Détails de l’initiative intégrée Conformité réglementaire RMIT Malaysia
L’article suivant explique en détail comment la définition de l’initiative intégrée Conformité réglementaire Azure Policy est mappée aux domaines de conformité et aux contrôles dans RMIT Malaysia. Pour plus d’informations sur cette norme de conformité, consultez RMIT Malaysia. Pour comprendre la propriété, consultez Définition de stratégie Azure Policy et Responsabilité partagée dans le cloud.
Les mappages suivants concernent les contrôles RMIT Malaysia. De nombreux contrôles sont mis en œuvre avec la définition d’une initiative Azure Policy. Pour examiner la définition d’initiative complète, ouvrez Stratégie dans le Portail Azure et sélectionnez la page Définitions. Ensuite, recherchez et sélectionnez la définition d’initiative intégrée de conformité réglementaire RMIT Malaysia.
Important
Chaque contrôle ci-dessous est associé à une ou plusieurs définitions Azure Policy. Ces stratégies peuvent vous aider à évaluer la conformité avec le contrôle ; toutefois, il n’existe pas souvent de correspondance un-à-un ou parfaite entre un contrôle et une ou plusieurs stratégies. Ainsi, la conformité dans Azure Policy fait uniquement référence aux définitions de stratégie elles-mêmes ; cela ne garantit pas que vous êtes entièrement conforme à toutes les exigences d’un contrôle. En outre, la norme de conformité comprend des contrôles qui ne sont traités par aucune définition Azure Policy pour l’instant. Par conséquent, la conformité dans Azure Policy n’est qu’une vue partielle de l’état de conformité global. Les associations entre les domaines de conformité, les contrôles et les définitions Azure Policy pour cette norme de conformité peuvent changer au fil du temps. Pour afficher l’historique des changements, consultez l’historique des validations GitHub.
Chiffrement
Chiffrement - 10.16
ID : RMiT 10.16 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| La protection contre la suppression définitive doit être activée pour un HSM managé Azure Key Vault | La suppression malveillante d’un HSM managé Azure Key Vault peut entraîner une perte de données définitive. Une personne malveillante au sein de votre organisation peut éventuellement supprimer définitivement un HSM managé Azure Key Vault. La protection contre la suppression définitive vous protège des attaques de l’intérieur en appliquant une période de conservation obligatoire à un HSM managé Azure Key Vault supprimé de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne peut supprimer définitivement votre HSM managé Azure Key Vault pendant la période de conservation de la suppression réversible. | Audit, Refuser, Désactivé | 1.0.0 |
| L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL | Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, Désactivé | 1.0.1 |
| Le chiffrement d’infrastructure doit être activé sur les serveurs Azure Database pour MySQL | Activez le chiffrement d’infrastructure pour les serveurs Azure Database pour MySQL garantir une sécurité renforcée des données. Lorsque le chiffrement de l’infrastructure est activé, les données au repos sont chiffrées deux fois à l’aide des clés gérées par Microsoft conformes FIPS 140-2. | Audit, Refuser, Désactivé | 1.0.0 |
| Le chiffrement d’infrastructure doit être activé sur les serveurs Azure Database pour PostgreSQL | Activez le chiffrement d’infrastructure pour les serveurs Azure Database pour PostgreSQL garantir une sécurité renforcée des données. Lorsque le chiffrement de l’infrastructure est activé, les données au repos sont chiffrées deux fois à l’aide des clés gérées par Microsoft conformes FIPS 140-2 | Audit, Refuser, Désactivé | 1.0.0 |
| La protection contre la suppression doit être activée pour les coffres de clés | La suppression malveillante d’un coffre de clés peut entraîner une perte définitive des données. Vous pouvez empêcher la perte permanente de données en activant la protection contre la suppression définitive et la suppression réversible. La protection contre la suppression définitive vous protège des attaques internes en appliquant une période de conservation obligatoire pour les coffres de clés supprimés de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne pourra supprimer définitivement vos coffres de clés pendant la période de conservation de la suppression réversible. N’oubliez pas que la suppression réversible est activée par défaut pour les coffres de clés créés après le 1er septembre 2019. | Audit, Refuser, Désactivé | 2.1.0 |
| La suppression réversible doit être activée sur les coffres de clés | La suppression d’un coffre de clés sur lequel la suppression réversible n’est pas activée supprime définitivement tous les secrets, toutes les clés et tous les certificats qui y stockés. La suppression accidentelle d’un coffre de clés peut entraîner la perte définitive des données. La suppression réversible vous permet de récupérer un coffre de clés supprimé accidentellement, pendant une période de conservation configurable. | Audit, Refuser, Désactivé | 3.0.0 |
| La sécurisation du transfert vers des comptes de stockage doit être activée | Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) | Audit, Refuser, Désactivé | 2.0.0 |
| Les instances managées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. | Audit, Refuser, Désactivé | 2.0.0 |
| Les comptes de stockage doivent avoir le chiffrement d’infrastructure activé | Activez le chiffrement d’infrastructure pour garantir une sécurité renforcée des données. Quand le chiffrement d’infrastructure est activé, les données d’un compte de stockage sont chiffrées deux fois. | Audit, Refuser, Désactivé | 1.0.0 |
| Transparent Data Encryption sur les bases de données SQL doit être activé | Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises | AuditIfNotExists, Désactivé | 2.0.0 |
Chiffrement - 10.19
ID : RMiT 10.19 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Azure Defender pour Key Vault doit être activé | Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. | AuditIfNotExists, Désactivé | 1.0.3 |
| Les disques de système d’exploitation et de données dans les clusters Azure Kubernetes Service doivent être chiffrés par des clés gérées par le client | Le chiffrement des disques de système d’exploitation et de données à l’aide de clés gérées par le client offre davantage de contrôle et de flexibilité dans la gestion des clés. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. | Audit, Refuser, Désactivé | 1.0.1 |
| La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL | Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| Key Vault doit utiliser un point de terminaison de service de réseau virtuel | Cette stratégie audite Key Vault s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. | Audit, Désactivé | 1.0.0 |
| Les serveurs PostgreSQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos serveurs PostgreSQL. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. | AuditIfNotExists, Désactivé | 1.0.4 |
| Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. | Audit, Refuser, Désactivé | 2.0.1 |
Chiffrement - 10.20
ID : RMiT 10.20 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Déconseillé] L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications de fonction | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant de certificats valides peuvent accéder à l’application. Cette stratégie a été remplacée par une nouvelle stratégie portant le même nom, car HTTP 2.0 ne prend pas en charge les certificats clients. | Audit, Désactivé | 3.1.0-deprecated |
| L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications App service | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. | AuditIfNotExists, Désactivé | 1.0.0 |
Opérations des centres de données
Opérations des centres de données - 10.27
ID : RMiT 10.27 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Déployer - Configurer l’extension Log Analytics pour qu’elle soit activée sur des groupes de machines virtuelles identiques Windows | Déployez l’extension Log Analytics pour les groupes de machines virtuelles identiques Windows si l’image de machine virtuelle figure dans la liste définie et que l’extension n’est pas installée. Si l’upgradePolicy de votre groupe identique est définie sur Manuelle, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en les mettant à jour. Avertissement d’obsolescence : les agents Log Analytics sont en voie de dépréciation et ne seront plus pris en charge à partir du 31 août 2024. Vous devez migrer vers « Agent Azure Monitor » avant cette date. | DeployIfNotExists, Désactivé | 3.1.0 |
| Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager | Utilisez le nouvel Azure Resource Manager pour renforcer la sécurité de vos machines virtuelles : contrôle d’accès en fonction du rôle (RBAC) renforcé, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, et prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité. | Audit, Refuser, Désactivé | 1.0.0 |
Opérations des centres de données - 10.30
ID : RMiT 10.30 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| La sauvegarde Azure doit être activée pour les machines virtuelles | Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les requêtes enregistrées dans Azure Monitor doivent être enregistrées dans le compte de stockage du client pour le chiffrement des journaux | Liez le compte de stockage à un espace de travail Log Analytics pour protéger les requêtes enregistrées avec le chiffrement du compte de stockage. Les clés gérées par le client sont généralement nécessaires pour respecter la conformité réglementaire et pour mieux contrôler l’accès à vos requêtes enregistrées dans Azure Monitor. Pour plus d’informations, consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
