont examinés conformément à la stratégie de révision d’accès de l’organisation, au minimum une fois par an.

ID : 1177.01j2Organizational.6 - 01.j Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations d’écriture sur votre abonnement MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 3.0.0

L’authentification de nœud, y compris les techniques de chiffrement (par exemple, les certificats d’ordinateur), constitue un autre moyen d’authentifier des groupes d’utilisateurs distants quand ils sont connectés à une installation informatique sécurisée et partagée.

ID : 1178.01j2Organizational.7 - 01.j Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’authentification multifacteur (MFA) doit être activée sur les comptes disposant d’autorisations de lecture sur votre abonnement MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 3.0.0

Le système d’information supervise et contrôle les méthodes d’accès à distance.

ID : 1179.01j3Organizational.1 - 01.j Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0

Diagnostic à distance et protection des ports de configuration

L’accès à l’équipement réseau est physiquement protégé.

ID : 1192.01l1Organizational.1 - 01.l Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0

Les contrôles de l’accès aux ports de diagnostic et de configuration incluent l’utilisation d’un verrou de clé et l’implémentation de procédures de prise en charge pour contrôler l’accès physique au port.

ID : 1193.01l2Organizational.13 - 01.l Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les ports de gestion doivent être fermés sur vos machines virtuelles Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. AuditIfNotExists, Désactivé 3.0.0

Les ports, les services et les applications similaires installées sur un ordinateur ou des systèmes réseau qui ne sont pas particulièrement exigés pour les fonctionnalités métier sont désactivés ou supprimés.

ID : 1194.01l2Organizational.2 - 01.l Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Le débogage à distance doit être désactivé pour les applications App Service Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0

L’organisation examine le système d’information au moins une fois tous les trois cent soixante-cinq (365) jours pour identifier et désactiver les fonctions, ports, protocoles et/ou services inutiles et non sécurisés.

ID : 1195.01l3Organizational.1 - 01.l Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Le débogage à distance doit être désactivé pour les applications de fonctions Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0

L’organisation désactive les protocoles réseau Bluetooth et de pair à pair au sein du système d’information jugés inutiles ou non sécurisés.

ID : 1197.01l3Organizational.3 - 01.l Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables. AuditIfNotExists, Désactivé 3.0.0

Séparation dans les réseaux

Les passerelles de sécurité de l’organisation (par exemple, les pare-feu) appliquent des stratégies de sécurité et sont configurées pour filtrer le trafic entre les domaines, bloquent l’accès non autorisé et sont utilisées pour assurer la séparation entre les segments de réseaux câblés internes, sans fil internes et externes (par exemple, Internet), y compris les zones DMZ et appliquent des stratégies de contrôle d’accès pour chacun des domaines.

ID : 0805.01m1Organizational.12 - 01.m Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : Container Registry doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite Container Registry s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. Audit, Désactivé 1.0.0-preview
Les applications App Service doivent utiliser un point de terminaison de service de réseau virtuel Utilisez des points de terminaison de service de réseau virtuel pour restreindre l’accès à votre application à partir des sous-réseaux sélectionnés à partir d’un réseau virtuel Azure. Pour en savoir plus sur les points de terminaison de service App Service, consultez https://aks.ms/appservice-vnet-service-endpoint. AuditIfNotExists, Désactivé 2.0.0
Cosmos DB doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite Cosmos DB s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. Audit, Désactivé 1.0.0
Event Hub doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite Event Hub s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. AuditIfNotExists, Désactivé 1.0.0
Les sous-réseaux de passerelle ne doivent pas être configurés avec un groupe de sécurité réseau Cette stratégie refuse un sous-réseau de passerelle configuré avec un groupe de sécurité réseau. L’attribution d’un groupe de sécurité réseau à un sous-réseau de passerelle entraîne l’arrêt du fonctionnement de la passerelle. deny 1.0.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Key Vault doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite Key Vault s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. Audit, Désactivé 1.0.0
SQL Server doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite tout serveur SQL Server non configuré pour utiliser un point de terminaison de service de réseau virtuel. AuditIfNotExists, Désactivé 1.0.0
Les comptes de stockage doivent utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite les comptes de stockage non configurés pour utiliser un point de terminaison de service de réseau virtuel. Audit, Désactivé 1.0.0
les sous-réseaux doivent être associés à un groupe de sécurité réseau Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. AuditIfNotExists, Désactivé 3.0.0
Les machines virtuelles doivent être connectées à un réseau virtuel approuvé Cette stratégie audite les machines virtuelles connectées à un réseau virtuel non approuvé. Audit, Refuser, Désactivé 1.0.0

Le réseau de l’organisation est logiquement et physiquement segmenté avec un périmètre de sécurité défini et un ensemble de contrôles gradué, y compris des sous-réseaux pour les composants système accessibles publiquement qui sont logiquement séparés du réseau interne, en fonction des exigences de l’organisation ; et le trafic est contrôlé suivant les fonctionnalités requises et la classification des données/systèmes en fonction d’une évaluation des risques et de leurs exigences de sécurité respectives.

ID : 0806.01m2Organizational.12356 - 01.m Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : Container Registry doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite Container Registry s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. Audit, Désactivé 1.0.0-preview
Les applications App Service doivent utiliser un point de terminaison de service de réseau virtuel Utilisez des points de terminaison de service de réseau virtuel pour restreindre l’accès à votre application à partir des sous-réseaux sélectionnés à partir d’un réseau virtuel Azure. Pour en savoir plus sur les points de terminaison de service App Service, consultez https://aks.ms/appservice-vnet-service-endpoint. AuditIfNotExists, Désactivé 2.0.0
Cosmos DB doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite Cosmos DB s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. Audit, Désactivé 1.0.0
Event Hub doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite Event Hub s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. AuditIfNotExists, Désactivé 1.0.0
Les sous-réseaux de passerelle ne doivent pas être configurés avec un groupe de sécurité réseau Cette stratégie refuse un sous-réseau de passerelle configuré avec un groupe de sécurité réseau. L’attribution d’un groupe de sécurité réseau à un sous-réseau de passerelle entraîne l’arrêt du fonctionnement de la passerelle. deny 1.0.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Key Vault doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite Key Vault s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. Audit, Désactivé 1.0.0
SQL Server doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite tout serveur SQL Server non configuré pour utiliser un point de terminaison de service de réseau virtuel. AuditIfNotExists, Désactivé 1.0.0
Les comptes de stockage doivent utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite les comptes de stockage non configurés pour utiliser un point de terminaison de service de réseau virtuel. Audit, Désactivé 1.0.0
les sous-réseaux doivent être associés à un groupe de sécurité réseau Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. AuditIfNotExists, Désactivé 3.0.0
Les machines virtuelles doivent être connectées à un réseau virtuel approuvé Cette stratégie audite les machines virtuelles connectées à un réseau virtuel non approuvé. Audit, Refuser, Désactivé 1.0.0

Les réseaux sont séparés des réseaux de niveau production lors de la migration de serveurs physiques, d’applications ou de données vers des serveurs virtualisés.

ID : 0894.01m2Organizational.7 - 01.m Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : Container Registry doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite Container Registry s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. Audit, Désactivé 1.0.0-preview
Les applications App Service doivent utiliser un point de terminaison de service de réseau virtuel Utilisez des points de terminaison de service de réseau virtuel pour restreindre l’accès à votre application à partir des sous-réseaux sélectionnés à partir d’un réseau virtuel Azure. Pour en savoir plus sur les points de terminaison de service App Service, consultez https://aks.ms/appservice-vnet-service-endpoint. AuditIfNotExists, Désactivé 2.0.0
Cosmos DB doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite Cosmos DB s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. Audit, Désactivé 1.0.0
Déployer Network Watcher lors de la création de réseaux virtuels Cette stratégie crée une ressource Network Watcher dans des régions avec des réseaux virtuels. Vous devez vérifier l’existence d’un groupe de ressources nommé networkWatcherRG, qui sert à déployer des instances de Network Watcher. DeployIfNotExists 1.0.0
Event Hub doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite Event Hub s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. AuditIfNotExists, Désactivé 1.0.0
Les sous-réseaux de passerelle ne doivent pas être configurés avec un groupe de sécurité réseau Cette stratégie refuse un sous-réseau de passerelle configuré avec un groupe de sécurité réseau. L’attribution d’un groupe de sécurité réseau à un sous-réseau de passerelle entraîne l’arrêt du fonctionnement de la passerelle. deny 1.0.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Key Vault doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite Key Vault s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. Audit, Désactivé 1.0.0
SQL Server doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite tout serveur SQL Server non configuré pour utiliser un point de terminaison de service de réseau virtuel. AuditIfNotExists, Désactivé 1.0.0
Les comptes de stockage doivent utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite les comptes de stockage non configurés pour utiliser un point de terminaison de service de réseau virtuel. Audit, Désactivé 1.0.0
les sous-réseaux doivent être associés à un groupe de sécurité réseau Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. AuditIfNotExists, Désactivé 3.0.0
Les machines virtuelles doivent être connectées à un réseau virtuel approuvé Cette stratégie audite les machines virtuelles connectées à un réseau virtuel non approuvé. Audit, Refuser, Désactivé 1.0.0

