Détails de la Banque de réserve de l’Inde - Cadre informatique pour l’initiative intégrée de conformité réglementaire NBFC.
L’article suivant explique en détail comment la définition de l’initiative intégrée Conformité réglementaire Azure Policy est mappée aux domaines de conformité et aux contrôles dans la Banque de réserve de l’Inde - Cadre informatique pour l’initiative intégrée de conformité réglementaire NBFC.Malaysia. Pour plus d’informations sur cette norme de conformité, consultez Reserve Bank of India - Infrastructure informatique pour NBFC. Pour comprendre la propriété, consultez Définition de stratégie Azure Policy et Responsabilité partagée dans le cloud.
Les mappages suivants concernent la Réserve Bank of India - IT Framework pour les contrôles NBFC . De nombreux contrôles sont mis en œuvre avec la définition d’une initiative Azure Policy. Pour examiner la définition d’initiative complète, ouvrez Stratégie dans le Portail Azure et sélectionnez la page Définitions. Ensuite, recherchez et sélectionnez la définition intégrée [préversion] : Banque de réserve de l’Inde - Cadre informatique pour l’initiative intégrée de conformité réglementaire NBFC.
Important
Chaque contrôle ci-dessous est associé à une ou plusieurs définitions Azure Policy. Ces stratégies peuvent vous aider à évaluer la conformité avec le contrôle ; toutefois, il n’existe pas souvent de correspondance un-à-un ou parfaite entre un contrôle et une ou plusieurs stratégies. Ainsi, la conformité dans Azure Policy fait uniquement référence aux définitions de stratégie elles-mêmes ; cela ne garantit pas que vous êtes entièrement conforme à toutes les exigences d’un contrôle. En outre, la norme de conformité comprend des contrôles qui ne sont traités par aucune définition Azure Policy pour l’instant. Par conséquent, la conformité dans Azure Policy n’est qu’une vue partielle de l’état de conformité global. Les associations entre les domaines de conformité, les contrôles et les définitions Azure Policy pour cette norme de conformité peuvent changer au fil du temps. Pour afficher l’historique des changements, consultez l’historique des validations GitHub.
La gouvernance informatique.
La gouvernance informatique.- 1
ID : RBI IT Framework 1
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. | AuditIfNotExists, Désactivé | 3.0.0 |
| La notification par e-mail pour les alertes à gravité élevée doit être activée | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 1.1.0 |
| La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée | Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 2.1.0 |
| Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes | Mettez à niveau votre cluster Kubernetes Services vers une version ultérieure de Kubernetes pour le protéger des vulnérabilités connues de votre version Kubernetes actuelle. La vulnérabilité CVE-2019-9946 a été corrigée dans Kubernetes versions 1.11.9+, 1.12.7+, 1.13.5+ et 1.14.0+ | Audit, Désactivé | 1.0.2 |
| Les résultats des vulnérabilités des bases de données SQL doivent être résolus | Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. | AuditIfNotExists, Désactivé | 4.1.0 |
| Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus | L'évaluation des vulnérabilités SQL analyse votre base de données à la recherche de vulnérabilités de sécurité et expose tout écart par rapport aux meilleures pratiques, tel que les erreurs de configuration, les autorisations excessives et les données sensibles non protégées. La résolution des vulnérabilités détectées peut améliorer considérablement la posture de sécurité de votre base de données. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
| Les mises à jour système sur les groupes de machines virtuelles identiques doivent être installées | Vérifiez si des mises à jour de sécurité système et des mises à jour critiques sont manquantes et doivent être installées pour assurer la sécurité de vos groupes de machines virtuelles identiques Windows et Linux. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les mises à jour système doivent être installées sur vos machines | Les mises à jour système de sécurité manquantes sur vos serveurs seront supervisées par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 4.0.0 |
| Les vulnérabilités dans les configurations de la sécurité des conteneurs doivent être corrigées | Auditer les vulnérabilités dans la configuration de sécurité sur les machines où Docker est installé et afficher en tant que recommandations dans Azure Security Center. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.1.0 |
| Les vulnérabilités dans la configuration de la sécurité de vos groupes de machines virtuelles identiques doivent être corrigées | Auditez les vulnérabilités de système d’exploitation dans vos groupes de machines virtuelles identiques pour les protéger des attaques. | AuditIfNotExists, Désactivé | 3.0.0 |
| L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 1.0.1 |
| L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 3.0.0 |
La gouvernance informatique- 1.1
ID : RBI IT Framework 1
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : L’ensemble du trafic Internet doit transiter par votre Pare-feu Azure déployé | Azure Security Center a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge | AuditIfNotExists, Désactivé | 3.0.0-preview |
| Le transfert IP doit être désactivé sur votre machine virtuelle | L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
| Les ports de gestion doivent être fermés sur vos machines virtuelles | Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. | AuditIfNotExists, Désactivé | 3.0.0 |
Stratégie informatique
Stratégie informatique-2
ID : RBI IT Framework 2
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines | Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les règles de liste verte dans votre stratégie de contrôle d’application adaptatif doivent être mises à jour | Supervisez les changements de comportement sur les groupes de machines configurés pour être audités par les contrôles d’application adaptatifs d’Azure Security Center. Security Center utilise le Machine Learning pour analyser les processus en cours d’exécution sur vos machines, et suggérer une liste d’applications reconnues fiables. Elles sont présentées comme des applications recommandées à autoriser dans les stratégies de contrôles d’application adaptatifs. | AuditIfNotExists, Désactivé | 3.0.0 |
Informations et cybersécurité
