Base de référence de sécurité Azure pour Machines Virtuelles - Linux Machines Virtuelles
Cette base de référence de sécurité applique les conseils du benchmark de sécurité cloud Microsoft version 1.0 à Machines Virtuelles - Linux Machines Virtuelles. Le Benchmark de sécurité Microsoft Cloud fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé selon les contrôles de sécurité définis par le benchmark de sécurité cloud Microsoft et les conseils associés applicables à Machines Virtuelles - Linux Machines Virtuelles.
Vous pouvez superviser cette base de référence de la sécurité et ses recommandations en utilisant Microsoft Defender pour le cloud. Azure Policy définitions sont répertoriées dans la section Conformité réglementaire de la page Microsoft Defender pour le portail cloud.
Lorsqu’une fonctionnalité a des définitions de Azure Policy pertinentes, elles sont répertoriées dans cette base de référence pour vous aider à mesurer la conformité avec les contrôles et recommandations du benchmark de sécurité cloud Microsoft. Certaines recommandations peuvent nécessiter un plan de Microsoft Defender payant pour activer certains scénarios de sécurité.
Notes
Fonctionnalités non applicables à Machines Virtuelles : les Machines Virtuelles Linux ont été exclues. Pour voir comment Machines Virtuelles - Linux Machines Virtuelles entièrement mappé au benchmark de sécurité cloud Microsoft, consultez le fichier de mappage complet Machines Virtuelles - Linux Machines Virtuelles base de référence de sécurité.
Profil de sécurité
Le profil de sécurité résume les comportements à fort impact de Machines Virtuelles - Linux Machines Virtuelles, ce qui peut entraîner des considérations de sécurité accrues.
| Attribut de comportement du service | Valeur |
|---|---|
| Catégorie de produit | Compute |
| Le client peut accéder à HOST/OS | Accès total |
| Le service peut être déployé dans le réseau virtuel du client | True |
| Stocke le contenu client au repos | True |
Sécurité du réseau
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Sécurité réseau.
NS-1 : Établir des limites de segmentation réseau
Fonctionnalités
Intégration du réseau virtuel
Description : Le service prend en charge le déploiement dans le Réseau virtuel privé (VNet) du client. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | True | Microsoft |
Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
Référence : Réseaux virtuels et machines virtuelles dans Azure
Prise en charge des groupes de sécurité réseau
Description : Le trafic réseau de service respecte l’attribution de règles groupes de sécurité réseau sur ses sous-réseaux. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : Utilisez des groupes de sécurité réseau (NSG) pour restreindre ou surveiller le trafic par port, protocole, adresse IP source ou adresse IP de destination. Créez des règles NSG pour restreindre les ports ouverts de votre service (par exemple, pour empêcher l’accès aux ports de gestion à partir de réseaux non approuvés). N’oubliez pas que par défaut, les groupes de sécurité réseau refusent tout le trafic entrant, mais autorisent le trafic provenant du réseau virtuel et d’équilibreurs de charge Azure.
Lorsque vous créez une machine virtuelle Azure, vous devez créer un réseau virtuel ou utiliser un réseau virtuel existant et configurer la machine virtuelle avec un sous-réseau. Veillez à ce qu’un groupe de sécurité réseau soit appliqué à tous les sous-réseaux déployés avec des contrôles d’accès réseau propres aux ports et sources approuvés de votre application.
Référence : Groupes de sécurité réseau
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.ClassicCompute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. | AuditIfNotExists, Désactivé | 3.0.0 |
Définitions intégrées à Azure Policy - Microsoft.Compute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet | Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle | AuditIfNotExists, Désactivé | 3.0.0 |
NS-2 : Sécuriser les services cloud avec des contrôles réseau
Fonctionnalités
Désactiver l’accès public au réseau
Description : le service prend en charge la désactivation de l’accès au réseau public à l’aide d’une règle de filtrage de liste de contrôle d’accès IP au niveau du service (pas de groupe de sécurité réseau ou de Pare-feu Azure) ou à l’aide d’un commutateur bascule « Désactiver l’accès réseau public ». Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : Des services tels que iptables ou pare-feu peuvent être installés dans le système d’exploitation Linux et fournir un filtrage réseau pour désactiver l’accès public.
Gestion des identités
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Gestion des identités.