Contrôle de connexion réseau

ID : 0809.01n2Organizational.1234 - 01.n Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle AuditIfNotExists, Désactivé 3.0.0
Les applications App Service doivent être accessibles uniquement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 3.0.0
Les applications App Service doivent utiliser la dernière version TLS Mise à niveau vers la version la plus récente de TLS. AuditIfNotExists, Désactivé 2.0.0
L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
Les applications Function App ne doivent être accessibles que via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé 3.0.0
Les applications de fonctions doivent utiliser la dernière version TLS Mise à niveau vers la version la plus récente de TLS. AuditIfNotExists, Désactivé 2.0.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). Audit, Refuser, Désactivé 1.0.0
La sécurisation du transfert vers des comptes de stockage doit être activée Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) Audit, Refuser, Désactivé 2.0.0
les sous-réseaux doivent être associés à un groupe de sécurité réseau Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. AuditIfNotExists, Désactivé 3.0.0
Les machines virtuelles doivent être connectées à un réseau virtuel approuvé Cette stratégie audite les machines virtuelles connectées à un réseau virtuel non approuvé. Audit, Refuser, Désactivé 1.0.0

Les informations transmises sont sécurisées et, au minimum, chiffrées sur les réseaux publics ouverts.

ID : 0810.01n2Organizational.5 - 01.n Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle AuditIfNotExists, Désactivé 3.0.0
Les applications App Service doivent être accessibles uniquement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 3.0.0
Les applications App Service doivent utiliser la dernière version TLS Mise à niveau vers la version la plus récente de TLS. AuditIfNotExists, Désactivé 2.0.0
L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
Les applications Function App ne doivent être accessibles que via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé 3.0.0
Les applications de fonctions doivent utiliser la dernière version TLS Mise à niveau vers la version la plus récente de TLS. AuditIfNotExists, Désactivé 2.0.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). Audit, Refuser, Désactivé 1.0.0
La sécurisation du transfert vers des comptes de stockage doit être activée Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) Audit, Refuser, Désactivé 2.0.0
les sous-réseaux doivent être associés à un groupe de sécurité réseau Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. AuditIfNotExists, Désactivé 3.0.0
Les machines virtuelles doivent être connectées à un réseau virtuel approuvé Cette stratégie audite les machines virtuelles connectées à un réseau virtuel non approuvé. Audit, Refuser, Désactivé 1.0.0

Les exceptions à la stratégie de flux de trafic sont documentées avec un besoin métier/mission de prise en charge, la durée de l’exception et sont examinées au moins une fois par an ; les exceptions à la stratégie de flux de trafic sont supprimées quand elles ne sont plus prises en charge par un besoin métier/mission explicite.

ID : 0811.01n2Organizational.6 - 01.n Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle AuditIfNotExists, Désactivé 3.0.0
Les applications App Service doivent être accessibles uniquement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 3.0.0
Les applications App Service doivent utiliser la dernière version TLS Mise à niveau vers la version la plus récente de TLS. AuditIfNotExists, Désactivé 2.0.0
L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
Les applications Function App ne doivent être accessibles que via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé 3.0.0
Les applications de fonctions doivent utiliser la dernière version TLS Mise à niveau vers la version la plus récente de TLS. AuditIfNotExists, Désactivé 2.0.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). Audit, Refuser, Désactivé 1.0.0
La sécurisation du transfert vers des comptes de stockage doit être activée Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) Audit, Refuser, Désactivé 2.0.0
les sous-réseaux doivent être associés à un groupe de sécurité réseau Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. AuditIfNotExists, Désactivé 3.0.0
Les machines virtuelles doivent être connectées à un réseau virtuel approuvé Cette stratégie audite les machines virtuelles connectées à un réseau virtuel non approuvé. Audit, Refuser, Désactivé 1.0.0

Les appareils distants qui établissent une connexion non distante ne sont pas autorisés à communiquer avec les ressources externes (distantes).

ID : 0812.01n2Organizational.8 - 01.n Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle AuditIfNotExists, Désactivé 3.0.0
Les applications App Service doivent être accessibles uniquement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 3.0.0
Les applications App Service doivent utiliser la dernière version TLS Mise à niveau vers la version la plus récente de TLS. AuditIfNotExists, Désactivé 2.0.0
L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
Les applications Function App ne doivent être accessibles que via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé 3.0.0
Les applications de fonctions doivent utiliser la dernière version TLS Mise à niveau vers la version la plus récente de TLS. AuditIfNotExists, Désactivé 2.0.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). Audit, Refuser, Désactivé 1.0.0
La sécurisation du transfert vers des comptes de stockage doit être activée Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) Audit, Refuser, Désactivé 2.0.0
les sous-réseaux doivent être associés à un groupe de sécurité réseau Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. AuditIfNotExists, Désactivé 3.0.0
Les machines virtuelles doivent être connectées à un réseau virtuel approuvé Cette stratégie audite les machines virtuelles connectées à un réseau virtuel non approuvé. Audit, Refuser, Désactivé 1.0.0

La capacité des utilisateurs à se connecter au réseau interne est limitée à l’aide d’une stratégie de refus par défaut et d’autorisation par exception sur les interfaces gérées conformément à la stratégie de contrôle d’accès et aux exigences des applications cliniques et métier.

ID : 0814.01n1Organizational.12 - 01.n Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle AuditIfNotExists, Désactivé 3.0.0
Les applications App Service doivent être accessibles uniquement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 3.0.0
Les applications App Service doivent utiliser la dernière version TLS Mise à niveau vers la version la plus récente de TLS. AuditIfNotExists, Désactivé 2.0.0
L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
Les applications Function App ne doivent être accessibles que via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé 3.0.0
Les applications de fonctions doivent utiliser la dernière version TLS Mise à niveau vers la version la plus récente de TLS. AuditIfNotExists, Désactivé 2.0.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). Audit, Refuser, Désactivé 1.0.0
La sécurisation du transfert vers des comptes de stockage doit être activée Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) Audit, Refuser, Désactivé 2.0.0
les sous-réseaux doivent être associés à un groupe de sécurité réseau Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. AuditIfNotExists, Désactivé 3.0.0
Les machines virtuelles doivent être connectées à un réseau virtuel approuvé Cette stratégie audite les machines virtuelles connectées à un réseau virtuel non approuvé. Audit, Refuser, Désactivé 1.0.0

Identification et authentification des utilisateurs

L’organisation s’assure que les identifiants utilisateur redondants ne sont pas accordés à d’autres utilisateurs et que tous les utilisateurs sont identifiés et authentifiés de manière unique pour l’accès local et distant aux systèmes d’information.

ID : 11109.01q1Organizational.57 - 01.q Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’authentification multifacteur (MFA) doit être activée sur les comptes disposant d’autorisations de propriétaire sur votre abonnement MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 3.0.0

Les utilisateurs n’appartenant pas à l’organisation (tous les utilisateurs du système d’information autres que les utilisateurs de l’organisation, tels que les patients, les clients, les sous-traitants ou les ressortissants étrangers) ou les processus agissant pour le compte d’utilisateurs n’appartenant pas à l’organisation, dont il est établi qu’ils ont besoin d’accéder à des informations résidant sur les systèmes d’information de l’organisation, sont identifiés et authentifiés de manière unique.

ID : 11110.01q1Organizational.6 - 01.q Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations d’écriture sur votre abonnement MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 3.0.0

Quand l’authentification basée sur une infrastructure à clé publique est utilisée, le système d’information valide les certificats en construisant et en vérifiant un chemin de certification vers une ancre d’approbation acceptée, y compris la vérification des informations d’état du certificat ; applique l’accès à la clé privée correspondante ; mappe l’identité au compte correspondant de la personne ou du groupe ; et implémente un cache local des données de révocation pour prendre en charge la découverte et la validation des chemins en cas d’impossibilité d’accéder aux informations de révocation via le réseau.

ID : 11111.01q2System.4 - 01.q Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’authentification multifacteur (MFA) doit être activée sur les comptes disposant d’autorisations de lecture sur votre abonnement MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 3.0.0

Le système d’information utilise des mécanismes d’authentification résistants à la relecture tels qu’un nonce, des mots de passe à usage unique ou des horodatages afin de sécuriser l’accès réseau pour les comptes privilégiés ; et, pour l’authentification basée sur les jetons matériels, utilise des mécanismes qui satisfont aux exigences minimales des jetons présentées dans le document Electronic Authentication Guideline (NIST SP 800-63-2).