Sécurité des informations - 3
ID : RBI IT Framework 3
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Defender pour le stockage doit être activé | Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. | AuditIfNotExists, Désactivé | 1.0.0 |
Identification et classification des ressources d’information-3.1
ID: RBI IT Framework 3.1.a
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Auditer l’utilisation des rôles RBAC personnalisés | Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces | Audit, Désactivé | 1.0.1 |
| Le contrôle d’accès en fonction du rôle Azure (RBAC) doit être utilisé sur Kubernetes Service | Pour fournir un filtrage précis des actions que les utilisateurs peuvent effectuer, utilisez le contrôle d’accès en fonction du rôle Azure (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurez les stratégies d’autorisation appropriées. | Audit, Désactivé | 1.0.3 |
| Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés | Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
Séparation des fonctions-3.1
ID: RBI IT Framework 3.1.b
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Déconseillé] L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications de fonction | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant de certificats valides peuvent accéder à l’application. Cette stratégie a été remplacée par une nouvelle stratégie portant le même nom, car HTTP 2.0 ne prend pas en charge les certificats clients. | Audit, Désactivé | 3.1.0-deprecated |
| [Préversion] : Le démarrage sécurisé doit être activé sur les machines virtuelles Windows prises en charge | Activez le démarrage sécurisé sur les machines virtuelles Windows prises en charge pour réduire les changements malveillants et non autorisés de la chaîne de démarrage. Une fois le démarrage sécurisé activé, seuls les chargeurs de démarrage, noyaux et pilotes de noyau approuvés sont autorisés à s’exécuter. Cette évaluation s’applique aux machines virtuelles Windows confidentielles et avec lancement fiable. | Audit, Désactivé | 4.0.0-preview |
| [Préversion] : vTPM doit être activé sur les machines virtuelles prises en charge | Activez l’appareil module de plateforme sécurisée (TPM) virtuel sur les machines virtuelles prises en charge pour faciliter le démarrage mesuré et d’autres fonctionnalités de sécurité du système d’exploitation qui nécessitent un TPM. Une fois l’appareil vTPM activé, il permet d’attester l’intégrité du démarrage. Cette évaluation s’applique uniquement aux machines virtuelles pour lesquelles le lancement fiable est activé. | Audit, Désactivé | 2.0.0-preview |
| Le débogage à distance doit être désactivé pour les applications App Service | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
| Le débogage à distance doit être désactivé pour les applications de fonctions | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
| L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol | AuditIfNotExists, Désactivé | 1.0.1 |
Contrôle d’accès en fonction du rôle-3.1
ID: RBI IT Framework 3.1.b
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| 3 propriétaires maximum doivent être désignés pour votre abonnement | Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Le contrôle d’accès en fonction du rôle Azure (RBAC) doit être utilisé sur Kubernetes Service | Pour fournir un filtrage précis des actions que les utilisateurs peuvent effectuer, utilisez le contrôle d’accès en fonction du rôle Azure (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurez les stratégies d’autorisation appropriées. | Audit, Désactivé | 1.0.3 |
| Les abonnements Azure doivent avoir un profil de journal pour le journal d’activité | Cette stratégie garantit l’activation d’un profil de journal pour l’exportation des journaux d’activité. Elle vérifie si aucun profil de journal n’a été créé pour exporter les journaux vers un compte de stockage ou un hub d’événements. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés | Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée | Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 2.1.0 |
| Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
| Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
| Plusieurs propriétaires doivent être attribués à votre abonnement | Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur. | AuditIfNotExists, Désactivé | 3.0.0 |
Maker-checker-3.1
ID: RBI IT Framework 3.1.f
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| 3 propriétaires maximum doivent être désignés pour votre abonnement | Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Auditer l’utilisation des rôles RBAC personnalisés | Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces | Audit, Désactivé | 1.0.1 |
| Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure Defender pour Key Vault doit être activé | Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les bases de données relationnelles open source doit être activé | Azure Defender pour les bases de données relationnelles détecte les activités anormales indiquant des tentatives d’accès ou d’exploitation inhabituelles et potentiellement dangereuses des bases de données. En savoir plus sur les fonctionnalités d’Azure Defender pour les bases de données relationnelles open source sur https://aka.ms/AzDforOpenSourceDBsDocu. Important : L’activation de ce plan entraînera des frais pour la protection de vos bases de données relationnelles open source. Découvrir les prix dans la page de tarification de Security Center : https://aka.ms/pricing-security-center | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour Resource Manager doit être activé | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs SQL sur les machines doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 2.0.1 |
| Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
| Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés | Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| La notification par e-mail pour les alertes à gravité élevée doit être activée | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 1.1.0 |
| La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée | Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 2.1.0 |
| Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour le stockage doit être activé | Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
Trails-3.1
ID: RBI IT Framework 3.1.g