Résilience réseau
Résilience réseau - 10.33
ID : RMiT 10.33 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Toutes les ressources du journal de flux doivent être en état activé | Auditez les ressources du journal de flux pour vérifier si l’état du journal de flux est activé. L’activation des journaux de flux permet de journaliser des informations sur la circulation du trafic IP. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc. | Audit, Désactivé | 1.0.1 |
| Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les services Gestion des API doivent utiliser un réseau virtuel | Le déploiement d’un réseau virtuel Azure offre une sécurité renforcée et une isolation, et vous permet de placer votre service Gestion des API dans un réseau routable non-Internet auquel vous contrôlez l’accès. Ces réseaux peuvent ensuite être connectés à vos réseaux locaux à l’aide de différentes technologies VPN, ce qui permet d’accéder à vos services back-end au sein du réseau et/ou localement. Le portail des développeurs et la passerelle API peuvent être configurés pour être accessibles depuis Internet ou uniquement au sein du réseau virtuel. | Audit, Refuser, Désactivé | 1.0.2 |
| Le groupe de conteneurs Azure Container Instances doit être déployé dans un réseau virtuel | Sécurisez les communications entre vos conteneurs avec les réseaux virtuels Azure. Lorsque vous spécifiez un réseau virtuel, les ressources au sein du réseau virtuel peuvent communiquer en toute sécurité et en privé entre elles. | Audit, Désactivé, Refus | 2.0.0 |
| Les passerelles VPN Azure ne doivent pas utiliser la référence SKU « de base » | Cette stratégie garantit que les passerelles VPN n’utilisent pas de référence SKU « de base ». | Audit, Désactivé | 1.0.0 |
| Configurer App Configuration pour désactiver l’accès réseau public | Désactivez l’accès réseau public pour App Configuration afin qu’il ne soit pas accessible via l’Internet public. Cette configuration vous aidera à le protéger contre les risques de fuite de données. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. | Modifier, Désactivé | 1.0.0 |
| Configurer Azure SQL Server pour désactiver l’accès réseau public | La désactivation de la propriété d’accès au réseau public arrête la connectivité publique, de sorte qu’Azure SQL Server n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive l’accès au réseau public pour toutes les bases de données sous l’instance d’Azure SQL Server. | Modifier, Désactivé | 1.0.0 |
| Configurer Azure SQL Server pour activer des connexions de point de terminaison privé | Une connexion de point de terminaison privée permet une connectivité privée à votre instance Azure SQL Database via une adresse IP privée au sein d’un réseau virtuel. Cette configuration améliore votre posture de sécurité et prend en charge les outils et scénarios de mise en réseau d’Azure. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les registres de conteneurs pour désactiver l’accès réseau public | Désactivez l’accès au réseau public pour votre ressource de registre de conteneurs afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus : https://aka.ms/acr/portal/public-network et https://aka.ms/acr/private-link. | Modifier, Désactivé | 1.0.0 |
| Configurer les disques managés pour désactiver l’accès au réseau public | Désactivez l’accès au réseau public pour votre ressource de disque managé afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/disksprivatelinksdoc. | Modifier, Désactivé | 2.0.0 |
| Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint | Par défaut, les registres de conteneurs Azure acceptent les connexions via Internet à partir d’hôtes situés sur n’importe quel réseau. Pour protéger vos registres des menaces potentielles, autorisez l’accès uniquement à partir de points de terminaison privés, d’adresses ou de plages d’adresses IP publiques spécifiques. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. Découvrez plus en détail les règles réseau de Container Registry ici : https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network et https://aka.ms/acr/vnet. | Audit, Refuser, Désactivé | 2.0.0 |
| Cosmos DB doit utiliser un point de terminaison de service de réseau virtuel | Cette stratégie audite Cosmos DB s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. | Audit, Désactivé | 1.0.0 |
| Event Hub doit utiliser un point de terminaison de service de réseau virtuel | Cette stratégie audite Event Hub s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les journaux de flux doivent être configurés pour chaque groupe de sécurité réseau | Auditez les groupes de sécurité réseau pour vérifier si les journaux de flux sont configurés. Activer les journaux de flux permet de consigner des informations sur le trafic IP circulant dans un groupe de sécurité réseau. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc. | Audit, Désactivé | 1.1.0 |
| Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Le transfert IP doit être désactivé sur votre machine virtuelle | L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les disques managés doivent désactiver l’accès au réseau public | La désactivation de l’accès au réseau public améliore la sécurité en veillant à ce que le disque managé ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition des disques managés. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/disksprivatelinksdoc. | Audit, Désactivé | 2.0.0 |
| Modifier - Configurer Azure File Sync pour désactiver l’accès au réseau public | Le point de terminaison public accessible sur Internet d’Azure File Sync est désactivé par la stratégie de votre organisation. Vous pouvez toujours accéder au service de synchronisation de stockage via son ou ses points de terminaison privés. | Modifier, Désactivé | 1.0.0 |
| Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. | Audit, Désactivé | 1.1.0 |
| Le point de terminaison privé doit être activé pour les serveurs MariaDB | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database for MariaDB privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
| Le point de terminaison privé doit être activé pour les serveurs MySQL | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour MySQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
| Le point de terminaison privé doit être activé pour les serveurs PostgreSQL | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour PostgreSQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
| L’accès réseau public doit être désactivé pour les registres de conteneurs | La désactivation de l’accès au réseau public améliore la sécurité en garantissant que les registres de conteneurs ne sont pas exposés sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition des ressources de registre de conteneurs. Pour en savoir plus : https://aka.ms/acr/portal/public-network et https://aka.ms/acr/private-link. | Audit, Refuser, Désactivé | 1.0.0 |
| les sous-réseaux doivent être associés à un groupe de sécurité réseau | Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines virtuelles doivent être connectées à un réseau virtuel approuvé | Cette stratégie audite les machines virtuelles connectées à un réseau virtuel non approuvé. | Audit, Refuser, Désactivé | 1.0.0 |
| Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage | Par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme. Les disques temporaires, les caches de données et le flux de données entre le calcul et le stockage ne sont pas chiffrés. Ignorez cette recommandation dans les deux cas suivants : Vous utilisez le chiffrement sur l’hôte. Le chiffrement côté serveur des Disques managés répond à vos besoins en matière de sécurité. Pour en savoir plus, consultez : Chiffrement côté serveur de Stockage sur disque Azure : https://aka.ms/disksse, Différentes offres de chiffrement de disque : https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Désactivé | 2.0.3 |
| Les réseaux virtuels doivent utiliser la passerelle de réseau virtuel spécifiée | Cette stratégie audite les réseaux virtuels si la route par défaut ne pointe pas vers la passerelle de réseau virtuel spécifiée. | AuditIfNotExists, Désactivé | 1.0.0 |
Résilience réseau - 10.35
ID : RMiT 10.35 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Déployer - Configurer l’extension Log Analytics pour qu’elle soit activée sur des groupes de machines virtuelles identiques Windows | Déployez l’extension Log Analytics pour les groupes de machines virtuelles identiques Windows si l’image de machine virtuelle figure dans la liste définie et que l’extension n’est pas installée. Si l’upgradePolicy de votre groupe identique est définie sur Manuelle, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en les mettant à jour. Avertissement d’obsolescence : les agents Log Analytics sont en voie de dépréciation et ne seront plus pris en charge à partir du 31 août 2024. Vous devez migrer vers « Agent Azure Monitor » avant cette date. | DeployIfNotExists, Désactivé | 3.1.0 |
| Network Watcher doit être activé | Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. | AuditIfNotExists, Désactivé | 3.0.0 |
Résilience réseau - 10.38
ID : RMiT 10.38 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Activez le provisionnement automatique de l’agent Log Analytics fourni par Security Center sur vos abonnements avec un espace de travail personnalisé. | Autorisez Security Center à provisionner automatiquement l’agent Log Analytics sur vos abonnements pour superviser et collecter les données de sécurité à l’aide d’un espace de travail personnalisé. | DeployIfNotExists, Désactivé | 1.0.0 |