ID : 11112.01q2Organizational.67 - 01.q Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
3 propriétaires maximum doivent être désignés pour votre abonnement Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. AuditIfNotExists, Désactivé 3.0.0

L’organisation nécessite que les signatures électroniques, propres à une seule personne, ne puissent pas être réutilisées par, ou réaffectées à, une autre personne.

ID : 11208.01q1Organizational.8 - 01.q Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Plusieurs propriétaires doivent être attribués à votre abonnement Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur. AuditIfNotExists, Désactivé 3.0.0

Les signatures électroniques et les signatures manuscrites exécutées pour les enregistrements électroniques doivent être liées à leurs enregistrements électroniques respectifs.

ID : 11210.01q2Organizational.10 - 01.q Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local contient un ou plusieurs des membres listés dans le paramètre de stratégie. auditIfNotExists 2.0.0

Les enregistrements électroniques signés doivent contenir des informations associées à la signature dans un format lisible par l’homme.

ID : 11211.01q2Organizational.11 - 01.q Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Auditer les machines Windows qui ont un ou plusieurs membres spécifiés manquants dans le groupe Administrateurs Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local ne contient pas un ou plusieurs membres listés dans le paramètre de stratégie. auditIfNotExists 2.0.0

Les utilisateurs qui ont exécuté des fonctions privilégiées (par exemple, l’administration de système) utilisent des comptes distincts lors de l’exécution de ces fonctions privilégiées.

ID : 1123.01q1System.2 - 01.q Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Auditer les machines Windows qui ont des comptes supplémentaires dans le groupe Administrateurs Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local contient des membres qui ne sont pas listés dans le paramètre de stratégie. auditIfNotExists 2.0.0

Les méthodes d’authentification multifacteur sont utilisées conformément à la stratégie de l’organisation (par exemple, pour un accès réseau à distance).

ID : 1125.01q2System.1 - 01.q Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local contient un ou plusieurs des membres listés dans le paramètre de stratégie. auditIfNotExists 2.0.0

Quand des jetons sont fournis pour l’authentification multifacteur, la vérification en personne est requise avant d’accorder l’accès.

ID : 1127.01q2System.3 - 01.q Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Auditer les machines Windows qui ont un ou plusieurs membres spécifiés manquants dans le groupe Administrateurs Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local ne contient pas un ou plusieurs membres listés dans le paramètre de stratégie. auditIfNotExists 2.0.0

L’accès aux informations et systèmes de l’organisation par des parties externes n’est pas autorisé tant qu’une diligence raisonnable n’a pas été exercée, que les contrôles appropriés n’ont pas été implémentés et qu’un contrat/accord reflétant les exigences de sécurité n’a pas été signé confirmant qu’elles comprennent et acceptent leurs obligations.

ID : 1401.05i1Organizational.1239 - 05.i Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La sécurisation du transfert vers des comptes de stockage doit être activée Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) Audit, Refuser, Désactivé 2.0.0

Les connexions d’accès à distance entre l’organisation et des parties externes sont chiffrées.

ID : 1402.05i1Organizational.45 - 05.i Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les applications Function App ne doivent être accessibles que via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé 3.0.0

L’accès accordé à des parties externes est limité au strict minimum et octroyé uniquement pour la durée requise.

ID : 1403.05i1Organizational.67 - 05.i Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les applications App Service doivent être accessibles uniquement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 3.0.0

ID : 1418.05i1Organizational.8 - 05.i Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1

L’organisation obtient des garanties suffisantes quant à l’existence d’une sécurité raisonnable des informations dans sa chaîne d’approvisionnement en information en effectuant une révision annuelle, qui comprend tous les partenaires/fournisseurs tiers dont dépend sa chaîne d’approvisionnement en information.

ID : 1450.05i2Organizational.2 - 05.i Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1

Les fournisseurs de services cloud conçoivent et implémentent des contrôles pour atténuer et limiter les risques de sécurité des données grâce à une séparation correcte des tâches, à un accès en fonction du rôle et à un accès de moindre privilège pour l’ensemble du personnel au sein de leur chaîne d’approvisionnement.

ID : 1451.05iCSPOrganizational.2 - 05.i Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). Audit, Refuser, Désactivé 1.0.0

Journalisation d’audit

Un enregistrement d’audit sécurisé est créé pour toutes les activités sur le système (création, lecture, mise à jour, suppression) qui impliquent des informations couvertes.

ID : 1202.09aa1System.1 - 09.aa Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les journaux de ressources dans Azure Data Lake Store doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les mises à jour système sur les groupes de machines virtuelles identiques doivent être installées Vérifiez si des mises à jour de sécurité système et des mises à jour critiques sont manquantes et doivent être installées pour assurer la sécurité de vos groupes de machines virtuelles identiques Windows et Linux. AuditIfNotExists, Désactivé 3.0.0

Les enregistrements d’audit incluent l’identifiant utilisateur unique, l’identifiant d’objet de données unique, la fonction exécutée et la date/heure à laquelle l’événement a été effectué.

ID : 1203.09aa1System.2 - 09.aa Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les journaux de ressources dans Logic Apps doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0

Les activités des utilisateurs privilégiés (administrateurs, opérateurs, etc.) incluent la réussite ou l’échec de l’événement, l’heure à laquelle l’événement s’est produit, le compte impliqué, les processus impliqués et des informations supplémentaires sur l’événement.

ID : 1204.09aa1System.3 - 09.aa Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les journaux de ressources dans IoT Hub doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 3.0.1

Les journaux des messages envoyés et reçus sont conservés, notamment la date, l’heure, l’origine et la destination des messages, mais pas leur contenu.

ID : 1205.09aa2System.1 - 09.aa Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les journaux de ressources dans les comptes Batch doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0

L’audit est toujours disponible quand le système est actif et suit les événements clés, les accès aux données ayant réussi/échoué, les modifications apportées à la configuration de la sécurité du système, les utilisations avec privilèges ou utilitaires, les alarmes émises, l’activation et la désactivation des systèmes de protection (par exemple, A/V et IDS), l’activation et la désactivation des mécanismes d’identification et d’authentification ainsi que la création et la suppression d’objets au niveau du système.

ID : 1206.09aa2System.23 - 09.aa Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les journaux de ressources dans Virtual Machine Scale Sets doivent être activés Il est recommandé d’activer les journaux d’activité pour permettre le traçage de l’activité lors des enquêtes requises en cas d’incident ou de compromission. AuditIfNotExists, Désactivé 2.1.0

Les enregistrements d’audit sont conservés pendant 90 jours, tandis que les enregistrements d’audit plus anciens sont archivés pendant un an.

ID : 1207.09aa2System.4 - 09.aa Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les journaux de ressources dans Azure Stream Analytics doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Event Hub doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0

Les journaux d’audit sont conservés pour les activités de gestion, le démarrage, l’arrêt et les erreurs du système et des applications, les modifications de fichier et les modifications de stratégie de sécurité.

ID : 1208.09aa3System.1 - 09.aa Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les journaux de ressources dans les services Search doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Service Bus doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0

Le système d’information génère des enregistrements d’audit contenant les informations détaillées suivantes : (i) nom du fichier ayant fait l’objet d’un accès ; (II) programme ou commande utilisé pour lancer l’événement ; et (III) adresses source et de destination.

ID : 1209.09aa3System.2 - 09.aa Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les applications App Service doivent avoir activé les journaux des ressources Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 2.0.1

Toutes les divulgations d’informations couvertes au sein de l’organisation ou en dehors de celle-ci sont journalisées, notamment le type de divulgation, la date/heure de l’événement, le destinataire et l’expéditeur.

ID : 1210.09aa3System.3 - 09.aa Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Auditer le paramètre de diagnostic Auditez le paramètre de diagnostic pour les types de ressources sélectionnés AuditIfNotExists 1.1.0
Les journaux de ressources dans Data Lake Analytics doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0

L’organisation vérifie tous les quatre-vingt-dix (90) jours pour chaque extraction d’informations couvertes enregistrées que les données sont effacées ou que leur utilisation est toujours nécessaire.

ID : 1211.09aa3System.4 - 09.aa Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’audit sur SQL Server doit être activé L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. AuditIfNotExists, Désactivé 2.0.0
Les journaux de ressources d’un HSM managé Azure Key Vault doivent être activés Pour recréer des traçages d’activité à des fins d’investigation quand un incident de sécurité se produit ou quand votre réseau est compromis, vous pouvez effectuer un audit en activant les journaux de ressources des HSM managés. Suivez les instructions ici : https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. AuditIfNotExists, Désactivé 1.0.0
Les journaux de ressources dans Key Vault doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau AuditIfNotExists, Désactivé 5.0.0

Supervision de l’utilisation du système

Les connexions distantes non autorisées aux systèmes d’information sont supervisées et vérifiées au moins une fois par trimestre, et les mesures appropriées sont prises en cas de détection de connexion non autorisée.