IM-1 : utiliser le système centralisé d’identité et d’authentification
Fonctionnalités
Azure AD Authentication requis pour l’accès au plan de données
Description : Le service prend en charge l’utilisation de l’authentification Azure AD pour l’accès au plan de données. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : Utilisez Azure Active Directory (Azure AD) comme méthode d’authentification par défaut pour contrôler l’accès à votre plan de données.
Référence : Connectez-vous à une machine virtuelle Linux dans Azure à l’aide d’Azure AD et d’OpenSSH
Méthodes d’authentification locales pour l’accès au plan de données
Description : méthodes d’authentification locale prises en charge pour l’accès au plan de données, telles qu’un nom d’utilisateur et un mot de passe locaux. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | True | Microsoft |
Remarques sur les fonctionnalités : un compte d’administrateur local est créé par défaut pendant le déploiement initial de la machine virtuelle. Évitez l’utilisation de comptes ou de méthodes d’authentification locaux. Ceux-ci doivent être désactivés dans la mesure du possible. Utilisez plutôt Azure AD pour vous authentifier si possible.
Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
IM-3 : gérer les identités d’application de façon sécurisée et automatique
Fonctionnalités
Identités managées
Description : les actions de plan de données prennent en charge l’authentification à l’aide d’identités managées. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | False | Client |
Remarques de fonctionnalité : l’identité managée est traditionnellement utilisée par la machine virtuelle Linux pour s’authentifier auprès d’autres services. Si la machine virtuelle Linux prend en charge l’authentification Azure AD, l’identité managée peut être prise en charge.
Conseils de configuration : Utilisez des identités managées Azure au lieu des principaux de service lorsque cela est possible, ce qui peut s’authentifier auprès des services et ressources Azure qui prennent en charge l’authentification Azure Active Directory (Azure AD). La plateforme assure entièrement la gestion, la rotation et la protection des informations d’identification d’identité managée, ce qui évite les informations d’identification codées en dur dans le code source ou les fichiers de configuration.
Principaux de service
Description : Le plan de données prend en charge l’authentification à l’aide de principaux de service. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | False | Client |
Remarques sur les fonctionnalités : les principaux de service peuvent être utilisés par les applications qui s’exécutent sur la machine virtuelle Linux.
Conseils de configuration : Il n’existe aucune aide Microsoft actuelle pour cette configuration de fonctionnalité. Vérifiez et déterminez si votre organization souhaite configurer cette fonctionnalité de sécurité.
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.Compute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol | AuditIfNotExists, Désactivé | 1.0.1 |
IM-7 : restreindre l’accès aux ressources en fonction des conditions
Fonctionnalités
Accès conditionnel pour le plan de données
Description : L’accès au plan de données peut être contrôlé à l’aide de stratégies d’accès conditionnel Azure AD. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | False | Client |
Remarques de fonctionnalité : Utilisez Azure AD comme plateforme d’authentification de base et une autorité de certification pour ssh dans une machine virtuelle Linux à l’aide de l’authentification basée sur les certificats Azure AD et OpenSSH. Cette fonctionnalité permet aux organisations de gérer l’accès aux machines virtuelles avec le contrôle d’accès en fonction du rôle (RBAC) Azure et les stratégies d’accès conditionnel.
Conseils de configuration : Définissez les conditions et les critères applicables pour l’accès conditionnel Azure Active Directory (Azure AD) dans la charge de travail. Considérez des cas d’usage courants tels que le blocage ou l’octroi de l’accès à partir d’emplacements spécifiques, le blocage du comportement de connexion à risque ou l’exigence d’appareils gérés organization pour des applications spécifiques.
Référence : Connectez-vous à une machine virtuelle Linux dans Azure à l’aide d’Azure AD et d’OpenSSH
IM-8 : restreindre l’exposition des informations d’identification et des secrets
Fonctionnalités
Prise en charge de l’intégration et du stockage des informations d’identification et des secrets de service dans Azure Key Vault
Description : Le plan de données prend en charge l’utilisation native d’Azure Key Vault pour le magasin d’informations d’identification et de secrets. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | False | Client |
Remarques sur les fonctionnalités : dans le plan de données ou le système d’exploitation, les services peuvent appeler Azure Key Vault pour obtenir des informations d’identification ou des secrets.
Conseils de configuration : Assurez-vous que les secrets et les informations d’identification sont stockés dans des emplacements sécurisés tels qu’Azure Key Vault, au lieu de les incorporer dans des fichiers de code ou de configuration.
