Contrôles de conformité réglementaire d’Azure Policy pour les machines virtuelles Azure
S’applique aux : ✔️ Machines virtuelles Linux ✔️ Machines virtuelles Windows ✔️ Groupes identiques flexibles ✔️ Groupes identiques uniformes
La Conformité réglementaire d’Azure Policy fournit des définitions d’initiatives créées et gérées par Microsoft, qui sont dites intégrées, pour les domaines de conformité et les contrôles de sécurité associés à différents standards de conformité. Cette page liste les domaines de conformité et les contrôles de sécurité pour les machines virtuelles Azure. Vous pouvez affecter les composants intégrés pour un contrôle de sécurité individuellement, afin de rendre vos ressources Azure conformes au standard spécifique.
Le titre de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien de la colonne Version de la stratégie pour voir la source dans le dépôt GitHub Azure Policy.
Important
Chaque contrôle est associé à une ou plusieurs définitions Azure Policy. Ces stratégies peuvent vous aider à évaluer la conformité avec le contrôle. Toutefois, il n’existe pas souvent de correspondance un-à-un ou parfaite entre un contrôle et une ou plusieurs stratégies. En tant que tel, Conforme dans Azure Policy fait seulement référence aux stratégies elles-même. Cela ne garantit pas que vous êtes entièrement conforme à toutes les exigences d’un contrôle. En outre, la norme de conformité comprend des contrôles qui ne sont traités par aucune définition Azure Policy pour l’instant. Par conséquent, la conformité dans Azure Policy n’est qu’une vue partielle de l’état de conformité global. Les associations entre les contrôles et les définitions de conformité réglementaire Azure Policy pour ces normes de conformité peuvent changer au fil du temps.
Australian Government ISM PROTECTED
Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure correspondent à ce standard de conformité, consultez Conformité réglementaire d’Azure Policy – Australian Government ISM PROTECTED. Pour plus d’informations sur cette norme de conformité, consultez Australian Government ISM PROTECTED.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Instructions pour la sécurité personnelle - Accès aux systèmes et à leurs ressources | 415 | Identification de l’utilisateur - 415 | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | 4.1.0 |
| Instructions pour la sécurité personnelle - Accès aux systèmes et à leurs ressources | 415 | Identification de l’utilisateur - 415 | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | 4.1.0 |
| Instructions pour la sécurité personnelle - Accès aux systèmes et à leurs ressources | 415 | Identification de l’utilisateur - 415 | Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs | 2.0.0 |
| Instructions pour la sécurité personnelle - Accès aux systèmes et à leurs ressources | 415 | Identification de l’utilisateur - 415 | Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | 1.2.0 |
| Instructions pour le durcissement du système - Durcissement de l’authentification | 421 | Authentification monofacteur - 421 | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | 4.1.0 |
| Instructions pour le durcissement du système - Durcissement de l’authentification | 421 | Authentification monofacteur - 421 | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | 4.1.0 |
| Instructions pour le durcissement du système - Durcissement de l’authentification | 421 | Authentification monofacteur - 421 | Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | 1.2.0 |
| Instructions pour le durcissement du système - Durcissement de l’authentification | 421 | Authentification monofacteur - 421 | Les machines Windows doivent répondre aux exigences de « Paramètres de sécurité - Stratégies de compte » | 3.0.0 |
| Instructions pour la sécurité personnelle - Accès aux systèmes et à leurs ressources | 445 | Accès privilégié aux systèmes - 445 | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | 4.1.0 |
| Instructions pour la sécurité personnelle - Accès aux systèmes et à leurs ressources | 445 | Accès privilégié aux systèmes - 445 | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | 4.1.0 |
| Instructions pour la sécurité personnelle - Accès aux systèmes et à leurs ressources | 445 | Accès privilégié aux systèmes - 445 | Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs | 2.0.0 |
| Instructions pour la sécurité personnelle - Accès aux systèmes et à leurs ressources | 445 | Accès privilégié aux systèmes - 445 | Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | 1.2.0 |
| Instructions pour la supervision du système - Journalisation des événements et audit | 582 | Événements à journaliser - 582 | Les machines virtuelles doivent être connectées à un espace de travail spécifié | 1.1.0 |
| Instructions pour la gestion de système - Mise à jour corrective de système | 940 | Quand corriger les vulnérabilités de sécurité - 940 | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| Instructions pour la gestion de système - Mise à jour corrective de système | 940 | Quand corriger les vulnérabilités de sécurité - 940 | Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | 3.1.0 |
| Instructions pour le chiffrement - Protocole TLS (Transport Layer Security) | 1139 | Utilisation du protocole TLS (Transport Layer Security) - 1139 | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | 4.1.0 |
| Instructions pour le chiffrement - Protocole TLS (Transport Layer Security) | 1139 | Utilisation du protocole TLS (Transport Layer Security) - 1139 | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | 4.1.0 |
| Instructions pour le chiffrement - Protocole TLS (Transport Layer Security) | 1139 | Utilisation du protocole TLS (Transport Layer Security) - 1139 | Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | 1.2.0 |
| Instructions pour le chiffrement - Protocole TLS (Transport Layer Security) | 1139 | Utilisation du protocole TLS (Transport Layer Security) - 1139 | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| Instructions pour la gestion de système - Mise à jour corrective de système | 1144 | Quand corriger les vulnérabilités de sécurité - 1144 | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| Instructions pour la gestion de système - Mise à jour corrective de système | 1144 | Quand corriger les vulnérabilités de sécurité - 1144 | Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | 3.1.0 |
| Instructions pour le réseau - Conception et configuration du réseau | 1182 | Contrôles d’accès réseau - 1182 | Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| Instructions pour les systèmes de base de données - Serveurs de base de données | 1277 | Communications entre les serveurs de base de données et les serveurs web - 1277 | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | 4.1.0 |
| Instructions pour les systèmes de base de données - Serveurs de base de données | 1277 | Communications entre les serveurs de base de données et les serveurs web - 1277 | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | 4.1.0 |
| Instructions pour les systèmes de base de données - Serveurs de base de données | 1277 | Communications entre les serveurs de base de données et les serveurs web - 1277 | Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | 1.2.0 |
| Instructions pour les systèmes de base de données - Serveurs de base de données | 1277 | Communications entre les serveurs de base de données et les serveurs web - 1277 | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| Instructions pour les passerelles - Filtrage de contenu | 1288 | Analyse antivirus - 1288 | L’extension Microsoft IaaSAntimalware doit être déployée sur des serveurs Windows | 1.1.0 |
| Instructions pour la gestion de système - Administration de système | 1386 | Restriction des flux de trafic de gestion - 1386 | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| Instructions pour le durcissement du système - Durcissement du système d’exploitation | 1407 | Versions de système d’exploitation - 1407 | Les mises à jour système sur les groupes de machines virtuelles identiques doivent être installées | 3.0.0 |
| Instructions pour le durcissement du système - Durcissement du système d’exploitation | 1407 | Versions de système d’exploitation - 1407 | Les mises à jour système doivent être installées sur vos machines | 4.0.0 |
| Instructions pour le durcissement du système - Durcissement du système d’exploitation | 1417 | Logiciel antivirus - 1417 | L’extension Microsoft IaaSAntimalware doit être déployée sur des serveurs Windows | 1.1.0 |
| Instructions pour la gestion de système - Mise à jour corrective de système | 1472 | Quand corriger les vulnérabilités de sécurité - 1472 | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| Instructions pour la gestion de système - Mise à jour corrective de système | 1472 | Quand corriger les vulnérabilités de sécurité - 1472 | Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | 3.1.0 |
| Instructions pour la gestion de système - Mise à jour corrective de système | 1494 | Quand corriger les vulnérabilités de sécurité - 1494 | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| Instructions pour la gestion de système - Mise à jour corrective de système | 1494 | Quand corriger les vulnérabilités de sécurité - 1494 | Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | 3.1.0 |
| Instructions pour la gestion de système - Mise à jour corrective de système | 1495 | Quand corriger les vulnérabilités de sécurité - 1495 | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| Instructions pour la gestion de système - Mise à jour corrective de système | 1495 | Quand corriger les vulnérabilités de sécurité - 1495 | Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | 3.1.0 |
| Instructions pour la gestion de système - Mise à jour corrective de système | 1496 | Quand corriger les vulnérabilités de sécurité - 1496 | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| Instructions pour la gestion de système - Mise à jour corrective de système | 1496 | Quand corriger les vulnérabilités de sécurité - 1496 | Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | 3.1.0 |
| Instructions pour la sécurité personnelle - Accès aux systèmes et à leurs ressources | 1503 | Accès standard aux systèmes - 1503 | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | 4.1.0 |
| Instructions pour la sécurité personnelle - Accès aux systèmes et à leurs ressources | 1503 | Accès standard aux systèmes - 1503 | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | 4.1.0 |
| Instructions pour la sécurité personnelle - Accès aux systèmes et à leurs ressources | 1503 | Accès standard aux systèmes - 1503 | Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs | 2.0.0 |
| Instructions pour la sécurité personnelle - Accès aux systèmes et à leurs ressources | 1503 | Accès standard aux systèmes - 1503 | Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | 1.2.0 |
| Instructions pour la sécurité personnelle - Accès aux systèmes et à leurs ressources | 1507 | Accès privilégié aux systèmes - 1507 | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | 4.1.0 |
| Instructions pour la sécurité personnelle - Accès aux systèmes et à leurs ressources | 1507 | Accès privilégié aux systèmes - 1507 | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | 4.1.0 |
| Instructions pour la sécurité personnelle - Accès aux systèmes et à leurs ressources | 1507 | Accès privilégié aux systèmes - 1507 | Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs | 2.0.0 |
| Instructions pour la sécurité personnelle - Accès aux systèmes et à leurs ressources | 1507 | Accès privilégié aux systèmes - 1507 | Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | 1.2.0 |
| Instructions pour la sécurité personnelle - Accès aux systèmes et à leurs ressources | 1508 | Accès privilégié aux systèmes - 1508 | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | 4.1.0 |
| Instructions pour la sécurité personnelle - Accès aux systèmes et à leurs ressources | 1508 | Accès privilégié aux systèmes - 1508 | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | 4.1.0 |
| Instructions pour la sécurité personnelle - Accès aux systèmes et à leurs ressources | 1508 | Accès privilégié aux systèmes - 1508 | Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs | 2.0.0 |
| Instructions pour la sécurité personnelle - Accès aux systèmes et à leurs ressources | 1508 | Accès privilégié aux systèmes - 1508 | Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | 1.2.0 |
| Instructions pour la sécurité personnelle - Accès aux systèmes et à leurs ressources | 1508 | Accès privilégié aux systèmes - 1508 | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| Instructions pour la gestion de système - Sauvegarde et restauration de données | 1511 | Effectuer des sauvegardes - 1511 | Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée | 1.0.0 |
| Instructions pour le durcissement du système - Durcissement de l’authentification | 1546 | Authentification dans les systèmes - 1546 | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | 4.1.0 |
| Instructions pour le durcissement du système - Durcissement de l’authentification | 1546 | Authentification dans les systèmes - 1546 | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | 4.1.0 |
| Instructions pour le durcissement du système - Durcissement de l’authentification | 1546 | Authentification dans les systèmes - 1546 | Auditer les machines Linux qui autorisent les connexions à distance à partir de comptes sans mot de passe | 3.1.0 |
| Instructions pour le durcissement du système - Durcissement de l’authentification | 1546 | Authentification dans les systèmes - 1546 | Auditer les machines Linux qui ont des comptes sans mot de passe | 3.1.0 |
| Instructions pour le durcissement du système - Durcissement de l’authentification | 1546 | Authentification dans les systèmes - 1546 | Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux | 3.1.0 |
PBMM fédéral du Canada
Pour voir comment les composants intégrés Azure Policy de tous les services Azure répondent à ce standard de conformité, consultez Conformité réglementaire Azure Policy – Canada Federal PBMM. Pour plus d’informations sur cette norme de conformité, consultez Canada Federal PBMM.
CIS Microsoft Azure Foundations Benchmark 1.1.0
Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure correspondent à ce standard de conformité, consultez Conformité réglementaire Azure Policy – CIS Microsoft Azure Foundations Benchmark 1.1.0. Pour plus d’informations sur cette norme de conformité, consultez CIS Microsoft Azure Foundations Benchmark.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| 2 Security Center | 2,10 | Vérifier que le paramètre de stratégie par défaut d’ASC « Superviser l’évaluation des vulnérabilités » n’est pas défini sur « Disabled » | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| 2 Security Center | 2.12 | Vérifier que le paramètre de stratégie par défaut d’ASC « Surveiller l’accès réseau JIT » n’est pas défini sur « Disabled » | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| 2 Security Center | 2.3 | Vérifier que le paramètre de stratégie par défaut d’ASC « Surveiller les mises à jour système » n’est pas défini sur « Disabled » | Les mises à jour système doivent être installées sur vos machines | 4.0.0 |
| 2 Security Center | 2.4 | Vérifier que le paramètre de stratégie par défaut d’ASC « Surveiller les vulnérabilités de système d’exploitation » n’est pas défini sur « Disabled » | Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | 3.1.0 |
| 2 Security Center | 2.9 | Vérifier que le paramètre de stratégie par défaut ASC « Activer la supervision du pare-feu de nouvelle génération » n’est pas défini sur « Disabled » | Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| 7 Machines virtuelles | 7.4 | Vérifier que seules les extensions approuvées sont installées | Seules les extensions de machine virtuelle approuvées doivent être installées | 1.0.0 |
| 7 Machines virtuelles | 7.5 | Vérifier que les derniers correctifs de système d’exploitation sont appliqués pour toutes les machines virtuelles | Les mises à jour système doivent être installées sur vos machines | 4.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure correspondent à ce standard de conformité, consultez Conformité réglementaire Azure Policy – CIS Microsoft Azure Foundations Benchmark 1.3.0. Pour plus d’informations sur cette norme de conformité, consultez CIS Microsoft Azure Foundations Benchmark.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| 7 Machines virtuelles | 7.1 | Vérifier que les machines virtuelles utilisent des disques managés | Faire l’audit des machines virtuelles n’utilisant aucun disque managé | 1.0.0 |
| 7 Machines virtuelles | 7.4 | Vérifier que seules les extensions approuvées sont installées | Seules les extensions de machine virtuelle approuvées doivent être installées | 1.0.0 |
| 7 Machines virtuelles | 7.5 | Vérifier que les derniers correctifs de système d’exploitation sont appliqués pour toutes les machines virtuelles | Les mises à jour système doivent être installées sur vos machines | 4.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Pour voir comment les composants intégrés Azure Policy disponibles de tous les services Azure répondent à cette norme de conformité, consultez Détails de l’initiative intégrée de conformité réglementaire pour CIS Microsoft Azure Foundations Benchmark 1.4.0. Pour plus d’informations sur cette norme de conformité, consultez CIS Microsoft Azure Foundations Benchmark.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| 7 Machines virtuelles | 7.1 | Vérifier que les machines virtuelles utilisent des disques managés | Faire l’audit des machines virtuelles n’utilisant aucun disque managé | 1.0.0 |
| 7 Machines virtuelles | 7.4 | Assurez-vous que seules des extensions approuvées sont installées | Seules les extensions de machine virtuelle approuvées doivent être installées | 1.0.0 |
| 7 Machines virtuelles | 7.5 | Vérifier que les derniers correctifs de système d’exploitation sont appliqués pour toutes les machines virtuelles | Les mises à jour système doivent être installées sur vos machines | 4.0.0 |
CIS Microsoft Azure Foundations Benchmark 2.0.0
Pour voir comment les composants intégrés Azure Policy disponibles de tous les services Azure répondent à cette norme de conformité, consultez Détails de la conformité réglementaire Azure Policy pour CIS v2.0.0. Pour plus d’informations sur cette norme de conformité, consultez CIS Microsoft Azure Foundations Benchmark.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| 2.1 | 2.1.13 | Vérifier que la recommandation Microsoft Defender pour l’état de « Appliquer les mises à jour système » est « Terminé » | Les machines doivent être configurées pour rechercher régulièrement les mises à jour système manquantes | 3.7.0 |
| 6 | 6.1 | Vérifier que l’accès RDP à partir d’Internet est évalué et limité | Les ports de gestion doivent être fermés sur vos machines virtuelles | 3.0.0 |
| 6 | 6.2 | Vérifier que l’accès SSH à partir d’Internet est évalué et limité | Les ports de gestion doivent être fermés sur vos machines virtuelles | 3.0.0 |
| 7 | 7.2 | Vérifier que les machines virtuelles utilisent des disques managés | Faire l’audit des machines virtuelles n’utilisant aucun disque managé | 1.0.0 |
| 7 | 7.4 | Vérifier que les « disques non associés » sont chiffrés avec une « clé gérée par le client » (CMK) | Les disques managés doivent être doublement chiffrés avec des clés gérées par la plateforme et des clés gérées par le client | 1.0.0 |
| 7 | 7.5 | Assurez-vous que seules des extensions approuvées sont installées | Seules les extensions de machine virtuelle approuvées doivent être installées | 1.0.0 |
CMMC niveau 3
Pour voir comment les composants intégrés Azure Policy de tous les services Azure répondent à ce standard de conformité, consultez Conformité réglementaire Azure Policy – CMMC niveau 3. Pour plus d’informations sur ce standard de conformité, consultez Cybersecurity Maturity Model Certification (CMMC).