ID : 1120.09ab3System.9 - 09.ab Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Azure Monitor doit collecter les journaux d’activité dans toutes les régions Cette stratégie effectue l’audit du profil de journal Azure Monitor qui n’exporte pas d’activités à partir de toutes les régions Azure prises en charge, notamment la région globale. AuditIfNotExists, Désactivé 2.0.0

L’organisation supervise le système d’information pour identifier les irrégularités ou les anomalies qui sont des indicateurs d’un dysfonctionnement ou d’une compromission du système et aident à vérifier que l’état de fonctionnement du système est optimal, résilient et sécurisé.

ID : 12100.09ab2System.15 - 09.ab Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’extension Log Analytics doit être installée sur les machines virtuelles Cette stratégie audite toutes les machines virtuelles Windows/Linux si l’extension Log Analytics n’est pas installée. AuditIfNotExists, Désactivé 1.0.1

L’organisation spécifie la fréquence à laquelle les journaux d’audit sont examinés, la manière dont les examens sont documentés ainsi que les rôles et responsabilités spécifiques du personnel chargé des examens, y compris les certifications professionnelles ou autres qualifications requises.

ID : 12101.09ab1Organizational.3 - 09.ab Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’extension Log Analytics doit être installée sur Virtual Machine Scale Sets Cette stratégie audite les groupes de machines virtuelles identiques Windows/Linux si l’extension Log Analytics n’est pas installée. AuditIfNotExists, Désactivé 1.0.1

L’organisation teste périodiquement ses processus de supervision et de détection, corrige les anomalies et améliore ses processus.

ID : 12102.09ab1Organizational.4 - 09.ab Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Auditer les machines Windows sur lesquelles l’agent Log Analytics n’est pas connecté comme prévu Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si l’agent n’est pas installé ou s’il est installé, mais que l’objet COM AgentConfigManager.MgmtSvcCfg renvoie qu’il est inscrit auprès d’un espace de travail autre que l’ID spécifié dans le paramètre de stratégie. auditIfNotExists 2.0.0

ID : 1212.09ab1System.1 - 09.ab Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Le profil de journal Azure Monitor doit collecter des journaux pour les catégories « écriture », « suppression » et « action » Cette stratégie garantit qu’un profil de journal collecte les journaux pour les catégories « write », « delete » et « action » AuditIfNotExists, Désactivé 1.0.0

Les systèmes automatisés déployés dans l’environnement de l’organisation sont utilisés pour superviser les événements clés et les activités anormales et pour analyser les journaux système, dont les résultats sont révisés régulièrement.

ID : 1213.09ab2System.128 - 09.ab Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Le provisionnement automatique de l’agent Log Analytics doit être activé sur votre abonnement Pour superviser les menaces et les vulnérabilités de sécurité, Azure Security Center collecte des données à partir de vos machines virtuelles Azure. Les données sont collectées par l’agent Log Analytics, auparavant appelé Microsoft Monitoring Agent (MMA). Cet agent lit divers journaux d’événements et configurations liés à la sécurité de la machine, puis copie les données dans votre espace de travail Log Analytics à des fins d’analyse. Nous vous recommandons d’activer l’approvisionnement automatique pour déployer automatiquement l’agent sur toutes les machines virtuelles Azure prises en charge et sur toutes celles qui sont créées. AuditIfNotExists, Désactivé 1.0.1

La supervision comprend les opérations privilégiées, les tentatives d’accès autorisé et d’accès non autorisé, y compris les tentatives d’accès à des comptes désactivés, et les défaillances et alertes système.

ID : 1214.09ab2System.3456 - 09.ab Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Azure Monitor doit collecter les journaux d’activité dans toutes les régions Cette stratégie effectue l’audit du profil de journal Azure Monitor qui n’exporte pas d’activités à partir de toutes les régions Azure prises en charge, notamment la région globale. AuditIfNotExists, Désactivé 2.0.0

Les systèmes d’audit et de supervision utilisés par l’organisation prennent en charge la réduction des audits et la génération de rapports.

ID : 1215.09ab2System.7 - 09.ab Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’extension Log Analytics doit être installée sur les machines virtuelles Cette stratégie audite toutes les machines virtuelles Windows/Linux si l’extension Log Analytics n’est pas installée. AuditIfNotExists, Désactivé 1.0.1

Les systèmes automatisés sont utilisés pour examiner les activités de supervision des systèmes de sécurité (par exemple, les systèmes IPS/IDS) et les enregistrements système quotidiennement et pour identifier et documenter les anomalies.

ID : 1216.09ab3System.12 - 09.ab Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’extension Log Analytics doit être installée sur Virtual Machine Scale Sets Cette stratégie audite les groupes de machines virtuelles identiques Windows/Linux si l’extension Log Analytics n’est pas installée. AuditIfNotExists, Désactivé 1.0.1

Des alertes sont générées pour le personnel technique afin qu’il analyse et examine les activités suspectes ou les violations présumées.

ID : 1217.09ab3System.3 - 09.ab Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Auditer les machines Windows sur lesquelles l’agent Log Analytics n’est pas connecté comme prévu Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si l’agent n’est pas installé ou s’il est installé, mais que l’objet COM AgentConfigManager.MgmtSvcCfg renvoie qu’il est inscrit auprès d’un espace de travail autre que l’ID spécifié dans le paramètre de stratégie. auditIfNotExists 2.0.0

Le système d’information est en mesure de traiter automatiquement les enregistrements d’audit pour les événements intéressants en fonction de critères sélectionnables.

ID : 1219.09ab3System.10 - 09.ab Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Le profil de journal Azure Monitor doit collecter des journaux pour les catégories « écriture », « suppression » et « action » Cette stratégie garantit qu’un profil de journal collecte les journaux pour les catégories « write », « delete » et « action » AuditIfNotExists, Désactivé 1.0.0

La supervision comprend les communications entrantes et sortantes ainsi que la supervision de l’intégrité des fichiers.

ID : 1220.09ab3System.56 - 09.ab Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Le provisionnement automatique de l’agent Log Analytics doit être activé sur votre abonnement Pour superviser les menaces et les vulnérabilités de sécurité, Azure Security Center collecte des données à partir de vos machines virtuelles Azure. Les données sont collectées par l’agent Log Analytics, auparavant appelé Microsoft Monitoring Agent (MMA). Cet agent lit divers journaux d’événements et configurations liés à la sécurité de la machine, puis copie les données dans votre espace de travail Log Analytics à des fins d’analyse. Nous vous recommandons d’activer l’approvisionnement automatique pour déployer automatiquement l’agent sur toutes les machines virtuelles Azure prises en charge et sur toutes celles qui sont créées. AuditIfNotExists, Désactivé 1.0.1

Journaux des administrateurs et opérateurs

L’organisation veille à ce que la journalisation appropriée soit activée afin d’auditer les activités des administrateurs. Elle examine régulièrement les journaux des administrateurs système et des opérateurs.

ID : 1270.09ad1System.12 - 09.ad Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 1.0.0

Un système de détection d’intrusion géré en dehors du contrôle des administrateurs système et réseau est utilisé pour superviser la conformité des activités d’administration système et réseau.

ID : 1271.09ad1System.1 - 09.ad Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 1.0.0

Répartition des tâches

La répartition des tâches est utilisée pour limiter le risque de modification non autorisée ou non intentionnelle des informations et des systèmes.

ID : 1229.09c1Organizational.1 - 09.c Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes Pour fournir un filtrage précis des actions que les utilisateurs peuvent effectuer, utilisez le contrôle d’accès en fonction du rôle (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurez les stratégies d’autorisation appropriées. Audit, Désactivé 1.0.2

Aucune personne ne peut accéder, modifier ou utiliser des systèmes d’information sans autorisation ou détection.

ID : 1230.09 c2Organizational. 1-09. c Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Auditer l’utilisation de règles personnalisées RBAC Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces Audit, Désactivé 1.0.0

ID : 1232.09c3Organizational.12 - 09.c Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les machines Windows doivent répondre aux exigences de « Attribution de droits de l’utilisateur » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Attribution de droits de l’utilisateur » pour autoriser l’ouverture de session localement, RDP, l’accès à partir du réseau et plusieurs autres activités utilisateur. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0

Le lancement d’un événement est séparé de son autorisation pour réduire le risque de collusion.