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : L’extension Log Analytics doit être activée pour les images de machine virtuelle listées | Signale les machines virtuelles comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée. | AuditIfNotExists, Désactivé | 2.0.1-preview |
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| Le journal d’activité doit être conservé pendant au moins un an | Cette stratégie audite le journal d’activité si la conservation n’est pas définie sur 365 jours ou sur toujours (jours de conservation définis sur 0). | AuditIfNotExists, Désactivé | 1.0.0 |
| Toutes les ressources du journal de flux doivent être en état activé | Auditez les ressources du journal de flux pour vérifier si l’état du journal de flux est activé. L’activation des journaux de flux permet de journaliser des informations sur la circulation du trafic IP. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc. | Audit, Désactivé | 1.0.1 |
| Les composants Application Insights doivent bloquer l’ingestion et l’interrogation de journaux à partir de réseaux publics | Améliorez Application Insights en bloquant l’ingestion et l’interrogation de journaux à partir de réseaux publics. Seuls les réseaux connectés avec une liaison privée peuvent ingérer et interroger les journaux de ce composant. Pour en savoir plus, rendez-vous sur https://aka.ms/AzMonPrivateLink#configure-application-insights. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
| Le provisionnement automatique de l’agent Log Analytics doit être activé sur votre abonnement | Pour superviser les menaces et les vulnérabilités de sécurité, Azure Security Center collecte des données à partir de vos machines virtuelles Azure. Les données sont collectées par l’agent Log Analytics, auparavant appelé Microsoft Monitoring Agent (MMA). Cet agent lit divers journaux d’événements et configurations liés à la sécurité de la machine, puis copie les données dans votre espace de travail Log Analytics à des fins d’analyse. Nous vous recommandons d’activer l’approvisionnement automatique pour déployer automatiquement l’agent sur toutes les machines virtuelles Azure prises en charge et sur toutes celles qui sont créées. | AuditIfNotExists, Désactivé | 1.0.1 |
| Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure Defender pour les bases de données relationnelles open source doit être activé | Azure Defender pour les bases de données relationnelles détecte les activités anormales indiquant des tentatives d’accès ou d’exploitation inhabituelles et potentiellement dangereuses des bases de données. En savoir plus sur les fonctionnalités d’Azure Defender pour les bases de données relationnelles open source sur https://aka.ms/AzDforOpenSourceDBsDocu. Important : L’activation de ce plan entraînera des frais pour la protection de vos bases de données relationnelles open source. Découvrir les prix dans la page de tarification de Security Center : https://aka.ms/pricing-security-center | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour Resource Manager doit être activé | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs SQL sur les machines doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 2.0.1 |
| Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
| Le profil Defender doit être activé sur les clusters Azure Kubernetes Service | Microsoft Defender pour Containers offre plusieurs fonctionnalités de sécurité Kubernetes cloud natives, dont le renforcement de l’environnement, la protection de la charge de travail et la protection à l’exécution. Quand vous activez SecurityProfile.AzureDefender sur votre cluster Azure Kubernetes Service, un agent est déployé sur votre cluster pour collecter les données d’événement de sécurité. Apprenez-en davantage sur Microsoft Defender pour Containers dans https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, Désactivé | 2.0.1 |
| Le profil de journal Azure Monitor doit collecter des journaux pour les catégories « écriture », « suppression » et « action » | Cette stratégie garantit qu’un profil de journal collecte les journaux pour les catégories « write », « delete » et « action » | AuditIfNotExists, Désactivé | 1.0.0 |
| Les clusters de journaux Azure Monitor doivent être créés avec le chiffrement d’infrastructure activé (chiffrement double) | Pour que le chiffrement des données sécurisées soit activé au niveau du service et de l’infrastructure avec deux algorithmes de chiffrement différents et deux clés différentes, utilisez un cluster Azure Monitor dédié. Cette option est activée par défaut quand elle est prise en charge dans la région ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
| Les clusters de journaux Azure Monitor doivent être chiffrés avec une clé gérée par le client | Créez un cluster de journaux Azure Monitor avec un chiffrement au moyen de clés gérées par le client. Par défaut, les données des journaux sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre à la conformité réglementaire. La clé gérée par le client dans Azure Monitor vous donne davantage de contrôle sur l’accès à vos données ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
| Les journaux Azure Monitor pour Application Insights doivent être liés à un espace de travail Log Analytics | Liez le composant Application Insights à un espace de travail Log Analytics pour le chiffrement des journaux. Les clés gérées par le client sont généralement nécessaires pour respecter la conformité réglementaire et pour mieux contrôler l’accès à vos données dans Azure Monitor. Si vous liez votre composant à un espace de travail Log Analytics qui est activé avec une clé gérée par le client, vous êtes sûr que vos journaux Application Insights répondent à cette exigence de conformité ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, audit, refus, refus, désactivé, désactivé | 1.1.0 |