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Contrôle d’accès | AC.1.001 | Restreindre l’accès au système d’information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes d’information). | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | 4.1.0 |
| Contrôle d’accès | AC.1.001 | Restreindre l’accès au système d’information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes d’information). | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | 4.1.0 |
| Contrôle d’accès | AC.1.001 | Restreindre l’accès au système d’information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes d’information). | Auditer les machines Linux qui autorisent les connexions à distance à partir de comptes sans mot de passe | 3.1.0 |
| Contrôle d’accès | AC.1.001 | Restreindre l’accès au système d’information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes d’information). | Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | 1.2.0 |
| Contrôle d’accès | AC.1.001 | Restreindre l’accès au système d’information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes d’information). | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| Contrôle d’accès | AC.1.001 | Restreindre l’accès au système d’information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes d’information). | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Accès réseau » | 3.0.0 |
| Contrôle d’accès | AC.1.001 | Restreindre l’accès au système d’information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes d’information). | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau » | 3.0.0 |
| Contrôle d’accès | AC.1.002 | Restreindre l’accès au système d’information aux types de transactions et de fonctions que seuls les utilisateurs autorisés peuvent exécuter. | Auditer les machines Linux qui autorisent les connexions à distance à partir de comptes sans mot de passe | 3.1.0 |
| Contrôle d’accès | AC.1.002 | Restreindre l’accès au système d’information aux types de transactions et de fonctions que seuls les utilisateurs autorisés peuvent exécuter. | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| Contrôle d’accès | AC.1.002 | Restreindre l’accès au système d’information aux types de transactions et de fonctions que seuls les utilisateurs autorisés peuvent exécuter. | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| Contrôle d’accès | AC.1.002 | Restreindre l’accès au système d’information aux types de transactions et de fonctions que seuls les utilisateurs autorisés peuvent exécuter. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Accès réseau » | 3.0.0 |
| Contrôle d’accès | AC.1.003 | Vérifier et contrôler/limiter les connexions aux systèmes d’information externes, ainsi que leur utilisation. | Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| Contrôle d’accès | AC.2.007 | Utiliser le principe des privilèges minimum, y compris pour les fonctions de sécurité et les comptes privilégiés. | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| Contrôle d’accès | AC.2.008 | Utiliser des comptes ou des rôles non privilégiés lors de l’accès à des fonctions non relatives à la sécurité. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Contrôle de compte d’utilisateur » | 3.0.0 |
| Contrôle d’accès | AC.2.008 | Utiliser des comptes ou des rôles non privilégiés lors de l’accès à des fonctions non relatives à la sécurité. | Les machines Windows doivent répondre aux exigences de « Attribution de droits de l’utilisateur » | 3.0.0 |
| Contrôle d’accès | AC.2.013 | Superviser et contrôler les sessions d’accès à distance. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | 4.1.0 |
| Contrôle d’accès | AC.2.013 | Superviser et contrôler les sessions d’accès à distance. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | 4.1.0 |
| Contrôle d’accès | AC.2.013 | Superviser et contrôler les sessions d’accès à distance. | Auditer les machines Linux qui autorisent les connexions à distance à partir de comptes sans mot de passe | 3.1.0 |
| Contrôle d’accès | AC.2.013 | Superviser et contrôler les sessions d’accès à distance. | Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | 1.2.0 |
| Contrôle d’accès | AC.2.013 | Superviser et contrôler les sessions d’accès à distance. | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| Contrôle d’accès | AC.2.013 | Superviser et contrôler les sessions d’accès à distance. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau » | 3.0.0 |
| Contrôle d’accès | AC.2.016 | Contrôler le flux de CUI conformément aux autorisations approuvées. | Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| Contrôle d’accès | AC.2.016 | Contrôler le flux de CUI conformément aux autorisations approuvées. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Accès réseau » | 3.0.0 |
| Contrôle d’accès | AC.3.017 | Séparer les tâches des individus pour réduire le risque d’activité malveillante sans collusion. | Auditer les machines Windows qui ont un ou plusieurs membres spécifiés manquants dans le groupe Administrateurs | 2.0.0 |
| Contrôle d’accès | AC.3.017 | Séparer les tâches des individus pour réduire le risque d’activité malveillante sans collusion. | Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs | 2.0.0 |
| Contrôle d’accès | AC.3.018 | Empêcher les utilisateurs non privilégiés d’exécuter des fonctions privilégiées et de capturer l’exécution de ces fonctions dans les journaux d’audit. | Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Utilisation de privilège » | 3.0.0 |
| Contrôle d’accès | AC.3.021 | Autoriser l’exécution à distance des commandes privilégiées et l’accès à distance aux informations relatives à la sécurité. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | 4.1.0 |
| Contrôle d’accès | AC.3.021 | Autoriser l’exécution à distance des commandes privilégiées et l’accès à distance aux informations relatives à la sécurité. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | 4.1.0 |
| Contrôle d’accès | AC.3.021 | Autoriser l’exécution à distance des commandes privilégiées et l’accès à distance aux informations relatives à la sécurité. | Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux | 3.1.0 |
| Contrôle d’accès | AC.3.021 | Autoriser l’exécution à distance des commandes privilégiées et l’accès à distance aux informations relatives à la sécurité. | Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | 1.2.0 |
| Contrôle d’accès | AC.3.021 | Autoriser l’exécution à distance des commandes privilégiées et l’accès à distance aux informations relatives à la sécurité. | L’extension Guest Configuration doit être installée sur vos machines | 1.0.3 |
| Contrôle d’accès | AC.3.021 | Autoriser l’exécution à distance des commandes privilégiées et l’accès à distance aux informations relatives à la sécurité. | L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | 1.0.1 |
| Contrôle d’accès | AC.3.021 | Autoriser l’exécution à distance des commandes privilégiées et l’accès à distance aux informations relatives à la sécurité. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Contrôle de compte d’utilisateur » | 3.0.0 |
| Contrôle d’accès | AC.3.021 | Autoriser l’exécution à distance des commandes privilégiées et l’accès à distance aux informations relatives à la sécurité. | Les machines Windows doivent répondre aux exigences de « Attribution de droits de l’utilisateur » | 3.0.0 |
| Audit et responsabilité | AU.2.041 | Vérifier que les actions de chaque utilisateur du système peuvent être suivies et mises en correspondance avec les utilisateurs en question, afin qu’ils puissent être tenus responsables de leurs actions. | [Préversion] : L’extension Log Analytics doit être activée pour les images de machine virtuelle listées | 2.0.1-preview |
| Audit et responsabilité | AU.2.041 | Vérifier que les actions de chaque utilisateur du système peuvent être suivies et mises en correspondance avec les utilisateurs en question, afin qu’ils puissent être tenus responsables de leurs actions. | L’extension Log Analytics doit être activée dans les groupes de machines virtuelles identiques pour les images de machines virtuelles répertoriées | 2.0.1 |
| Audit et responsabilité | AU.2.041 | Vérifier que les actions de chaque utilisateur du système peuvent être suivies et mises en correspondance avec les utilisateurs en question, afin qu’ils puissent être tenus responsables de leurs actions. | L’extension Log Analytics doit être installée sur les groupes de machines virtuelles identiques | 1.0.1 |
| Audit et responsabilité | AU.2.041 | Vérifier que les actions de chaque utilisateur du système peuvent être suivies et mises en correspondance avec les utilisateurs en question, afin qu’ils puissent être tenus responsables de leurs actions. | Les machines virtuelles doivent être connectées à un espace de travail spécifié | 1.1.0 |
| Audit et responsabilité | AU.2.041 | Vérifier que les actions de chaque utilisateur du système peuvent être suivies et mises en correspondance avec les utilisateurs en question, afin qu’ils puissent être tenus responsables de leurs actions. | L’extension Log Analytics doit être installée sur les machines virtuelles | 1.0.1 |
| Audit et responsabilité | AU.2.042 | Créer et conserver les journaux d’audit système et les enregistrements de façon à pouvoir activer la supervision, l’analyse, l’investigation et la création de rapports concernant l’activité système non légale ou non autorisée. | [Préversion] : L’extension Log Analytics doit être activée pour les images de machine virtuelle listées | 2.0.1-preview |
| Audit et responsabilité | AU.2.042 | Créer et conserver les journaux d’audit système et les enregistrements de façon à pouvoir activer la supervision, l’analyse, l’investigation et la création de rapports concernant l’activité système non légale ou non autorisée. | L’extension Log Analytics doit être activée dans les groupes de machines virtuelles identiques pour les images de machines virtuelles répertoriées | 2.0.1 |
| Audit et responsabilité | AU.2.042 | Créer et conserver les journaux d’audit système et les enregistrements de façon à pouvoir activer la supervision, l’analyse, l’investigation et la création de rapports concernant l’activité système non légale ou non autorisée. | L’extension Log Analytics doit être installée sur les groupes de machines virtuelles identiques | 1.0.1 |
| Audit et responsabilité | AU.2.042 | Créer et conserver les journaux d’audit système et les enregistrements de façon à pouvoir activer la supervision, l’analyse, l’investigation et la création de rapports concernant l’activité système non légale ou non autorisée. | Les machines virtuelles doivent être connectées à un espace de travail spécifié | 1.1.0 |
| Audit et responsabilité | AU.2.042 | Créer et conserver les journaux d’audit système et les enregistrements de façon à pouvoir activer la supervision, l’analyse, l’investigation et la création de rapports concernant l’activité système non légale ou non autorisée. | L’extension Log Analytics doit être installée sur les machines virtuelles | 1.0.1 |
| Audit et responsabilité | AU.3.046 | Alerter en cas d’échec du processus de journalisation d’audit. | [Préversion] : L’extension Log Analytics doit être activée pour les images de machine virtuelle listées | 2.0.1-preview |
| Audit et responsabilité | AU.3.046 | Alerter en cas d’échec du processus de journalisation d’audit. | L’extension Log Analytics doit être activée dans les groupes de machines virtuelles identiques pour les images de machines virtuelles répertoriées | 2.0.1 |
| Audit et responsabilité | AU.3.046 | Alerter en cas d’échec du processus de journalisation d’audit. | Les machines virtuelles doivent être connectées à un espace de travail spécifié | 1.1.0 |
| Audit et responsabilité | AU.3.048 | Collecter les informations d’audit (par exemple, les journaux) dans un ou plusieurs dépôts centraux. | [Préversion] : L’extension Log Analytics doit être activée pour les images de machine virtuelle listées | 2.0.1-preview |
| Audit et responsabilité | AU.3.048 | Collecter les informations d’audit (par exemple, les journaux) dans un ou plusieurs dépôts centraux. | L’extension Log Analytics doit être activée dans les groupes de machines virtuelles identiques pour les images de machines virtuelles répertoriées | 2.0.1 |
| Audit et responsabilité | AU.3.048 | Collecter les informations d’audit (par exemple, les journaux) dans un ou plusieurs dépôts centraux. | L’extension Log Analytics doit être installée sur les groupes de machines virtuelles identiques | 1.0.1 |
| Audit et responsabilité | AU.3.048 | Collecter les informations d’audit (par exemple, les journaux) dans un ou plusieurs dépôts centraux. | Les machines virtuelles doivent être connectées à un espace de travail spécifié | 1.1.0 |
| Audit et responsabilité | AU.3.048 | Collecter les informations d’audit (par exemple, les journaux) dans un ou plusieurs dépôts centraux. | L’extension Log Analytics doit être installée sur les machines virtuelles | 1.0.1 |
| Évaluation de la sécurité | CA.2.158 | Évaluer périodiquement les contrôles de sécurité dans les systèmes d’entreprise afin de déterminer s’ils sont efficaces dans leur application. | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| Évaluation de la sécurité | CA.3.161 | Superviser les contrôles de sécurité de façon continue pour garantir l’efficacité continue des contrôles. | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| Gestion de la configuration | CM.2.061 | Établir et gérer les configurations de référence et les inventaires des systèmes d’entreprise (y compris le matériel, les logiciels, les microprogrammes et la documentation) tout au long de leur cycle de vie de développement système. | Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute | 2.2.0 |
| Gestion de la configuration | CM.2.062 | Utiliser le principe des fonctionnalités minimum en configurant des systèmes d’entreprise de manière à fournir uniquement des fonctionnalités essentielles. | Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Utilisation de privilège » | 3.0.0 |
| Gestion de la configuration | CM.2.063 | Contrôler et superviser les logiciels installés par l’utilisateur. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Contrôle de compte d’utilisateur » | 3.0.0 |
| Gestion de la configuration | CM.2.064 | Établir et appliquer des paramètres de configuration de sécurité pour les produits informatiques utilisés dans les systèmes d’entreprise. | Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | 3.0.0 |
| Gestion de la configuration | CM.2.064 | Établir et appliquer des paramètres de configuration de sécurité pour les produits informatiques utilisés dans les systèmes d’entreprise. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau » | 3.0.0 |
| Gestion de la configuration | CM.2.065 | Suivre, vérifier, approuver ou désapprouver, et journaliser les modifications apportées aux systèmes d’entreprise. | Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Changement de stratégie » | 3.0.0 |
| Gestion de la configuration | CM.3.068 | Limiter, désactiver ou empêcher l’utilisation de programmes, fonctions, ports, protocoles et services non essentiels. | Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | 3.0.0 |
| Gestion de la configuration | CM.3.068 | Limiter, désactiver ou empêcher l’utilisation de programmes, fonctions, ports, protocoles et services non essentiels. | Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| Gestion de la configuration | CM.3.068 | Limiter, désactiver ou empêcher l’utilisation de programmes, fonctions, ports, protocoles et services non essentiels. | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| Gestion de la configuration | CM.3.068 | Limiter, désactiver ou empêcher l’utilisation de programmes, fonctions, ports, protocoles et services non essentiels. | Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| Identification et authentification | IA.1.077 | Authentifier (ou vérifier) les identités des utilisateurs, des processus ou des appareils, comme condition préalable à l’autorisation de l’accès aux systèmes d’information de l’organisation. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | 4.1.0 |
| Identification et authentification | IA.1.077 | Authentifier (ou vérifier) les identités des utilisateurs, des processus ou des appareils, comme condition préalable à l’autorisation de l’accès aux systèmes d’information de l’organisation. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | 4.1.0 |
| Identification et authentification | IA.1.077 | Authentifier (ou vérifier) les identités des utilisateurs, des processus ou des appareils, comme condition préalable à l’autorisation de l’accès aux systèmes d’information de l’organisation. | Auditer les machines Linux qui n’ont pas les autorisations de fichier de mot de passe définies sur 0644 | 3.1.0 |
| Identification et authentification | IA.1.077 | Authentifier (ou vérifier) les identités des utilisateurs, des processus ou des appareils, comme condition préalable à l’autorisation de l’accès aux systèmes d’information de l’organisation. | Auditer les machines Linux qui ont des comptes sans mot de passe | 3.1.0 |