Accès privilégié
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Accès privilégié.
PA-1 : Séparer et limiter les utilisateurs hautement privilégiés/administratifs
Fonctionnalités
Comptes Administration locaux
Description : Le service a le concept d’un compte d’administration local. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | True | Microsoft |
Remarques de fonctionnalité : Évitez l’utilisation de méthodes ou de comptes d’authentification locaux. Ceux-ci doivent être désactivés dans la mesure du possible. Utilisez plutôt Azure AD pour vous authentifier si possible.
Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
Référence : Démarrage rapide : Créer une machine virtuelle Linux dans le Portail Azure
PA-7 : Suivre le principe JEA, Just Enough Administration (privilège minimum)
Fonctionnalités
RBAC Azure pour le plan de données
Description : Azure Role-Based Access Control (Azure RBAC) peut être utilisé pour gérer l’accès aux actions de plan de données du service. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Remarques de fonctionnalité : Utilisez Azure AD comme plateforme d’authentification de base et une autorité de certification pour ssh dans une machine virtuelle Linux à l’aide de l’authentification basée sur les certificats Azure AD et OpenSSH. Cette fonctionnalité permet aux organisations de gérer l’accès aux machines virtuelles avec le contrôle d’accès en fonction du rôle (RBAC) Azure et les stratégies d’accès conditionnel.
Conseils de configuration : Avec RBAC, spécifiez qui peut se connecter à une machine virtuelle en tant qu’utilisateur normal ou avec des privilèges d’administrateur. Lorsque des utilisateurs rejoignent votre équipe, vous pouvez mettre à jour la stratégie RBAC Azure pour la machine virtuelle afin d’accorder les accès appropriés. Lorsque des employés quittent votre organisation et que leurs comptes d’utilisateur sont désactivés ou supprimés d’Azure AD, ils n’ont plus accès à vos ressources.
Référence : Connectez-vous à une machine virtuelle Linux dans Azure à l’aide d’Azure AD et d’OpenSSH
PA-8 : Déterminer le processus d’accès pour la prise en charge du fournisseur de services cloud
Fonctionnalités
Customer Lockbox
Description : Customer Lockbox peut être utilisé pour l’accès au support Microsoft. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : Dans les scénarios de support où Microsoft doit accéder à vos données, utilisez Customer Lockbox pour passer en revue, puis approuver ou rejeter chacune des demandes d’accès aux données de Microsoft.
Protection des données
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Protection des données.
DP-1 : Découvrir, classer et étiqueter des données sensibles
Fonctionnalités
Découverte et classification des données sensibles
Description : Les outils (tels qu’Azure Purview ou Azure Information Protection) peuvent être utilisés pour la découverte et la classification des données dans le service. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| False | Non applicable | Non applicable |
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
DP-2 : surveiller les anomalies et les menaces ciblant les données sensibles
Fonctionnalités
Protection contre les fuites/pertes de données
Description : Le service prend en charge la solution DLP pour surveiller le déplacement des données sensibles (dans le contenu du client). Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| False | Non applicable | Non applicable |
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
DP-3 : chiffrer les données sensibles en transit
Fonctionnalités
Chiffrement des données en transit
Description : Le service prend en charge le chiffrement des données en transit pour le plan de données. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Remarques sur les fonctionnalités : certains protocoles de communication tels que SSH sont chiffrés par défaut. Toutefois, d’autres services tels que HTTP doivent être configurés pour utiliser TLS pour le chiffrement.
Conseils de configuration : Activez le transfert sécurisé dans les services où il existe une fonctionnalité de chiffrement de données natives dans le transit intégrée. Appliquez HTTPS à tous les services et applications web et assurez-vous que TLS v1.2 ou version ultérieure est utilisé. Les versions héritées telles que SSL 3.0 et TLS v1.0 doivent être désactivées. Pour la gestion à distance de Machines Virtuelles, utilisez SSH (pour Linux) ou RDP/TLS (pour Windows) au lieu d’un protocole non chiffré.