| Azure Monitor doit collecter les journaux d’activité dans toutes les régions | Cette stratégie effectue l’audit du profil de journal Azure Monitor qui n’exporte pas d’activités à partir de toutes les régions Azure prises en charge, notamment la région globale. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les abonnements Azure doivent avoir un profil de journal pour le journal d’activité | Cette stratégie garantit l’activation d’un profil de journal pour l’exportation des journaux d’activité. Elle vérifie si aucun profil de journal n’a été créé pour exporter les journaux vers un compte de stockage ou un hub d’événements. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les déconnexions doivent être journalisées pour les serveurs de bases de données PostgreSQL. | Cette stratégie permet d’auditer toutes les bases de données PostgreSQL de votre environnement sans activer le paramètre log_disconnections. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les journaux de flux doivent être configurés pour chaque groupe de sécurité réseau | Auditez les groupes de sécurité réseau pour vérifier si les journaux de flux sont configurés. Activer les journaux de flux permet de consigner des informations sur le trafic IP circulant dans un groupe de sécurité réseau. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc. | Audit, Désactivé | 1.1.0 |
| L’agent Log Analytics doit être installé sur votre machine virtuelle pour la supervision Azure Security Center | Cette stratégie audite les machines virtuelles Windows/Linux si l’agent Log Analytics, que Security Center utilise pour superviser les vulnérabilités et les menaces liées à la sécurité, n’est pas installé | AuditIfNotExists, Désactivé | 1.0.0 |
| L’agent Log Analytics doit être installé sur vos groupes de machines virtuelles identiques pour la supervision Azure Security Center | Azure Security Center collecte des données à partir de vos machines virtuelles Azure pour surveiller les menaces et vulnérabilités de sécurité. | AuditIfNotExists, Désactivé | 1.0.0 |
| L’extension Log Analytics doit être activée dans les groupes de machines virtuelles identiques pour les images de machines virtuelles listées | Signale que les groupes de machines virtuelles identiques ne sont pas conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée. | AuditIfNotExists, Désactivé | 2.0.1 |
| Les espaces de travail Log Analytics doivent bloquer l’ingestion et l’interrogation de journaux à partir de réseaux publics | Améliorez la sécurité des espaces de travail en bloquant l’ingestion et l’interrogation de journaux à partir de réseaux publics. Seuls les réseaux connectés avec une liaison privée peuvent ingérer et interroger les journaux de cet espace de travail. Pour en savoir plus, rendez-vous sur https://aka.ms/AzMonPrivateLink#configure-log-analytics. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
| Les espaces de travail Log Analytics doivent bloquer l’ingestion non Azure Active Directory. | L’application de l’ingestion de journaux pour exiger l’authentification Azure Active Directory empêche les journaux non authentifiés d’une personne malveillante, ce qui pourrait entraîner un état incorrect, des alertes erronées et des journaux incorrects stockés dans le système. | Refus, Audit, Désactivation | 1.0.0 |
| Les points de contrôle de journal doivent être activés pour les serveurs de bases de données PostgreSQL | Cette stratégie permet d’auditer toutes les bases de données PostgreSQL de votre environnement sans activer le paramètre log_checkpoints. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les connexions de journal doivent être activées pour les serveurs de bases de données PostgreSQL | Cette stratégie permet d’auditer toutes les bases de données PostgreSQL de votre environnement sans activer le paramètre log_connections. | AuditIfNotExists, Désactivé | 1.0.0 |
| La durée de journal doit être activée pour les serveurs de bases de données PostgreSQL | Cette stratégie permet d’auditer toutes les bases de données PostgreSQL de votre environnement sans activer le paramètre log_duration. | AuditIfNotExists, Désactivé | 1.0.0 |
| L’environnement de service d’intégration Logic Apps doit être chiffré avec des clés gérées par le client | Effectuez des déploiements dans un environnement de service d’intégration pour gérer le chiffrement au repos des données Logic Apps avec des clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. | Audit, Refuser, Désactivé | 1.0.0 |
| Microsoft Defender pour le stockage doit être activé | Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. | AuditIfNotExists, Désactivé | 1.0.0 |
| Traffic Analytics doit être activé pour les journaux de flux Network Watcher | Traffic Analytics examine les journaux de flux pour fournir des informations sur le flux de trafic de votre cloud Azure. Il peut être utilisé pour visualiser l’activité réseau de vos abonnements Azure ainsi que pour identifier les points d’accès, identifier les menaces de sécurité, comprendre les modèles de flux de trafic, identifier les problèmes de configuration réseau, etc. | Audit, Désactivé | 1.0.1 |
| Les serveurs SQL avec un audit dans la destination Compte de stockage doivent être configurés avec une conservation d'au moins 90 jours | À des fins d’investigation d’incident, nous vous recommandons de définir la conservation des données pour la fonctionnalité d’audit de votre serveur SQL Server sur au moins 90 jours. Confirmez que vous respectez les règles de conservation nécessaires pour les régions dans lesquelles vous travaillez. Cela est parfois nécessaire pour la conformité aux normes réglementaires. | AuditIfNotExists, Désactivé | 3.0.0 |
| Le compte de stockage disposant du conteneur des journaux d’activité doit être chiffré avec BYOK | Cette stratégie vérifie si le compte de stockage disposant du conteneur des journaux d’activité est chiffré avec BYOK. La stratégie fonctionne uniquement si le compte de stockage se trouve par défaut dans le même abonnement que les journaux d’activité. Vous trouverez plus d’informations sur le chiffrement du stockage Azure au repos ici https://aka.ms/azurestoragebyok. | AuditIfNotExists, Désactivé | 1.0.0 |
| L’extension Log Analytics doit être installée sur les groupes de machines virtuelles identiques | Cette stratégie audite les groupes de machines virtuelles identiques Windows/Linux si l’extension Log Analytics n’est pas installée. | AuditIfNotExists, Désactivé | 1.0.1 |
| L’extension Log Analytics doit être installée sur les machines virtuelles | Cette stratégie audite toutes les machines virtuelles Windows/Linux si l’extension Log Analytics n’est pas installée. | AuditIfNotExists, Désactivé | 1.0.1 |
Infrastructure à clé publique (PKI)-3.1
ID: RBI IT Framework 3.1.h
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| App Configuration doit utiliser une clé gérée par le client | Les clés gérées par le client offrent une protection améliorée des données en vous permettant de gérer vos clés de chiffrement. Cela est souvent nécessaire pour répondre aux exigences de conformité. | Audit, Refuser, Désactivé | 1.1.0 |