| Identification et authentification | IA.1.077 | Authentifier (ou vérifier) les identités des utilisateurs, des processus ou des appareils, comme condition préalable à l’autorisation de l’accès aux systèmes d’information de l’organisation. | Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | 1.2.0 |
| Identification et authentification | IA.1.077 | Authentifier (ou vérifier) les identités des utilisateurs, des processus ou des appareils, comme condition préalable à l’autorisation de l’accès aux systèmes d’information de l’organisation. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau » | 3.0.0 |
| Identification et authentification | IA.2.078 | Imposer une complexité minimale du mot de passe et un changement de caractères lors de la création de nouveaux mots de passe. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | 4.1.0 |
| Identification et authentification | IA.2.078 | Imposer une complexité minimale du mot de passe et un changement de caractères lors de la création de nouveaux mots de passe. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | 4.1.0 |
| Identification et authentification | IA.2.078 | Imposer une complexité minimale du mot de passe et un changement de caractères lors de la création de nouveaux mots de passe. | Auditer les machines Linux qui ont des comptes sans mot de passe | 3.1.0 |
| Identification et authentification | IA.2.078 | Imposer une complexité minimale du mot de passe et un changement de caractères lors de la création de nouveaux mots de passe. | Auditer les machines Windows qui n’ont pas le paramètre de complexité de mot de passe activé | 2.0.0 |
| Identification et authentification | IA.2.078 | Imposer une complexité minimale du mot de passe et un changement de caractères lors de la création de nouveaux mots de passe. | Auditer les machines Windows qui ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié | 2.1.0 |
| Identification et authentification | IA.2.078 | Imposer une complexité minimale du mot de passe et un changement de caractères lors de la création de nouveaux mots de passe. | Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | 1.2.0 |
| Identification et authentification | IA.2.078 | Imposer une complexité minimale du mot de passe et un changement de caractères lors de la création de nouveaux mots de passe. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau » | 3.0.0 |
| Identification et authentification | IA.2.079 | Interdire la réutilisation du mot de passe pour un nombre spécifié de générations. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | 4.1.0 |
| Identification et authentification | IA.2.079 | Interdire la réutilisation du mot de passe pour un nombre spécifié de générations. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | 4.1.0 |
| Identification et authentification | IA.2.079 | Interdire la réutilisation du mot de passe pour un nombre spécifié de générations. | Auditer les machines Windows qui autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques | 2.1.0 |
| Identification et authentification | IA.2.079 | Interdire la réutilisation du mot de passe pour un nombre spécifié de générations. | Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | 1.2.0 |
| Identification et authentification | IA.2.079 | Interdire la réutilisation du mot de passe pour un nombre spécifié de générations. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau » | 3.0.0 |
| Identification et authentification | IA.2.081 | Stocker et transmettre uniquement les mots de passe protégés par chiffrement. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | 4.1.0 |
| Identification et authentification | IA.2.081 | Stocker et transmettre uniquement les mots de passe protégés par chiffrement. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | 4.1.0 |
| Identification et authentification | IA.2.081 | Stocker et transmettre uniquement les mots de passe protégés par chiffrement. | Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible | 2.0.0 |
| Identification et authentification | IA.2.081 | Stocker et transmettre uniquement les mots de passe protégés par chiffrement. | Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | 1.2.0 |
| Identification et authentification | IA.2.081 | Stocker et transmettre uniquement les mots de passe protégés par chiffrement. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau » | 3.0.0 |
| Identification et authentification | IA.3.084 | Utiliser des mécanismes d’authentification capables d’offrir une protection contre les attaques par rejeu pour l’accès réseau aux comptes privilégiés et non privilégiés. | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| Récupération | RE.2.137 | Exécuter et tester régulièrement des sauvegardes de données. | Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée | 1.0.0 |
| Récupération | RE.2.137 | Exécuter et tester régulièrement des sauvegardes de données. | La sauvegarde Azure doit être activée pour les machines virtuelles | 3.0.0 |
| Récupération | RE.3.139 | Effectuer régulièrement des sauvegardes de données complètes et résilientes, tel que défini par l’organisation. | Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée | 1.0.0 |
| Récupération | RE.3.139 | Effectuer régulièrement des sauvegardes de données complètes et résilientes, tel que défini par l’organisation. | La sauvegarde Azure doit être activée pour les machines virtuelles | 3.0.0 |
| Évaluation des risques | RM.2.141 | Évaluer périodiquement les risques liés aux opérations organisationnelles (notamment la mission, les fonctions, l’image ou la réputation), aux ressources organisationnelles et aux individus, résultant du fonctionnement des systèmes d’entreprise, ainsi que du traitement, du stockage et de la transmission d’informations CUI associés. | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| Évaluation des risques | RM.2.142 | Rechercher régulièrement les vulnérabilités dans les applications et les systèmes de l’organisation et quand de nouvelles vulnérabilités affectant ces systèmes et applications sont identifiées. | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| Évaluation des risques | RM.2.143 | Corriger les vulnérabilités conformément aux évaluations des risques. | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| Évaluation des risques | RM.2.143 | Corriger les vulnérabilités conformément aux évaluations des risques. | Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | 3.1.0 |
| Protection du système et des communications | SC.1.175 | Superviser, contrôler et protéger les communications (c’est-à-dire les informations transmises ou reçues par les systèmes de l’organisation) aux limites externes et aux limites internes clés des systèmes de l’organisation. | Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | 3.0.0 |
| Protection du système et des communications | SC.1.175 | Superviser, contrôler et protéger les communications (c’est-à-dire les informations transmises ou reçues par les systèmes de l’organisation) aux limites externes et aux limites internes clés des systèmes de l’organisation. | Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| Protection du système et des communications | SC.1.175 | Superviser, contrôler et protéger les communications (c’est-à-dire les informations transmises ou reçues par les systèmes de l’organisation) aux limites externes et aux limites internes clés des systèmes de l’organisation. | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| Protection du système et des communications | SC.1.175 | Superviser, contrôler et protéger les communications (c’est-à-dire les informations transmises ou reçues par les systèmes de l’organisation) aux limites externes et aux limites internes clés des systèmes de l’organisation. | Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| Protection du système et des communications | SC.1.175 | Superviser, contrôler et protéger les communications (c’est-à-dire les informations transmises ou reçues par les systèmes de l’organisation) aux limites externes et aux limites internes clés des systèmes de l’organisation. | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| Protection du système et des communications | SC.1.175 | Superviser, contrôler et protéger les communications (c’est-à-dire les informations transmises ou reçues par les systèmes de l’organisation) aux limites externes et aux limites internes clés des systèmes de l’organisation. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Accès réseau » | 3.0.0 |
| Protection du système et des communications | SC.1.175 | Superviser, contrôler et protéger les communications (c’est-à-dire les informations transmises ou reçues par les systèmes de l’organisation) aux limites externes et aux limites internes clés des systèmes de l’organisation. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau » | 3.0.0 |
| Protection du système et des communications | SC.1.176 | Implémenter des sous-réseaux pour les composants système accessibles publiquement qui sont physiquement ou logiquement séparés des réseaux internes. | Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | 3.0.0 |
| Protection du système et des communications | SC.1.176 | Implémenter des sous-réseaux pour les composants système accessibles publiquement qui sont physiquement ou logiquement séparés des réseaux internes. | Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| Protection du système et des communications | SC.2.179 | Utiliser des sessions chiffrées pour la gestion des périphériques réseau. | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| Protection du système et des communications | SC.3.177 | Utiliser le chiffrement validé FIPS quand il est utilisé pour protéger la confidentialité d’informations CUI. | Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible | 2.0.0 |
| Protection du système et des communications | SC.3.181 | Séparer les fonctionnalités utilisateur des fonctionnalités de gestion du système. | Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs | 2.0.0 |
| Protection du système et des communications | SC.3.183 | Refuser le trafic des communications réseau par défaut et autoriser le trafic des communications réseau par exception (c’est-à-dire, tout refuser, autoriser par exception). | Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | 3.0.0 |
| Protection du système et des communications | SC.3.183 | Refuser le trafic des communications réseau par défaut et autoriser le trafic des communications réseau par exception (c’est-à-dire, tout refuser, autoriser par exception). | Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| Protection du système et des communications | SC.3.183 | Refuser le trafic des communications réseau par défaut et autoriser le trafic des communications réseau par exception (c’est-à-dire, tout refuser, autoriser par exception). | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| Protection du système et des communications | SC.3.183 | Refuser le trafic des communications réseau par défaut et autoriser le trafic des communications réseau par exception (c’est-à-dire, tout refuser, autoriser par exception). | Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| Protection du système et des communications | SC.3.183 | Refuser le trafic des communications réseau par défaut et autoriser le trafic des communications réseau par exception (c’est-à-dire, tout refuser, autoriser par exception). | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Accès réseau » | 3.0.0 |
| Protection du système et des communications | SC.3.183 | Refuser le trafic des communications réseau par défaut et autoriser le trafic des communications réseau par exception (c’est-à-dire, tout refuser, autoriser par exception). | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau » | 3.0.0 |
| Protection du système et des communications | SC.3.185 | Implémenter des mécanismes de chiffrement pour empêcher toute divulgation non autorisée de CUI pendant la transmission, sauf en cas de protection par d’autres dispositifs de protection physique. | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| Protection du système et des communications | SC.3.190 | Protéger l’authenticité des sessions de communication. | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| Intégrité du système et des informations | SI.1.210 | Identifier, signaler et corriger les failles des systèmes d’information en temps voulu. | Microsoft Antimalware pour Azure doit être configuré pour mettre à jour automatiquement les signatures de protection | 1.0.0 |
| Intégrité du système et des informations | SI.1.210 | Identifier, signaler et corriger les failles des systèmes d’information en temps voulu. | Les mises à jour système sur les groupes de machines virtuelles identiques doivent être installées | 3.0.0 |
| Intégrité du système et des informations | SI.1.210 | Identifier, signaler et corriger les failles des systèmes d’information en temps voulu. | Les mises à jour système doivent être installées sur vos machines | 4.0.0 |
| Intégrité du système et des informations | SI.1.210 | Identifier, signaler et corriger les failles des systèmes d’information en temps voulu. | Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | 3.1.0 |
| Intégrité du système et des informations | SI.1.211 | Assurer une protection contre le code malveillant aux emplacements appropriés au sein des systèmes d’information de l’organisation. | Microsoft Antimalware pour Azure doit être configuré pour mettre à jour automatiquement les signatures de protection | 1.0.0 |
| Intégrité du système et des informations | SI.1.211 | Assurer une protection contre le code malveillant aux emplacements appropriés au sein des systèmes d’information de l’organisation. | L’extension Microsoft IaaSAntimalware doit être déployée sur des serveurs Windows | 1.1.0 |
| Intégrité du système et des informations | SI.1.212 | Mettre à jour les mécanismes de protection contre le code malveillant lorsque de nouvelles versions sont disponibles. | Microsoft Antimalware pour Azure doit être configuré pour mettre à jour automatiquement les signatures de protection | 1.0.0 |
| Intégrité du système et des informations | SI.1.213 | Effectuer des analyses périodiques du système d’information et des analyses en temps réel des fichiers à partir de sources externes, à mesure que les fichiers sont téléchargés, ouverts ou exécutés. | Microsoft Antimalware pour Azure doit être configuré pour mettre à jour automatiquement les signatures de protection | 1.0.0 |
| Intégrité du système et des informations | SI.1.213 | Effectuer des analyses périodiques du système d’information et des analyses en temps réel des fichiers à partir de sources externes, à mesure que les fichiers sont téléchargés, ouverts ou exécutés. | L’extension Microsoft IaaSAntimalware doit être déployée sur des serveurs Windows | 1.1.0 |
FedRAMP Niveau élevé
Pour voir le mappage entre les composants intégrés Azure Policy disponibles pour tous les services Azure et cette norme de conformité, consultez Conformité réglementaire d’Azure Policy – FedRAMP High. Pour plus d’informations sur cette norme de conformité, consultez FedRAMP High.
FedRAMP Niveau modéré
Pour voir le mappage entre les composants intégrés Azure Policy disponibles pour tous les services Azure et cette norme de conformité, consultez Conformité réglementaire d’Azure Policy – FedRAMP Moderate. Pour plus d’informations sur cette norme de conformité, consultez FedRAMP Moderate.
HIPAA HITRUST 9.2
Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure correspondent à ce standard de conformité, consultez Conformité réglementaire Azure Policy – HIPAA HITRUST 9.2. Pour plus d’informations sur cette norme de conformité, consultez HIPAA HITRUST 9.2.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Identification et authentification des utilisateurs | 11210.01q2Organizational.10 - 01.q | Les signatures électroniques et les signatures manuscrites exécutées pour les enregistrements électroniques doivent être liées à leurs enregistrements électroniques respectifs. | Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs | 2.0.0 |
| Identification et authentification des utilisateurs | 11211.01q2Organizational.11 - 01.q | Les enregistrements électroniques signés doivent contenir des informations associées à la signature dans un format lisible par l’homme. | Auditer les machines Windows qui ont un ou plusieurs membres spécifiés manquants dans le groupe Administrateurs | 2.0.0 |
| 02 Protection du point de terminaison | 0201.09j1Organizational.124-09 - 09.j | 0201.09j1Organisationnel.124-09.j 09.04 Protection contre le code malveillant et mobile | Déployer l’extension Microsoft IaaSAntimalware par défaut pour Windows Server | 1.1.0 |
| 02 Protection du point de terminaison | 0201.09j1Organizational.124-09 - 09.j | 0201.09j1Organisationnel.124-09.j 09.04 Protection contre le code malveillant et mobile | Microsoft Antimalware pour Azure doit être configuré pour mettre à jour automatiquement les signatures de protection | 1.0.0 |