| Activez le provisionnement automatique de l’agent Log Analytics fourni par Security Center sur vos abonnements avec l’espace de travail par défaut. | Autorisez Security Center à provisionner automatiquement l’agent Log Analytics sur vos abonnements pour superviser et collecter les données de sécurité à l’aide de l’espace de travail ASC par défaut. | DeployIfNotExists, Désactivé | 1.0.0 |
Résilience réseau - 10.39
ID : RMiT 10.39 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Une stratégie IPsec/IKE personnalisée doit être appliquée à toutes les connexions de passerelle de réseau virtuel Azure | Cette stratégie garantit que toutes les connexions de passerelle de réseau virtuel Azure utilisent une stratégie IPsec (Internet Protocol Security)/IKE (Internet Key Exchange). Algorithmes et forces de clé pris en charge - https://aka.ms/AA62kb0 | Audit, Désactivé | 1.0.0 |
| SQL Server doit utiliser un point de terminaison de service de réseau virtuel | Cette stratégie audite tout serveur SQL Server non configuré pour utiliser un point de terminaison de service de réseau virtuel. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes de stockage doivent utiliser un point de terminaison de service de réseau virtuel | Cette stratégie audite les comptes de stockage non configurés pour utiliser un point de terminaison de service de réseau virtuel. | Audit, Désactivé | 1.0.0 |
Services cloud
Services cloud - 10.49
ID : RMiT 10.49 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet | Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle | AuditIfNotExists, Désactivé | 3.0.0 |
| Vérifier que l’emplacement de la ressource correspond à l’emplacement du groupe de ressources | Vérifie que l’emplacement de la ressource correspond à l’emplacement de son groupe de ressources | audit | 2.0.0 |
| La limitation de connexion doit être activée pour les serveurs de base de données PostgreSQL | Cette stratégie aide à auditer toutes les bases de données PostgreSQL de votre environnement sans activer la limitation de connexion. Ce paramètre active la limitation de connexion temporaire par adresse IP à la suite d’un trop grand nombre de connexions infructueuses avec des mots de passe non valides. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les ports de gestion doivent être fermés sur vos machines virtuelles | Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. | AuditIfNotExists, Désactivé | 3.0.0 |
| SQL Database doit éviter d’utiliser la redondance de sauvegarde GRS | Les bases de données doivent éviter d’utiliser le stockage géoredondant par défaut pour les sauvegardes si des règles de résidence des données nécessitent que les données restent dans une région spécifique. Remarque : Azure Policy n’est pas appliqué lors de la création d’une base de données via T-SQL. Sauf spécification explicite, la base de données avec un stockage de sauvegarde géoredondant est créée via T-SQL. | Deny, Disabled | 2.0.0 |
| Les instances managées SQL doivent éviter d’utiliser la redondance de sauvegarde GRS | Les instances managées doivent éviter d’utiliser le stockage géoredondant par défaut pour les sauvegardes si des règles de résidence des données nécessitent que les données restent dans une région spécifique. Remarque : Azure Policy n’est pas appliqué lors de la création d’une base de données via T-SQL. Sauf spécification explicite, la base de données avec un stockage de sauvegarde géoredondant est créée via T-SQL. | Deny, Disabled | 2.0.0 |
Services cloud - 10.51
ID : RMiT 10.51 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet | Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle | AuditIfNotExists, Désactivé | 3.0.0 |
| Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée | Auditez les machines virtuelles configurées sans reprise d’activité. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB | Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL | Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL | Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| Le stockage géoredondant doit être activé pour les comptes de stockage | Utiliser la géoredondance pour créer des applications hautement disponibles | Audit, Désactivé | 1.0.0 |
| La sauvegarde géoredondante à long terme doit être activée pour les bases de données Azure SQL | Cette stratégie permet d’effectuer un audit d’une base de données Azure SQL Database si la sauvegarde géoredondante à long terme n’est pas activée. | AuditIfNotExists, Désactivé | 2.0.0 |
Services cloud - 10.53
ID : RMiT 10.53 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| App Configuration doit utiliser une clé gérée par le client | Les clés gérées par le client offrent une protection améliorée des données en vous permettant de gérer vos clés de chiffrement. Cela est souvent nécessaire pour répondre aux exigences de conformité. | Audit, Refuser, Désactivé | 1.1.0 |
| Le groupe de conteneurs Azure Container Instances doit utiliser une clé gérée par le client pour le chiffrement | Sécurisez vos conteneurs avec plus de flexibilité à l’aide de clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. | Audit, Désactivé, Refus | 1.0.0 |
| Les clusters de journaux Azure Monitor doivent être chiffrés avec une clé gérée par le client | Créez un cluster de journaux Azure Monitor avec un chiffrement au moyen de clés gérées par le client. Par défaut, les données des journaux sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre à la conformité réglementaire. La clé gérée par le client dans Azure Monitor vous donne davantage de contrôle sur l’accès à vos données ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
| Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client | Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos registres. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/acr/CMK. | Audit, Refuser, Désactivé | 1.1.2 |
| Les espaces de noms Event Hub doivent utiliser une clé gérée par le client pour le chiffrement | Azure Event Hubs prend en charge le chiffrement des données au repos à l’aide de clés gérées par Microsoft (par défaut) ou de clés gérées par le client. Si vous choisissez de chiffrer les données à l’aide de clés gérées par le client, vous pouvez attribuer, faire pivoter, désactiver et révoquer l’accès aux clés utilisées par Event Hub pour chiffrer les données dans votre espace de noms. Notez qu’Event Hub ne prend en charge que le chiffrement avec des clés gérées par le client pour les espaces de noms dans les clusters dédiés. | Audit, Désactivé | 1.0.0 |
| La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL | Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| Les comptes HPC Cache doivent utiliser une clé gérée par le client pour le chiffrement | Gérez le chiffrement au repos d’Azure HPC Cache avec des clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. | Audit, Désactivé, Refus | 2.0.0 |
| Les disques managés doivent utiliser un jeu de chiffrement de disque spécifique pour le chiffrement à clé géré par le client | Exiger un ensemble spécifique de jeux de chiffrement de disque à utiliser avec les disques gérés vous donne le contrôle des clés utilisées pour le chiffrement au repos. Vous pouvez sélectionner les jeux chiffrés autorisés, et tous les autres sont rejetés lorsqu’ils sont attachés à un disque. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-cmk. | Audit, Refuser, Désactivé | 2.0.0 |
| Les disques de système d’exploitation et de données doivent être chiffrés avec une clé gérée par le client | Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos disques managés. Par défaut, les données sont chiffrées au repos avec des clés gérées par la plateforme. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-cmk. | Audit, Refuser, Désactivé | 3.0.0 |
| Les serveurs PostgreSQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos serveurs PostgreSQL. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. | AuditIfNotExists, Désactivé | 1.0.4 |
| Les requêtes enregistrées dans Azure Monitor doivent être enregistrées dans le compte de stockage du client pour le chiffrement des journaux | Liez le compte de stockage à un espace de travail Log Analytics pour protéger les requêtes enregistrées avec le chiffrement du compte de stockage. Les clés gérées par le client sont généralement nécessaires pour respecter la conformité réglementaire et pour mieux contrôler l’accès à vos requêtes enregistrées dans Azure Monitor. Pour plus d’informations, consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
| Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. | Audit, Refuser, Désactivé | 2.0.1 |
| Le compte de stockage disposant du conteneur des journaux d’activité doit être chiffré avec BYOK | Cette stratégie vérifie si le compte de stockage disposant du conteneur des journaux d’activité est chiffré avec BYOK. La stratégie fonctionne uniquement si le compte de stockage se trouve par défaut dans le même abonnement que les journaux d’activité. Vous trouverez plus d’informations sur le chiffrement du stockage Azure au repos ici https://aka.ms/azurestoragebyok. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes de stockage doivent utiliser une clé gérée par le client pour le chiffrement | Sécurisez votre compte de stockage blob et fichier avec une plus grande flexibilité en utilisant des clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. | Audit, Désactivé | 1.0.3 |
Contrôle d’accès
Contrôle d’accès - 10.54
ID : RMiT 10.54 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.0.0 |