| Les applications App Service doivent être accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 4.0.0 |
| Les applications App Service doivent utiliser la dernière version du protocole TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.0.1 |
| App Service Environment doit avoir le chiffrement interne activé | Affecter la valeur true à InternalEncryption permet de chiffrer le fichier d’échange, les disques des Workers et le trafic réseau interne entre les front-ends et les Workers dans App Service Environment. Pour plus d’informations, reportez-vous à https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Désactivé | 1.0.1 |
| Les variables de compte Automation doivent être chiffrées | Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles | Audit, Refuser, Désactivé | 1.1.0 |
| Les comptes Azure Cosmos DB doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre compte Azure Cosmos DB. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/cosmosdb-cmk. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
| Le pare-feu doit être activé pour Azure Key Vault | Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez éventuellement configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Refuser, Désactivé | 3.2.1 |
| Les coffres de clés Azure doivent utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Les clusters de journaux Azure Monitor doivent être créés avec le chiffrement d’infrastructure activé (chiffrement double) | Pour que le chiffrement des données sécurisées soit activé au niveau du service et de l’infrastructure avec deux algorithmes de chiffrement différents et deux clés différentes, utilisez un cluster Azure Monitor dédié. Cette option est activée par défaut quand elle est prise en charge dans la région ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
| La période de validité maximale doit être spécifiée pour les certificats | Gérez les exigences en matière de conformité de votre organisation en spécifiant la durée maximale pendant laquelle un certificat peut être valide dans votre coffre de clés. | audit, Audit, refus, Refus, désactivé, Désactivé | 2.2.1 |
| Le chiffrement de disque doit être activé dans Azure Data Explorer | Le fait d’activer le chiffrement de disque vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. | Audit, Refuser, Désactivé | 2.0.0 |
| L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL | La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, Désactivé | 1.0.1 |
| L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL | Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, Désactivé | 1.0.1 |
| Les applications Function App ne doivent être accessibles que via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 5.0.0 |
| Les applications de fonctions doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.0.1 |
| Le chiffrement d’infrastructure doit être activé sur les serveurs Azure Database pour MySQL | Activez le chiffrement d’infrastructure pour les serveurs Azure Database pour MySQL garantir une sécurité renforcée des données. Lorsque le chiffrement de l’infrastructure est activé, les données au repos sont chiffrées deux fois à l’aide des clés gérées par Microsoft conformes FIPS 140-2. | Audit, Refuser, Désactivé | 1.0.0 |
| Le chiffrement d’infrastructure doit être activé sur les serveurs Azure Database pour PostgreSQL | Activez le chiffrement d’infrastructure pour les serveurs Azure Database pour PostgreSQL garantir une sécurité renforcée des données. Lorsque le chiffrement de l’infrastructure est activé, les données au repos sont chiffrées deux fois à l’aide des clés gérées par Microsoft conformes FIPS 140-2 | Audit, Refuser, Désactivé | 1.0.0 |
| Les clés Key Vault doivent avoir une date d’expiration | Les clés de chiffrement doivent avoir une date d’expiration définie et ne pas être permanentes. Les clés valides indéfiniment offrent à un intrus potentiel plus de temps pour compromettre la clé. Il est recommandé de définir les dates d’expiration des clés de chiffrement. | Audit, Refuser, Désactivé | 1.0.2 |
| Les secrets Key Vault doivent avoir une date d’expiration | Les secrets doivent avoir une date d’expiration définie et ne pas être permanents. Les secrets valides indéfiniment offrent à un attaquant potentiel plus de temps pour les compromettre. Il est recommandé de définir les dates d’expiration des secrets. | Audit, Refuser, Désactivé | 1.0.2 |
| La protection contre la suppression doit être activée pour les coffres de clés | La suppression malveillante d’un coffre de clés peut entraîner une perte définitive des données. Vous pouvez empêcher la perte permanente de données en activant la protection contre la suppression définitive et la suppression réversible. La protection contre la suppression définitive vous protège des attaques internes en appliquant une période de conservation obligatoire pour les coffres de clés supprimés de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne pourra supprimer définitivement vos coffres de clés pendant la période de conservation de la suppression réversible. N’oubliez pas que la suppression réversible est activée par défaut pour les coffres de clés créés après le 1er septembre 2019. | Audit, Refuser, Désactivé | 2.1.0 |
| La suppression réversible doit être activée sur les coffres de clés | La suppression d’un coffre de clés sur lequel la suppression réversible n’est pas activée supprime définitivement tous les secrets, toutes les clés et tous les certificats qui y stockés. La suppression accidentelle d’un coffre de clés peut entraîner la perte définitive des données. La suppression réversible vous permet de récupérer un coffre de clés supprimé accidentellement, pendant une période de conservation configurable. | Audit, Refuser, Désactivé | 3.0.0 |
| Les disques managés doivent utiliser un jeu de chiffrement de disque spécifique pour le chiffrement à clé géré par le client | Exiger un ensemble spécifique de jeux de chiffrement de disque à utiliser avec les disques gérés vous donne le contrôle des clés utilisées pour le chiffrement au repos. Vous pouvez sélectionner les jeux chiffrés autorisés, et tous les autres sont rejetés lorsqu’ils sont attachés à un disque. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-cmk. | Audit, Refuser, Désactivé | 2.0.0 |