Référence : Chiffrement en transit dans les machines virtuelles
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.Compute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les machines Windows doivent être configurées pour utiliser des protocoles de communication sécurisés | Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. | AuditIfNotExists, Désactivé | 4.1.1 |
DP-4 : activer le chiffrement des données au repos par défaut
Fonctionnalités
Chiffrement des données au repos à l’aide de clés de plateforme
Description : Le chiffrement des données au repos à l’aide de clés de plateforme est pris en charge. Tout contenu client au repos est chiffré avec ces clés gérées par Microsoft. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | True | Microsoft |
Remarques sur les fonctionnalités : Par défaut, les disques managés utilisent des clés de chiffrement gérées par la plateforme. L’ensemble des nouveaux disques managés, des instantanés et des images ainsi que les données écrites sur des disques managés existants sont automatiquement chiffrés au repos avec des clés gérées par les plateformes.
Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
Référence : Chiffrement côté serveur du stockage sur disque Azure - Clés gérées par la plateforme
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.ClassicCompute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage | Par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme. Les disques temporaires, les caches de données et le flux de données entre le calcul et le stockage ne sont pas chiffrés. Ignorez cette recommandation dans les deux cas suivants : Vous utilisez le chiffrement sur l’hôte. Le chiffrement côté serveur des Disques managés répond à vos besoins en matière de sécurité. Pour en savoir plus, consultez : Chiffrement côté serveur de Stockage sur disque Azure : https://aka.ms/disksse, Différentes offres de chiffrement de disque : https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Désactivé | 2.0.3 |
Définitions intégrées à Azure Policy - Microsoft.Compute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : les machines virtuelles Linux doivent activer Azure Disk Encryption ou EncryptionAtHost. | Par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme. Les disques temporaires et les caches de données ne sont pas chiffrés, de même que les données lors de leur transmission entre des ressources de calcul et de stockage. Utilisez Azure Disk Encryption ou EncryptionAtHost pour chiffrer toutes ces données. Consultez la page https://aka.ms/diskencryptioncomparison pour comparer les offres de chiffrement. Cette stratégie nécessite deux conditions préalables pour être déployée dans l’étendue de l’affectation de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.2.0-preview |
DP-5 : utiliser l’option de clé gérée par le client dans le chiffrement des données au repos si nécessaire
Fonctionnalités
Chiffrement des données au repos à l’aide de CMK
Description : Le chiffrement des données au repos à l’aide de clés gérées par le client est pris en charge pour le contenu client stocké par le service. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | False | Client |
Remarques sur les fonctionnalités : vous pouvez choisir de gérer le chiffrement au niveau de chaque disque managé, avec vos propres clés. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. Les clés gérées par le client offrent davantage de flexibilité pour gérer les contrôles d’accès.
Conseils de configuration : si nécessaire pour la conformité réglementaire, définissez le cas d’usage et l’étendue du service où le chiffrement à l’aide de clés gérées par le client est nécessaire. Activez et implémentez le chiffrement des données au repos à l’aide de la clé gérée par le client dans ces services.
Les disques virtuels sur Machines Virtuelles sont chiffrés au repos à l’aide du chiffrement côté serveur ou d’Azure Disk Encryption (ADE). Azure Disk Encryption utilise la fonctionnalité DM-Crypt de Linux pour chiffrer les disques managés avec des clés gérées par le client au sein de la machine virtuelle invitée. Le chiffrement côté serveur avec des clés gérées par le client améliore l’utilisation de Azure Disk Encryption en vous permettant d’utiliser des types et des images de système d’exploitation pour vos machines virtuelles en chiffrant les données dans le service de stockage.
Référence : Chiffrement côté serveur du stockage sur disque Azure - Clés gérées par le client
DP-6 : Utiliser un processus sécurisé de gestion de clés
Fonctionnalités
Gestion des clés dans Azure Key Vault
Description : Le service prend en charge l’intégration d’Azure Key Vault pour les clés client, les secrets ou les certificats. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | False | Client |
Conseils de configuration : Utilisez Azure Key Vault pour créer et contrôler le cycle de vie de vos clés de chiffrement, y compris la génération, la distribution et le stockage des clés. Faites pivoter et révoquez vos clés dans Azure Key Vault et votre service en fonction d’une planification définie ou en cas de mise hors service ou de compromission de clé. Lorsqu’il est nécessaire d’utiliser une clé gérée par le client (CMK) au niveau de la charge de travail, du service ou de l’application, veillez à suivre les meilleures pratiques pour la gestion des clés : utilisez une hiérarchie de clés pour générer une clé de chiffrement de données distincte (DEK) avec votre clé de chiffrement de clé (KEK) dans votre coffre de clés. Vérifiez que les clés sont inscrites auprès d’Azure Key Vault et référencées via les ID de clé du service ou de l’application. Si vous devez apporter votre propre clé (BYOK) au service (par exemple, l’importation de clés protégées par HSM à partir de vos HSM locaux dans Azure Key Vault), suivez les instructions recommandées pour effectuer la génération initiale de clés et le transfert de clé.