| App Configuration doit désactiver l’accès réseau public | La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que la ressource ne soit pas exposée sur l’Internet public. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. | Audit, Refuser, Désactivé | 1.0.0 |
| L’authentification doit être activée pour les applications App Service | L’authentification Azure App Service est une fonctionnalité qui peut empêcher les requêtes HTTP anonymes d’accéder à l’application web ou authentifier celles ayant des jetons avant qu’elles n’accèdent à l’application web. | AuditIfNotExists, Désactivé | 2.0.1 |
| Le contrôle d’accès en fonction du rôle Azure (RBAC) doit être utilisé sur Kubernetes Service | Pour fournir un filtrage précis des actions que les utilisateurs peuvent effectuer, utilisez le contrôle d’accès en fonction du rôle Azure (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurez les stratégies d’autorisation appropriées. | Audit, Désactivé | 1.0.3 |
| Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés | Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| L’authentification doit être activée pour les applications de fonction | L’authentification Azure App Service est une fonctionnalité qui peut empêcher les requêtes HTTP anonymes d’accéder à l’application de fonction ou authentifier celles ayant des jetons avant qu’elles n’accèdent à l’application de fonction. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications de fonction doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
| Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| L’extension Guest Configuration doit être installée sur vos machines | Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.3 |
| Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
| L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol | AuditIfNotExists, Désactivé | 1.0.1 |
Contrôle d’accès - 10.55
ID : RMiT 10.55 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Auditer l’utilisation des rôles RBAC personnalisés | Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces | Audit, Désactivé | 1.0.1 |
| Les règles d’autorisation sur l’instance Event Hub doivent être définies | Auditer l’existence de règles d’autorisation sur les entités Event Hub pour accorder un accès à privilèges minimum | AuditIfNotExists, Désactivé | 1.0.0 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées | Limitez les fonctionnalités afin de réduire la surface d’attaque des conteneurs dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.8 et du CIS 5.2.9, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.1.0 |
| Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule | Exécutez des conteneurs avec un système de fichiers racine en lecture seule pour le protéger contre les modifications au moment de l’exécution avec des fichiers binaires malveillants ajoutés au chemin d’accès dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.2.0 |
| Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés | Contrôle les ID d’utilisateur, de groupe principal, de groupe supplémentaire et de groupe de systèmes de fichiers que les pods et les conteneurs peuvent utiliser pour s’exécuter dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.1.1 |
| Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés | Ne pas autoriser pas la création de conteneurs privilégiés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.1, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 9.1.0 |
| Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur | N’autorisez pas les conteneurs à s’exécuter avec une élévation des privilèges vers la racine dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.5, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.0 |
| Les comptes de stockage doivent autoriser l’accès à partir des services Microsoft approuvés | Certains services Microsoft qui interagissent avec les comptes de stockage fonctionnent à partir de réseaux qui ne peuvent pas obtenir l’accès par le biais des règles de réseau. Pour que ce type de service fonctionne comme prévu, autorisez l’ensemble des services Microsoft approuvés à contourner les règles de réseau. Ces services utilisent alors une authentification forte pour accéder au compte de stockage. | Audit, Refuser, Désactivé | 1.0.0 |
Contrôle d’accès - 10.58
ID : RMiT 10.58 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Contrôle d’accès - 10.60
ID : RMiT 10.60 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Auditer l’utilisation des rôles RBAC personnalisés | Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces | Audit, Désactivé | 1.0.1 |
| Le contrôle d’accès en fonction du rôle Azure (RBAC) doit être utilisé sur Kubernetes Service | Pour fournir un filtrage précis des actions que les utilisateurs peuvent effectuer, utilisez le contrôle d’accès en fonction du rôle Azure (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurez les stratégies d’autorisation appropriées. | Audit, Désactivé | 1.0.3 |
Contrôle d’accès - 10.61
ID : RMiT 10.61 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Le contrôle d’accès en fonction du rôle Azure (RBAC) doit être utilisé sur Kubernetes Service | Pour fournir un filtrage précis des actions que les utilisateurs peuvent effectuer, utilisez le contrôle d’accès en fonction du rôle Azure (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurez les stratégies d’autorisation appropriées. | Audit, Désactivé | 1.0.3 |
| Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés | Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| L’extension Guest Configuration doit être installée sur vos machines | Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.3 |
| Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
| L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol | AuditIfNotExists, Désactivé | 1.0.1 |
Contrôle d’accès - 10.62
ID : RMiT 10.62 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Auditer l’utilisation des rôles RBAC personnalisés | Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces | Audit, Désactivé | 1.0.1 |
| Le contrôle d’accès en fonction du rôle Azure (RBAC) doit être utilisé sur Kubernetes Service | Pour fournir un filtrage précis des actions que les utilisateurs peuvent effectuer, utilisez le contrôle d’accès en fonction du rôle Azure (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurez les stratégies d’autorisation appropriées. | Audit, Désactivé | 1.0.3 |
Gestion des patchs et de la fin de vie du système
Gestion des correctifs et de la fin de vie du système - 10.63
ID : RMiT 10.63 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Antimalware pour Azure doit être configuré pour mettre à jour automatiquement les signatures de protection | Cette stratégie permet d’effectuer un audit de toutes les machines virtuelles Windows non configurées avec la mise à jour automatique des signatures de protection de Microsoft Antimalware. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les mises à jour système sur les groupes de machines virtuelles identiques doivent être installées | Vérifiez si des mises à jour de sécurité système et des mises à jour critiques sont manquantes et doivent être installées pour assurer la sécurité de vos groupes de machines virtuelles identiques Windows et Linux. | AuditIfNotExists, Désactivé | 3.0.0 |
Gestion des correctifs et de la fin de vie du système - 10.65
ID : RMiT 10.65 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes | Mettez à niveau votre cluster Kubernetes Services vers une version ultérieure de Kubernetes pour le protéger des vulnérabilités connues de votre version Kubernetes actuelle. La vulnérabilité CVE-2019-9946 a été corrigée dans Kubernetes versions 1.11.9+, 1.12.7+, 1.13.5+ et 1.14.0+ | Audit, Désactivé | 1.0.2 |
| Les mises à jour système doivent être installées sur vos machines | Les mises à jour système de sécurité manquantes sur vos serveurs seront supervisées par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 4.0.0 |
| Les vulnérabilités dans la configuration de la sécurité de vos groupes de machines virtuelles identiques doivent être corrigées | Auditez les vulnérabilités de système d’exploitation dans vos groupes de machines virtuelles identiques pour les protéger des attaques. | AuditIfNotExists, Désactivé | 3.0.0 |
Sécurité des services numériques
Sécurité des services numériques - 10.66
ID : RMiT 10.66 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Le journal d’activité doit être conservé pendant au moins un an | Cette stratégie audite le journal d’activité si la conservation n’est pas définie sur 365 jours ou sur toujours (jours de conservation définis sur 0). | AuditIfNotExists, Désactivé | 1.0.0 |
| Les applications App Service doivent avoir activé les journaux des ressources | Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 2.0.1 |
| Auditez le paramètre de diagnostic pour les types de ressources sélectionnés | Auditez le paramètre de diagnostic pour les types de ressources sélectionnés. Assurez-vous que vous sélectionnez uniquement des types de ressources qui prennent en charge les paramètres de diagnostic. | AuditIfNotExists | 2.0.1 |
| Le profil de journal Azure Monitor doit collecter des journaux pour les catégories « écriture », « suppression » et « action » | Cette stratégie garantit qu’un profil de journal collecte les journaux pour les catégories « write », « delete » et « action » | AuditIfNotExists, Désactivé | 1.0.0 |
