Détails de l’initiative intégrée de conformité réglementaire SWIFT CSP-CSCF v2021
L’article suivant explique en détail comment la définition de l’initiative intégrée de conformité réglementaire Azure Policy est mappée aux domaines de conformité et aux contrôles dans SWIFT CSP-CSCF v2021. Pour plus d’informations sur cette norme de conformité, consultez SWIFT CSP-CSCF v2021. Pour comprendre la propriété, consultez Définition de stratégie Azure Policy et Responsabilité partagée dans le cloud.
Les correspondances suivantes concernent les contrôles SWIFT CSP-CSCF v2021. De nombreux contrôles sont mis en œuvre avec la définition d’une initiative Azure Policy. Pour examiner la définition d’initiative complète, ouvrez Stratégie dans le Portail Azure et sélectionnez la page Définitions. Ensuite, recherchez et sélectionnez la définition d’initiative intégrée de conformité réglementaire [Préversion] : SWIFT CSP-CSCF v2021.
Important
Chaque contrôle ci-dessous est associé à une ou plusieurs définitions Azure Policy. Ces stratégies peuvent vous aider à évaluer la conformité avec le contrôle ; toutefois, il n’existe pas souvent de correspondance un-à-un ou parfaite entre un contrôle et une ou plusieurs stratégies. Ainsi, la conformité dans Azure Policy fait uniquement référence aux définitions de stratégie elles-mêmes ; cela ne garantit pas que vous êtes entièrement conforme à toutes les exigences d’un contrôle. En outre, la norme de conformité comprend des contrôles qui ne sont traités par aucune définition Azure Policy pour l’instant. Par conséquent, la conformité dans Azure Policy n’est qu’une vue partielle de l’état de conformité global. Les associations entre les domaines de conformité, les contrôles et les définitions Azure Policy pour cette norme de conformité peuvent changer au fil du temps. Pour afficher l’historique des changements, consultez l’historique des validations GitHub.
Protection de l’environnement SWIFT
Protection de l’environnement SWIFT
ID : SWIFT CSCF v2021 1.1
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : L’ensemble du trafic Internet doit transiter par votre Pare-feu Azure déployé | Azure Security Center a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge | AuditIfNotExists, Désactivé | 3.0.0-preview |
| [Préversion] : Container Registry doit utiliser un point de terminaison de service de réseau virtuel | Cette stratégie audite Container Registry s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. | Audit, Désactivé | 1.0.0-preview |
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines | Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet | Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle | AuditIfNotExists, Désactivé | 3.0.0 |
| Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. | AuditIfNotExists, Désactivé | 3.0.0 |
| Le débogage à distance doit être désactivé pour les applications App Service | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les applications App Service doivent utiliser un point de terminaison de service de réseau virtuel | Utilisez des points de terminaison de service de réseau virtuel pour restreindre l’accès à votre application à partir des sous-réseaux sélectionnés à partir d’un réseau virtuel Azure. Pour en savoir plus sur les points de terminaison de service App Service, consultez https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Désactivé | 2.0.1 |
| Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes | Limitez l’accès à l’API Gestion des services Kubernetes en n’accordant l’accès à l’API qu’à des adresses IP de plages spécifiques. Nous vous recommandons de limiter l’accès aux plages d’adresses IP autorisées afin d’être sûr que seules les applications des réseaux autorisés puissent accéder au cluster. | Audit, Désactivé | 2.0.1 |
| Azure DDoS Protection doit être activé | La protection DDoS doit être activée pour tous les réseaux virtuels avec un sous-réseau qui fait partie d’une passerelle applicative avec une adresse IP publique. | AuditIfNotExists, Désactivé | 3.0.1 |
| Azure Key Vault doit avoir le pare-feu activé | Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez éventuellement configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Refuser, Désactivé | 3.2.1 |
| Les coffres de clés Azure doivent utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Les registres de conteneurs doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. | Audit, Désactivé | 1.0.1 |
| Cosmos DB doit utiliser un point de terminaison de service de réseau virtuel | Cette stratégie audite Cosmos DB s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. | Audit, Désactivé | 1.0.0 |
| Event Hub doit utiliser un point de terminaison de service de réseau virtuel | Cette stratégie audite Event Hub s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. | AuditIfNotExists, Désactivé | 1.0.0 |
| Le débogage à distance doit être désactivé pour les applications de fonctions | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Le transfert IP doit être désactivé sur votre machine virtuelle | L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Key Vault doit utiliser un point de terminaison de service de réseau virtuel | Cette stratégie audite Key Vault s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. | Audit, Désactivé | 1.0.0 |
| Network Watcher doit être activé | Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. | Audit, Désactivé | 1.1.0 |