| 02 Protection du point de terminaison | 0201.09j1Organizational.124-09 - 09.j | 0201.09j1Organisationnel.124-09.j 09.04 Protection contre le code malveillant et mobile | Les mises à jour système doivent être installées sur vos machines | 4.0.0 |
| 06 Gestion de la configuration | 0605.10h1System.12-10.h | 0605.10h1Système.12-10.h 10.04 Sécurité des fichiers système | Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | 3.1.0 |
| 06 Gestion de la configuration | 0605.10h1System.12-10.h | 0605.10h1Système.12-10.h 10.04 Sécurité des fichiers système | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Audit » | 3.0.0 |
| 06 Gestion de la configuration | 0605.10h1System.12-10.h | 0605.10h1Système.12-10.h 10.04 Sécurité des fichiers système | Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Gestion de compte » | 3.0.0 |
| 06 Gestion de la configuration | 0635.10k1Organizational.12-10.k | 0635.10k1Organisationnel.12-10.k 10.05 Sécurité dans les processus de développement et de support | Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » | 3.0.0 |
| 06 Gestion de la configuration | 0636.10k2Organizational.1-10.k | 0636.10k2Organisationnel.1-10.k 10.05 Sécurité dans les processus de développement et de support | Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » | 3.0.0 |
| 06 Gestion de la configuration | 0637.10k2Organizational.2-10.k | 0637.10k2Organisationnel.2-10.k 10.05 Sécurité dans les processus de développement et de support | Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » | 3.0.0 |
| 06 Gestion de la configuration | 0638.10k2Organizational.34569-10.k | 0638.10k2Organisationnel.34569-10.k 10.05 Sécurité dans les processus de développement et de support | Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » | 3.0.0 |
| 06 Gestion de la configuration | 0639.10k2Organizational.78-10.k | 0639.10k2Organisationnel.78-10.k 10.05 Sécurité dans les processus de développement et de support | Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » | 3.0.0 |
| 06 Gestion de la configuration | 0640.10k2Organizational.1012-10.k | 0640.10k2Organisationnel.1012-10.k 10.05 Sécurité dans les processus de développement et de support | Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » | 3.0.0 |
| 06 Gestion de la configuration | 0641.10k2Organizational.11-10.k | 0641.10k2Organisationnel.11-10.k 10.05 Sécurité dans les processus de développement et de support | Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » | 3.0.0 |
| 06 Gestion de la configuration | 0642.10k3Organizational.12-10.k | 0642.10k3Organisationnel.12-10.k 10.05 Sécurité dans les processus de développement et de support | Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » | 3.0.0 |
| 06 Gestion de la configuration | 0643.10k3Organizational.3-10.k | 0643.10k3Organisationnel.3-10.k 10.05 Sécurité dans les processus de développement et de support | Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » | 3.0.0 |
| 06 Gestion de la configuration | 0644.10k3Organizational.4-10.k | 0644.10k3Organisationnel.4-10.k 10.05 Sécurité dans les processus de développement et de support | Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » | 3.0.0 |
| 07 Gestion des vulnérabilités | 0709.10m1Organizational.1-10.m | 0709.10m1Organisationnel.1-10.m 10.06 Gestion technique des vulnérabilités | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| 07 Gestion des vulnérabilités | 0709.10m1Organizational.1-10.m | 0709.10m1Organisationnel.1-10.m 10.06 Gestion technique des vulnérabilités | Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | 3.1.0 |
| 07 Gestion des vulnérabilités | 0709.10m1Organizational.1-10.m | 0709.10m1Organisationnel.1-10.m 10.06 Gestion technique des vulnérabilités | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Serveur réseau Microsoft » | 3.0.0 |
| 07 Gestion des vulnérabilités | 0711.10m2Organizational.23-10 - 10.m | 0711.10m2Organisationnel.23-10.m 10.06 Gestion technique des vulnérabilités | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| 07 Gestion des vulnérabilités | 0713.10m2Organizational.5-10 - 10.m | 0713.10m2Organisationnel.5-10.m 10.06 Gestion technique des vulnérabilités | Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | 3.1.0 |
| 07 Gestion des vulnérabilités | 0718.10m3Organizational.34-10-10.m | 0718.10m3Organisationnel.34-10.m 10.06 Gestion technique des vulnérabilités | Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | 3.1.0 |
| 08 Protection réseau | 0805.01m1Organizational.12-01.m | 0805.01m1Organisationnel.12-01.m 01.04 Access Control réseau | Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| 08 Protection réseau | 0806.01m2Organizational.12356-01.m | 0806.01m2Organisationnel.12356-01.m 01.04 Access Control réseau | Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| 08 Protection réseau | 0809.01n2Organizational.1234-01.n | 0809.01n2Organisationnel.1234-01.n 01.04 Access Control réseau | Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| 08 Protection réseau | 0810.01n2Organizational.5-01.n | 0810.01n2Organisationnel.5-01.n 01.04 Access Control réseau | Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| 08 Protection réseau | 0811.01n2Organizational.6-01.n | 0811.01n2Organisationnel.6-01.n 01.04 Access Control réseau | Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| 08 Protection réseau | 0812.01n2Organizational.8-01.n | 0812.01n2Organisationnel.8-01.n 01.04 Access Control réseau | Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| 08 Protection réseau | 0814.01n1Organizational.12-01.n | 0814.01n1Organisationnel.12-01.n 01.04 Access Control réseau | Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| 08 Protection réseau | 0835.09n1Organizational.1-09 - 09.n | 0835.09n1Organisationnel.1-09.n 09.06 Gestion de la sécurité réseau | [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | 1.0.2-preview |
| 08 Protection réseau | 0835.09n1Organizational.1-09 - 09.n | 0835.09n1Organisationnel.1-09.n 09.06 Gestion de la sécurité réseau | Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager | 1.0.0 |
| 08 Protection réseau | 0836.09.n2Organizational.1-09 - 09.n | 0836.09.n2Organisationnel.1-09.n 09.06 Gestion de la sécurité réseau | [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | 1.0.2-preview |
| 08 Protection réseau | 0858.09m1Organizational.4-09.m | 0858.09m1Organisationnel.4-09.m 09.06 Gestion de la sécurité réseau | Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | 3.0.0 |
| 08 Protection réseau | 0858.09m1Organizational.4-09.m | 0858.09m1Organisationnel.4-09.m 09.06 Gestion de la sécurité réseau | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| 08 Protection réseau | 0858.09m1Organizational.4-09.m | 0858.09m1Organisationnel.4-09.m 09.06 Gestion de la sécurité réseau | Les machines Windows doivent répondre aux exigences de « Propriétés de pare-feu Windows » | 3.0.0 |
| 08 Protection réseau | 0861.09m2Organizational.67-09.m | 0861.09m2Organisationnel.67-09.m 09.06 Gestion de la sécurité réseau | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Accès réseau » | 3.0.0 |
| 08 Protection réseau | 0885.09n2Organizational.3-09 - 09.n | 0885.09n2Organisationnel.3-09.n 09.06 Gestion de la sécurité réseau | [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | 1.0.2-preview |
| 08 Protection réseau | 0887.09n2Organizational.5-09 - 09.n | 0887.09n2Organisationnel.5-09.n 09.06 Gestion de la sécurité réseau | [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | 1.0.2-preview |
| 08 Protection réseau | 0894.01m2Organizational.7-01.m | 0894.01m2Organisationnel.7-01.m 01.04 Access Control réseau | Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| Sauvegarde | 1699.09l1Organizational.10 - 09.l | Les rôles et les responsabilités des membres du personnel dans le processus de sauvegarde des données sont identifiés et communiqués au personnel ; en particulier, les utilisateurs BYOD (Bring Your Own Device) sont tenus d’effectuer des sauvegardes des données organisationnelles et/ou clientes sur leurs appareils. | La sauvegarde Azure doit être activée pour les machines virtuelles | 3.0.0 |
| 09 Protection de transmission | 0945.09y1Organizational.3-09.y | 0945.09y1Organisationnel.3-09.y 09.09 Services de commerce électronique | Auditer les machines Windows qui ne contiennent pas les certificats spécifiés dans la racine de confiance | 3.0.0 |
| 11 Contrôle d’accès | 11180.01c3System.6-01 - 01.c | 11180.01c3Système.6-01.c 01.02 Accès autorisé aux systèmes d’information | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| 11 Contrôle d’accès | 1119.01j2Organizational.3-01 - 01.j | 1119.01j2Organisationnel.3-01.j 01.04 Access Control réseau | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| 11 Contrôle d’accès | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 Contrôle d’accès aux systèmes d’exploitation | Auditer les machines Windows qui ont des comptes supplémentaires dans le groupe Administrateurs | 2.0.0 |
| 11 Contrôle d’accès | 1125.01q2System.1-01.q | 1125.01q2System.1-01.q 01.05 Contrôle d’accès aux systèmes d’exploitation | Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs | 2.0.0 |
| 11 Contrôle d’accès | 1127.01q2System.3-01.q | 1127.01q2System.3-01.q 01.05 Contrôle d’accès aux systèmes d’exploitation | Auditer les machines Windows qui ont un ou plusieurs membres spécifiés manquants dans le groupe Administrateurs | 2.0.0 |
| 11 Contrôle d’accès | 1143.01c1System.123-01.c | 1143.01c1Système.123-01.c 01.02 Accès autorisé aux systèmes d’information | Les ports de gestion doivent être fermés sur vos machines virtuelles | 3.0.0 |
| 11 Contrôle d’accès | 1148.01c2System.78-01.c | 1148.01c2Système.78-01.c 01.02 Accès autorisé aux systèmes d’information | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Comptes » | 3.0.0 |
| 11 Contrôle d’accès | 1150.01c2System.10-01 - 01.c | 1150.01c2Système.10-01.c 01.02 Accès autorisé aux systèmes d’information | Les ports de gestion doivent être fermés sur vos machines virtuelles | 3.0.0 |
| 11 Contrôle d’accès | 1175.01j1Organizational.8-01 - 01.j | 1175.01j1Organisationnel.8-01.j 01.04 Access Control réseau | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| 11 Contrôle d’accès | 1179.01j3Organizational.1-01 - 01.j | 1179.01j3Organisationnel.1-01.j 01.04 Access Control réseau | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| 11 Contrôle d’accès | 1192.01l1Organizational.1-01 - 01.l | 1192.01l1Organisationnel.1-01.l 01.04 Access Control réseau | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| 11 Contrôle d’accès | 1193.01l2Organizational.13-01 - 01.l | 1193.01l2Organisationnel.13-01.l 01.04 Access Control réseau | Les ports de gestion doivent être fermés sur vos machines virtuelles | 3.0.0 |
| 12 Journalisation d’audit & Supervision | 1202.09aa1System.1-09.aa | 1202.09aa1Système.1-09.aa 09.10 Analyse | Les mises à jour système sur les groupes de machines virtuelles identiques doivent être installées | 3.0.0 |
| 12 Journalisation d’audit & Supervision | 12100.09ab2System.15-09.ab | 12100.09ab2Système.15-09.ab 09.10 Analyse | L’extension Log Analytics doit être installée sur les machines virtuelles | 1.0.1 |
| 12 Journalisation d’audit & Supervision | 12101.09ab1Organizational.3-09 - 09.ab | 12101.09ab1Organisationnel.3-09.ab 09.10 Analyse | L’extension Log Analytics doit être installée sur les groupes de machines virtuelles identiques | 1.0.1 |
| 12 Journalisation d’audit & Supervision | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organisationnel.4-09.ab 09.10 Analyse | Auditer les machines Windows sur lesquelles l’agent Log Analytics n’est pas connecté comme prévu | 2.0.0 |
| 12 Journalisation d’audit & Supervision | 1215.09ab2System.7-09.ab | 1215.09ab2Système.7-09.ab 09.10 Analyse | L’extension Log Analytics doit être installée sur les machines virtuelles | 1.0.1 |
| 12 Journalisation d’audit & Supervision | 1216.09ab3System.12-09.ab | 1216.09ab3Système.12-09.ab 09.10 Analyse | L’extension Log Analytics doit être installée sur les groupes de machines virtuelles identiques | 1.0.1 |
| 12 Journalisation d’audit & Supervision | 1217.09ab3System.3-09.ab | 1217.09ab3Système.3-09.ab 09.10 Analyse | Auditer les machines Windows sur lesquelles l’agent Log Analytics n’est pas connecté comme prévu | 2.0.0 |
| 12 Journalisation d’audit & Supervision | 1232.09c3Organizational.12-09.c | 1232.09c3ysOrganisationnel.12-09.c 09.01 Procédures d’exploitation documentées | Les machines Windows doivent répondre aux exigences de « Attribution de droits de l’utilisateur » | 3.0.0 |
| 12 Journalisation d’audit & Supervision | 1277.09c2Organizational.4-09.c | 1277.09c2Organisationnel.4-09.c 09.01 Procédures d’exploitation documentées | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Contrôle de compte d’utilisateur » | 3.0.0 |
| 16 Continuité d’activité et reprise d’activité | 1620.09l1Organizational.8-09 - 09.l | 1620.09l1Organisationnel.8-09.l 09.05 Sauvegarde d’informations | La sauvegarde Azure doit être activée pour les machines virtuelles | 3.0.0 |
| 16 Continuité d’activité et reprise d’activité | 1625.09l3Organizational.34-09 - 09.l | 1625.09l3Organisationnel.34-09.l 09.05 Sauvegarde d’informations | La sauvegarde Azure doit être activée pour les machines virtuelles | 3.0.0 |
| 16 Continuité d’activité et reprise d’activité | 1634.12b1Organizational.1-12 - 12.b | 1634.12b1Organisationnel.1-12.b 12.01 Aspects de la sécurité des informations de la gestion de la continuité des activités | Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée | 1.0.0 |
| 16 Continuité d’activité et reprise d’activité | 1637.12b2Organizational.2-12.b | 1637.12b2Organisationnel.2-12.b 12.01 Aspects de la sécurité des informations de la gestion de la continuité des activités | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Console de récupération » | 3.0.0 |
| 16 Continuité d’activité et reprise d’activité | 1638.12b2Organizational.345-12 - 12.b | 1638.12b2Organisationnel.345-12.b 12.01 Aspects de la sécurité des informations de la gestion de la continuité des activités | Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée | 1.0.0 |
IRS 1075 septembre 2016
Pour voir comment les composants intégrés Azure Policy disponibles de tous les services Azure répondent à cette norme de conformité, consultez Conformité réglementaire Azure Policy – IRS 1075 septembre 2016. Pour plus d’informations sur cette norme de conformité, consultez IRS 1075 septembre 2016.
ISO 27001:2013
Pour voir comment les composants intégrés Azure Policy disponibles de tous les services Azure répondent à cette norme de conformité, consultez Conformité réglementaire Azure Policy – ISO 27001:2013. Pour plus d’informations sur cette norme de conformité, consultez ISO 27001:2013.
Stratégies confidentielles de référence Microsoft Cloud for Sovereignty
Pour savoir dans quelle mesure les intégrations Azure Policy disponibles pour tous les services Azure correspondent à cette norme de conformité, consultez les détails de la conformité réglementaire d’Azure Policy pour les stratégies confidentielles de référence Microsoft Cloud for Sovereignty. Pour plus d’informations sur cette norme de conformité, consultez Portefeuille stratégique Microsoft Cloud for Sovereignty.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| SO.3 – Clés gérées par le client | SO.3 | Vous devez configurer les produits Azure pour utiliser des clés gérées par le client, le cas échéant. | Les disques managés doivent être doublement chiffrés avec des clés gérées par la plateforme et des clés gérées par le client | 1.0.0 |
| SO.4 – Informatique confidentielle Azure | SO.4 | Vous devez configurer les produits Azure pour utiliser des SKU Informatique confidentielle Azure, le cas échéant. | Références SKU des tailles de machine virtuelle autorisées | 1.0.1 |
Stratégies globales de référence Microsoft Cloud for Sovereignty
Pour savoir dans quelle mesure les intégrations Azure Policy disponibles pour tous les services Azure correspondent à cette norme de conformité, consultez les détails de la conformité réglementaire d’Azure Policy pour les stratégies globales de référence Microsoft Cloud for Sovereignty. Pour plus d’informations sur cette norme de conformité, consultez Portefeuille stratégique Microsoft Cloud for Sovereignty.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| SO.5 - Lancement fiable | SO.5 | Les machines virtuelles doivent être configurées avec des références SKU de lancement fiable et le lancement fiable activé lorsque cela est possible. | Les disques et image de système d’exploitation doivent prendre en charge TrustedLaunch | 1.0.0 |
| SO.5 - Lancement fiable | SO.5 | Les machines virtuelles doivent être configurées avec des références SKU de lancement fiable et le lancement fiable activé lorsque cela est possible. | TrustedLaunch doit être activé sur une machine virtuelle | 1.0.0 |
Benchmark de sécurité cloud Microsoft
Le point de référence de sécurité du cloud Microsoft fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Pour voir comment ce service correspond totalement au point de référence de sécurité du cloud Microsoft, consultez les fichiers de correspondance Azure Security Benchmark.
Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure correspondent à cette norme de conformité, consultez l’article Conformité réglementaire Azure Policy – Point de référence de sécurité du cloud Microsoft.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Sécurité réseau | NS-1 | Établir des limites de segmentation réseau | Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | 3.0.0 |
| Sécurité réseau | NS-1 | Établir des limites de segmentation réseau | Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| Sécurité réseau | NS-1 | Établir des limites de segmentation réseau | Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| Sécurité réseau | NS-3 | Déployer le pare-feu à la périphérie du réseau d’entreprise | Le transfert IP doit être désactivé sur votre machine virtuelle | 3.0.0 |
| Sécurité réseau | NS-3 | Déployer le pare-feu à la périphérie du réseau d’entreprise | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| Sécurité réseau | NS-3 | Déployer le pare-feu à la périphérie du réseau d’entreprise | Les ports de gestion doivent être fermés sur vos machines virtuelles | 3.0.0 |
| Gestion des identités | IM-3 | Gérer les identités d’application de façon sécurisée et automatique | L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | 1.0.1 |
| Gestion des identités | IM-6 | Utiliser des contrôles d’authentification renforcés | L’authentification auprès des machines Linux doit exiger des clés SSH | 3.2.0 |
| Gestion des identités | IM-8 | Restreindre l’exposition des informations d’identification et des secrets | Les machines doivent avoir des résultats du secret résolus | 1.0.2 |
| Accès privilégié | PA-2 | Éviter l’accès permanent aux comptes et autorisations | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| Protection des données | DP-3 | Chiffrer les données sensibles en transit | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| Protection des données | DP-4 | Activer le chiffrement des données au repos par défaut | Les machines virtuelles Linux doivent activer Azure Disk Encryption ou EncryptionAtHost. | 1.2.1 |
| Protection des données | DP-4 | Activer le chiffrement des données au repos par défaut | Les machines virtuelles et les groupes de machines virtuelles identiques doivent avoir le chiffrement sur l’hôte activé | 1.0.0 |
| Protection des données | DP-4 | Activer le chiffrement des données au repos par défaut | Les machines virtuelles Windows doivent activer Azure Disk Encryption ou EncryptionAtHost. | 1.1.1 |
| Gestion des actifs | AM-2 | Utiliser uniquement des services approuvés | Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager | 1.0.0 |
| Journalisation et détection des menaces | LT-1 | Activer les fonctionnalités de détection des menaces | Windows Defender Exploit Guard doit être activé sur vos machines | 2.0.0 |
| Journalisation et détection des menaces | LT-2 | Activer la détection des menaces pour la gestion des identités et des accès | Windows Defender Exploit Guard doit être activé sur vos machines | 2.0.0 |
| Journalisation et détection des menaces | LT-4 | Activer la journalisation réseau pour l’examen de sécurité | [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | 1.0.2-preview |
| Journalisation et détection des menaces | LT-4 | Activer la journalisation réseau pour l’examen de sécurité | [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | 1.0.2-preview |
| Gestion de la posture et des vulnérabilités | PV-4 | Auditer et appliquer des configurations sécurisées pour les ressources de calcul | [Préversion] : L’extension Attestation d’invité doit être installée sur les machines virtuelles Linux prises en charge | 6.0.0-preview |
| Gestion de la posture et des vulnérabilités | PV-4 | Auditer et appliquer des configurations sécurisées pour les ressources de calcul | [Préversion] : L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Linux prises en charge | 5.1.0-preview |
| Gestion de la posture et des vulnérabilités | PV-4 | Auditer et appliquer des configurations sécurisées pour les ressources de calcul | [Préversion] : L’extension Attestation d’invité doit être installée sur les machines virtuelles Windows prises en charge | 4.0.0-preview |
| Gestion de la posture et des vulnérabilités | PV-4 | Auditer et appliquer des configurations sécurisées pour les ressources de calcul | [Préversion] : L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Windows prises en charge | 3.1.0-preview |
| Gestion de la posture et des vulnérabilités | PV-4 | Auditer et appliquer des configurations sécurisées pour les ressources de calcul | [Préversion] : les machines virtuelles Linux doivent utiliser uniquement des composants de démarrage signés et approuvés | 1.0.0-preview |
| Gestion de la posture et des vulnérabilités | PV-4 | Auditer et appliquer des configurations sécurisées pour les ressources de calcul | [Préversion] : Le démarrage sécurisé doit être activé sur les machines virtuelles Windows prises en charge | 4.0.0-preview |
| Gestion de la posture et des vulnérabilités | PV-4 | Auditer et appliquer des configurations sécurisées pour les ressources de calcul | [Préversion] : vTPM doit être activé sur les machines virtuelles prises en charge | 2.0.0-preview |
| Gestion de la posture et des vulnérabilités | PV-4 | Auditer et appliquer des configurations sécurisées pour les ressources de calcul | L’extension Guest Configuration doit être installée sur vos machines | 1.0.3 |
| Gestion de la posture et des vulnérabilités | PV-4 | Auditer et appliquer des configurations sécurisées pour les ressources de calcul | Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute | 2.2.0 |
| Gestion de la posture et des vulnérabilités | PV-4 | Auditer et appliquer des configurations sécurisées pour les ressources de calcul | L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | 1.0.1 |
| Gestion de la posture et des vulnérabilités | PV-4 | Auditer et appliquer des configurations sécurisées pour les ressources de calcul | Les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute | 2.0.0 |
| Gestion de la posture et des vulnérabilités | PV-5 | Effectuer des évaluations des vulnérabilités | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| Gestion de la posture et des vulnérabilités | PV-5 | Effectuer des évaluations des vulnérabilités | Les machines doivent avoir des résultats du secret résolus | 1.0.2 |
| Gestion de la posture et des vulnérabilités | PV-6 | Corriger rapidement et automatiquement les vulnérabilités | Les machines doivent être configurées pour rechercher régulièrement les mises à jour système manquantes | 3.7.0 |
| Gestion de la posture et des vulnérabilités | PV-6 | Corriger rapidement et automatiquement les vulnérabilités | Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus | 1.0.0 |
| Gestion de la posture et des vulnérabilités | PV-6 | Corriger rapidement et automatiquement les vulnérabilités | Les mises à jour système sur les groupes de machines virtuelles identiques doivent être installées | 3.0.0 |
| Gestion de la posture et des vulnérabilités | PV-6 | Corriger rapidement et automatiquement les vulnérabilités | Les mises à jour système doivent être installées sur vos machines | 4.0.0 |
| Gestion de la posture et des vulnérabilités | PV-6 | Corriger rapidement et automatiquement les vulnérabilités | Les mises à jour système doivent être installées sur vos machines (avec le Centre des mises à jour) | 1.0.1 |
| Gestion de la posture et des vulnérabilités | PV-6 | Corriger rapidement et automatiquement les vulnérabilités | Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | 3.1.0 |
| Sécurité des points de terminaison | ES-2 | Utiliser un logiciel anti-programme malveillant moderne | Windows Defender Exploit Guard doit être activé sur vos machines | 2.0.0 |
| Sauvegarde et récupération | BR-1 | Garantir des sauvegardes automatiques régulières | La sauvegarde Azure doit être activée pour les machines virtuelles | 3.0.0 |
| Sauvegarde et récupération | BR-2 | Protéger les données de sauvegarde et de récupération | La sauvegarde Azure doit être activée pour les machines virtuelles | 3.0.0 |
NIST SP 800-171 R2
Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure correspondent à ce standard de conformité, consultez Conformité réglementaire Azure Policy – NIST SP 800-171 R2. Pour plus d’informations sur cette norme de conformité, consultez NIST SP 800-171 R2.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Contrôle d’accès | 3.1.1 | Limiter l’accès système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes). | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | 4.1.0 |
| Contrôle d’accès | 3.1.1 | Limiter l’accès système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes). | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | 4.1.0 |
| Contrôle d’accès | 3.1.1 | Limiter l’accès système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes). | Auditer les machines Linux qui autorisent les connexions à distance à partir de comptes sans mot de passe | 3.1.0 |
| Contrôle d’accès | 3.1.1 | Limiter l’accès système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes). | Auditer les machines Linux qui ont des comptes sans mot de passe | 3.1.0 |
| Contrôle d’accès | 3.1.1 | Limiter l’accès système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes). | L’authentification auprès des machines Linux doit exiger des clés SSH | 3.2.0 |
| Contrôle d’accès | 3.1.1 | Limiter l’accès système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes). | Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux | 3.1.0 |
| Contrôle d’accès | 3.1.1 | Limiter l’accès système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes). | Les ressources d’accès au disque doivent utiliser une liaison privée | 1.0.0 |
| Contrôle d’accès | 3.1.1 | Limiter l’accès système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes). | Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager | 1.0.0 |
| Contrôle d’accès | 3.1.12 | Superviser et contrôler les sessions d’accès à distance. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | 4.1.0 |
| Contrôle d’accès | 3.1.12 | Superviser et contrôler les sessions d’accès à distance. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | 4.1.0 |
| Contrôle d’accès | 3.1.12 | Superviser et contrôler les sessions d’accès à distance. | Auditer les machines Linux qui autorisent les connexions à distance à partir de comptes sans mot de passe | 3.1.0 |
| Contrôle d’accès | 3.1.12 | Superviser et contrôler les sessions d’accès à distance. | Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux | 3.1.0 |
| Contrôle d’accès | 3.1.12 | Superviser et contrôler les sessions d’accès à distance. | Les ressources d’accès au disque doivent utiliser une liaison privée | 1.0.0 |
| Contrôle d’accès | 3.1.13 | Utilisez des mécanismes de chiffrement pour protéger la confidentialité des sessions d’accès à distance. | Les ressources d’accès au disque doivent utiliser une liaison privée | 1.0.0 |
| Contrôle d’accès | 3.1.14 | Router l’accès à distance via des points de contrôle d’accès managés. | Les ressources d’accès au disque doivent utiliser une liaison privée | 1.0.0 |
| Contrôle d’accès | 3.1.2 | Restreindre l’accès du système aux types de transactions et de fonctions que seuls les utilisateurs autorisés peuvent exécuter. | Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager | 1.0.0 |
| Contrôle d’accès | 3.1.3 | Contrôler le flux de CUI conformément aux autorisations approuvées. | Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | 3.0.0 |
| Contrôle d’accès | 3.1.3 | Contrôler le flux de CUI conformément aux autorisations approuvées. | Les ressources d’accès au disque doivent utiliser une liaison privée | 1.0.0 |
| Contrôle d’accès | 3.1.3 | Contrôler le flux de CUI conformément aux autorisations approuvées. | Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| Contrôle d’accès | 3.1.3 | Contrôler le flux de CUI conformément aux autorisations approuvées. | Le transfert IP doit être désactivé sur votre machine virtuelle | 3.0.0 |
| Contrôle d’accès | 3.1.3 | Contrôler le flux de CUI conformément aux autorisations approuvées. | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| Contrôle d’accès | 3.1.3 | Contrôler le flux de CUI conformément aux autorisations approuvées. | Les ports de gestion doivent être fermés sur vos machines virtuelles | 3.0.0 |
| Contrôle d’accès | 3.1.3 | Contrôler le flux de CUI conformément aux autorisations approuvées. | Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| Contrôle d’accès | 3.1.4 | Séparer les tâches des individus pour réduire le risque d’activité malveillante sans collusion. | Auditer les machines Windows qui ont un ou plusieurs membres spécifiés manquants dans le groupe Administrateurs | 2.0.0 |
| Contrôle d’accès | 3.1.4 | Séparer les tâches des individus pour réduire le risque d’activité malveillante sans collusion. | Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs | 2.0.0 |
| Évaluation des risques | 3.11.2 | Rechercher régulièrement les vulnérabilités dans les applications et les systèmes de l’organisation et quand de nouvelles vulnérabilités affectant ces systèmes et applications sont identifiées. | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| Évaluation des risques | 3.11.2 | Rechercher régulièrement les vulnérabilités dans les applications et les systèmes de l’organisation et quand de nouvelles vulnérabilités affectant ces systèmes et applications sont identifiées. | Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus | 1.0.0 |
| Évaluation des risques | 3.11.2 | Rechercher régulièrement les vulnérabilités dans les applications et les systèmes de l’organisation et quand de nouvelles vulnérabilités affectant ces systèmes et applications sont identifiées. | Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | 3.1.0 |
| Évaluation des risques | 3.11.3 | Corriger les vulnérabilités conformément aux évaluations des risques. | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| Évaluation des risques | 3.11.3 | Corriger les vulnérabilités conformément aux évaluations des risques. | Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus | 1.0.0 |
| Évaluation des risques | 3.11.3 | Corriger les vulnérabilités conformément aux évaluations des risques. | Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | 3.1.0 |
| Protection du système et des communications | 3.13.1 | Superviser, contrôler et protéger les communications (c’est-à-dire les informations transmises ou reçues par les systèmes de l’organisation) aux limites externes et aux limites internes clés des systèmes de l’organisation. | Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | 3.0.0 |
| Protection du système et des communications | 3.13.1 | Superviser, contrôler et protéger les communications (c’est-à-dire les informations transmises ou reçues par les systèmes de l’organisation) aux limites externes et aux limites internes clés des systèmes de l’organisation. | Les ressources d’accès au disque doivent utiliser une liaison privée | 1.0.0 |
| Protection du système et des communications | 3.13.1 | Superviser, contrôler et protéger les communications (c’est-à-dire les informations transmises ou reçues par les systèmes de l’organisation) aux limites externes et aux limites internes clés des systèmes de l’organisation. | Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| Protection du système et des communications | 3.13.1 | Superviser, contrôler et protéger les communications (c’est-à-dire les informations transmises ou reçues par les systèmes de l’organisation) aux limites externes et aux limites internes clés des systèmes de l’organisation. | Le transfert IP doit être désactivé sur votre machine virtuelle | 3.0.0 |
| Protection du système et des communications | 3.13.1 | Superviser, contrôler et protéger les communications (c’est-à-dire les informations transmises ou reçues par les systèmes de l’organisation) aux limites externes et aux limites internes clés des systèmes de l’organisation. | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| Protection du système et des communications | 3.13.1 | Superviser, contrôler et protéger les communications (c’est-à-dire les informations transmises ou reçues par les systèmes de l’organisation) aux limites externes et aux limites internes clés des systèmes de l’organisation. | Les ports de gestion doivent être fermés sur vos machines virtuelles | 3.0.0 |
| Protection du système et des communications | 3.13.1 | Superviser, contrôler et protéger les communications (c’est-à-dire les informations transmises ou reçues par les systèmes de l’organisation) aux limites externes et aux limites internes clés des systèmes de l’organisation. | Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| Protection du système et des communications | 3.13.10 | Établir et gérer des clés de chiffrement pour le chiffrement utilisé dans les systèmes d’entreprise. | Les disques managés doivent être doublement chiffrés avec des clés gérées par la plateforme et des clés gérées par le client | 1.0.0 |
| Protection du système et des communications | 3.13.10 | Établir et gérer des clés de chiffrement pour le chiffrement utilisé dans les systèmes d’entreprise. | Les disques de système d’exploitation et de données doivent être chiffrés avec une clé gérée par le client | 3.0.0 |
| Protection du système et des communications | 3.13.16 | Protéger la confidentialité de CUI au repos. | Les machines virtuelles et les groupes de machines virtuelles identiques doivent avoir le chiffrement sur l’hôte activé | 1.0.0 |
| Protection du système et des communications | 3.13.2 | Utiliser les conceptions architecturales, les techniques de développement de logiciels et les principes d’ingénierie des systèmes qui favorisent la sécurité des informations au sein des systèmes d’entreprise. | Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | 3.0.0 |
| Protection du système et des communications | 3.13.2 | Utiliser les conceptions architecturales, les techniques de développement de logiciels et les principes d’ingénierie des systèmes qui favorisent la sécurité des informations au sein des systèmes d’entreprise. | Les ressources d’accès au disque doivent utiliser une liaison privée | 1.0.0 |
| Protection du système et des communications | 3.13.2 | Utiliser les conceptions architecturales, les techniques de développement de logiciels et les principes d’ingénierie des systèmes qui favorisent la sécurité des informations au sein des systèmes d’entreprise. | Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| Protection du système et des communications | 3.13.2 | Utiliser les conceptions architecturales, les techniques de développement de logiciels et les principes d’ingénierie des systèmes qui favorisent la sécurité des informations au sein des systèmes d’entreprise. | Le transfert IP doit être désactivé sur votre machine virtuelle | 3.0.0 |
| Protection du système et des communications | 3.13.2 | Utiliser les conceptions architecturales, les techniques de développement de logiciels et les principes d’ingénierie des systèmes qui favorisent la sécurité des informations au sein des systèmes d’entreprise. | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| Protection du système et des communications | 3.13.2 | Utiliser les conceptions architecturales, les techniques de développement de logiciels et les principes d’ingénierie des systèmes qui favorisent la sécurité des informations au sein des systèmes d’entreprise. | Les ports de gestion doivent être fermés sur vos machines virtuelles | 3.0.0 |
| Protection du système et des communications | 3.13.2 | Utiliser les conceptions architecturales, les techniques de développement de logiciels et les principes d’ingénierie des systèmes qui favorisent la sécurité des informations au sein des systèmes d’entreprise. | Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| Protection du système et des communications | 3.13.5 | Implémenter des sous-réseaux pour les composants système accessibles publiquement qui sont physiquement ou logiquement séparés des réseaux internes. | Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | 3.0.0 |
| Protection du système et des communications | 3.13.5 | Implémenter des sous-réseaux pour les composants système accessibles publiquement qui sont physiquement ou logiquement séparés des réseaux internes. | Les ressources d’accès au disque doivent utiliser une liaison privée | 1.0.0 |
| Protection du système et des communications | 3.13.5 | Implémenter des sous-réseaux pour les composants système accessibles publiquement qui sont physiquement ou logiquement séparés des réseaux internes. | Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| Protection du système et des communications | 3.13.5 | Implémenter des sous-réseaux pour les composants système accessibles publiquement qui sont physiquement ou logiquement séparés des réseaux internes. | Le transfert IP doit être désactivé sur votre machine virtuelle | 3.0.0 |