Référence : Création et configuration d’un coffre de clés pour Azure Disk Encryption
DP-7 : utiliser un processus de gestion des certificats sécurisé
Fonctionnalités
Gestion des certificats dans Azure Key Vault
Description : Le service prend en charge l’intégration d’Azure Key Vault pour tous les certificats clients. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| False | Non applicable | Non applicable |
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
Gestion des ressources
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Gestion des ressources.
AM-2 : Utiliser uniquement des services approuvés
Fonctionnalités
Prise en charge d’Azure Policy
Description : les configurations de service peuvent être surveillées et appliquées via Azure Policy. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | False | Client |
Conseils de configuration : Azure Policy pouvez définir le comportement souhaité pour les machines virtuelles Windows et Linux de votre organization. En utilisant des stratégies, un organization peut appliquer diverses conventions et règles dans l’ensemble de l’entreprise et définir et implémenter des configurations de sécurité standard pour Azure Machines Virtuelles. L’application du comportement souhaité peut vous aider à atténuer les risques tout en contribuant à la réussite de l'organisation.
Référence : Azure Policy définitions intégrées pour Azure Machines Virtuelles
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.ClassicCompute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager | Utilisez le nouvel Azure Resource Manager pour renforcer la sécurité de vos machines virtuelles : contrôle d’accès en fonction du rôle (RBAC) renforcé, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, et prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité. | Audit, Refuser, Désactivé | 1.0.0 |
Définitions intégrées à Azure Policy - Microsoft.Compute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager | Utilisez le nouvel Azure Resource Manager pour renforcer la sécurité de vos machines virtuelles : contrôle d’accès en fonction du rôle (RBAC) renforcé, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, et prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité. | Audit, Refuser, Désactivé | 1.0.0 |
AM-5 : Utiliser uniquement des applications approuvées dans une machine virtuelle
Fonctionnalités
Microsoft Defender pour le cloud - Contrôles d’application adaptatifs
Description : le service peut limiter les applications clientes qui s’exécutent sur la machine virtuelle à l’aide de contrôles d’application adaptatifs dans Microsoft Defender pour le cloud. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : utilisez Microsoft Defender pour les contrôles d’application adaptatifs cloud afin de découvrir les applications s’exécutant sur des machines virtuelles et de générer une liste verte d’applications afin de déterminer quelles applications approuvées peuvent s’exécuter dans l’environnement de machine virtuelle.
Référence : Utiliser des contrôles d’application adaptatifs pour réduire les surfaces d’attaque de vos machines
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.ClassicCompute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines | Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables. | AuditIfNotExists, Désactivé | 3.0.0 |
Définitions intégrées à Azure Policy - Microsoft.Compute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines | Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables. | AuditIfNotExists, Désactivé | 3.0.0 |
Journalisation et détection des menaces
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : journalisation et détection des menaces.
LT-1 : activer les fonctionnalités de détection des menaces
Fonctionnalités
Microsoft Defender pour les offres de services/produits
Description : Le service dispose d’une solution de Microsoft Defender spécifique à l’offre pour surveiller et alerter sur les problèmes de sécurité. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : Defender pour les serveurs étend la protection à vos machines Windows et Linux s’exécutant dans Azure. Defender pour les serveurs s’intègre à Microsoft Defender pour point de terminaison pour fournir la détection et la réponse des points de terminaison (EDR), et fournit également une multitude de fonctionnalités de protection contre les menaces supplémentaires, telles que les bases de référence de sécurité et les évaluations au niveau du système d’exploitation, l’analyse de l’évaluation des vulnérabilités, les contrôles d’application adaptatifs (AAC), la surveillance de l’intégrité des fichiers (FIM), etc.