| Les journaux Azure Monitor pour Application Insights doivent être liés à un espace de travail Log Analytics | Liez le composant Application Insights à un espace de travail Log Analytics pour le chiffrement des journaux. Les clés gérées par le client sont généralement nécessaires pour respecter la conformité réglementaire et pour mieux contrôler l’accès à vos données dans Azure Monitor. Si vous liez votre composant à un espace de travail Log Analytics qui est activé avec une clé gérée par le client, vous êtes sûr que vos journaux Application Insights répondent à cette exigence de conformité ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, audit, refus, refus, désactivé, désactivé | 1.1.0 |
| Azure Monitor doit collecter les journaux d’activité dans toutes les régions | Cette stratégie effectue l’audit du profil de journal Azure Monitor qui n’exporte pas d’activités à partir de toutes les régions Azure prises en charge, notamment la région globale. | AuditIfNotExists, Désactivé | 2.0.0 |
| La solution 'Security and Audit' d’Azure Monitor doit être déployée | Cette stratégie garantit que la solution Security and Audit est déployée. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les abonnements Azure doivent avoir un profil de journal pour le journal d’activité | Cette stratégie garantit l’activation d’un profil de journal pour l’exportation des journaux d’activité. Elle vérifie si aucun profil de journal n’a été créé pour exporter les journaux vers un compte de stockage ou un hub d’événements. | AuditIfNotExists, Désactivé | 1.0.0 |
| Déployer : configurer les paramètres de diagnostic pour les bases de données SQL pour l’envoi à un espace de travail Log Analytics | Déploie les paramètres de diagnostic pour des bases de données SQL afin de diffuser les journaux de ressources vers un espace de travail Log Analytics en cas de création ou de mise à jour de toute base de données SQL n’ayant pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 4.0.0 |
| Déployer - Configurer l’extension Log Analytics pour qu’elle soit activée sur des machines virtuelles Windows | Déployez l’extension Log Analytics pour les machines virtuelles Windows si l’image de machine virtuelle figure dans la liste définie et que l’extension n’est pas installée. Avertissement d’obsolescence : les agents Log Analytics sont en voie de dépréciation et ne seront plus pris en charge à partir du 31 août 2024. Vous devez migrer vers « Agent Azure Monitor » avant cette date. | DeployIfNotExists, Désactivé | 3.1.0 |
| Déployer les paramètres de diagnostic de compte Batch sur Event Hub | Déploie les paramètres de diagnostic de compte Batch à envoyer en streaming à un hub d’événements régional quand un compte Batch nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 2.0.0 |
| Déployer les paramètres de diagnostic de compte batch sur l’espace de travail Log Analytics | Déploie les paramètres de diagnostic de compte Batch à envoyer en streaming à un espace de travail Log Analytics régional quand un compte Batch nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 1.0.0 |
| Déployer les paramètres de diagnostic de Data Lake Analytics sur Event Hub | Déploie les paramètres de diagnostic de Data Lake Analytics à envoyer en streaming à un hub d’événements régional quand un service Data Lake Analytics nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 2.0.0 |
| Déployer les paramètres de diagnostic de Data Lake Analytics sur l’espace de travail Log Analytics | Déploie les paramètres de diagnostic de Data Lake Analytics à envoyer en streaming à un espace de travail Log Analytics régional quand un service Data Lake Analytics nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 1.0.0 |
| Déployer les paramètres de diagnostic de Data Lake Storage Gen1 sur Event Hub | Déploie les paramètres de diagnostic de Data Lake Storage Gen1 à envoyer en streaming à un hub d’événements régional quand un service Data Lake Storage Gen1 nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 2.0.0 |
| Déployer les paramètres de diagnostic de Data Lake Storage Gen1 sur l’espace de travail Log Analytics | Déploie les paramètres de diagnostic de Data Lake Storage Gen1 à envoyer en streaming à un espace de travail Log Analytics régional quand un service Data Lake Storage Gen1 nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 1.0.0 |
| Déployer les paramètres de diagnostic d’Event Hub sur Event Hub | Déploie les paramètres de diagnostic d’Event Hub à envoyer en streaming à un hub d’événements régional quand un hub d’événements nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 2.1.0 |
| Déployer les paramètres de diagnostic d’Event Hub sur l’espace de travail Log Analytics | Déploie les paramètres de diagnostic d’Event Hub à envoyer en streaming à un espace de travail Log Analytics régional quand un hub d’événements nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 2.0.0 |
| Déployer les paramètres de diagnostic de Key Vault sur l’espace de travail Log Analytics | Déploie les paramètres de diagnostic de Key Vault à envoyer en streaming à un espace de travail Log Analytics régional quand un coffre de clés nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 3.0.0 |
| Déployer les paramètres de diagnostic de Logic Apps sur Event Hub | Déploie les paramètres de diagnostic de Logic Apps à envoyer en streaming à un hub d’événements régional quand un service Logic Apps nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 2.0.0 |
| Déployer les paramètres de diagnostic de Logic Apps sur l’espace de travail Log Analytics | Déploie les paramètres de diagnostic de Logic Apps à envoyer en streaming à un espace de travail Log Analytics régional quand un service Logic Apps nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 1.0.0 |
| Déployer les paramètres de diagnostic des services de recherche sur Event Hub | Déploie les paramètres de diagnostic des services de recherche à envoyer en streaming à un hub d’événements régional quand un service de recherche nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 2.0.0 |
| Déployer les paramètres de diagnostic des services de recherche sur l’espace de travail Log Analytics | Déploie les paramètres de diagnostic des services de recherche à envoyer en streaming à un espace de travail Log Analytics régional quand un service de recherche nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 1.0.0 |
| Déployer les paramètres de diagnostic de Service Bus sur Event Hub | Déploie les paramètres de diagnostic de Service Bus à envoyer en streaming à un hub d’événements régional quand un Service Bus nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 2.0.0 |
| Déployer les paramètres de diagnostic de Service Bus sur un espace de travail Log Analytics | Déploie les paramètres de diagnostic de Service Bus à envoyer en streaming à un espace de travail Log Analytics régional quand un Service Bus nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 2.1.0 |
| Déployer les paramètres de diagnostic de Stream Analytics sur Event Hub | Déploie les paramètres de diagnostic de Stream Analytics à envoyer en streaming à un hub d’événements régional quand un service Stream Analytics nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 2.0.0 |
| Déployer les paramètres de diagnostic de Stream Analytics sur l’espace de travail Log Analytics | Déploie les paramètres de diagnostic de Stream Analytics à envoyer en streaming à un espace de travail Log Analytics régional quand un service Stream Analytics nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 1.0.0 |
| L’extension Log Analytics doit être activée dans les groupes de machines virtuelles identiques pour les images de machines virtuelles listées | Signale que les groupes de machines virtuelles identiques ne sont pas conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée. | AuditIfNotExists, Désactivé | 2.0.1 |
| Les journaux de ressource dans les HSM managés par Azure Key Vault doivent être activés | Pour recréer des traçages d’activité à des fins d’investigation quand un incident de sécurité se produit ou quand votre réseau est compromis, vous pouvez effectuer un audit en activant les journaux de ressources des HSM managés. Suivez les instructions ici : https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, Désactivé | 1.1.0 |
| Les journaux de ressources dans Key Vault doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau | AuditIfNotExists, Désactivé | 5.0.0 |
| L’extension Log Analytics doit être installée sur Virtual Machine Scale Sets | Cette stratégie audite les groupes de machines virtuelles identiques Windows/Linux si l’extension Log Analytics n’est pas installée. | AuditIfNotExists, Désactivé | 1.0.1 |
| L’extension Log Analytics doit être installée sur les machines virtuelles | Cette stratégie audite toutes les machines virtuelles Windows/Linux si l’extension Log Analytics n’est pas installée. | AuditIfNotExists, Désactivé | 1.0.1 |
Sécurité des services numériques - 10.68
ID : RMiT 10.68 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les applications App Service doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.0.1 |
| Les applications de fonctions doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.0.1 |
Déni de service distribué (DDoS)
Attaques par déni de service distribué (DDoS) - 11.13
ID : RMiT 11.13 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door | Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. | Audit, Refuser, Désactivé | 1.0.2 |
Protection contre la perte de données (DLP)
Protection contre la perte de données (DLP) - 11.15