| Le point de terminaison privé doit être activé pour les serveurs MariaDB | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database for MariaDB privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
| Le point de terminaison privé doit être activé pour les serveurs MySQL | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour MySQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
| Le point de terminaison privé doit être activé pour les serveurs PostgreSQL | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour PostgreSQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
| SQL Server doit utiliser un point de terminaison de service de réseau virtuel | Cette stratégie audite tout serveur SQL Server non configuré pour utiliser un point de terminaison de service de réseau virtuel. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes de stockage doivent limiter l’accès réseau | L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. | Audit, Refuser, Désactivé | 1.1.1 |
| Les comptes de stockage doivent utiliser un point de terminaison de service de réseau virtuel | Cette stratégie audite les comptes de stockage non configurés pour utiliser un point de terminaison de service de réseau virtuel. | Audit, Désactivé | 1.0.0 |
| les sous-réseaux doivent être associés à un groupe de sécurité réseau | Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les modèles VM Image Builder doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos ressources de création VM Image Builder, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Désactivé, Refus | 1.1.0 |
Contrôle de compte privilégié du système d’exploitation
ID : SWIFT CSCF v2021 1.2
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| 3 propriétaires maximum doivent être désignés pour votre abonnement | Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.0.0 |
| Le débogage à distance doit être désactivé pour les applications App Service | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés | Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| Le débogage à distance doit être désactivé pour les applications de fonctions | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
| Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client | Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric | Audit, Refuser, Désactivé | 1.1.0 |
| Plusieurs propriétaires doivent être attribués à votre abonnement | Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur. | AuditIfNotExists, Désactivé | 3.0.0 |
Protection de la plateforme de virtualisation
ID : SWIFT CSCF v2021 1.3
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Faire l’audit des machines virtuelles n’utilisant aucun disque managé | Cette stratégie fait l’audit des machines virtuelles n’utilisant pas de disque managé | audit | 1.0.0 |
Restriction de l’accès à Internet
ID : SWIFT CSCF v2021 1.4
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes | Limitez l’accès à l’API Gestion des services Kubernetes en n’accordant l’accès à l’API qu’à des adresses IP de plages spécifiques. Nous vous recommandons de limiter l’accès aux plages d’adresses IP autorisées afin d’être sûr que seules les applications des réseaux autorisés puissent accéder au cluster. | Audit, Désactivé | 2.0.1 |
Réduire la surface d’attaque et les vulnérabilités
Sécurité interne du flux de données
ID : SWIFT CSCF v2021 2.1
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications App service | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les applications App Service doivent être accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 4.0.0 |
| Les applications App Service doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications App Service doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.0.1 |
| L’authentification auprès des machines Linux doit exiger des clés SSH | Bien que le protocole SSH lui-même offre une connexion chiffrée, l’utilisation de mots de passe avec SSH laisse néanmoins la machine virtuelle vulnérable aux attaques en force brute. L’option la plus sûre pour l’authentification auprès d’une machine virtuelle Linux Azure via SSH est d’utiliser une paire de clés publique-privée, également appelées clés SSH. En savoir plus : https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Désactivé | 3.2.0 |
| Les variables de compte Automation doivent être chiffrées | Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles | Audit, Refuser, Désactivé | 1.1.0 |
| Azure SQL Database doit exécuter TLS version 1.2 ou ultérieure | La définition de la version de TLS sur 1.2 ou une version ultérieure améliore la sécurité en garantissant que votre instance Azure SQL Database n’est accessible qu’à partir de clients utilisant TLS 1.2 ou version ultérieure. L’utilisation de versions de TLS inférieures à 1.2 n’est pas recommandée, car elles ont des vulnérabilités de sécurité bien documentées. | Audit, Désactivé, Refus | 2.0.0 |
| Les applications Function App ne doivent être accessibles que via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 5.0.0 |
| Les applications de fonction doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications de fonctions doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.0.1 |
| Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS | L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Cette capacité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc | audit, Audit, refus, Refus, désactivé, Désactivé | 8.1.0 |