ID : 1277.09c2Organizational.4 - 09.c Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Contrôle de compte d’utilisateur » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Contrôle de compte d’utilisateur » pour le mode pour les administrateurs, le comportement d’invite d’élévation et la virtualisation des échecs d’écriture dans les fichiers et les registres. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0

Contrôles contre le code malveillant

Les logiciels antivirus et anti-logiciels espions sont installés, exploités et mis à jour sur tous les appareils des utilisateurs finaux pour effectuer des analyses périodiques des systèmes afin d’identifier et de supprimer les logiciels non autorisés. Les environnements de serveur pour lesquels le développeur de logiciels serveur recommande expressément de ne pas installer de logiciels antivirus et anti-logiciels espions basés sur l’hôte peuvent répondre aux exigences par le biais d’une solution de détection de programmes malveillants basée sur le réseau.

ID : 0201.09j1Organizational.124 - 09.j Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables. AuditIfNotExists, Désactivé 3.0.0
Déployer l’extension Microsoft IaaSAntimalware par défaut pour Windows Server Cette stratégie déploie une extension Microsoft IaaSAntimalware avec une configuration par défaut quand une machine virtuelle n’est pas configurée avec l’extension de logiciel anti-programme malveillant. deployIfNotExists 1.1.0
La solution de protection du point de terminaison doit être installée sur les groupes de machines virtuelles identiques Vérifiez l’existence et l’intégrité d’une solution Endpoint Protection dans vos groupes de machines virtuelles identiques, pour les protéger des menaces et des vulnérabilités. AuditIfNotExists, Désactivé 3.0.0
Microsoft Antimalware pour Azure doit être configuré pour mettre à jour automatiquement les signatures de protection Cette stratégie permet d’effectuer un audit de toutes les machines virtuelles Windows non configurées avec la mise à jour automatique des signatures de protection de Microsoft Antimalware. AuditIfNotExists, Désactivé 1.0.0
Superviser les agents Endpoint Protection manquants dans Azure Security Center Les serveurs sans agent Endpoint Protection installé seront supervisés par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
Les mises à jour système doivent être installées sur vos machines Les mises à jour système de sécurité manquantes sur vos serveurs seront supervisées par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 4.0.0

Sauvegarde

Des copies de sauvegarde des informations et des logiciels sont effectuées et des tests des procédures de stockage et de restauration sont réalisés régulièrement à des intervalles appropriés.

ID : 1616.09l1Organizational.16 - 09.l Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La sauvegarde géoredondante à long terme doit être activée pour les bases de données Azure SQL Cette stratégie permet d’effectuer un audit d’une base de données Azure SQL Database si la sauvegarde géoredondante à long terme n’est pas activée. AuditIfNotExists, Désactivé 2.0.0

ID : 1617.09l1Organizational.23 - 09.l Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1

Les sauvegardes sont stockées sur un site distant physiquement sécurisé, à une distance suffisante pour les rendre raisonnablement immunisées contre les dommages subis par les données sur le site principal, et des contrôles physiques et environnementaux raisonnables sont en place pour garantir leur protection sur le site distant.

ID : 1618.09l1Organizational.45 - 09.l Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1

Les enregistrements d’inventaire pour les copies de sauvegarde, y compris le contenu et la localisation actuelle, sont conservés.

ID : 1619.09l1Organizational.7 - 09.l Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1

Quand le service de sauvegarde est fourni par le tiers, le contrat de niveau de service comprend les protections détaillées permettant de contrôler la confidentialité, l’intégrité et la disponibilité des informations de sauvegarde.

ID : 1620.09l1Organizational.8 - 09.l Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La sauvegarde Azure doit être activée pour les machines virtuelles Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. AuditIfNotExists, Désactivé 3.0.0

Des outils automatisés sont utilisés pour effectuer le suivi de toutes les sauvegardes.

ID : 1621.09l2Organizational.1 - 09.l Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La sauvegarde géoredondante à long terme doit être activée pour les bases de données Azure SQL Cette stratégie permet d’effectuer un audit d’une base de données Azure SQL Database si la sauvegarde géoredondante à long terme n’est pas activée. AuditIfNotExists, Désactivé 2.0.0

L’intégrité et la sécurité des copies de sauvegarde sont gérées pour garantir la disponibilité future, et les éventuels problèmes d’accessibilité liés aux copies de sauvegarde sont identifiés et atténués en cas de sinistre à l’échelle de la zone.

ID : 1622.09l2Organizational.23 - 09.l Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1

Les informations couvertes sont sauvegardées dans un format chiffré pour garantir la confidentialité.

ID : 1623.09l2Organizational.4 - 09.l Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1

L’organisation effectue des sauvegardes incrémentielles ou différentielles quotidiennement et des sauvegardes complètes chaque semaine sur un support distinct.

ID : 1624.09l3Organizational.12 - 09.l Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1

ID : 1625.09l3Organizational.34 - 09.l Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La sauvegarde Azure doit être activée pour les machines virtuelles Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. AuditIfNotExists, Désactivé 3.0.0

L’organisation s’assure qu’une copie actuelle et récupérable des informations couvertes est disponible avant le déplacement des serveurs.

ID : 1626.09l3Organizational.5 - 09.l Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1

L’organisation teste les informations de sauvegarde après chaque sauvegarde pour vérifier la fiabilité des supports et l’intégrité des informations, et au moins une fois par an par la suite.

ID : 1627.09l3Organizational.6 - 09.l Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1

Les rôles et les responsabilités des membres du personnel dans le processus de sauvegarde des données sont identifiés et communiqués au personnel ; en particulier, les utilisateurs BYOD (Bring Your Own Device) sont tenus d’effectuer des sauvegardes des données organisationnelles et/ou clientes sur leurs appareils.

ID : 1699.09l1Organizational.10 - 09.l Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La sauvegarde Azure doit être activée pour les machines virtuelles Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. AuditIfNotExists, Désactivé 3.0.0

Contrôles réseau

L’organisation supervise tous les accès sans fil autorisés et non autorisés au système d’information et interdit l’installation de points d’accès sans fil, sauf autorisation explicite écrite par le directeur informatique ou son représentant désigné.

ID : 0858.09 m1Organizational. 4-09. m Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. AuditIfNotExists, Désactivé 3.0.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Propriétés de pare-feu Windows » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Propriétés de pare-feu Windows » pour l’état du pare-feu, les connexions, la gestion des règles et les notifications. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0

L’organisation garantit la sécurité des informations sur les réseaux, la disponibilité des services réseau et des services d’information utilisant le réseau ainsi que la protection des services connectés contre tout accès non autorisé.

ID : 0859.09m1Organizational.78 - 09.m Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle AuditIfNotExists, Désactivé 3.0.0

L’organisation gère rigoureusement l’équipement sur le réseau, y compris l’équipement des zones utilisateur.

ID : 0860.09m1Organizational.9 - 09.m Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Déployer des paramètres de diagnostic pour les groupes de sécurité réseau Cette stratégie déploie automatiquement les paramètres de diagnostic sur les groupes de sécurité réseau. Un compte de stockage portant le nom « {storagePrefixParameter}{NSGLocation} » est automatiquement créé. deployIfNotExists 2.0.0

Pour identifier et authentifier les appareils sur les réseaux locaux et/ou étendus, y compris les réseaux sans fil, le système d’information utilise (i) une solution d’information connue partagée ou (II) une solution d’authentification d’organisation ; le choix de l’une ou l’autre et sa puissance dépendent de la catégorisation de sécurité du système d’information.

ID : 0861.09m2Organizational.67 - 09.m Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les applications App Service doivent utiliser un point de terminaison de service de réseau virtuel Utilisez des points de terminaison de service de réseau virtuel pour restreindre l’accès à votre application à partir des sous-réseaux sélectionnés à partir d’un réseau virtuel Azure. Pour en savoir plus sur les points de terminaison de service App Service, consultez https://aks.ms/appservice-vnet-service-endpoint. AuditIfNotExists, Désactivé 2.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Accès réseau » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Accès réseau » pour inclure l’accès des utilisateurs anonymes, des comptes locaux et l’accès à distance au Registre. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0

L’organisation s’assure que les systèmes d’information protègent la confidentialité et l’intégrité des informations transmises, y compris pendant la préparation de la transmission et pendant la réception.

ID : 0862.09m2Organizational.8 - 09.m Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
SQL Server doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite tout serveur SQL Server non configuré pour utiliser un point de terminaison de service de réseau virtuel. AuditIfNotExists, Désactivé 1.0.0

L’organisation crée une configuration de pare-feu qui limite les connexions entre les réseaux non approuvés et les composants système de l’environnement des informations couvertes ; toutes les modifications apportées à la configuration du pare-feu sont mises à jour dans le diagramme du réseau.