Référence : Planifier votre déploiement defender pour les serveurs
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.Compute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Windows Defender Exploit Guard doit être activé sur vos machines | Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement). | AuditIfNotExists, Désactivé | 2.0.0 |
LT-4 : Activer la journalisation pour l’examen de sécurité
Fonctionnalités
Journaux des ressources Azure
Description : le service produit des journaux de ressources qui peuvent fournir des métriques et une journalisation améliorées spécifiques au service. Le client peut configurer ces journaux de ressources et les envoyer à son propre récepteur de données, comme un compte de stockage ou un espace de travail Log Analytics. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : Azure Monitor commence à collecter automatiquement les données de métriques pour votre hôte de machine virtuelle lorsque vous créez la machine virtuelle. Toutefois, pour collecter des journaux et des données de performances à partir du système d’exploitation invité de la machine virtuelle, vous devez installer l’agent Azure Monitor. Vous pouvez installer l’agent et configurer la collecte à l’aide de VM Insights ou en créant une règle de collecte de données .
Référence : Vue d’ensemble de l’agent Log Analytics
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.Compute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
Gestion des postures et des vulnérabilités
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Gestion de la posture et des vulnérabilités.
PV-3 : définir et établir des configurations sécurisées pour les ressources de calcul
Fonctionnalités
Azure Automation – State Configuration
Description : Azure Automation State Configuration pouvez être utilisé pour maintenir la configuration de sécurité du système d’exploitation. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : utilisez Azure Automation State Configuration pour maintenir la configuration de sécurité du système d’exploitation.
Référence : Configurer une machine virtuelle avec Desired State Configuration
Agent de configuration invité Azure Policy
Description : Azure Policy’agent de configuration invité peut être installé ou déployé en tant qu’extension pour les ressources de calcul. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | False | Client |
Remarques sur les fonctionnalités : Azure Policy Guest Configuration est désormais appelée Configuration de machine Azure Automanage.
Conseils de configuration : utilisez Microsoft Defender pour le cloud et Azure Policy’agent de configuration invité pour évaluer et corriger régulièrement les écarts de configuration sur vos ressources de calcul Azure, notamment les machines virtuelles, les conteneurs et autres.
Référence : Comprendre la fonctionnalité de configuration de machine d’Azure Automanage
Images de machine virtuelle personnalisées
Description : le service prend en charge l’utilisation d’images de machine virtuelle fournies par l’utilisateur ou d’images prédéfinies de la Place de marché avec certaines configurations de base pré-appliquées. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : utilisez une image préconfigurée renforcée d’un fournisseur approuvé tel que Microsoft ou créez une base de référence de configuration sécurisée souhaitée dans le modèle d’image de machine virtuelle.
Référence : Tutoriel : Créer une image personnalisée d’une machine virtuelle Azure avec Azure CLI
PV-4 : auditer et appliquer des configurations sécurisées pour les ressources de calcul
Fonctionnalités
Machine virtuelle de lancement approuvé
Description : Le lancement approuvé protège contre les techniques d’attaque avancées et persistantes en combinant des technologies d’infrastructure telles que le démarrage sécurisé, vTPM et la surveillance de l’intégrité. Chaque technologie offre une couche de défense supplémentaire contre les menaces sophistiquées. Le lancement approuvé permet le déploiement sécurisé de machines virtuelles avec des chargeurs de démarrage vérifiés, des noyaux de système d’exploitation et des pilotes, et protège de manière sécurisée les clés, les certificats et les secrets dans les machines virtuelles. Le lancement approuvé fournit également des insights et des confiances sur l’intégrité de l’ensemble de la chaîne de démarrage et garantit que les charges de travail sont approuvées et vérifiables. Le lancement approuvé est intégré à Microsoft Defender pour le cloud afin de s’assurer que les machines virtuelles sont correctement configurées, en attestant à distance que la machine virtuelle est démarrée de manière saine. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Remarque de fonctionnalité : Le lancement approuvé est disponible pour les machines virtuelles de génération 2. Le lancement fiable requiert la création de nouvelles machines virtuelles. Vous ne pouvez pas activer le lancement fiable sur les machines virtuelles existantes qui ont été créées initialement sans cette fonctionnalité.
Conseils de configuration : Le lancement approuvé peut être activé pendant le déploiement de la machine virtuelle. Activez les trois : démarrage sécurisé, vTPM et surveillance du démarrage de l’intégrité pour garantir la meilleure posture de sécurité pour la machine virtuelle. Notez qu’il existe quelques prérequis, notamment l’intégration de votre abonnement à Microsoft Defender pour le cloud, l’attribution de certaines initiatives Azure Policy et la configuration des stratégies de pare-feu.