| La propriété ClusterProtectionLevel doit être définie sur EncryptAndSign pour les clusters Service Fabric | Service Fabric fournit trois niveaux de protection (None, Sign et EncryptAndSign) pour la communication nœud à nœud à l’aide d’un certificat de cluster principal. Définissez le niveau de protection pour vous assurer que tous les messages de nœud à nœud sont chiffrés et signés numériquement | Audit, Refuser, Désactivé | 1.1.0 |
| SQL Managed Instance doit avoir la version TLS minimale 1.2 | La définition de la version TLS minimale sur 1.2 améliore la sécurité en garantissant que votre SQL Managed Instance n’est accessible qu’à partir des clients utilisant TLS 1.2. L’utilisation de versions de TLS inférieures à 1.2 n’est pas recommandée, car elles ont des vulnérabilités de sécurité bien documentées. | Audit, Désactivé | 1.0.1 |
| Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. | AuditIfNotExists, Désactivé | 4.1.1 |
Mises à jour de sécurité
ID : SWIFT CSCF v2021 2.2
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Auditer les machines virtuelles Windows avec un redémarrage en attente | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la machine est en attente de redémarrage pour l’une des raisons suivantes : maintenance basée sur les composants, Windows Update, changement de nom de fichier en attente, changement de nom d’ordinateur en attente, redémarrage du gestionnaire de configuration en attente. Chaque détection a un chemin de Registre unique. | auditIfNotExists | 2.0.0 |
| Les mises à jour système sur les groupes de machines virtuelles identiques doivent être installées | Vérifiez si des mises à jour de sécurité système et des mises à jour critiques sont manquantes et doivent être installées pour assurer la sécurité de vos groupes de machines virtuelles identiques Windows et Linux. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les mises à jour système doivent être installées sur vos machines | Les mises à jour système de sécurité manquantes sur vos serveurs seront supervisées par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 4.0.0 |
Renforcement du système
ID : SWIFT CSCF v2021 2.3
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Auditer les machines Linux qui n’ont pas les autorisations de fichier de mot de passe définies sur 0644 | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles n’ont pas les autorisations de fichier de mot de passe définies sur 0644 | AuditIfNotExists, Désactivé | 3.1.0 |
| Auditer les machines Windows qui contiennent des certificats arrivant à expiration dans le nombre spécifié de jours | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si les certificats du magasin spécifié ont une date d’expiration hors limites pour le nombre de jours indiqué comme paramètre. La stratégie offre également la possibilité de rechercher uniquement des certificats spécifiques ou d’exclure des certificats spécifiques, et de signaler les certificats arrivés à expiration. | auditIfNotExists | 2.0.0 |
| Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne stockent pas les mots de passe à l’aide du chiffrement réversible | AuditIfNotExists, Désactivé | 2.0.0 |
| Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
| Les modèles VM Image Builder doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos ressources de création VM Image Builder, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Désactivé, Refus | 1.1.0 |
Sécurité du flux de données du back-office
ID : SWIFT CSCF v2021 2.4A
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications App service | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les applications App Service doivent être accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 4.0.0 |
| L’authentification auprès des machines Linux doit exiger des clés SSH | Bien que le protocole SSH lui-même offre une connexion chiffrée, l’utilisation de mots de passe avec SSH laisse néanmoins la machine virtuelle vulnérable aux attaques en force brute. L’option la plus sûre pour l’authentification auprès d’une machine virtuelle Linux Azure via SSH est d’utiliser une paire de clés publique-privée, également appelées clés SSH. En savoir plus : https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Désactivé | 3.2.0 |
| Les variables de compte Automation doivent être chiffrées | Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles | Audit, Refuser, Désactivé | 1.1.0 |
| Les applications Function App ne doivent être accessibles que via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 5.0.0 |
| Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées | Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). | Audit, Refuser, Désactivé | 1.0.0 |
| Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. | AuditIfNotExists, Désactivé | 4.1.1 |
Protection des données de transmission externe
ID : SWIFT CSCF v2021 2.5A
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les applications App Service doivent être accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 4.0.0 |
| Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée | Auditez les machines virtuelles configurées sans reprise d’activité. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Faire l’audit des machines virtuelles n’utilisant aucun disque managé | Cette stratégie fait l’audit des machines virtuelles n’utilisant pas de disque managé | audit | 1.0.0 |