ID : RMiT 11.15 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| La protection contre la suppression définitive doit être activée pour un HSM managé Azure Key Vault | La suppression malveillante d’un HSM managé Azure Key Vault peut entraîner une perte de données définitive. Une personne malveillante au sein de votre organisation peut éventuellement supprimer définitivement un HSM managé Azure Key Vault. La protection contre la suppression définitive vous protège des attaques de l’intérieur en appliquant une période de conservation obligatoire à un HSM managé Azure Key Vault supprimé de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne peut supprimer définitivement votre HSM managé Azure Key Vault pendant la période de conservation de la suppression réversible. | Audit, Refuser, Désactivé | 1.0.0 |
| Les clusters de journaux Azure Monitor doivent être chiffrés avec une clé gérée par le client | Créez un cluster de journaux Azure Monitor avec un chiffrement au moyen de clés gérées par le client. Par défaut, les données des journaux sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre à la conformité réglementaire. La clé gérée par le client dans Azure Monitor vous donne davantage de contrôle sur l’accès à vos données ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
| Configurer App Configuration pour désactiver l’accès réseau public | Désactivez l’accès réseau public pour App Configuration afin qu’il ne soit pas accessible via l’Internet public. Cette configuration vous aidera à le protéger contre les risques de fuite de données. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. | Modifier, Désactivé | 1.0.0 |
| Configurer Azure SQL Server pour désactiver l’accès réseau public | La désactivation de la propriété d’accès au réseau public arrête la connectivité publique, de sorte qu’Azure SQL Server n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive l’accès au réseau public pour toutes les bases de données sous l’instance d’Azure SQL Server. | Modifier, Désactivé | 1.0.0 |
| Configurer les registres de conteneurs pour désactiver l’accès réseau public | Désactivez l’accès au réseau public pour votre ressource de registre de conteneurs afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus : https://aka.ms/acr/portal/public-network et https://aka.ms/acr/private-link. | Modifier, Désactivé | 1.0.0 |
| Configurer les disques managés pour désactiver l’accès au réseau public | Désactivez l’accès au réseau public pour votre ressource de disque managé afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/disksprivatelinksdoc. | Modifier, Désactivé | 2.0.0 |
| L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL | Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, Désactivé | 1.0.1 |
| La protection contre la suppression doit être activée pour les coffres de clés | La suppression malveillante d’un coffre de clés peut entraîner une perte définitive des données. Vous pouvez empêcher la perte permanente de données en activant la protection contre la suppression définitive et la suppression réversible. La protection contre la suppression définitive vous protège des attaques internes en appliquant une période de conservation obligatoire pour les coffres de clés supprimés de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne pourra supprimer définitivement vos coffres de clés pendant la période de conservation de la suppression réversible. N’oubliez pas que la suppression réversible est activée par défaut pour les coffres de clés créés après le 1er septembre 2019. | Audit, Refuser, Désactivé | 2.1.0 |
| La suppression réversible doit être activée sur les coffres de clés | La suppression d’un coffre de clés sur lequel la suppression réversible n’est pas activée supprime définitivement tous les secrets, toutes les clés et tous les certificats qui y stockés. La suppression accidentelle d’un coffre de clés peut entraîner la perte définitive des données. La suppression réversible vous permet de récupérer un coffre de clés supprimé accidentellement, pendant une période de conservation configurable. | Audit, Refuser, Désactivé | 3.0.0 |
| Les disques managés doivent désactiver l’accès au réseau public | La désactivation de l’accès au réseau public améliore la sécurité en veillant à ce que le disque managé ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition des disques managés. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/disksprivatelinksdoc. | Audit, Désactivé | 2.0.0 |
| Les disques managés doivent utiliser un jeu de chiffrement de disque spécifique pour le chiffrement à clé géré par le client | Exiger un ensemble spécifique de jeux de chiffrement de disque à utiliser avec les disques gérés vous donne le contrôle des clés utilisées pour le chiffrement au repos. Vous pouvez sélectionner les jeux chiffrés autorisés, et tous les autres sont rejetés lorsqu’ils sont attachés à un disque. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-cmk. | Audit, Refuser, Désactivé | 2.0.0 |
| Modifier - Configurer Azure File Sync pour désactiver l’accès au réseau public | Le point de terminaison public accessible sur Internet d’Azure File Sync est désactivé par la stratégie de votre organisation. Vous pouvez toujours accéder au service de synchronisation de stockage via son ou ses points de terminaison privés. | Modifier, Désactivé | 1.0.0 |
| Les instances managées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. | Audit, Refuser, Désactivé | 2.0.0 |
| Transparent Data Encryption sur les bases de données SQL doit être activé | Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises | AuditIfNotExists, Désactivé | 2.0.0 |
Centre des opérations de sécurité
Centre des opérations de sécurité - 11.17
ID : RMiT 11.17 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les règles de liste verte dans votre stratégie de contrôle d’application adaptatif doivent être mises à jour | Supervisez les changements de comportement sur les groupes de machines configurés pour être audités par les contrôles d’application adaptatifs d’Azure Security Center. Security Center utilise le Machine Learning pour analyser les processus en cours d’exécution sur vos machines, et suggérer une liste d’applications reconnues fiables. Elles sont présentées comme des applications recommandées à autoriser dans les stratégies de contrôles d’application adaptatifs. | AuditIfNotExists, Désactivé | 3.0.0 |
| Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes | Limitez l’accès à l’API Gestion des services Kubernetes en n’accordant l’accès à l’API qu’à des adresses IP de plages spécifiques. Nous vous recommandons de limiter l’accès aux plages d’adresses IP autorisées afin d’être sûr que seules les applications des réseaux autorisés puissent accéder au cluster. | Audit, Désactivé | 2.0.1 |
| La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée | Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 2.1.0 |
| La solution de protection du point de terminaison doit être installée sur les groupes de machines virtuelles identiques | Vérifiez l’existence et l’intégrité d’une solution Endpoint Protection dans vos groupes de machines virtuelles identiques, pour les protéger des menaces et des vulnérabilités. | AuditIfNotExists, Désactivé | 3.0.0 |
Centre des opérations de sécurité - 11.18
ID : RMiT 11.18 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| L’audit sur SQL Server doit être activé | L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. | AuditIfNotExists, Désactivé | 2.0.0 |
| Le provisionnement automatique de l’agent Log Analytics doit être activé sur votre abonnement | Pour superviser les menaces et les vulnérabilités de sécurité, Azure Security Center collecte des données à partir de vos machines virtuelles Azure. Les données sont collectées par l’agent Log Analytics, auparavant appelé Microsoft Monitoring Agent (MMA). Cet agent lit divers journaux d’événements et configurations liés à la sécurité de la machine, puis copie les données dans votre espace de travail Log Analytics à des fins d’analyse. Nous vous recommandons d’activer l’approvisionnement automatique pour déployer automatiquement l’agent sur toutes les machines virtuelles Azure prises en charge et sur toutes celles qui sont créées. | AuditIfNotExists, Désactivé | 1.0.1 |
| Azure DDoS Protection doit être activé | La protection DDoS doit être activée pour tous les réseaux virtuels avec un sous-réseau qui fait partie d’une passerelle applicative avec une adresse IP publique. | AuditIfNotExists, Désactivé | 3.0.1 |
| Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Les déconnexions doivent être journalisées pour les serveurs de bases de données PostgreSQL. | Cette stratégie permet d’auditer toutes les bases de données PostgreSQL de votre environnement sans activer le paramètre log_disconnections. | AuditIfNotExists, Désactivé | 1.0.0 |
| La notification par e-mail pour les alertes à gravité élevée doit être activée | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 1.1.0 |
| L’agent Log Analytics doit être installé sur votre machine virtuelle pour la supervision Azure Security Center | Cette stratégie audite les machines virtuelles Windows/Linux si l’agent Log Analytics, que Security Center utilise pour superviser les vulnérabilités et les menaces liées à la sécurité, n’est pas installé | AuditIfNotExists, Désactivé | 1.0.0 |
| L’agent Log Analytics doit être installé sur vos groupes de machines virtuelles identiques pour la supervision Azure Security Center | Azure Security Center collecte des données à partir de vos machines virtuelles Azure pour surveiller les menaces et vulnérabilités de sécurité. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les points de contrôle de journal doivent être activés pour les serveurs de bases de données PostgreSQL | Cette stratégie permet d’auditer toutes les bases de données PostgreSQL de votre environnement sans activer le paramètre log_checkpoints. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les connexions de journal doivent être activées pour les serveurs de bases de données PostgreSQL | Cette stratégie permet d’auditer toutes les bases de données PostgreSQL de votre environnement sans activer le paramètre log_connections. | AuditIfNotExists, Désactivé | 1.0.0 |