| Les serveurs MySQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos serveurs MySQL. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. | AuditIfNotExists, Désactivé | 1.0.4 |
| Les serveurs PostgreSQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos serveurs PostgreSQL. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. | AuditIfNotExists, Désactivé | 1.0.4 |
| Les requêtes enregistrées dans Azure Monitor doivent être enregistrées dans le compte de stockage du client pour le chiffrement des journaux | Liez le compte de stockage à un espace de travail Log Analytics pour protéger les requêtes enregistrées avec le chiffrement du compte de stockage. Les clés gérées par le client sont généralement nécessaires pour respecter la conformité réglementaire et pour mieux contrôler l’accès à vos requêtes enregistrées dans Azure Monitor. Pour plus d’informations, consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
| La sécurisation du transfert vers des comptes de stockage doit être activée | Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) | Audit, Refuser, Désactivé | 2.0.0 |
| Les étendues de chiffrement des comptes de stockage doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos des étendues de chiffrement des comptes de stockage. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Découvrez-en plus sur les étendues de chiffrement des comptes de stockage à l’adresse https://aka.ms/encryption-scopes-overview. | Audit, Refuser, Désactivé | 1.0.0 |
| Les étendues de chiffrement de compte de stockage doivent utiliser le chiffrement double pour les données au repos | Activez le chiffrement d’infrastructure pour le chiffrement au repos de vos étendues de chiffrement de compte de stockage afin de renforcer la sécurité. Le chiffrement d’infrastructure garantit que vos données sont chiffrées deux fois. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes de stockage doivent avoir le chiffrement d’infrastructure activé | Activez le chiffrement d’infrastructure pour garantir une sécurité renforcée des données. Quand le chiffrement d’infrastructure est activé, les données d’un compte de stockage sont chiffrées deux fois. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes de stockage doivent utiliser une clé gérée par le client pour le chiffrement | Sécurisez votre compte de stockage blob et fichier avec une plus grande flexibilité en utilisant des clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. | Audit, Désactivé | 1.0.3 |
| Transparent Data Encryption sur les bases de données SQL doit être activé | Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises | AuditIfNotExists, Désactivé | 2.0.0 |
| Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage | Par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme. Les disques temporaires, les caches de données et le flux de données entre le calcul et le stockage ne sont pas chiffrés. Ignorez cette recommandation dans les deux cas suivants : Vous utilisez le chiffrement sur l’hôte. Le chiffrement côté serveur des Disques managés répond à vos besoins en matière de sécurité. Pour en savoir plus, consultez : Chiffrement côté serveur de Stockage sur disque Azure : https://aka.ms/disksse, Différentes offres de chiffrement de disque : https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Désactivé | 2.0.3 |
Gestion des vulnérabilités-3.3
ID : RBI IT Framework 3.3
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes | Mettez à niveau votre cluster Kubernetes Services vers une version ultérieure de Kubernetes pour le protéger des vulnérabilités connues de votre version Kubernetes actuelle. La vulnérabilité CVE-2019-9946 a été corrigée dans Kubernetes versions 1.11.9+, 1.12.7+, 1.13.5+ et 1.14.0+ | Audit, Désactivé | 1.0.2 |
| Les résultats des vulnérabilités des bases de données SQL doivent être résolus | Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. | AuditIfNotExists, Désactivé | 4.1.0 |
| Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus | L'évaluation des vulnérabilités SQL analyse votre base de données à la recherche de vulnérabilités de sécurité et expose tout écart par rapport aux meilleures pratiques, tel que les erreurs de configuration, les autorisations excessives et les données sensibles non protégées. La résolution des vulnérabilités détectées peut améliorer considérablement la posture de sécurité de votre base de données. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les mises à jour système sur les groupes de machines virtuelles identiques doivent être installées | Vérifiez si des mises à jour de sécurité système et des mises à jour critiques sont manquantes et doivent être installées pour assurer la sécurité de vos groupes de machines virtuelles identiques Windows et Linux. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les mises à jour système doivent être installées sur vos machines | Les mises à jour système de sécurité manquantes sur vos serveurs seront supervisées par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 4.0.0 |
| Les vulnérabilités dans les configurations de la sécurité des conteneurs doivent être corrigées | Auditer les vulnérabilités dans la configuration de sécurité sur les machines où Docker est installé et afficher en tant que recommandations dans Azure Security Center. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.1.0 |
| Les vulnérabilités dans la configuration de la sécurité de vos groupes de machines virtuelles identiques doivent être corrigées | Auditez les vulnérabilités de système d’exploitation dans vos groupes de machines virtuelles identiques pour les protéger des attaques. | AuditIfNotExists, Désactivé | 3.0.0 |
| L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 1.0.1 |
| L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 3.0.0 |
| L’évaluation des vulnérabilités doit être activée sur vos espaces de travail Synapse | Découvrez, suivez et corrigez les vulnérabilités potentielles en configurant des analyses récurrentes d’évaluation des vulnérabilités SQL sur vos espaces de travail Synapse. | AuditIfNotExists, Désactivé | 1.0.0 |
Signatures numériques-3.8
ID : RBI IT Framework 3.8
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Déconseillé] L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications de fonction | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant de certificats valides peuvent accéder à l’application. Cette stratégie a été remplacée par une nouvelle stratégie portant le même nom, car HTTP 2.0 ne prend pas en charge les certificats clients. | Audit, Désactivé | 3.1.0-deprecated |