ID : 0863.09m2Organizational.910 - 09.m Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Event Hub doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite Event Hub s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. AuditIfNotExists, Désactivé 1.0.0

Les restrictions d’utilisation et les recommandations d’implémentation sont rigoureusement définies pour les appels voix sur IP, y compris l’autorisation et la supervision du service.

ID : 0864.09m2Organizational.12 - 09.m Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Cosmos DB doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite Cosmos DB s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. Audit, Désactivé 1.0.0

L’organisation (i) autorise les connexions à partir du système d’information vers d’autres systèmes d’information en dehors de l’organisation par le biais de contrats de sécurité d’interconnexion ou d’un autre contrat en bonne et due forme ; (ii) documente chaque connexion, les caractéristiques de l’interface, les exigences de sécurité et la nature des informations communiquées ; (iii) utilise une stratégie de refus complet et d’autorisation par exception pour autoriser les connexions entre le système d’information et d’autres systèmes d’information en dehors de l’organisation ; et (iv) applique une règle de refus par défaut qui supprime tout le trafic via les pare-feu basés sur l’hôte ou les outils de filtrage de port sur ses points de terminaison (stations de travail, serveurs, etc.), à l’exception des services et ports explicitement autorisés.

ID : 0865.09m2Organizational.13 - 09.m Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Key Vault doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite Key Vault s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. Audit, Désactivé 1.0.0

L’organisation décrit les groupes, les rôles et les responsabilités de la gestion logique des composants réseau et garantit la coordination et la cohérence des éléments de l’infrastructure réseau.

ID : 0866.09m3Organizational.1516 - 09.m Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les comptes de stockage doivent limiter l’accès réseau L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. Audit, Refuser, Désactivé 1.1.1

Les points d’accès sans fil sont placés dans des zones sécurisées et s’arrêtent quand ils ne sont pas en cours d’utilisation (par exemple, la nuit ou durant les week-ends).

ID : 0867.09m3Organizational.17 - 09.m Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les comptes de stockage doivent utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite les comptes de stockage non configurés pour utiliser un point de terminaison de service de réseau virtuel. Audit, Désactivé 1.0.0

L’organisation crée une configuration de pare-feu pour limiter le trafic entrant et sortant à ce qui est nécessaire pour l’environnement des données couvertes.

ID : 0868.09m3Organizational.18 - 09.m Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : Container Registry doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite Container Registry s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. Audit, Désactivé 1.0.0-preview

Les fichiers de configuration du routeur sont sécurisés et synchronisés.

ID : 0869.09m3Organizational.19 - 09.m Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : Container Registry doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite Container Registry s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. Audit, Désactivé 1.0.0-preview

L’accès à tous les proxys est refusé, à l’exception des hôtes, ports et services explicitement requis.

ID : 0870.09m3Organizational.20 - 09.m Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : Container Registry doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite Container Registry s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. Audit, Désactivé 1.0.0-preview

Les serveurs DNS faisant autorité sont séparés en rôles internes et externes.

ID : 0871.09m3Organizational.22 - 09.m Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : Container Registry doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite Container Registry s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. Audit, Désactivé 1.0.0-preview

Sécurité de Network Services

Les services contractuels fournis par un fournisseur/responsable de services réseau sont officiellement gérés et supervisés pour veiller à ce qu’ils soient fournis en toute sécurité.

ID : 0835.09n1Organizational.1 - 09.n Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. AuditIfNotExists, Désactivé 1.0.2-preview
Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager Utilisez le nouvel Azure Resource Manager pour renforcer la sécurité de vos machines virtuelles : contrôle d’accès en fonction du rôle (RBAC) renforcé, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, et prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité. Audit, Refuser, Désactivé 1.0.0

L’organisation autorise et documente rigoureusement les caractéristiques de chaque connexion entre un système d’information et d’autres systèmes d’information extérieurs à l’organisation.

ID : 0836.09.n2Organizational.1 - 09.n Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. AuditIfNotExists, Désactivé 1.0.2-preview

Les contrats en bonne et due forme avec les fournisseurs de systèmes d’information externes incluent des obligations spécifiques en matière de sécurité et de confidentialité.

ID : 0837.09.n2Organizational.2 - 09.n Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Network Watcher doit être activé Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. AuditIfNotExists, Désactivé 3.0.0

L’organisation révise et met à jour les contrats de sécurité d’interconnexion de manière continue en vérifiant l’application des exigences de sécurité.

ID : 0885.09n2Organizational.3 - 09.n Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. AuditIfNotExists, Désactivé 1.0.2-preview

L’organisation utilise et documente dans un contrat en bonne et due forme ou un autre document, i) une stratégie d’autorisation complète et de refus par exception, ou ii) une stratégie de refus complet et d’autorisation par exception (recommandé), pour autoriser des systèmes d’information spécifiques à se connecter à des systèmes d’information externes.

ID : 0886.09n2Organizational.4 - 09.n Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Network Watcher doit être activé Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. AuditIfNotExists, Désactivé 3.0.0

L’organisation nécessite que les fournisseurs de services externes/externalisés identifient les fonctions, ports et protocoles spécifiques utilisés dans le provisionnement des services externes/externalisés.

ID : 0887.09n2Organizational.5 - 09.n Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. AuditIfNotExists, Désactivé 1.0.2-preview

Le contrat avec le fournisseur de services externes/externalisés comprend la spécification selon laquelle le fournisseur de services est responsable de la protection des informations couvertes partagées.

ID : 0888.09n2Organizational.6 - 09.n Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Network Watcher doit être activé Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. AuditIfNotExists, Désactivé 3.0.0

Gestion des médias amovibles

En fonction du niveau de classification des données, l’organisation inscrit des médias (notamment des ordinateurs portables) avant leur utilisation, met en place des restrictions acceptables sur la façon dont ces médias sont utilisés et fournit un niveau approprié de protection physique et logique (y compris de chiffrement) pour les médias contenant des informations couvertes jusqu’à leur destruction ou leur nettoyage appropriés.

ID : 0301.09o1Organizational.123 - 09.o Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Transparent Data Encryption sur les bases de données SQL doit être activé Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises AuditIfNotExists, Désactivé 2.0.0

L’organisation protège et contrôle les supports contenant des informations sensibles pendant le transport en dehors des zones contrôlées.

ID : 0302.09o2Organizational.1 - 09.o Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage Par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme. Les disques temporaires, les caches de données et le flux de données entre le calcul et le stockage ne sont pas chiffrés. Ignorez cette recommandation dans les deux cas suivants : Vous utilisez le chiffrement sur l’hôte. Le chiffrement côté serveur des Disques managés répond à vos besoins en matière de sécurité. Pour en savoir plus, consultez : Chiffrement côté serveur de Stockage sur disque Azure : https://aka.ms/disksse, Différentes offres de chiffrement de disque : https://aka.ms/diskencryptioncomparison AuditIfNotExists, Désactivé 2.0.3

L’organisation limite l’utilisation de supports amovibles accessibles en écriture et de supports amovibles personnels dans ses systèmes.

ID : 0304.09o3Organizational.1 - 09.o Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Exiger un chiffrement sur les comptes Data Lake Store Cette stratégie garantit que le chiffrement est activé sur tous les comptes Data Lake Store deny 1.0.0
Les instances gérées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. Audit, Refuser, Désactivé 2.0.0
Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. Audit, Refuser, Désactivé 2.0.1

Stratégies et procédures d’échange d’informations

Les fournisseurs de services cloud utilisent une plateforme de virtualisation reconnue par le secteur et des formats de virtualisation standard (par exemple, Open Virtualization Format, OVF) pour garantir l’interopérabilité. Ils ont aussi documenté les modifications personnalisées apportées à tous les hyperviseurs en cours d’utilisation et tous les crochets de virtualisation propres aux solutions soumis à la révision des clients.

ID : 0662.09sCSPOrganizational.2 - 09.s Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les applications App Service doivent avoir les « Certificats clients (certificats clients entrants) » activés Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Audit, Désactivé 2.0.0

L’organisation sollicite rigoureusement plusieurs dispositifs de protection avant d’autoriser l’utilisation de systèmes d’information pour l’échange d’informations.

ID : 0901.09s1Organizational.1 - 09.s Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. AuditIfNotExists, Désactivé 2.0.0

L’accès distant (externe) aux ressources d’informations de l’organisation et l’accès aux ressources d’informations externes (sur lesquelles l’organisation n’exerce aucun contrôle) sont basés sur des conditions générales clairement définies.

ID : 0902.09s2Organizational.13 - 09.s Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les applications de fonctions ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. AuditIfNotExists, Désactivé 2.0.0

Le chiffrement est utilisé pour protéger la confidentialité et l’intégrité des sessions d’accès à distance au réseau interne et aux systèmes externes.