| Les variables de compte Automation doivent être chiffrées | Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles | Audit, Refuser, Désactivé | 1.1.0 |
| La sauvegarde Azure doit être activée pour les machines virtuelles | Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client | Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos registres. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/acr/CMK. | Audit, Refuser, Désactivé | 1.1.2 |
| Les applications Function App ne doivent être accessibles que via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 5.0.0 |
| Le stockage géoredondant doit être activé pour les comptes de stockage | Utiliser la géoredondance pour créer des applications hautement disponibles | Audit, Désactivé | 1.0.0 |
| La sauvegarde géoredondante à long terme doit être activée pour les bases de données Azure SQL | Cette stratégie permet d’effectuer un audit d’une base de données Azure SQL Database si la sauvegarde géoredondante à long terme n’est pas activée. | AuditIfNotExists, Désactivé | 2.0.0 |
| La sécurisation du transfert vers des comptes de stockage doit être activée | Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) | Audit, Refuser, Désactivé | 2.0.0 |
| Transparent Data Encryption sur les bases de données SQL doit être activé | Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises | AuditIfNotExists, Désactivé | 2.0.0 |
| Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage | Par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme. Les disques temporaires, les caches de données et le flux de données entre le calcul et le stockage ne sont pas chiffrés. Ignorez cette recommandation dans les deux cas suivants : Vous utilisez le chiffrement sur l’hôte. Le chiffrement côté serveur des Disques managés répond à vos besoins en matière de sécurité. Pour en savoir plus, consultez : Chiffrement côté serveur de Stockage sur disque Azure : https://aka.ms/disksse, Différentes offres de chiffrement de disque : https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Désactivé | 2.0.3 |
Confidentialité et intégrité des sessions d’opérateur
ID : SWIFT CSCF v2021 2.6
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les applications App Service doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.0.1 |
| Azure SQL Database doit exécuter TLS version 1.2 ou ultérieure | La définition de la version de TLS sur 1.2 ou une version ultérieure améliore la sécurité en garantissant que votre instance Azure SQL Database n’est accessible qu’à partir de clients utilisant TLS 1.2 ou version ultérieure. L’utilisation de versions de TLS inférieures à 1.2 n’est pas recommandée, car elles ont des vulnérabilités de sécurité bien documentées. | Audit, Désactivé, Refus | 2.0.0 |
| L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL | La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, Désactivé | 1.0.1 |
| L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL | Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, Désactivé | 1.0.1 |
| Les applications de fonctions doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.0.1 |
| Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées | Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). | Audit, Refuser, Désactivé | 1.0.0 |
| SQL Managed Instance doit avoir la version TLS minimale 1.2 | La définition de la version TLS minimale sur 1.2 améliore la sécurité en garantissant que votre SQL Managed Instance n’est accessible qu’à partir des clients utilisant TLS 1.2. L’utilisation de versions de TLS inférieures à 1.2 n’est pas recommandée, car elles ont des vulnérabilités de sécurité bien documentées. | Audit, Désactivé | 1.0.1 |
| Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. | AuditIfNotExists, Désactivé | 4.1.1 |
Analyse des vulnérabilités
ID : SWIFT CSCF v2021 2.7
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure Defender pour Key Vault doit être activé | Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs SQL sur les machines doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Microsoft Defender pour le stockage doit être activé | Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les résultats des vulnérabilités des bases de données SQL doivent être résolus | Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. | AuditIfNotExists, Désactivé | 4.1.0 |
| Les vulnérabilités dans les configurations de la sécurité des conteneurs doivent être corrigées | Auditer les vulnérabilités dans la configuration de sécurité sur les machines où Docker est installé et afficher en tant que recommandations dans Azure Security Center. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.1.0 |
| Les vulnérabilités dans la configuration de la sécurité de vos groupes de machines virtuelles identiques doivent être corrigées | Auditez les vulnérabilités de système d’exploitation dans vos groupes de machines virtuelles identiques pour les protéger des attaques. | AuditIfNotExists, Désactivé | 3.0.0 |
| L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 1.0.1 |
| L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 3.0.0 |
Sécuriser physiquement l'environnement
Sécurité physique
ID : SWIFT CSCF v2021 3.1
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Faire l’audit des machines virtuelles n’utilisant aucun disque managé | Cette stratégie fait l’audit des machines virtuelles n’utilisant pas de disque managé | audit | 1.0.0 |
Empêcher la compromission des informations d’identification
Stratégie de mot de passe