| L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications App service | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les certificats doivent être émis par l’autorité de certification intégrée spécifiée | Gérez les exigences en matière de conformité de votre organisation en spécifiant les autorités de certification intégrées à Azure qui peuvent émettre des certificats dans votre coffre de clés, comme DigiCert ou GlobalSign. | audit, audit, refus, refus, désactivé, désactivé | 2.1.0 |
| La période de validité maximale doit être spécifiée pour les certificats | Gérez les exigences en matière de conformité de votre organisation en spécifiant la durée maximale pendant laquelle un certificat peut être valide dans votre coffre de clés. | audit, Audit, refus, Refus, désactivé, Désactivé | 2.2.1 |
| Les certificats doivent utiliser des types de clés autorisés | Gérez les exigences en matière de conformité de votre organisation en restreignant les types de clés autorisés pour les certificats. | audit, audit, refus, refus, désactivé, désactivé | 2.1.0 |
| Les certificats utilisant le chiffrement à courbe elliptique doivent avoir des noms de courbe autorisés | Gérer les noms de courbe elliptique autorisés pour les certificats ECC stockés dans le coffre de clés. D’autres informations sont disponibles ici : https://aka.ms/akvpolicy. | audit, audit, refus, refus, désactivé, désactivé | 2.1.0 |
| La taille de clé minimale doit être spécifiée pour les certificats utilisant le chiffrement RSA | Gérez les exigences en matière de conformité de votre organisation en spécifiant une taille de clé minimale pour les certificats RSA stockés dans votre coffre de clés. | audit, audit, refus, refus, désactivé, désactivé | 2.1.0 |
Opérations IT
Opérations informatiques-4.2
ID : RBI IT Framework 4.2
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
Opérations informatiques-4.4
ID: RBI IT Framework 4.4.a
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. | AuditIfNotExists, Désactivé | 3.0.0 |
| Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
MIS pour gestion maximale-4.4
ID: RBI IT Framework 4.4.b
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. | AuditIfNotExists, Désactivé | 3.0.0 |
| Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
Audit IS
Stratégie pour l’audit du système d’information (audit IS)-5
ID : RBI IT Framework 5
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : L’ensemble du trafic Internet doit transiter par votre Pare-feu Azure déployé | Azure Security Center a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge | AuditIfNotExists, Désactivé | 3.0.0-preview |
| Toutes les ressources du journal de flux doivent être en état activé | Auditez les ressources du journal de flux pour vérifier si l’état du journal de flux est activé. L’activation des journaux de flux permet de journaliser des informations sur la circulation du trafic IP. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc. | Audit, Désactivé | 1.0.1 |
| Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les comptes Azure Cosmos DB doivent avoir des règles de pare-feu | Les règles de pare-feu doivent être définies dans vos comptes Azure Cosmos DB pour empêcher le trafic provenant de sources non autorisées. Les comptes qui possèdent au moins une règle IP définie avec le filtre de réseau virtuel activé sont considérés comme conformes. Les comptes qui désactivent l’accès public sont également jugés conformes. | Audit, Refuser, Désactivé | 2.0.0 |
| Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door | Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. | Audit, Refuser, Désactivé | 1.0.2 |
| Les journaux de flux doivent être configurés pour chaque groupe de sécurité réseau | Auditez les groupes de sécurité réseau pour vérifier si les journaux de flux sont configurés. Activer les journaux de flux permet de consigner des informations sur le trafic IP circulant dans un groupe de sécurité réseau. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc. | Audit, Désactivé | 1.1.0 |
| Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les règles de pare-feu IP sur les espaces de travail Azure Synapse doivent être supprimées | La suppression de toutes les règles de pare-feu IP renforce la sécurité en garantissant que votre espace de travail Azure Synapse est accessible uniquement à partir d’un point de terminaison privé. Cette configuration audite la création de règles de pare-feu qui autorisent l’accès au réseau public sur l’espace de travail. | Audit, Désactivé | 1.0.0 |
| Le transfert IP doit être désactivé sur votre machine virtuelle | L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| les sous-réseaux doivent être associés à un groupe de sécurité réseau | Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. | AuditIfNotExists, Désactivé | 3.0.0 |
| Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway | Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. | Audit, Refuser, Désactivé | 2.0.0 |
| Le pare-feu d’applications web (WAF) doit utiliser le mode spécifié pour Application Gateway | Impose l’utilisation du mode de « détection » ou de « blocage » pour être actif sur toutes les stratégies de pare-feu d’applications web pour Application Gateway. | Audit, Refuser, Désactivé | 1.0.0 |
| Le pare-feu d’applications web (WAF) doit utiliser le mode spécifié pour Azure Front Door Service | Impose l’utilisation du mode de « détection » ou de « blocage » pour être actif sur toutes les stratégies de pare-feu d’applications web pour Azure Front Door Service. | Audit, Refuser, Désactivé | 1.0.0 |
Couverture-5.2
ID : RBI IT Framework 5.2
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| La sauvegarde Azure doit être activée pour les machines virtuelles | Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. | AuditIfNotExists, Désactivé | 3.0.0 |
| La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB | Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL | Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL | Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
Planification de la continuité commerciale
Planification de la continuité d’activité et récupération d'urgence-6
ID : RBI IT Framework 6