| Protection du système et des communications | 3.13.5 | Implémenter des sous-réseaux pour les composants système accessibles publiquement qui sont physiquement ou logiquement séparés des réseaux internes. | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| Protection du système et des communications | 3.13.5 | Implémenter des sous-réseaux pour les composants système accessibles publiquement qui sont physiquement ou logiquement séparés des réseaux internes. | Les ports de gestion doivent être fermés sur vos machines virtuelles | 3.0.0 |
| Protection du système et des communications | 3.13.5 | Implémenter des sous-réseaux pour les composants système accessibles publiquement qui sont physiquement ou logiquement séparés des réseaux internes. | Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| Protection du système et des communications | 3.13.6 | Refuser le trafic des communications réseau par défaut et autoriser le trafic des communications réseau par exception (c’est-à-dire, tout refuser, autoriser par exception). | Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | 3.0.0 |
| Protection du système et des communications | 3.13.6 | Refuser le trafic des communications réseau par défaut et autoriser le trafic des communications réseau par exception (c’est-à-dire, tout refuser, autoriser par exception). | Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| Protection du système et des communications | 3.13.6 | Refuser le trafic des communications réseau par défaut et autoriser le trafic des communications réseau par exception (c’est-à-dire, tout refuser, autoriser par exception). | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| Protection du système et des communications | 3.13.6 | Refuser le trafic des communications réseau par défaut et autoriser le trafic des communications réseau par exception (c’est-à-dire, tout refuser, autoriser par exception). | Les ports de gestion doivent être fermés sur vos machines virtuelles | 3.0.0 |
| Protection du système et des communications | 3.13.6 | Refuser le trafic des communications réseau par défaut et autoriser le trafic des communications réseau par exception (c’est-à-dire, tout refuser, autoriser par exception). | Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| Protection du système et des communications | 3.13.8 | Implémenter des mécanismes de chiffrement pour empêcher toute divulgation non autorisée de CUI pendant la transmission, sauf en cas de protection par d’autres dispositifs de protection physique. | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| Intégrité du système et des informations | 3.14.1 | Identifier, signaler et corriger les failles système en temps voulu. | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| Intégrité du système et des informations | 3.14.1 | Identifier, signaler et corriger les failles système en temps voulu. | Les mises à jour système sur les groupes de machines virtuelles identiques doivent être installées | 3.0.0 |
| Intégrité du système et des informations | 3.14.1 | Identifier, signaler et corriger les failles système en temps voulu. | Les mises à jour système doivent être installées sur vos machines | 4.0.0 |
| Intégrité du système et des informations | 3.14.1 | Identifier, signaler et corriger les failles système en temps voulu. | Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | 3.1.0 |
| Intégrité du système et des informations | 3.14.1 | Identifier, signaler et corriger les failles système en temps voulu. | Windows Defender Exploit Guard doit être activé sur vos machines | 2.0.0 |
| Intégrité du système et des informations | 3.14.2 | Assurer la protection contre le code malveillant à des emplacements désignés au sein des systèmes de l’organisation. | Microsoft Antimalware pour Azure doit être configuré pour mettre à jour automatiquement les signatures de protection | 1.0.0 |
| Intégrité du système et des informations | 3.14.2 | Assurer la protection contre le code malveillant à des emplacements désignés au sein des systèmes de l’organisation. | L’extension Microsoft IaaSAntimalware doit être déployée sur des serveurs Windows | 1.1.0 |
| Intégrité du système et des informations | 3.14.2 | Assurer la protection contre le code malveillant à des emplacements désignés au sein des systèmes de l’organisation. | Windows Defender Exploit Guard doit être activé sur vos machines | 2.0.0 |
| Intégrité du système et des informations | 3.14.4 | Mettre à jour les mécanismes de protection contre le code malveillant lorsque de nouvelles versions sont disponibles. | Microsoft Antimalware pour Azure doit être configuré pour mettre à jour automatiquement les signatures de protection | 1.0.0 |
| Intégrité du système et des informations | 3.14.4 | Mettre à jour les mécanismes de protection contre le code malveillant lorsque de nouvelles versions sont disponibles. | L’extension Microsoft IaaSAntimalware doit être déployée sur des serveurs Windows | 1.1.0 |
| Intégrité du système et des informations | 3.14.4 | Mettre à jour les mécanismes de protection contre le code malveillant lorsque de nouvelles versions sont disponibles. | Windows Defender Exploit Guard doit être activé sur vos machines | 2.0.0 |
| Intégrité du système et des informations | 3.14.5 | Effectuez des analyses périodiques des systèmes d’organisation et des analyses en temps réel des fichiers provenant de sources externes à mesure que les fichiers sont téléchargés, ouverts ou exécutés. | Microsoft Antimalware pour Azure doit être configuré pour mettre à jour automatiquement les signatures de protection | 1.0.0 |
| Intégrité du système et des informations | 3.14.5 | Effectuez des analyses périodiques des systèmes d’organisation et des analyses en temps réel des fichiers provenant de sources externes à mesure que les fichiers sont téléchargés, ouverts ou exécutés. | L’extension Microsoft IaaSAntimalware doit être déployée sur des serveurs Windows | 1.1.0 |
| Intégrité du système et des informations | 3.14.5 | Effectuez des analyses périodiques des systèmes d’organisation et des analyses en temps réel des fichiers provenant de sources externes à mesure que les fichiers sont téléchargés, ouverts ou exécutés. | Windows Defender Exploit Guard doit être activé sur vos machines | 2.0.0 |
| Intégrité du système et des informations | 3.14.6 | Superviser les systèmes de l’organisation, notamment le trafic des communications entrantes et sortantes, pour détecter les attaques et les indicateurs d’attaques potentielles. | [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | 1.0.2-preview |
| Intégrité du système et des informations | 3.14.6 | Superviser les systèmes de l’organisation, notamment le trafic des communications entrantes et sortantes, pour détecter les attaques et les indicateurs d’attaques potentielles. | [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | 1.0.2-preview |
| Intégrité du système et des informations | 3.14.6 | Superviser les systèmes de l’organisation, notamment le trafic des communications entrantes et sortantes, pour détecter les attaques et les indicateurs d’attaques potentielles. | L’extension Guest Configuration doit être installée sur vos machines | 1.0.3 |
| Intégrité du système et des informations | 3.14.6 | Superviser les systèmes de l’organisation, notamment le trafic des communications entrantes et sortantes, pour détecter les attaques et les indicateurs d’attaques potentielles. | L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | 1.0.1 |
| Intégrité du système et des informations | 3.14.7 | Identifier les utilisations non autorisées des systèmes d’entreprise. | [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | 1.0.2-preview |
| Intégrité du système et des informations | 3.14.7 | Identifier les utilisations non autorisées des systèmes d’entreprise. | [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | 1.0.2-preview |
| Intégrité du système et des informations | 3.14.7 | Identifier les utilisations non autorisées des systèmes d’entreprise. | L’extension Guest Configuration doit être installée sur vos machines | 1.0.3 |
| Intégrité du système et des informations | 3.14.7 | Identifier les utilisations non autorisées des systèmes d’entreprise. | L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | 1.0.1 |
| Audit et responsabilité | 3.3.1 | Créer et conserver les journaux d’audit système et les enregistrements de façon à pouvoir activer la supervision, l’analyse, l’investigation et la création de rapports concernant l’activité système non légale ou non autorisée | [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | 1.0.2-preview |
| Audit et responsabilité | 3.3.1 | Créer et conserver les journaux d’audit système et les enregistrements de façon à pouvoir activer la supervision, l’analyse, l’investigation et la création de rapports concernant l’activité système non légale ou non autorisée | [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | 1.0.2-preview |
| Audit et responsabilité | 3.3.1 | Créer et conserver les journaux d’audit système et les enregistrements de façon à pouvoir activer la supervision, l’analyse, l’investigation et la création de rapports concernant l’activité système non légale ou non autorisée | L’extension Guest Configuration doit être installée sur vos machines | 1.0.3 |
| Audit et responsabilité | 3.3.1 | Créer et conserver les journaux d’audit système et les enregistrements de façon à pouvoir activer la supervision, l’analyse, l’investigation et la création de rapports concernant l’activité système non légale ou non autorisée | L’extension Log Analytics doit être installée sur les groupes de machines virtuelles identiques | 1.0.1 |
| Audit et responsabilité | 3.3.1 | Créer et conserver les journaux d’audit système et les enregistrements de façon à pouvoir activer la supervision, l’analyse, l’investigation et la création de rapports concernant l’activité système non légale ou non autorisée | Les machines virtuelles doivent être connectées à un espace de travail spécifié | 1.1.0 |
| Audit et responsabilité | 3.3.1 | Créer et conserver les journaux d’audit système et les enregistrements de façon à pouvoir activer la supervision, l’analyse, l’investigation et la création de rapports concernant l’activité système non légale ou non autorisée | L’extension Log Analytics doit être installée sur les machines virtuelles | 1.0.1 |
| Audit et responsabilité | 3.3.1 | Créer et conserver les journaux d’audit système et les enregistrements de façon à pouvoir activer la supervision, l’analyse, l’investigation et la création de rapports concernant l’activité système non légale ou non autorisée | L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | 1.0.1 |
| Audit et responsabilité | 3.3.2 | Vérifier que les actions de chaque utilisateur du système peuvent être suivies et mises en correspondance avec les utilisateurs en question, afin qu’ils puissent être tenus responsables de leurs actions. | [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | 1.0.2-preview |
| Audit et responsabilité | 3.3.2 | Vérifier que les actions de chaque utilisateur du système peuvent être suivies et mises en correspondance avec les utilisateurs en question, afin qu’ils puissent être tenus responsables de leurs actions. | [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | 1.0.2-preview |
| Audit et responsabilité | 3.3.2 | Vérifier que les actions de chaque utilisateur du système peuvent être suivies et mises en correspondance avec les utilisateurs en question, afin qu’ils puissent être tenus responsables de leurs actions. | L’extension Guest Configuration doit être installée sur vos machines | 1.0.3 |
| Audit et responsabilité | 3.3.2 | Vérifier que les actions de chaque utilisateur du système peuvent être suivies et mises en correspondance avec les utilisateurs en question, afin qu’ils puissent être tenus responsables de leurs actions. | L’extension Log Analytics doit être installée sur les groupes de machines virtuelles identiques | 1.0.1 |
| Audit et responsabilité | 3.3.2 | Vérifier que les actions de chaque utilisateur du système peuvent être suivies et mises en correspondance avec les utilisateurs en question, afin qu’ils puissent être tenus responsables de leurs actions. | Les machines virtuelles doivent être connectées à un espace de travail spécifié | 1.1.0 |
| Audit et responsabilité | 3.3.2 | Vérifier que les actions de chaque utilisateur du système peuvent être suivies et mises en correspondance avec les utilisateurs en question, afin qu’ils puissent être tenus responsables de leurs actions. | L’extension Log Analytics doit être installée sur les machines virtuelles | 1.0.1 |
| Audit et responsabilité | 3.3.2 | Vérifier que les actions de chaque utilisateur du système peuvent être suivies et mises en correspondance avec les utilisateurs en question, afin qu’ils puissent être tenus responsables de leurs actions. | L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | 1.0.1 |
| Gestion de la configuration | 3.4.1 | Établir et gérer les configurations de référence et les inventaires des systèmes d’entreprise (y compris le matériel, les logiciels, les microprogrammes et la documentation) tout au long de leur cycle de vie de développement système. | Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute | 2.2.0 |
| Gestion de la configuration | 3.4.1 | Établir et gérer les configurations de référence et les inventaires des systèmes d’entreprise (y compris le matériel, les logiciels, les microprogrammes et la documentation) tout au long des cycles de vie de développement du système. | Les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute | 2.0.0 |
| Gestion de la configuration | 3.4.2 | Établir et appliquer des paramètres de configuration de sécurité pour les produits informatiques utilisés dans les systèmes d’entreprise. | Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute | 2.2.0 |
| Gestion de la configuration | 3.4.2 | Établir et appliquer des paramètres de configuration de sécurité pour les produits informatiques utilisés dans les systèmes d’entreprise. | Les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute | 2.0.0 |
| Identification et authentification | 3.5.10 | Stocker et transmettre uniquement les mots de passe protégés par chiffrement. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | 4.1.0 |
| Identification et authentification | 3.5.10 | Stocker et transmettre uniquement les mots de passe protégés par chiffrement. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | 4.1.0 |
| Identification et authentification | 3.5.10 | Stocker et transmettre uniquement les mots de passe protégés par chiffrement. | Auditer les machines Linux qui n’ont pas les autorisations de fichier de mot de passe définies sur 0644 | 3.1.0 |
| Identification et authentification | 3.5.10 | Stocker et transmettre uniquement les mots de passe protégés par chiffrement. | Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible | 2.0.0 |
| Identification et authentification | 3.5.10 | Stocker et transmettre uniquement les mots de passe protégés par chiffrement. | Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux | 3.1.0 |
| Identification et authentification | 3.5.10 | Stocker et transmettre uniquement les mots de passe protégés par chiffrement. | Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | 1.2.0 |
| Identification et authentification | 3.5.10 | Stocker et transmettre uniquement les mots de passe protégés par chiffrement. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau » | 3.0.0 |
| Identification et authentification | 3.5.2 | Authentifier (ou vérifier) les identités des utilisateurs, des processus ou des appareils, comme condition préalable à l’autorisation de l’accès aux systèmes de l’organisation. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | 4.1.0 |
| Identification et authentification | 3.5.2 | Authentifier (ou vérifier) les identités des utilisateurs, des processus ou des appareils, comme condition préalable à l’autorisation de l’accès aux systèmes de l’organisation. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | 4.1.0 |
| Identification et authentification | 3.5.2 | Authentifier (ou vérifier) les identités des utilisateurs, des processus ou des appareils, comme condition préalable à l’autorisation de l’accès aux systèmes de l’organisation. | Auditer les machines Linux qui n’ont pas les autorisations de fichier de mot de passe définies sur 0644 | 3.1.0 |
| Identification et authentification | 3.5.2 | Authentifier (ou vérifier) les identités des utilisateurs, des processus ou des appareils, comme condition préalable à l’autorisation de l’accès aux systèmes de l’organisation. | Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible | 2.0.0 |
| Identification et authentification | 3.5.2 | Authentifier (ou vérifier) les identités des utilisateurs, des processus ou des appareils, comme condition préalable à l’autorisation de l’accès aux systèmes de l’organisation. | L’authentification auprès des machines Linux doit exiger des clés SSH | 3.2.0 |
| Identification et authentification | 3.5.2 | Authentifier (ou vérifier) les identités des utilisateurs, des processus ou des appareils, comme condition préalable à l’autorisation de l’accès aux systèmes de l’organisation. | Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux | 3.1.0 |
| Identification et authentification | 3.5.2 | Authentifier (ou vérifier) les identités des utilisateurs, des processus ou des appareils, comme condition préalable à l’autorisation de l’accès aux systèmes de l’organisation. | Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | 1.2.0 |
| Identification et authentification | 3.5.4 | Utilisez des mécanismes d’authentification résistants aux attaques par rejeu pour l’accès réseau aux comptes privilégiés et non privilégiés. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau » | 3.0.0 |
| Identification et authentification | 3.5.7 | Imposer une complexité minimale du mot de passe et un changement de caractères lors de la création de nouveaux mots de passe. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | 4.1.0 |
| Identification et authentification | 3.5.7 | Imposer une complexité minimale du mot de passe et un changement de caractères lors de la création de nouveaux mots de passe. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | 4.1.0 |
| Identification et authentification | 3.5.7 | Imposer une complexité minimale du mot de passe et un changement de caractères lors de la création de nouveaux mots de passe. | Auditer les machines Windows qui n’ont pas le paramètre de complexité de mot de passe activé | 2.0.0 |
| Identification et authentification | 3.5.7 | Imposer une complexité minimale du mot de passe et un changement de caractères lors de la création de nouveaux mots de passe. | Auditer les machines Windows qui ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié | 2.1.0 |
| Identification et authentification | 3.5.7 | Imposer une complexité minimale du mot de passe et un changement de caractères lors de la création de nouveaux mots de passe. | Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | 1.2.0 |
| Identification et authentification | 3.5.8 | Interdire la réutilisation du mot de passe pour un nombre spécifié de générations. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | 4.1.0 |
| Identification et authentification | 3.5.8 | Interdire la réutilisation du mot de passe pour un nombre spécifié de générations. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | 4.1.0 |
| Identification et authentification | 3.5.8 | Interdire la réutilisation du mot de passe pour un nombre spécifié de générations. | Auditer les machines Windows qui autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques | 2.1.0 |
| Identification et authentification | 3.5.8 | Interdire la réutilisation du mot de passe pour un nombre spécifié de générations. | Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | 1.2.0 |
| Protection média | 3.8.9 | Protégez la confidentialité de la sauvegarde CUI sur les emplacements de stockage. | La sauvegarde Azure doit être activée pour les machines virtuelles | 3.0.0 |
NIST SP 800-53 Rev. 4
Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure correspondent à cette norme de conformité, consultez Conformité réglementaire Azure Policy – NIST SP 800-53 Rév. 4. Pour plus d’informations sur cette norme de conformité, consultez NIST SP 800-53 Rév. 4.
NIST SP 800-53 Rev. 5
Pour voir le mappage entre les composants intégrés Azure Policy disponibles pour tous les services Azure et cette norme de conformité, consultez Conformité réglementaire d’Azure Policy – NIST SP 800-53 Rev. 5. Pour plus d’informations sur cette norme de conformité, consultez NIST SP 800-53 Rev. 5.
Thème Cloud BIO NL
Pour évaluer comment les composants intégrés Azure Policy disponibles pour tous les services Azure répondent à cette norme de conformité, consultez Détails de la conformité réglementaire Azure Policy pour le thème cloud BIO NL. Pour plus d’informations sur cette norme de conformité, consultez Cybersécurité du gouvernement de la sécurité des informations de référence - Digital Government (digitaleoverheid.nl).