Référence : Déployer une machine virtuelle avec lancement approuvé activé
PV-5 : effectuer des évaluations des vulnérabilités
Fonctionnalités
Évaluation des vulnérabilités à l’aide de Microsoft Defender
Description : le service peut être analysé à l’aide de Microsoft Defender pour le cloud ou d’autres fonctionnalités d’évaluation des vulnérabilités incorporées des services de Microsoft Defender (y compris Microsoft Defender pour serveur, registre de conteneurs, App Service, SQL et DNS). Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : suivez les recommandations de Microsoft Defender pour le cloud pour effectuer des évaluations des vulnérabilités sur vos machines virtuelles Azure.
Référence : Planifier votre déploiement defender pour les serveurs
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.ClassicCompute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. | AuditIfNotExists, Désactivé | 3.0.0 |
Définitions intégrées à Azure Policy - Microsoft.Compute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. | AuditIfNotExists, Désactivé | 3.0.0 |
PV-6 : corriger rapidement et automatiquement les vulnérabilités
Fonctionnalités
Azure Automation Update Management
Description : le service peut utiliser Azure Automation Update Management pour déployer automatiquement des correctifs et des mises à jour. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : utilisez Azure Automation Update Management ou une solution tierce pour vous assurer que les mises à jour de sécurité les plus récentes sont installées sur vos machines virtuelles Linux.
Référence : Gérer les mises à jour et les correctifs pour vos machines virtuelles
Service de mise à jour corrective invité Azure
Description : Le service peut utiliser la mise à jour corrective d’invité Azure pour déployer automatiquement des correctifs et des mises à jour. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : Les services peuvent tirer parti des différents mécanismes de mise à jour, tels que les mises à niveau automatiques d’images de système d’exploitation et lamise à jour corrective automatique des invités. Il est recommandé d’appliquer les dernières mises à jour critiques et de sécurité au système d’exploitation invité de votre machine virtuelle en suivant les principes de déploiement sécurisé.
La mise à jour corrective automatique d’invité vous permet d’évaluer et de mettre à jour automatiquement vos machines virtuelles Azure pour maintenir la conformité de la sécurité avec les mises à jour critiques et de sécurité publiées chaque mois. Mises à jour sont appliquées pendant les heures creuses, y compris les machines virtuelles au sein d’un groupe à haute disponibilité. Cette fonctionnalité est disponible pour l’orchestration flexible VMSS, avec une prise en charge future sur la feuille de route de l’orchestration uniforme.
Si vous exécutez une charge de travail sans état, les mises à niveau d’image de système d’exploitation automatique sont idéales pour appliquer la dernière mise à jour de votre vmsS Uniform. Avec la fonctionnalité de restauration, ces mises à jour sont compatibles avec la Place de marché ou les images personnalisées. Prise en charge future des mises à niveau propagées sur la feuille de route de l’orchestration flexible.
Référence : Mise à jour corrective automatique des invités de machine virtuelle pour les machines virtuelles Azure
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.ClassicCompute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les mises à jour système doivent être installées sur vos machines | Les mises à jour système de sécurité manquantes sur vos serveurs seront supervisées par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 4.0.0 |
Définitions intégrées à Azure Policy - Microsoft.Compute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : Les mises à jour système doivent être installées sur vos machines (avec le Centre des mises à jour) | Des mises à jour système, critiques et de sécurité sont manquantes sur vos machines. Les mises à jour de logiciel incluent souvent des correctifs critiques pour les failles de sécurité. Ces failles sont souvent exploitées lors d’attaques de programmes malveillants. Il est donc essentiel de maintenir vos logiciels à jour. Pour installer tous les correctifs en attente et sécuriser vos machines, suivez la procédure de correction. | AuditIfNotExists, Désactivé | 1.0.0-preview |
Sécurité des points de terminaison
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Sécurité des points de terminaison.
ES-1 : Utiliser la détection de point de terminaison et réponse (EDR)
Fonctionnalités
EDR Solution
Description : La fonctionnalité EDR (Endpoint Detection and Response) telle qu’Azure Defender pour les serveurs peut être déployée dans le point de terminaison. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : Azure Defender pour serveurs (avec Microsoft Defender pour point de terminaison intégré) offre une fonctionnalité EDR permettant d’empêcher, de détecter, d’examiner et de répondre aux menaces avancées. Utilisez Microsoft Defender pour le cloud pour déployer Azure Defender pour les serveurs de votre point de terminaison et intégrer les alertes à votre solution SIEM comme Azure Sentinel.