ID : SWIFT CSCF v2021 4.1
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Auditer les machines Linux qui autorisent les connexions à distance des comptes sans mot de passe | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles autorisent les connexions à distance à partir de comptes sans mot de passe | AuditIfNotExists, Désactivé | 3.1.0 |
| Auditer les machines Linux qui ont des comptes sans mot de passe | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles ont des comptes sans mot de passe | AuditIfNotExists, Désactivé | 3.1.0 |
| Auditer les machines Windows qui autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si les machines Windows autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques. La valeur par défaut pour les mots de passe uniques est 24 | AuditIfNotExists, Désactivé | 2.1.0 |
| Auditer les machines Windows dont la durée de vie maximale du mot de passe n’est pas définie sur le nombre de jours spécifié | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si la durée de vie maximale de leur mot de passe n’est pas définie sur le nombre de jours spécifié. La valeur par défaut de la durée de vie maximale du mot de passe est de 70 jours | AuditIfNotExists, Désactivé | 2.1.0 |
| Auditer les machines Windows dont la durée de vie minimale du mot de passe n’est pas définie sur le nombre de jours spécifié | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si la durée de vie minimale du mot de passe n’est pas définie sur le nombre de jours spécifié. La valeur par défaut pour la durée de vie minimale du mot de passe est de 1 jour | AuditIfNotExists, Désactivé | 2.1.0 |
| Auditer les machines Windows qui n’ont pas le paramètre de complexité de mot de passe activé | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles n’ont pas le paramètre de complexité de mot de passe activé | AuditIfNotExists, Désactivé | 2.0.0 |
| Auditer les machines Windows qui ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié. La valeur par défaut pour la longueur minimale du mot de passe est de 14 caractères | AuditIfNotExists, Désactivé | 2.1.0 |
Multi-Factor Authentication
ID : SWIFT CSCF v2021 4.2
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Gérer les identités et séparer les privilèges
Contrôle d’accès logique
ID : SWIFT CSCF v2021 5.1
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| 3 propriétaires maximum doivent être désignés pour votre abonnement | Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés | Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Plusieurs propriétaires doivent être attribués à votre abonnement | Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur. | AuditIfNotExists, Désactivé | 3.0.0 |
Gestion de jetons
ID : SWIFT CSCF v2021 5.2
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les applications App Service doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications de fonction doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
| Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
Stockage de mot de passe physique et logique
ID : SWIFT CSCF v2021 5.4
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les applications App Service doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
| Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne stockent pas les mots de passe à l’aide du chiffrement réversible | AuditIfNotExists, Désactivé | 2.0.0 |
| Les applications de fonction doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
| La protection contre la suppression doit être activée pour les coffres de clés | La suppression malveillante d’un coffre de clés peut entraîner une perte définitive des données. Vous pouvez empêcher la perte permanente de données en activant la protection contre la suppression définitive et la suppression réversible. La protection contre la suppression définitive vous protège des attaques internes en appliquant une période de conservation obligatoire pour les coffres de clés supprimés de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne pourra supprimer définitivement vos coffres de clés pendant la période de conservation de la suppression réversible. N’oubliez pas que la suppression réversible est activée par défaut pour les coffres de clés créés après le 1er septembre 2019. | Audit, Refuser, Désactivé | 2.1.0 |
Détecter les activités anormales dans les systèmes ou les enregistrements de transaction
Protection contre les logiciels malveillants
ID : SWIFT CSCF v2021 6.1
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| La solution de protection du point de terminaison doit être installée sur les groupes de machines virtuelles identiques | Vérifiez l’existence et l’intégrité d’une solution Endpoint Protection dans vos groupes de machines virtuelles identiques, pour les protéger des menaces et des vulnérabilités. | AuditIfNotExists, Désactivé | 3.0.0 |
| Microsoft Antimalware pour Azure doit être configuré pour mettre à jour automatiquement les signatures de protection | Cette stratégie permet d’effectuer un audit de toutes les machines virtuelles Windows non configurées avec la mise à jour automatique des signatures de protection de Microsoft Antimalware. | AuditIfNotExists, Désactivé | 1.0.0 |
| L’extension Microsoft IaaSAntimalware doit être déployée sur des serveurs Windows | Cette stratégie permet d’auditer toute machine virtuelle Windows Server sans extension Microsoft IaaSAntimalware déployée. | AuditIfNotExists, Désactivé | 1.1.0 |