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| C.04.3 Gestion des vulnérabilités techniques – Chronologies | C.04.3 | Si la probabilité d’abus et les dommages attendus sont tous les deux élevés, les correctifs sont installés au plus tard dans les sept jours. | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| C.04.3 Gestion des vulnérabilités techniques - Chronologies | C.04.3 | Si la probabilité d’abus et les dommages attendus sont tous les deux élevés, les correctifs sont installés au plus tard dans les sept jours. | Les mises à jour système sur les groupes de machines virtuelles identiques doivent être installées | 3.0.0 |
| C.04.3 Gestion des vulnérabilités techniques - Chronologies | C.04.3 | Si la probabilité d’abus et les dommages attendus sont tous les deux élevés, les correctifs sont installés au plus tard dans les sept jours. | Les mises à jour système doivent être installées sur vos machines | 4.0.0 |
| C.04.3 Gestion des vulnérabilités techniques – Chronologies | C.04.3 | Si la probabilité d’abus et les dommages attendus sont tous les deux élevés, les correctifs sont installés au plus tard dans les sept jours. | Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | 3.1.0 |
| C.04.3 Gestion des vulnérabilités techniques – Chronologies | C.04.3 | Si la probabilité d’abus et les dommages attendus sont tous les deux élevés, les correctifs sont installés au plus tard dans les sept jours. | Windows Defender Exploit Guard doit être activé sur vos machines | 2.0.0 |
| C.04.6 Gestion des vulnérabilités techniques – Chronologies | C.04.6 | Les faiblesses techniques peuvent être corrigées en effectuant une gestion des correctifs en temps opportun. | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| C.04.6 Gestion des vulnérabilités techniques : chronologies | C.04.6 | Les faiblesses techniques peuvent être corrigées en effectuant une gestion des correctifs en temps opportun. | Les mises à jour système sur les groupes de machines virtuelles identiques doivent être installées | 3.0.0 |
| C.04.6 Gestion des vulnérabilités techniques : chronologies | C.04.6 | Les faiblesses techniques peuvent être corrigées en effectuant une gestion des correctifs en temps opportun. | Les mises à jour système doivent être installées sur vos machines | 4.0.0 |
| C.04.6 Gestion des vulnérabilités techniques – Chronologies | C.04.6 | Les faiblesses techniques peuvent être corrigées en effectuant une gestion des correctifs en temps opportun. | Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | 3.1.0 |
| C.04.6 Gestion des vulnérabilités techniques – Chronologies | C.04.6 | Les faiblesses techniques peuvent être corrigées en effectuant une gestion des correctifs en temps opportun. | Windows Defender Exploit Guard doit être activé sur vos machines | 2.0.0 |
| C.04.7 Gestion des vulnérabilités techniques – Évaluation | C.04.7 | Les évaluations des vulnérabilités techniques sont enregistrées et signalées. | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| C.04.7 Gestion des vulnérabilités techniques – Évaluation | C.04.7 | Les évaluations des vulnérabilités techniques sont enregistrées et signalées. | Les mises à jour système sur les groupes de machines virtuelles identiques doivent être installées | 3.0.0 |
| C.04.7 Gestion des vulnérabilités techniques – Évaluation | C.04.7 | Les évaluations des vulnérabilités techniques sont enregistrées et signalées. | Les mises à jour système doivent être installées sur vos machines | 4.0.0 |
| C.04.7 Gestion des vulnérabilités techniques – Évaluation | C.04.7 | Les évaluations des vulnérabilités techniques sont enregistrées et signalées. | Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | 3.1.0 |
| C.04.7 Gestion des vulnérabilités techniques – Évaluation | C.04.7 | Les évaluations des vulnérabilités techniques sont enregistrées et signalées. | Windows Defender Exploit Guard doit être activé sur vos machines | 2.0.0 |
| C.04.8 Gestion des vulnérabilités techniques – Évaluation | C.04.8 | Les rapports d’évaluation contiennent des suggestions d’amélioration et sont communiqués aux gestionnaires/propriétaires. | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| C.04.8 Gestion des vulnérabilités techniques – Évaluation | C.04.8 | Les rapports d’évaluation contiennent des suggestions d’amélioration et sont communiqués aux gestionnaires/propriétaires. | Les mises à jour système doivent être installées sur vos machines | 4.0.0 |
| C.04.8 Gestion des vulnérabilités techniques – Évaluation | C.04.8 | Les rapports d’évaluation contiennent des suggestions d’amélioration et sont communiqués aux gestionnaires/propriétaires. | Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | 3.1.0 |
| U.03.1 Services de continuité d’activité - Redondance | U.03.1 | La continuité acceptée est garantie par des fonctions système suffisamment logiques ou physiquement multiples. | Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée | 1.0.0 |
| U.03.1 Services de continuité d’activité - Redondance | U.03.1 | La continuité acceptée est garantie par des fonctions système suffisamment logiques ou physiquement multiples. | La sauvegarde Azure doit être activée pour les machines virtuelles | 3.0.0 |
| U.03.2 Services de continuité d’activité - Exigences en matière de continuité | U.03.2 | Les exigences de continuité des services cloud convenus avec le CSC sont assurées par l’architecture système. | Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée | 1.0.0 |
| U.03.2 Services de continuité d’activité - Exigences en matière de continuité | U.03.2 | Les exigences de continuité des services cloud convenus avec le CSC sont assurées par l’architecture système. | La sauvegarde Azure doit être activée pour les machines virtuelles | 3.0.0 |
| U.04.1 Récupération du service cloud et de données - Fonction de restauration | U.04.1 | Les services cloud et de données sont restaurés dans le délai et la perte de données maximale convenus et mis à la disposition du CSC. | Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée | 1.0.0 |
| U.04.2 Récupération du service cloud et de données - Fonction de restauration | U.04.2 | Le processus continu de protection récupérable des données est surveillé. | Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée | 1.0.0 |
| U.04.3 Récupération du service cloud et de données - Testé | U.04.3 | Le fonctionnement des fonctions de récupération est périodiquement testé et les résultats sont partagés avec le CSC. | Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée | 1.0.0 |
| U.05.1 Protection des données – Mesures de chiffrement | U.05.1 | Le transport de données est sécurisé avec chiffrement là où la gestion des clés est effectuée par le CSC lui-même dans la mesure du possible. | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| U.05.2 Protection des données – Mesures cryptographiques | U.05.2 | Les données stockées dans le service cloud doivent être protégées selon l'état actuel de la technique. | [Préversion] : L’extension Attestation d’invité doit être installée sur les machines virtuelles Linux prises en charge | 6.0.0-preview |
| U.05.2 Protection des données – Mesures cryptographiques | U.05.2 | Les données stockées dans le service cloud doivent être protégées selon l'état actuel de la technique. | [Préversion] : L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Linux prises en charge | 5.1.0-preview |
| U.05.2 Protection des données – Mesures cryptographiques | U.05.2 | Les données stockées dans le service cloud doivent être protégées selon l'état actuel de la technique. | [Préversion] : L’extension Attestation d’invité doit être installée sur les machines virtuelles Windows prises en charge | 4.0.0-preview |
| U.05.2 Protection des données – Mesures cryptographiques | U.05.2 | Les données stockées dans le service cloud doivent être protégées selon l'état actuel de la technique. | [Préversion] : L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Windows prises en charge | 3.1.0-preview |
| U.05.2 Protection des données – Mesures cryptographiques | U.05.2 | Les données stockées dans le service cloud doivent être protégées selon l'état actuel de la technique. | [Préversion] : Le démarrage sécurisé doit être activé sur les machines virtuelles Windows prises en charge | 4.0.0-preview |
| U.05.2 Protection des données – Mesures cryptographiques | U.05.2 | Les données stockées dans le service cloud doivent être protégées selon l'état actuel de la technique. | [Préversion] : vTPM doit être activé sur les machines virtuelles prises en charge | 2.0.0-preview |
| U.05.2 Protection des données – Mesures cryptographiques | U.05.2 | Les données stockées dans le service cloud doivent être protégées selon l'état actuel de la technique. | Les disques managés doivent être doublement chiffrés avec des clés gérées par la plateforme et des clés gérées par le client | 1.0.0 |
| U.05.2 - Protection des données - Mesures de chiffrement | U.05.2 | Les données stockées dans le service cloud doivent être protégées selon l'état actuel de la technique. | Les disques de système d’exploitation et de données doivent être chiffrés avec une clé gérée par le client | 3.0.0 |
| U.05.2 Protection des données - Mesures de chiffrement | U.05.2 | Les données stockées dans le service cloud doivent être protégées selon l'état actuel de la technique. | Les machines virtuelles et les groupes de machines virtuelles identiques doivent avoir le chiffrement sur l’hôte activé | 1.0.0 |
| U.07.1 Séparation des données : isolation | U.07.1 | L’isolation permanente des données est une architecture multi-tenant. Les correctifs sont réalisés de manière contrôlée. | Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | 3.0.0 |
| U.07.1 Séparation des données : isolé | U.07.1 | L’isolation permanente des données est une architecture multi-tenant. Les correctifs sont réalisés de manière contrôlée. | Les ressources d’accès au disque doivent utiliser une liaison privée | 1.0.0 |
| U.07.1 Séparation des données : isolation | U.07.1 | L’isolation permanente des données est une architecture multi-tenant. Les correctifs sont réalisés de manière contrôlée. | Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| U.07.1 Séparation des données : isolé | U.07.1 | L’isolation permanente des données est une architecture multi-tenant. Les correctifs sont réalisés de manière contrôlée. | Le transfert IP doit être désactivé sur votre machine virtuelle | 3.0.0 |
| U.07.1 Séparation des données : isolé | U.07.1 | L’isolation permanente des données est une architecture multi-tenant. Les correctifs sont réalisés de manière contrôlée. | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| U.07.1 Séparation des données : isolé | U.07.1 | L’isolation permanente des données est une architecture multi-tenant. Les correctifs sont réalisés de manière contrôlée. | Les ports de gestion doivent être fermés sur vos machines virtuelles | 3.0.0 |
| U.07.1 Séparation des données : isolé | U.07.1 | L’isolation permanente des données est une architecture multi-tenant. Les correctifs sont réalisés de manière contrôlée. | Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| U.09.3 Protection contre les programmes malveillants : détection, prévention et récupération | U.09.3 | La protection contre les programmes malveillants s’exécute sur différents environnements. | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| U.09.3 Protection contre les programmes malveillants : détection, prévention et récupération | U.09.3 | La protection contre les programmes malveillants s’exécute sur différents environnements. | Le transfert IP doit être désactivé sur votre machine virtuelle | 3.0.0 |
| U.09.3 Protection contre les programmes malveillants : détection, prévention et récupération | U.09.3 | La protection contre les programmes malveillants s’exécute sur différents environnements. | Les mises à jour système sur les groupes de machines virtuelles identiques doivent être installées | 3.0.0 |
| U.09.3 Protection contre les programmes malveillants : détection, prévention et récupération | U.09.3 | La protection contre les programmes malveillants s’exécute sur différents environnements. | Les mises à jour système doivent être installées sur vos machines | 4.0.0 |
| U.09.3 Protection contre les programmes malveillants : détection, prévention et récupération | U.09.3 | La protection contre les programmes malveillants s’exécute sur différents environnements. | Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | 3.1.0 |
| U.09.3 Protection contre les programmes malveillants : détection, prévention et récupération | U.09.3 | La protection contre les programmes malveillants s’exécute sur différents environnements. | Windows Defender Exploit Guard doit être activé sur vos machines | 2.0.0 |
| U.10.2 Accès aux services et données informatiques – Utilisateurs | U.10.2 | Sous la responsabilité du CSP, l’accès est accordé aux administrateurs. | Auditer les machines Linux qui autorisent les connexions à distance à partir de comptes sans mot de passe | 3.1.0 |
| U.10.2 Accès aux services et données informatiques – Utilisateurs | U.10.2 | Sous la responsabilité du CSP, l’accès est accordé aux administrateurs. | Auditer les machines Linux qui ont des comptes sans mot de passe | 3.1.0 |
| U.10.2 Accès aux services et données informatiques – Utilisateurs | U.10.2 | Sous la responsabilité du CSP, l’accès est accordé aux administrateurs. | Faire l’audit des machines virtuelles n’utilisant aucun disque managé | 1.0.0 |
| U.10.2 Accès aux services et données informatiques - Utilisateurs | U.10.2 | Sous la responsabilité du CSP, l’accès est accordé aux administrateurs. | Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager | 1.0.0 |
| U.10.3 Accès aux services et données informatiques - Utilisateurs | U.10.3 | Seuls les utilisateurs disposant d’un équipement authentifié peuvent accéder aux services et données informatiques. | Auditer les machines Linux qui autorisent les connexions à distance à partir de comptes sans mot de passe | 3.1.0 |
| U.10.3 Accès aux services et données informatiques – Utilisateurs | U.10.3 | Seuls les utilisateurs disposant d’un équipement authentifié peuvent accéder aux services et données informatiques. | Auditer les machines Linux qui ont des comptes sans mot de passe | 3.1.0 |
| U.10.3 Accès aux services et données informatiques – Utilisateurs | U.10.3 | Seuls les utilisateurs disposant d’un équipement authentifié peuvent accéder aux services et données informatiques. | Faire l’audit des machines virtuelles n’utilisant aucun disque managé | 1.0.0 |
| U.10.3 Accès aux services et données informatiques - Utilisateurs | U.10.3 | Seuls les utilisateurs disposant d’un équipement authentifié peuvent accéder aux services et données informatiques. | Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager | 1.0.0 |
| U.10.5 Accès aux services et données informatiques - Compétent | U.10.5 | L’accès aux services et données informatiques est limité par les mesures techniques et a été implémenté. | Auditer les machines Linux qui autorisent les connexions à distance à partir de comptes sans mot de passe | 3.1.0 |
| U.10.5 Accès aux services et données informatiques – Compétent | U.10.5 | L’accès aux services et données informatiques est limité par les mesures techniques et a été implémenté. | Auditer les machines Linux qui ont des comptes sans mot de passe | 3.1.0 |
| U.10.5 Accès aux services et données informatiques – Compétent | U.10.5 | L’accès aux services et données informatiques est limité par les mesures techniques et a été implémenté. | Faire l’audit des machines virtuelles n’utilisant aucun disque managé | 1.0.0 |
| U.10.5 Accès aux services et données informatiques - Compétent | U.10.5 | L’accès aux services et données informatiques est limité par les mesures techniques et a été implémenté. | Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager | 1.0.0 |
| U.11.1 Services de chiffrement - Stratégie | U.11.1 | Dans la stratégie de chiffrement, au minimum les sujets conformes à BIO ont été élaborés. | Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible | 2.0.0 |
| U.11.1 Services de chiffrement – Stratégie | U.11.1 | Dans la stratégie de chiffrement, au minimum les sujets conformes à BIO ont été élaborés. | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| U.11.2 - Services de chiffrement - Mesures de chiffrement | U.11.2 | Dans le cas de certificats PKIoverheid, utilisez les exigences PKIoverheid pour la gestion des clés. Dans d’autres situations, utilisez ISO11770. | Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible | 2.0.0 |
| U.11.2 Services de chiffrement – Mesures de chiffrement | U.11.2 | Dans le cas de certificats PKIoverheid, utilisez les exigences PKIoverheid pour la gestion des clés. Dans d’autres situations, utilisez ISO11770. | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| U.11.3 Cryptoservices – Chiffrés | U.11.3 | Les données sensibles sont toujours cryptées, avec des clés privées gérées par le CSC. | [Préversion] : L’extension Attestation d’invité doit être installée sur les machines virtuelles Linux prises en charge | 6.0.0-preview |
| U.11.3 Cryptoservices – Chiffrés | U.11.3 | Les données sensibles sont toujours cryptées, avec des clés privées gérées par le CSC. | [Préversion] : L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Linux prises en charge | 5.1.0-preview |
| U.11.3 Cryptoservices – Chiffrés | U.11.3 | Les données sensibles sont toujours cryptées, avec des clés privées gérées par le CSC. | [Préversion] : L’extension Attestation d’invité doit être installée sur les machines virtuelles Windows prises en charge | 4.0.0-preview |
| U.11.3 Cryptoservices – Chiffrés | U.11.3 | Les données sensibles sont toujours cryptées, avec des clés privées gérées par le CSC. | [Préversion] : L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Windows prises en charge | 3.1.0-preview |
| U.11.3 Cryptoservices – Chiffrés | U.11.3 | Les données sensibles sont toujours cryptées, avec des clés privées gérées par le CSC. | [Préversion] : Le démarrage sécurisé doit être activé sur les machines virtuelles Windows prises en charge | 4.0.0-preview |