Référence : Planifier votre déploiement defender pour les serveurs
ES-2 : Utiliser un logiciel anti-programmes malveillants moderne
Fonctionnalités
Solution anti-programme malveillant
Description : la fonctionnalité anti-programme malveillant, telle que l’antivirus Microsoft Defender, Microsoft Defender pour point de terminaison peut être déployée sur le point de terminaison. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | False | Client |
Conseils de configuration : Pour Linux, les clients peuvent avoir le choix d’installer Microsoft Defender pour point de terminaison pour Linux. Les clients ont également le choix d’installer des produits anti-programmes malveillants tiers.
Référence : Microsoft Defender pour point de terminaison sur Linux
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.ClassicCompute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines | Résolvez les problèmes d’intégrité concernant la protection des points de terminaison de vos machines virtuelles pour les protéger des menaces et des vulnérabilités les plus récentes. Les solutions de protection des points de terminaison Azure Security Center prises en charge sont documentées ici : https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. L’évaluation de la protection des points de terminaison est documentée ici : https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Désactivé | 1.0.0 |
Définitions intégrées à Azure Policy - Microsoft.Compute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines | Résolvez les problèmes d’intégrité concernant la protection des points de terminaison de vos machines virtuelles pour les protéger des menaces et des vulnérabilités les plus récentes. Les solutions de protection des points de terminaison Azure Security Center prises en charge sont documentées ici : https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. L’évaluation de la protection des points de terminaison est documentée ici : https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Désactivé | 1.0.0 |
ES-3 : Vérifier que les logiciels et signatures anti-programme malveillant sont mis à jour
Fonctionnalités
Surveillance de l’intégrité des solutions anti-programme malveillant
Description : La solution anti-programme malveillant fournit l’intégrité status la surveillance des mises à jour de la plateforme, du moteur et des signatures automatiques. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | False | Client |
Remarques sur les fonctionnalités : Les mises à jour des informations de sécurité et des produits s’appliquent à Defender pour point de terminaison, qui peut être installé sur les machines virtuelles Linux.
Conseils de configuration : Configurez votre solution anti-programme malveillant pour vous assurer que la plateforme, le moteur et les signatures sont mis à jour rapidement et de manière cohérente et que leurs status peuvent être surveillés.
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.ClassicCompute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines | Résolvez les problèmes d’intégrité concernant la protection des points de terminaison de vos machines virtuelles pour les protéger des menaces et des vulnérabilités les plus récentes. Les solutions de protection des points de terminaison Azure Security Center prises en charge sont documentées ici : https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. L’évaluation de la protection des points de terminaison est documentée ici : https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Désactivé | 1.0.0 |
Définitions intégrées à Azure Policy - Microsoft.Compute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines | Résolvez les problèmes d’intégrité concernant la protection des points de terminaison de vos machines virtuelles pour les protéger des menaces et des vulnérabilités les plus récentes. Les solutions de protection des points de terminaison Azure Security Center prises en charge sont documentées ici : https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. L’évaluation de la protection des points de terminaison est documentée ici : https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Désactivé | 1.0.0 |
Sauvegarde et récupération
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Sauvegarde et récupération.
BR-1 : Garantir des sauvegardes automatiques régulières
Fonctionnalités
Sauvegarde Azure
Description : le service peut être sauvegardé par le service Sauvegarde Azure. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | False | Client |
Conseils de configuration : activez Sauvegarde Azure et ciblez azure Machines Virtuelles (machine virtuelle), ainsi que la fréquence et les périodes de rétention souhaitées. Cela comprend la sauvegarde complète de l’état du système. Si vous utilisez Azure Disk Encryption, la sauvegarde de machine virtuelle Azure gère automatiquement la sauvegarde des clés gérées par le client. Pour Azure Machines Virtuelles, vous pouvez utiliser Azure Policy pour activer les sauvegardes automatiques.
Référence : Options de sauvegarde et de restauration pour les machines virtuelles dans Azure
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.Compute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| La sauvegarde Azure doit être activée pour les machines virtuelles | Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. | AuditIfNotExists, Désactivé | 3.0.0 |
Étapes suivantes
- Consultez la vue d’ensemble du benchmark de sécurité cloud Microsoft
- En savoir plus sur les bases de référence de la sécurité Azure