| La durée de journal doit être activée pour les serveurs de bases de données PostgreSQL | Cette stratégie permet d’auditer toutes les bases de données PostgreSQL de votre environnement sans activer le paramètre log_duration. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les journaux de ressources dans Event Hub doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les paramètres d’audit SQL doivent avoir des groupes d’actions configurés pour capturer les activités critiques | La propriété AuditActionsAndGroups doit contenir au moins SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP pour assurer la journalisation totale de l’audit | AuditIfNotExists, Désactivé | 1.0.0 |
| Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
Centre des opérations de sécurité - 11.20
ID : RMiT 11.20 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les machines virtuelles et les groupes de machines virtuelles identiques doivent avoir le chiffrement sur l’hôte activé | Utilisez le chiffrement sur l’hôte pour obtenir un chiffrement de bout en bout pour vos données de machine virtuelle et de groupes de machines virtuelles identiques. Le chiffrement sur l’hôte permet le chiffrement au repos pour votre disque temporaire et les caches du système d’exploitation/disque de données. Les disques de système d’exploitation temporaires et éphémères sont chiffrés avec des clés gérées par la plateforme lorsque le chiffrement sur l’hôte est activé. Les caches du système d’exploitation et du disque de données sont chiffrés au repos avec des clés gérées par le client ou par la plateforme, selon le type de chiffrement sélectionné sur le disque. Pour en savoir plus, rendez-vous sur https://aka.ms/vm-hbe. | Audit, Refuser, Désactivé | 1.0.0 |
Gestion des risques informatiques
Gestion des risques informatiques - 11.2
ID : RMiT 11.2 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les machines virtuelles et les groupes de machines virtuelles identiques doivent avoir le chiffrement sur l’hôte activé | Utilisez le chiffrement sur l’hôte pour obtenir un chiffrement de bout en bout pour vos données de machine virtuelle et de groupes de machines virtuelles identiques. Le chiffrement sur l’hôte permet le chiffrement au repos pour votre disque temporaire et les caches du système d’exploitation/disque de données. Les disques de système d’exploitation temporaires et éphémères sont chiffrés avec des clés gérées par la plateforme lorsque le chiffrement sur l’hôte est activé. Les caches du système d’exploitation et du disque de données sont chiffrés au repos avec des clés gérées par le client ou par la plateforme, selon le type de chiffrement sélectionné sur le disque. Pour en savoir plus, rendez-vous sur https://aka.ms/vm-hbe. | Audit, Refuser, Désactivé | 1.0.0 |
Gestion des risques informatiques - 11.4
ID : RMiT 11.4 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Configurer une sauvegarde sur des machines virtuelles sans une étiquette donnée dans un coffre Recovery Services existant au même emplacement | Appliquez la sauvegarde de toutes les machines virtuelles en les sauvegardant dans un coffre Recovery Services central dans les mêmes emplacement et abonnement que la machine virtuelle. Cela est utile quand une équipe centrale de votre organisation gère les sauvegardes pour toutes les ressources d’un abonnement. Vous pouvez éventuellement exclure des machines virtuelles contenant une balise spécifiée pour contrôler l’étendue de l’attribution. Consultez https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Types de ressources non autorisés | Limitez les types de ressources qui peuvent être déployés dans votre environnement. La limitation des types de ressources peut réduire la complexité et la surface d’attaque de votre environnement, tout en aidant à gérer les coûts. Les résultats de conformité s’affichent uniquement pour les ressources non conformes. | Audit, Refuser, Désactivé | 2.0.0 |
| Seules les extensions de machine virtuelle approuvées doivent être installées | Cette stratégie régit les extensions de machine virtuelle qui ne sont pas approuvées. | Audit, Refuser, Désactivé | 1.0.0 |
Opérations de cybersécurité
Opérations de cybersécurité - 11.5
ID : RMiT 11.5 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs SQL sur les machines doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Déployer Defender pour le stockage (Classique) sur des comptes de stockage | Cette stratégie active Defender pour le stockage (classique) sur les comptes de stockage. | DeployIfNotExists, Désactivé | 1.0.1 |
| Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour le stockage doit être activé | Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. | AuditIfNotExists, Désactivé | 1.0.0 |
Opérations de cybersécurité - 11.8
ID : RMiT 11.8 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. | AuditIfNotExists, Désactivé | 3.0.0 |
| L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 1.0.1 |
| L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 3.0.0 |
Mesures de contrôle de la cybersécurité
Mesures de contrôle de la cybersécurité - Annexe 5.2
ID : RMiT Annexe 5.2 Propriété : Client
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines | Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.1.0 |
Mesures de contrôle de la cybersécurité - Annexe 5.3
ID : RMiT Annexe 5.3 Propriété : Client
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications | Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les applications App Service doivent être accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 4.0.0 |
| Les applications App Service doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications App Service doivent utiliser la dernière « version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 4.0.0 |
| Les applications Function App ne doivent être accessibles que via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 5.0.0 |
| Les applications de fonction doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications de fonctions doivent utiliser la dernière « version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 4.0.0 |
Mesures de contrôle de la cybersécurité - Annexe 5.5
ID : RMiT Annexe 5.5 Propriété : Client
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Une stratégie IPsec/IKE personnalisée doit être appliquée à toutes les connexions de passerelle de réseau virtuel Azure | Cette stratégie garantit que toutes les connexions de passerelle de réseau virtuel Azure utilisent une stratégie IPsec (Internet Protocol Security)/IKE (Internet Key Exchange). Algorithmes et forces de clé pris en charge - https://aka.ms/AA62kb0 | Audit, Désactivé | 1.0.0 |
| Les services de cluster Kubernetes doivent utiliser uniquement des adresses IP externes autorisées | Utilisez des adresses IP externes autorisées pour éviter les attaques potentielles (CVE-2020-8554) dans un cluster Kubernetes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.1.0 |
Mesures de contrôle de la cybersécurité - Annexe 5.6
ID : RMiT Annexe 5.6 Propriété : Client
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Azure SQL Database doit exécuter TLS version 1.2 ou ultérieure | La définition de la version de TLS sur 1.2 ou une version ultérieure améliore la sécurité en garantissant que votre instance Azure SQL Database n’est accessible qu’à partir de clients utilisant TLS 1.2 ou version ultérieure. L’utilisation de versions de TLS inférieures à 1.2 n’est pas recommandée, car elles ont des vulnérabilités de sécurité bien documentées. | Audit, Désactivé, Refus | 2.0.0 |
| L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL | La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, Désactivé | 1.0.1 |
| Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés | Restreignez l’accès des pods au réseau hôte et à la plage de ports hôtes autorisés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.4, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.1.0 |
| Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés | Limitez l’écoute des services aux ports autorisés pour sécuriser l’accès au cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 8.1.0 |
| Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS | L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Cette capacité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc | audit, Audit, refus, Refus, désactivé, Désactivé | 8.1.0 |
| Le serveur MariaDB doit utiliser un point de terminaison de service de réseau virtuel | Les règles de pare-feu basées sur un réseau virtuel permettent d’autoriser le trafic à partir d’un sous-réseau spécifique vers Azure Database for MariaDB tout en garantissant le maintien du trafic dans la limite Azure. Avec cette stratégie, il est possible de vérifier si Azure Database for MariaDB utilise actuellement un point de terminaison de service de réseau virtuel. | AuditIfNotExists, Désactivé | 1.0.2 |
| Le serveur MySQL doit utiliser un point de terminaison de service de réseau virtuel | Les règles de pare-feu basées sur un réseau virtuel permettent d’autoriser le trafic à partir d’un sous-réseau spécifique vers Azure Database pour MySQL tout en garantissant le maintien du trafic dans la limite Azure. Avec cette stratégie, il est possible de vérifier si Azure Database pour MySQL utilise actuellement un point de terminaison de service de réseau virtuel. | AuditIfNotExists, Désactivé | 1.0.2 |