ID : 0912.09s1Organizational.4 - 09.s Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Le débogage à distance doit être désactivé pour les applications App Service Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0

Les protocoles de chiffrement fort sont utilisés pour protéger les informations couvertes pendant la transmission sur des réseaux publics moins fiables/ouverts.

ID : 0913.09s1Organizational.5 - 09.s Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Le débogage à distance doit être désactivé pour les applications de fonctions Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0

L’organisation limite l’utilisation de médias de stockage portables contrôlés par elle-même par des personnes autorisées sur des systèmes d’information externes.

ID : 0915.09s2Organizational.2 - 09.s Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les applications App Service doivent avoir les « Certificats clients (certificats clients entrants) » activés Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Audit, Désactivé 2.0.0

Le système d’information interdit l’activation à distance d’appareils informatiques collaboratifs et fournit une indication d’utilisation explicite aux utilisateurs physiquement présents devant les appareils.

ID : 0916.09s2Organizational.4 - 09.s Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. AuditIfNotExists, Désactivé 2.0.0

Les fournisseurs de services cloud utilisent des protocoles réseau normalisés sécurisés (par exemple, authentifiés et sans texte en clair) pour l’importation et l’exportation de données et pour gérer le service, et mettent à la disposition des consommateurs (locataires) un document détaillant les normes d’interopérabilité et de portabilité pertinentes impliquées.

ID : 0960.09sCSPOrganizational.1 - 09.s Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les applications de fonctions ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. AuditIfNotExists, Désactivé 2.0.0

Le personnel est formé de manière appropriée aux principes et pratiques de pointe pour tous les types d’échange d’informations (verbal, papier et électronique).

ID : 1325.09s1Organizational.3 - 09.s Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Le débogage à distance doit être désactivé pour les applications de fonctions Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0

Transactions en ligne

Les données impliquées dans l’e-commerce et les transactions en ligne sont vérifiées pour déterminer si elles contiennent des informations couvertes.

ID : 0943.09y1Organizational.1 - 09.y Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La sécurisation du transfert vers des comptes de stockage doit être activée Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) Audit, Refuser, Désactivé 2.0.0

Les protocoles utilisés pour la communication entre toutes les parties impliquées sont sécurisés à l’aide de techniques de chiffrement (par exemple, SSL).

ID : 0945.09y1Organizational.3 - 09.y Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Auditer les machines Windows qui ne contiennent pas les certificats spécifiés dans la racine de confiance Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le magasin de certificats racines de confiance de l’ordinateur (Cert:\LocalMachine\Root) ne contient pas un ou plusieurs des certificats listés par le paramètre de stratégie. auditIfNotExists 3.0.0

L’organisation nécessite l’utilisation d’un chiffrement entre, et l’utilisation de signatures électroniques par, chacune des parties impliquées dans la transaction.

ID : 0946.09y2Organizational.14 - 09.y Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). Audit, Refuser, Désactivé 1.0.0

L’organisation s’assure que le stockage des détails de la transaction se trouve en dehors de tout environnement accessible publiquement (par exemple, sur une plateforme de stockage rattachée à l’intranet de l’organisation) et n’est pas conservé et exposé sur un support de stockage directement accessible à partir d’Internet.

ID : 0947.09y2Organizational.2 - 09.y Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1

Quand une autorité de confiance est utilisée (par exemple, pour l’émission et la gestion de signatures numériques et/ou de certificats numériques), la sécurité est intégrée et incorporée tout au long du processus de gestion des certificats/signatures de bout en bout.

ID : 0948.09y2Organizational.3 - 09.y Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1

Les protocoles utilisés pour les communications sont améliorés pour résoudre toute nouvelle vulnérabilité, et les versions mises à jour des protocoles sont adoptées dès que possible.

ID : 0949.09y2Organizational.5 - 09.y Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les applications App Service doivent être accessibles uniquement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 3.0.0
Les applications App Service doivent utiliser la dernière version TLS Mise à niveau vers la version la plus récente de TLS. AuditIfNotExists, Désactivé 2.0.0
Les applications Function App ne doivent être accessibles que via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé 3.0.0
Les applications de fonctions doivent utiliser la dernière version TLS Mise à niveau vers la version la plus récente de TLS. AuditIfNotExists, Désactivé 2.0.0

Contrôle des logiciels opérationnels

Seuls les administrateurs autorisés peuvent implémenter des mises à niveau approuvées pour les logiciels, les applications et les bibliothèques de programmes, en fonction des exigences métier et des implications sécuritaires de la version.

ID : 0605.10h1System.12 - 10.h Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Audit » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Audit » pour forcer les sous-catégories de stratégie d’audit et pour l’arrêt en cas d’incapacité à journaliser les audits de sécurité. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Gestion de compte » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Gestion de compte » pour l’audit de la gestion des applications, de la sécurité et des groupes d’utilisateurs, et d’autres événements de gestion. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0

Avant leur mise en production, les applications et les systèmes d’exploitation sont testés quant à leurs facilité d’utilisation, sécurité et impact.

ID : 0606.10h2System.1 - 10.h Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les vulnérabilités dans les configurations de la sécurité des conteneurs doivent être corrigées Auditer les vulnérabilités dans la configuration de sécurité sur les machines où Docker est installé et afficher en tant que recommandations dans Azure Security Center. AuditIfNotExists, Désactivé 3.0.0

L’organisation utilise son programme de contrôle de la configuration pour assurer le contrôle de tous les logiciels implémentés et de sa documentation système, et archiver les versions antérieures des logiciels implémentés et la documentation système associée.

ID : 0607.10h2System.23 - 10.h Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables. AuditIfNotExists, Désactivé 3.0.0
Les vulnérabilités dans la configuration de la sécurité de vos groupes de machines virtuelles identiques doivent être corrigées Auditez les vulnérabilités de système d’exploitation dans vos groupes de machines virtuelles identiques pour les protéger des attaques. AuditIfNotExists, Désactivé 3.0.0

Procédures de contrôle des modifications

Les responsables des systèmes d’applications sont également responsables du contrôle strict (sécurité) de l’environnement de support ou de projet et s’assurent que toutes les modifications de système proposées sont revues afin de vérifier qu’elles ne compromettent pas la sécurité du système ou de l’environnement d’exploitation.

ID : 0635.10k1Organizational.12 - 10.k Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Suivi détaillé » pour auditer DPAPI, la création/fin des processus, les événements RPC et l’activité PNP. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0

L’organisation traite rigoureusement l’objectif, l’étendue, les rôles, les responsabilités, l’engagement de gestion, la coordination au sein des entités organisationnelles et la conformité pour la gestion de la configuration (par exemple, par le biais de stratégies, de standards et de processus).

ID : 0636.10k2Organizational.1 - 10.k Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Suivi détaillé » pour auditer DPAPI, la création/fin des processus, les événements RPC et l’activité PNP. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0

L’organisation a développé, documenté et implémenté un plan de gestion de la configuration pour le système d’information.

ID : 0637.10k2Organizational.2 - 10.k Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Suivi détaillé » pour auditer DPAPI, la création/fin des processus, les événements RPC et l’activité PNP. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0

Les modifications sont rigoureusement contrôlées, documentées et appliquées afin de réduire l’endommagement des systèmes d’information.

ID : 0638.10k2Organizational.34569 - 10.k Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Suivi détaillé » pour auditer DPAPI, la création/fin des processus, les événements RPC et l’activité PNP. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0

Les listes de vérification de l’installation et les analyses de vulnérabilités permettent de valider la configuration des serveurs, stations de travail, appareils et appliances et de s’assurer que la configuration répond aux standards minimaux.

ID : 0639.10k2Organizational.78 - 10.k Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Suivi détaillé » pour auditer DPAPI, la création/fin des processus, les événements RPC et l’activité PNP. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0

Quand le développement est externalisé, les procédures de contrôle des modifications pour traiter la sécurité sont incluses dans le ou les contrats et obligent spécifiquement le développeur à suivre les défauts de sécurité et la résolution des défauts dans le système, le composant ou le service et à signaler les résultats au personnel ou aux rôles définis par l’organisation.

ID : 0640.10k2Organizational.1012 - 10.k Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Suivi détaillé » pour auditer DPAPI, la création/fin des processus, les événements RPC et l’activité PNP. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0

L’organisation n’utilise pas de mises à jour automatiques sur les systèmes critiques.

ID : 0641.10k2Organizational.11 - 10.k Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Suivi détaillé » pour auditer DPAPI, la création/fin des processus, les événements RPC et l’activité PNP. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0

L’organisation développe, documente et conserve sous le contrôle de la configuration, une configuration de base courante du système informatique, et vérifie et met à jour la base de référence en fonction des besoins.