| Superviser les agents Endpoint Protection manquants dans Azure Security Center | Les serveurs sans agent Endpoint Protection installé seront supervisés par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
Intégrité logicielle
ID : SWIFT CSCF v2021 6.2
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Le débogage à distance doit être désactivé pour les applications App Service | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les disques de système d’exploitation et de données dans les clusters Azure Kubernetes Service doivent être chiffrés par des clés gérées par le client | Le chiffrement des disques de système d’exploitation et de données à l’aide de clés gérées par le client offre davantage de contrôle et de flexibilité dans la gestion des clés. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. | Audit, Refuser, Désactivé | 1.0.1 |
| Le débogage à distance doit être désactivé pour les applications de fonctions | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
Intégrité de la base de données
ID : SWIFT CSCF v2021 6.3
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| L’audit sur SQL Server doit être activé | L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. | AuditIfNotExists, Désactivé | 2.0.0 |
| Cosmos DB doit utiliser un point de terminaison de service de réseau virtuel | Cette stratégie audite Cosmos DB s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. | Audit, Désactivé | 1.0.0 |
| Les déconnexions doivent être journalisées pour les serveurs de bases de données PostgreSQL. | Cette stratégie permet d’auditer toutes les bases de données PostgreSQL de votre environnement sans activer le paramètre log_disconnections. | AuditIfNotExists, Désactivé | 1.0.0 |
| La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB | Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL | Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL | Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| L’accès au réseau public sur Azure SQL Database doit être désactivé | Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 1.1.0 |
| L’accès au réseau public doit être désactivé pour les serveurs MariaDB | Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database for MariaDB n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 2.0.0 |
| L’accès au réseau public doit être désactivé pour les serveurs MySQL | Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour MySQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 2.0.0 |
| L’accès au réseau public doit être désactivé pour les serveurs PostgreSQL | Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour PostgreSQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 2.0.1 |
| Les serveurs SQL avec un audit dans la destination Compte de stockage doivent être configurés avec une conservation d'au moins 90 jours | À des fins d’investigation d’incident, nous vous recommandons de définir la conservation des données pour la fonctionnalité d’audit de votre serveur SQL Server sur au moins 90 jours. Confirmez que vous respectez les règles de conservation nécessaires pour les régions dans lesquelles vous travaillez. Cela est parfois nécessaire pour la conformité aux normes réglementaires. | AuditIfNotExists, Désactivé | 3.0.0 |
| Transparent Data Encryption sur les bases de données SQL doit être activé | Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises | AuditIfNotExists, Désactivé | 2.0.0 |
Journalisation et supervision
ID : SWIFT CSCF v2021 6.4
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : L’extension Log Analytics doit être activée pour les images de machine virtuelle listées | Signale les machines virtuelles comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée. | AuditIfNotExists, Désactivé | 2.0.1-preview |
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| Le journal d’activité doit être conservé pendant au moins un an | Cette stratégie audite le journal d’activité si la conservation n’est pas définie sur 365 jours ou sur toujours (jours de conservation définis sur 0). | AuditIfNotExists, Désactivé | 1.0.0 |
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
| Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée | Auditez les machines virtuelles configurées sans reprise d’activité. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| L’audit sur SQL Server doit être activé | L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. | AuditIfNotExists, Désactivé | 2.0.0 |
| Le provisionnement automatique de l’agent Log Analytics doit être activé sur votre abonnement | Pour superviser les menaces et les vulnérabilités de sécurité, Azure Security Center collecte des données à partir de vos machines virtuelles Azure. Les données sont collectées par l’agent Log Analytics, auparavant appelé Microsoft Monitoring Agent (MMA). Cet agent lit divers journaux d’événements et configurations liés à la sécurité de la machine, puis copie les données dans votre espace de travail Log Analytics à des fins d’analyse. Nous vous recommandons d’activer l’approvisionnement automatique pour déployer automatiquement l’agent sur toutes les machines virtuelles Azure prises en charge et sur toutes celles qui sont créées. | AuditIfNotExists, Désactivé | 1.0.1 |
| La sauvegarde Azure doit être activée pour les machines virtuelles | Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. | AuditIfNotExists, Désactivé | 3.0.0 |
| Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure Defender pour Key Vault doit être activé | Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs SQL sur les machines doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Le profil de journal Azure Monitor doit collecter des journaux pour les catégories « écriture », « suppression » et « action » | Cette stratégie garantit qu’un profil de journal collecte les journaux pour les catégories « write », « delete » et « action » | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Monitor doit collecter les journaux d’activité dans toutes les régions | Cette stratégie effectue l’audit du profil de journal Azure Monitor qui n’exporte pas d’activités à partir de toutes les régions Azure prises en charge, notamment la région globale. | AuditIfNotExists, Désactivé | 2.0.0 |
| La solution 'Security and Audit' d’Azure Monitor doit être déployée | Cette stratégie garantit que la solution Security and Audit est déployée. | AuditIfNotExists, Désactivé | 1.0.0 |
| Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux | Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| L’extension Log Analytics doit être activée dans les groupes de machines virtuelles identiques pour les images de machines virtuelles listées | Signale que les groupes de machines virtuelles identiques ne sont pas conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée. | AuditIfNotExists, Désactivé | 2.0.1 |
| Microsoft Defender pour le stockage doit être activé | Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les journaux de ressources dans Azure Data Lake Store doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Azure Stream Analytics doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans les comptes Batch doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Data Lake Analytics doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Event Hub doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans IoT Hub doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 3.1.0 |
| Les journaux de ressources dans Key Vault doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Logic Apps doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.1.0 |
| Les journaux de ressources dans les services Search doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Service Bus doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| L’extension Log Analytics doit être installée sur Virtual Machine Scale Sets | Cette stratégie audite les groupes de machines virtuelles identiques Windows/Linux si l’extension Log Analytics n’est pas installée. | AuditIfNotExists, Désactivé | 1.0.1 |
| L’extension Log Analytics doit être installée sur les machines virtuelles | Cette stratégie audite toutes les machines virtuelles Windows/Linux si l’extension Log Analytics n’est pas installée. | AuditIfNotExists, Désactivé | 1.0.1 |
Détection des intrusions
ID : SWIFT CSCF v2021 6.5A
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet | Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle | AuditIfNotExists, Désactivé | 3.0.0 |
| Le débogage à distance doit être désactivé pour les applications App Service | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications | Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. | AuditIfNotExists, Désactivé | 2.0.0 |
| Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure Defender pour Key Vault doit être activé | Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs SQL sur les machines doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Les disques de système d’exploitation et de données dans les clusters Azure Kubernetes Service doivent être chiffrés par des clés gérées par le client | Le chiffrement des disques de système d’exploitation et de données à l’aide de clés gérées par le client offre davantage de contrôle et de flexibilité dans la gestion des clés. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. | Audit, Refuser, Désactivé | 1.0.1 |
| Le débogage à distance doit être désactivé pour les applications de fonctions | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les applications de fonctions ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications | Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. | AuditIfNotExists, Désactivé | 2.0.0 |
| Microsoft Defender pour le stockage doit être activé | Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. | AuditIfNotExists, Désactivé | 1.0.0 |
| Network Watcher doit être activé | Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. | AuditIfNotExists, Désactivé | 3.0.0 |
| Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées | Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). | Audit, Refuser, Désactivé | 1.0.0 |
Planifier la réponse aux incidents et le partage d’informations
Planification de la réponse aux cyber-incidents
ID : SWIFT CSCF v2021 7.1
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| La notification par e-mail pour les alertes à gravité élevée doit être activée | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
| La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée | Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
Étapes suivantes
Autres articles sur Azure Policy :
- Présentation de la Conformité réglementaire.
- Voir la structure de la définition d’initiative.
- Passez en revue d’autres exemples de la page Exemples Azure Policy.
- Consultez la page Compréhension des effets de Policy.
- Découvrez comment corriger des ressources non conformes.