| Le serveur PostgreSQL doit utiliser un point de terminaison de service de réseau virtuel | Les règles de pare-feu basées sur un réseau virtuel permettent d’autoriser le trafic à partir d’un sous-réseau spécifique vers Azure Database pour PostgreSQL tout en garantissant le maintien du trafic dans la limite Azure. Avec cette stratégie, il est possible de vérifier si Azure Database pour PostgreSQL utilise actuellement un point de terminaison de service de réseau virtuel. | AuditIfNotExists, Désactivé | 1.0.2 |
| L’accès au réseau public sur Azure SQL Database doit être désactivé | Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 1.1.0 |
| L’accès au réseau public doit être désactivé pour les serveurs MariaDB | Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database for MariaDB n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 2.0.0 |
| L’accès au réseau public doit être désactivé pour les serveurs flexibles MySQL | Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque vos serveurs flexibles Azure Database pour MySQL ne sont accessibles qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 2.1.0 |
| L’accès au réseau public doit être désactivé pour les serveurs MySQL | Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour MySQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 2.0.0 |
| L’accès au réseau public doit être désactivé pour les serveurs flexibles PostgreSQL | Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque vos serveurs flexibles Azure Database pour PostgreSQL ne sont accessibles qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 3.0.1 |
| L’accès au réseau public doit être désactivé pour les serveurs PostgreSQL | Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour PostgreSQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 2.0.1 |
| SQL Managed Instance doit avoir la version TLS minimale 1.2 | La définition de la version TLS minimale sur 1.2 améliore la sécurité en garantissant que votre SQL Managed Instance n’est accessible qu’à partir des clients utilisant TLS 1.2. L’utilisation de versions de TLS inférieures à 1.2 n’est pas recommandée, car elles ont des vulnérabilités de sécurité bien documentées. | Audit, Désactivé | 1.0.1 |
| La règle de pare-feu de réseau virtuel sur Azure SQL Database doit être activée pour autoriser le trafic à partir du sous-réseau spécifié | Les règles de pare-feu basées sur un réseau virtuel autorisent le trafic à partir d’un sous-réseau spécifique vers Azure SQL Database tout en veillant à ce que ce trafic reste dans la limite Azure. | AuditIfNotExists | 1.0.0 |
| Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway | Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. | Audit, Refuser, Désactivé | 2.0.0 |
| Le pare-feu d’applications web (WAF) doit utiliser le mode spécifié pour Application Gateway | Impose l’utilisation du mode de « détection » ou de « blocage » pour être actif sur toutes les stratégies de pare-feu d’applications web pour Application Gateway. | Audit, Refuser, Désactivé | 1.0.0 |
| Le pare-feu d’applications web (WAF) doit utiliser le mode spécifié pour Azure Front Door Service | Impose l’utilisation du mode de « détection » ou de « blocage » pour être actif sur toutes les stratégies de pare-feu d’applications web pour Azure Front Door Service. | Audit, Refuser, Désactivé | 1.0.0 |
Mesures de contrôle de la cybersécurité - Annexe 5.7
ID : RMiT Annexe 5.7 Propriété : Client
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Toutes les ressources du journal de flux doivent être en état activé | Auditez les ressources du journal de flux pour vérifier si l’état du journal de flux est activé. L’activation des journaux de flux permet de journaliser des informations sur la circulation du trafic IP. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc. | Audit, Désactivé | 1.0.1 |
| Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. | AuditIfNotExists, Désactivé | 3.0.0 |
| Le débogage à distance doit être désactivé pour les applications App Service | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
| Le provisionnement automatique de l’agent Log Analytics doit être activé sur votre abonnement | Pour superviser les menaces et les vulnérabilités de sécurité, Azure Security Center collecte des données à partir de vos machines virtuelles Azure. Les données sont collectées par l’agent Log Analytics, auparavant appelé Microsoft Monitoring Agent (MMA). Cet agent lit divers journaux d’événements et configurations liés à la sécurité de la machine, puis copie les données dans votre espace de travail Log Analytics à des fins d’analyse. Nous vous recommandons d’activer l’approvisionnement automatique pour déployer automatiquement l’agent sur toutes les machines virtuelles Azure prises en charge et sur toutes celles qui sont créées. | AuditIfNotExists, Désactivé | 1.0.1 |
| Azure DDoS Protection doit être activé | La protection DDoS doit être activée pour tous les réseaux virtuels avec un sous-réseau qui fait partie d’une passerelle applicative avec une adresse IP publique. | AuditIfNotExists, Désactivé | 3.0.1 |
| Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs SQL sur les machines doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Configurer Azure SQL Server pour activer des connexions de point de terminaison privé | Une connexion de point de terminaison privée permet une connectivité privée à votre instance Azure SQL Database via une adresse IP privée au sein d’un réseau virtuel. Cette configuration améliore votre posture de sécurité et prend en charge les outils et scénarios de mise en réseau d’Azure. | DeployIfNotExists, Désactivé | 1.0.0 |
| La notification par e-mail pour les alertes à gravité élevée doit être activée | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 1.1.0 |
| Les journaux de flux doivent être configurés pour chaque groupe de sécurité réseau | Auditez les groupes de sécurité réseau pour vérifier si les journaux de flux sont configurés. Activer les journaux de flux permet de consigner des informations sur le trafic IP circulant dans un groupe de sécurité réseau. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc. | Audit, Désactivé | 1.1.0 |
| Le débogage à distance doit être désactivé pour les applications de fonctions | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les applications de fonctions ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications | Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Le transfert IP doit être désactivé sur votre machine virtuelle | L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. | AuditIfNotExists, Désactivé | 3.0.0 |
| L’agent Log Analytics doit être installé sur votre machine virtuelle pour la supervision Azure Security Center | Cette stratégie audite les machines virtuelles Windows/Linux si l’agent Log Analytics, que Security Center utilise pour superviser les vulnérabilités et les menaces liées à la sécurité, n’est pas installé | AuditIfNotExists, Désactivé | 1.0.0 |
| L’agent Log Analytics doit être installé sur vos groupes de machines virtuelles identiques pour la supervision Azure Security Center | Azure Security Center collecte des données à partir de vos machines virtuelles Azure pour surveiller les menaces et vulnérabilités de sécurité. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
| L’extension Microsoft IaaSAntimalware doit être déployée sur des serveurs Windows | Cette stratégie permet d’auditer toute machine virtuelle Windows Server sans extension Microsoft IaaSAntimalware déployée. | AuditIfNotExists, Désactivé | 1.1.0 |
| Superviser les agents Endpoint Protection manquants dans Azure Security Center | Les serveurs sans agent Endpoint Protection installé seront supervisés par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Le point de terminaison privé doit être activé pour les serveurs MariaDB | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database for MariaDB privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
| Le point de terminaison privé doit être activé pour les serveurs PostgreSQL | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour PostgreSQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
| les sous-réseaux doivent être associés à un groupe de sécurité réseau | Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
| Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage | Par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme. Les disques temporaires, les caches de données et le flux de données entre le calcul et le stockage ne sont pas chiffrés. Ignorez cette recommandation dans les deux cas suivants : Vous utilisez le chiffrement sur l’hôte. Le chiffrement côté serveur des Disques managés répond à vos besoins en matière de sécurité. Pour en savoir plus, consultez : Chiffrement côté serveur de Stockage sur disque Azure : https://aka.ms/disksse, Différentes offres de chiffrement de disque : https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Désactivé | 2.0.3 |
| Les vulnérabilités dans les configurations de la sécurité des conteneurs doivent être corrigées | Auditer les vulnérabilités dans la configuration de sécurité sur les machines où Docker est installé et afficher en tant que recommandations dans Azure Security Center. | AuditIfNotExists, Désactivé | 3.0.0 |
Étapes suivantes
Autres articles sur Azure Policy :
- Présentation de la Conformité réglementaire.
- Voir la structure de la définition d’initiative.
- Passez en revue d’autres exemples de la page Exemples Azure Policy.
- Consultez la page Compréhension des effets de Policy.
- Découvrez comment corriger des ressources non conformes.