ID : 0642.10k3Organizational.12 - 10.k Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Suivi détaillé » pour auditer DPAPI, la création/fin des processus, les événements RPC et l’activité PNP. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0

L’organisation (i) établit et documente les paramètres de configuration obligatoires pour les produits informatiques employés dans le système d’information à l’aide des dernières bases de référence de configuration de la sécurité ; (ii) identifie, documente et approuve les exceptions des paramètres de configuration établis obligatoires pour des composants spécifiques en fonction d’exigences opérationnelles explicites ; et (iii) supervise et contrôle les modifications apportées aux paramètres de configuration conformément aux stratégies et procédures organisationnelles.

ID : 0643.10k3Organizational.3 - 10.k Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Suivi détaillé » pour auditer DPAPI, la création/fin des processus, les événements RPC et l’activité PNP. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0

ID : 0644.10k3Organizational.4 - 10.k Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Suivi détaillé » pour auditer DPAPI, la création/fin des processus, les événements RPC et l’activité PNP. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0

Contrôle des vulnérabilités techniques

Les vulnérabilités techniques sont identifiées, évaluées du point de vue des risques et corrigées en temps opportun.

ID : 0709.10m1Organizational.1 - 10.m Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. AuditIfNotExists, Désactivé 3.0.0
Les résultats des vulnérabilités des bases de données SQL doivent être résolus Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. AuditIfNotExists, Désactivé 4.0.0
Les vulnérabilités dans les configurations de la sécurité des conteneurs doivent être corrigées Auditer les vulnérabilités dans la configuration de sécurité sur les machines où Docker est installé et afficher en tant que recommandations dans Azure Security Center. AuditIfNotExists, Désactivé 3.0.0
Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
Les vulnérabilités dans la configuration de la sécurité de vos groupes de machines virtuelles identiques doivent être corrigées Auditez les vulnérabilités de système d’exploitation dans vos groupes de machines virtuelles identiques pour les protéger des attaques. AuditIfNotExists, Désactivé 3.0.0
L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. AuditIfNotExists, Désactivé 1.0.1
L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL Auditez les serveurs Azure SQL qui n’ont pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. AuditIfNotExists, Désactivé 2.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Serveur réseau Microsoft » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Serveur réseau Microsoft » pour désactiver le serveur SMB v1. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0

Il existe une norme de configuration renforcée pour tous les composants système et réseau.

ID : 0710.10m2Organizational.1 - 10.m Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. AuditIfNotExists, Désactivé 1.0.1

Un programme de gestion des vulnérabilités techniques est en place pour superviser, évaluer, classer et corriger les vulnérabilités identifiées dans les systèmes.

ID : 0711.10m2Organizational.23 - 10.m Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. AuditIfNotExists, Désactivé 3.0.0

Les correctifs sont testés et évalués avant d’être installés.

ID : 0713.10m2Organizational.5 - 10.m Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0

Le programme de gestion des vulnérabilités techniques est évalué une fois par trimestre.

ID : 0714.10m2Organizational.7 - 10.m Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les vulnérabilités dans la configuration de la sécurité de vos groupes de machines virtuelles identiques doivent être corrigées Auditez les vulnérabilités de système d’exploitation dans vos groupes de machines virtuelles identiques pour les protéger des attaques. AuditIfNotExists, Désactivé 3.0.0

Les systèmes sont renforcés de façon appropriée (par exemple, configurés avec uniquement les services, ports et protocoles nécessaires et sécurisés activés).

ID : 0715.10m2Organizational.8 - 10.m Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les vulnérabilités dans les configurations de la sécurité des conteneurs doivent être corrigées Auditer les vulnérabilités dans la configuration de sécurité sur les machines où Docker est installé et afficher en tant que recommandations dans Azure Security Center. AuditIfNotExists, Désactivé 3.0.0

L’organisation examine la posture de sécurité de l’entreprise en fonction des besoins, mais pas moins d’une fois tous les trois cent soixante-cinq (365) jours, conformément aux procédures de l’organisation relatives au système d’information.

ID : 0716.10m3Organizational.1 - 10.m Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les résultats des vulnérabilités des bases de données SQL doivent être résolus Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. AuditIfNotExists, Désactivé 4.0.0

Les outils d’analyse des vulnérabilités permettent de mettre facilement à jour les vulnérabilités du système d’information analysées.

ID : 0717.10m3Organizational.2 - 10.m Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les vulnérabilités dans la configuration de la sécurité de vos groupes de machines virtuelles identiques doivent être corrigées Auditez les vulnérabilités de système d’exploitation dans vos groupes de machines virtuelles identiques pour les protéger des attaques. AuditIfNotExists, Désactivé 3.0.0

L’organisation recherche les vulnérabilités dans le système d’information et les applications hébergées pour déterminer l’état de la correction des défauts tous les mois (automatiquement) et à nouveau (manuellement ou automatiquement) quand de nouvelles vulnérabilités susceptibles d’affecter les systèmes et les environnements réseau sont identifiées et signalées.

ID : 0718.10m3Organizational.34 - 10.m Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0

L’organisation met à jour la liste des vulnérabilités du système d’information analysées dans un délai de trente (30) jours ou quand de nouvelles vulnérabilités sont identifiées et signalées.

ID : 0719.10m3Organizational.5 - 10.m Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. AuditIfNotExists, Désactivé 1.0.1

Continuité de l’activité et évaluation des risques

L’organisation identifie les processus métier critiques nécessitant la continuité d’activité.

ID : 1634.12b1Organizational.1 - 12.b Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée Auditez les machines virtuelles configurées sans reprise d’activité. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc. auditIfNotExists 1.0.0

Les aspects de la continuité d’activité du point de vue de la sécurité des informations sont (i) basés sur l’identification des événements (ou séquence d’événements) susceptibles de provoquer des interruptions dans les processus métier critiques de l’organisation (par exemple, les défaillances de l’équipement, les erreurs humaines, le vol, les incendies, les catastrophes naturelles, les actes de terrorisme) ; (ii) suivis d’une évaluation des risques pour déterminer la probabilité et l’impact de telles interruptions, en termes de temps, d’ampleur des dégâts et de période de récupération ; (iii) en fonction des résultats de l’évaluation des risques, une stratégie de continuité d’activité est développée pour identifier l’approche globale de la continuité d’activité ; et (iv) une fois cette stratégie créée, la direction donne son aval et un plan est créé et approuvé pour mettre en œuvre cette stratégie.

ID : 1635.12b1Organizational.2 - 12.b Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La protection contre la suppression définitive doit être activée pour un HSM managé Azure Key Vault La suppression malveillante d’un HSM managé Azure Key Vault peut entraîner une perte de données définitive. Une personne malveillante au sein de votre organisation peut éventuellement supprimer définitivement un HSM managé Azure Key Vault. La protection contre la suppression définitive vous protège des attaques de l’intérieur en appliquant une période de conservation obligatoire à un HSM managé Azure Key Vault supprimé de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne peut supprimer définitivement votre HSM managé Azure Key Vault pendant la période de conservation de la suppression réversible. Audit, Refuser, Désactivé 1.0.0
La protection de purge doit être activée sur les coffres de clés La suppression malveillante d’un coffre de clés peut entraîner une perte définitive des données. Une personne malveillante interne à votre organisation peut potentiellement supprimer et vider des coffres de clés. La protection contre la suppression définitive vous protège des attaques internes en appliquant une période de conservation obligatoire pour les coffres de clés supprimés de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne pourra supprimer définitivement vos coffres de clés pendant la période de conservation de la suppression réversible. Audit, Refuser, Désactivé 2.0.0

L’analyse de l’impact sur l’activité est utilisée pour évaluer les conséquences des sinistres, des défaillances de sécurité, de la perte de service et la disponibilité des services.

ID : 1637.12b2Organizational.2 - 12.b Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Console de récupération » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Console de récupération » pour autoriser la copie de disquettes et l’accès à tous les lecteurs et dossiers. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0

Les évaluations des risques pour la continuité d’activité (i) sont effectuées annuellement avec l’implication totale des propriétaires de ressources et de processus métier ; (ii) prennent en compte tous les processus métier et ne sont pas limitées aux ressources d’informations, mais contiennent les résultats propres à la sécurité des informations ; et (iii) identifient, quantifient et hiérarchisent les risques par rapport aux principaux objectifs et critères métier importants pour l’organisation, notamment les ressources critiques, les impacts des interruptions, les temps d’arrêt autorisés et les priorités pour la récupération.

ID : 1638.12b2Organizational.345 - 12.b Propriété : Customer

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée Auditez les machines virtuelles configurées sans reprise d’activité. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc. auditIfNotExists 1.0.0

Étapes suivantes

Autres articles sur Azure Policy :