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : les coffres Azure Recovery Services doivent utiliser des clés gérées par le client pour chiffrer les données de sauvegarde | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos données de sauvegarde. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/AB-CmkEncryption. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : Les coffres Azure Recovery Services doivent utiliser une liaison privée pour la sauvegarde | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des coffres Azure Recovery Services, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/AB-PrivateEndpoints. | Audit, Désactivé | 2.0.0-preview |
| [Préversion] : Les coffres Recovery Services doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des coffres Azure Recovery Services, les risques de fuite de données sont réduits. Découvrez plus en détail les liaisons privées pour Azure Site Recovery sur https://aka.ms/HybridScenarios-PrivateLink et https://aka.ms/AzureToAzure-PrivateLink. | Audit, Désactivé | 1.0.0-preview |
| Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée | Auditez les machines virtuelles configurées sans reprise d’activité. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| La sauvegarde Azure doit être activée pour les machines virtuelles | Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. | AuditIfNotExists, Désactivé | 3.0.0 |
| La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB | Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL | Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL | Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| La sauvegarde géoredondante à long terme doit être activée pour les bases de données Azure SQL | Cette stratégie permet d’effectuer un audit d’une base de données Azure SQL Database si la sauvegarde géoredondante à long terme n’est pas activée. | AuditIfNotExists, Désactivé | 2.0.0 |
Stratégie de récupération / Plan d’urgence-6.2
ID : RBI IT Framework 6.2
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : les coffres Azure Recovery Services doivent utiliser des clés gérées par le client pour chiffrer les données de sauvegarde | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos données de sauvegarde. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/AB-CmkEncryption. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : Les coffres Azure Recovery Services doivent utiliser une liaison privée pour la sauvegarde | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des coffres Azure Recovery Services, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/AB-PrivateEndpoints. | Audit, Désactivé | 2.0.0-preview |
| Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée | Auditez les machines virtuelles configurées sans reprise d’activité. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| La sauvegarde Azure doit être activée pour les machines virtuelles | Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. | AuditIfNotExists, Désactivé | 3.0.0 |
| La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB | Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL | Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL | Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| La sauvegarde géoredondante à long terme doit être activée pour les bases de données Azure SQL | Cette stratégie permet d’effectuer un audit d’une base de données Azure SQL Database si la sauvegarde géoredondante à long terme n’est pas activée. | AuditIfNotExists, Désactivé | 2.0.0 |
Stratégie de récupération / Plan d’urgence-6.3
ID : RBI IT Framework 6.3
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : les coffres Azure Recovery Services doivent utiliser des clés gérées par le client pour chiffrer les données de sauvegarde | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos données de sauvegarde. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/AB-CmkEncryption. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : Les coffres Azure Recovery Services doivent utiliser une liaison privée pour la sauvegarde | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des coffres Azure Recovery Services, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/AB-PrivateEndpoints. | Audit, Désactivé | 2.0.0-preview |
| La sauvegarde Azure doit être activée pour les machines virtuelles | Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. | AuditIfNotExists, Désactivé | 3.0.0 |
| La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB | Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL | Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL | Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| La sauvegarde géoredondante à long terme doit être activée pour les bases de données Azure SQL | Cette stratégie permet d’effectuer un audit d’une base de données Azure SQL Database si la sauvegarde géoredondante à long terme n’est pas activée. | AuditIfNotExists, Désactivé | 2.0.0 |
Stratégie de récupération / Plan d’urgence-6.4
ID : RBI IT Framework 6.4
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : les coffres Azure Recovery Services doivent utiliser des clés gérées par le client pour chiffrer les données de sauvegarde | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos données de sauvegarde. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/AB-CmkEncryption. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : Les coffres Azure Recovery Services doivent utiliser une liaison privée pour la sauvegarde | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des coffres Azure Recovery Services, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/AB-PrivateEndpoints. | Audit, Désactivé | 2.0.0-preview |
| [Préversion] : Les coffres Recovery Services doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des coffres Azure Recovery Services, les risques de fuite de données sont réduits. Découvrez plus en détail les liaisons privées pour Azure Site Recovery sur https://aka.ms/HybridScenarios-PrivateLink et https://aka.ms/AzureToAzure-PrivateLink. | Audit, Désactivé | 1.0.0-preview |
| Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée | Auditez les machines virtuelles configurées sans reprise d’activité. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
Étapes suivantes
Autres articles sur Azure Policy :
- Présentation de la Conformité réglementaire.
- Voir la structure de la définition d’initiative.
- Passez en revue d’autres exemples de la page Exemples Azure Policy.
- Consultez la page Compréhension des effets de Policy.
- Découvrez comment corriger des ressources non conformes.