| U.11.3 Cryptoservices – Chiffrés | U.11.3 | Les données sensibles sont toujours cryptées, avec des clés privées gérées par le CSC. | [Préversion] : vTPM doit être activé sur les machines virtuelles prises en charge | 2.0.0-preview |
| U.11.3 Cryptoservices – Chiffrés | U.11.3 | Les données sensibles sont toujours cryptées, avec des clés privées gérées par le CSC. | Les disques managés doivent être doublement chiffrés avec des clés gérées par la plateforme et des clés gérées par le client | 1.0.0 |
| U.11.3 Services de chiffrement : chiffrement | U.11.3 | Les données sensibles sont toujours cryptées, avec des clés privées gérées par le CSC. | Les disques de système d’exploitation et de données doivent être chiffrés avec une clé gérée par le client | 3.0.0 |
| U.11.3 Cryptoservices – Chiffrés | U.11.3 | Les données sensibles sont toujours cryptées, avec des clés privées gérées par le CSC. | Les machines virtuelles et les groupes de machines virtuelles identiques doivent avoir le chiffrement sur l’hôte activé | 1.0.0 |
| U.12.1 Interfaces : connexions réseau | U.12.1 | Dans les points de connexion avec des zones externes ou non approuvées, les mesures sont prises contre les attaques. | Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | 3.0.0 |
| U.12.1 Interfaces : connexions réseau | U.12.1 | Dans les points de connexion avec des zones externes ou non approuvées, les mesures sont prises contre les attaques. | Le transfert IP doit être désactivé sur votre machine virtuelle | 3.0.0 |
| U.12.2 Interfaces : connexions réseau | U.12.2 | Les composants réseau sont tels que les connexions réseau entre les réseaux approuvés et non approuvés sont limitées. | Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | 3.0.0 |
| U.12.2 Interfaces : connexions réseau | U.12.2 | Les composants réseau sont tels que les connexions réseau entre les réseaux approuvés et non approuvés sont limitées. | Le transfert IP doit être désactivé sur votre machine virtuelle | 3.0.0 |
| U.15.1 Journalisation et surveillance - Événements enregistrés | U.15.1 | La violation des règles de politique est enregistrée par le CSP et le CSC. | [Préversion] : L’extension Log Analytics doit être activée pour les images de machine virtuelle listées | 2.0.1-preview |
| U.15.1 Journalisation et surveillance - Événements enregistrés | U.15.1 | La violation des règles de politique est enregistrée par le CSP et le CSC. | [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | 1.0.2-preview |
| U.15.1 Journalisation et surveillance - Événements enregistrés | U.15.1 | La violation des règles de politique est enregistrée par le CSP et le CSC. | [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | 1.0.2-preview |
| U.15.1 Journalisation et surveillance - Événements enregistrés | U.15.1 | La violation des règles de politique est enregistrée par le CSP et le CSC. | Dependency Agent doit être activé pour les images de machine virtuelle listées | 2.0.0 |
| U.15.1 Journalisation et surveillance : événements enregistrés | U.15.1 | La violation des règles de politique est enregistrée par le CSP et le CSC. | Dependency Agent doit être activé dans les groupes de machines virtuelles identiques pour les images de machine virtuelle listées | 2.0.0 |
| U.15.1 Journalisation et surveillance : événements enregistrés | U.15.1 | La violation des règles de politique est enregistrée par le CSP et le CSC. | L’extension Guest Configuration doit être installée sur vos machines | 1.0.3 |
| U.15.1 Journalisation et surveillance - Événements enregistrés | U.15.1 | La violation des règles de politique est enregistrée par le CSP et le CSC. | L’extension Log Analytics doit être activée dans les groupes de machines virtuelles identiques pour les images de machines virtuelles répertoriées | 2.0.1 |
| U.15.1 Journalisation et surveillance : événements enregistrés | U.15.1 | La violation des règles de politique est enregistrée par le CSP et le CSC. | L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | 1.0.1 |
| U.15.3 Journalisation et surveillance : événements enregistrés | U.15.3 | Le CSP conserve une liste de toutes les ressources critiques en termes de journalisation et de surveillance et consulte cette liste. | [Préversion] : L’extension Log Analytics doit être activée pour les images de machine virtuelle listées | 2.0.1-preview |
| U.15.3 Journalisation et surveillance - Événements enregistrés | U.15.3 | Le CSP conserve une liste de toutes les ressources critiques en termes de journalisation et de surveillance et consulte cette liste. | Dependency Agent doit être activé pour les images de machine virtuelle listées | 2.0.0 |
| U.15.3 Journalisation et surveillance - Événements enregistrés | U.15.3 | Le CSP conserve une liste de toutes les ressources critiques en termes de journalisation et de surveillance et consulte cette liste. | Dependency Agent doit être activé dans les groupes de machines virtuelles identiques pour les images de machine virtuelle listées | 2.0.0 |
| U.15.3 Journalisation et surveillance - Événements enregistrés | U.15.3 | Le CSP conserve une liste de toutes les ressources critiques en termes de journalisation et de surveillance et consulte cette liste. | L’extension Log Analytics doit être activée dans les groupes de machines virtuelles identiques pour les images de machines virtuelles répertoriées | 2.0.1 |
| U.17.1 Architecture multilocataire : chiffrement | U.17.1 | Les données CSC sur le transport et au repos sont chiffrées. | Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée | 1.0.0 |
| U.17.1 Architecture multilocataire : chiffrement | U.17.1 | Les données CSC sur le transport et au repos sont chiffrées. | La sauvegarde Azure doit être activée pour les machines virtuelles | 3.0.0 |
PCI DSS 3.2.1
Pour voir comment les éléments intégrés Azure Policy disponibles pour tous les services Azure correspondent à cette norme de conformité, consultez PCI DSS 3.2.1. Pour plus d’informations sur cette norme de conformité, consultez PCI DSS 3.2.1.
PCI DSS v4.0
Pour voir comment les composants intégrés Azure Policy disponibles de tous les services Azure répondent à cette norme de conformité, consultez Conformité réglementaire Azure Policy pour PCI DSS v4.0. Pour plus d’informations sur ce standard de conformité, consultez PCI DSS v4.0.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Exigence 01 : Installer et gérer les contrôles de sécurité réseau | 1.3.2 | L’accès réseau vers et à partir de l’environnement de données de titulaires de carte est restreint | Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | 3.0.0 |
| Exigence 01 : Installer et gérer les contrôles de sécurité réseau | 1.4.2 | Les connexions réseau entre les réseaux approuvés et non approuvés sont contrôlées | Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | 3.0.0 |
| Exigence 10 : Enregistrer et surveiller tous les accès aux composants système et aux données de titulaires de carte | 10.2.2 | Les journaux d’audit sont implémentés pour faciliter la détection d’anomalies et d’activités suspectes ainsi que l’analyse d’investigation des événements | Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager | 1.0.0 |
| Exigence 10 : Enregistrer et surveiller tous les accès aux composants système et aux données de titulaires de carte | 10.3.3 | Les journaux d’audit sont protégés contre la destruction et les modifications non autorisées | Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager | 1.0.0 |
| Exigence 11 : Tester régulièrement la sécurité des systèmes et des réseaux | 11.3.1 | Les vulnérabilités externes et internes sont régulièrement identifiées, hiérarchisées et traitées | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| Exigence 11 : Tester régulièrement la sécurité des systèmes et des réseaux | 11.3.1 | Les vulnérabilités externes et internes sont régulièrement identifiées, hiérarchisées et traitées | Les mises à jour système doivent être installées sur vos machines | 4.0.0 |
| Exigence 11 : Tester régulièrement la sécurité des systèmes et des réseaux | 11.3.1 | Les vulnérabilités externes et internes sont régulièrement identifiées, hiérarchisées et traitées | Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | 3.1.0 |
| Exigence 05 : Protéger tous les systèmes et réseaux contre les logiciels malveillants | 5.2.1 | Les logiciels malveillants sont endigués ou détectés et traités | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| Exigence 05 : Protéger tous les systèmes et réseaux contre les logiciels malveillants | 5.2.1 | Les logiciels malveillants sont endigués ou détectés et traités | Les mises à jour système doivent être installées sur vos machines | 4.0.0 |
| Exigence 05 : Protéger tous les systèmes et réseaux contre les logiciels malveillants | 5.2.1 | Les logiciels malveillants sont endigués ou détectés et traités | Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | 3.1.0 |
| Exigence 05 : Protéger tous les systèmes et réseaux contre les logiciels malveillants | 5.2.2 | Les logiciels malveillants sont endigués ou détectés et traités | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| Exigence 05 : Protéger tous les systèmes et réseaux contre les logiciels malveillants | 5.2.2 | Les logiciels malveillants sont endigués ou détectés et traités | Les mises à jour système doivent être installées sur vos machines | 4.0.0 |
| Exigence 05 : Protéger tous les systèmes et réseaux contre les logiciels malveillants | 5.2.2 | Les logiciels malveillants sont endigués ou détectés et traités | Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | 3.1.0 |
| Exigence 05 : Protéger tous les systèmes et réseaux contre les logiciels malveillants | 5.2.3 | Les logiciels malveillants sont endigués ou détectés et traités | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| Exigence 05 : Protéger tous les systèmes et réseaux contre les logiciels malveillants | 5.2.3 | Les logiciels malveillants sont endigués ou détectés et traités | Les mises à jour système doivent être installées sur vos machines | 4.0.0 |
| Exigence 05 : Protéger tous les systèmes et réseaux contre les logiciels malveillants | 5.2.3 | Les logiciels malveillants sont endigués ou détectés et traités | Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | 3.1.0 |
| Exigence 06 : Développer et gérer des systèmes et logiciels sécurisés | 6.3.3 | Les vulnérabilités de sécurité sont identifiées et corrigées | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| Exigence 06 : Développer et gérer des systèmes et logiciels sécurisés | 6.3.3 | Les vulnérabilités de sécurité sont identifiées et corrigées | Les mises à jour système doivent être installées sur vos machines | 4.0.0 |
| Exigence 06 : Développer et gérer des systèmes et logiciels sécurisés | 6.3.3 | Les vulnérabilités de sécurité sont identifiées et corrigées | Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | 3.1.0 |
| Exigence 06 : Développer et gérer des systèmes et logiciels sécurisés | 6.4.1 | Les applications web publiques sont protégées contre les attaques | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| Exigence 06 : Développer et gérer des systèmes et logiciels sécurisés | 6.4.1 | Les applications web publiques sont protégées contre les attaques | Les mises à jour système doivent être installées sur vos machines | 4.0.0 |
| Exigence 06 : Développer et gérer des systèmes et logiciels sécurisés | 6.4.1 | Les applications web publiques sont protégées contre les attaques | Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | 3.1.0 |
| Exigence 08 : Identifier les utilisateurs et authentifier l’accès aux composants système | 8.3.6 | L’authentification forte pour les utilisateurs et les administrateurs est établie et gérée | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | 4.1.0 |
| Exigence 08 : Identifier les utilisateurs et authentifier l’accès aux composants système | 8.3.6 | L’authentification forte pour les utilisateurs et les administrateurs est établie et gérée | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | 4.1.0 |
| Exigence 08 : Identifier les utilisateurs et authentifier l’accès aux composants système | 8.3.6 | L’authentification forte pour les utilisateurs et les administrateurs est établie et gérée | Auditer les machines Windows qui autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques | 2.1.0 |
| Exigence 08 : Identifier les utilisateurs et authentifier l’accès aux composants système | 8.3.6 | L’authentification forte pour les utilisateurs et les administrateurs est établie et gérée | Auditer les machines Windows dont la durée de vie maximale du mot de passe n’est pas définie sur le nombre de jours spécifié | 2.1.0 |
| Exigence 08 : Identifier les utilisateurs et authentifier l’accès aux composants système | 8.3.6 | L’authentification forte pour les utilisateurs et les administrateurs est établie et gérée | Auditer les machines Windows qui ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié | 2.1.0 |
| Exigence 08 : Identifier les utilisateurs et authentifier l’accès aux composants système | 8.3.6 | L’authentification forte pour les utilisateurs et les administrateurs est établie et gérée | Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | 1.2.0 |
Reserve Bank of India - Infrastructure informatique pour NBFC
Pour évaluer comment les composants intégrés Azure Policy disponibles de tous les services Azure répondent à cette norme de conformité, consultez Conformité réglementaire Azure Policy - Reserve Bank of India - Infrastructure informatique pour NBFC. Pour plus d’informations sur cette norme de conformité, consultez Reserve Bank of India - Infrastructure informatique pour NBFC.
Banque de réserve de l’Inde – Infrastructure informatique pour les banques v2016
Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure répondent à cette norme de conformité, consultez Conformité réglementaire Azure Policy - RBI ITF Banks v2016. Pour plus d’informations sur cette norme de conformité, consultez RBI ITF Banks v2016 (PDF).
RMIT Malaysia
Pour voir comment les composants intégrés Azure Policy disponibles de tous les services Azure répondent à cette norme de conformité, consultez Conformité réglementaire Azure Policy – RMIT Malaysia. Pour plus d’informations sur cette norme de conformité, consultez RMIT Malaysia.
Espagne - ENS
Pour savoir comment les composants intégrés Azure Policy disponibles de tous les services Azure répondent à cette norme de conformité, consultez les Détails de la conformité réglementaire d’Azure Policy de l’ENS (Espagne). Pour plus d’informations sur cette norme de conformité, consultez CCN-STIC 884.
SWIFT CSP-CSCF v2021
Pour évaluer le lien entre les éléments intégrés Azure Policy, disponibles pour tous les services Azure, et cette norme de conformité, consultez Informations relatives à la conformité réglementaire Azure Policy de SWIFT CSP-CSCF v2021. Pour plus d’informations sur cette norme de conformité, consultez SWIFT CSP-CSCF v2021.
SWIFT CSP-CSCF v2022
Pour examiner la façon dont les intégrations Azure Policy disponibles pour toute la carte des services Azure correspondent à cette norme de conformité, consultez Détails de conformité réglementaire Azure Policy pour SWIFT CSP-CSCF v2022. Pour plus d’informations sur cette norme de conformité, consultez SWIFT CSP CSCF v2022.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| 1. Restreindre l’accès à Internet et protéger les systèmes critiques de l’environnement informatique général | 1,1 | Garantissez la protection de l’infrastructure SWIFT locale de l’utilisateur contre les éléments potentiellement compromis de l’environnement informatique général et de l’environnement externe. | [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | 1.0.2-preview |
| 1. Restreindre l’accès à Internet et protéger les systèmes critiques de l’environnement informatique général | 1,1 | Garantissez la protection de l’infrastructure SWIFT locale de l’utilisateur contre les éléments potentiellement compromis de l’environnement informatique général et de l’environnement externe. | [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | 1.0.2-preview |
| 1. Restreindre l’accès à Internet et protéger les systèmes critiques de l’environnement informatique général | 1,1 | Garantissez la protection de l’infrastructure SWIFT locale de l’utilisateur contre les éléments potentiellement compromis de l’environnement informatique général et de l’environnement externe. | Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | 3.0.0 |
| 1. Restreindre l’accès à Internet et protéger les systèmes critiques de l’environnement informatique général | 1,1 | Garantissez la protection de l’infrastructure SWIFT locale de l’utilisateur contre les éléments potentiellement compromis de l’environnement informatique général et de l’environnement externe. | Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| 1. Restreindre l’accès à Internet et protéger les systèmes critiques de l’environnement informatique général | 1,1 | Garantissez la protection de l’infrastructure SWIFT locale de l’utilisateur contre les éléments potentiellement compromis de l’environnement informatique général et de l’environnement externe. | Le transfert IP doit être désactivé sur votre machine virtuelle | 3.0.0 |
| 1. Restreindre l’accès à Internet et protéger les systèmes critiques de l’environnement informatique général | 1.2 | Limitez et contrôlez l’allocation et l’utilisation des comptes de système d’exploitation au niveau de l’administrateur. | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| 1. Restreindre l’accès à Internet et protéger les systèmes critiques de l’environnement informatique général | 1.3 | Sécurisez la plateforme de virtualisation et les machines virtuelles qui hébergent des composants liés à SWIFT au même niveau que les systèmes physiques. | Faire l’audit des machines virtuelles n’utilisant aucun disque managé | 1.0.0 |
| 1. Restreindre l’accès à Internet et protéger les systèmes critiques de l’environnement informatique général | 1.4 | Contrôlez/protégez l’accès à Internet depuis les PC et systèmes de l’opérateur dans la zone sécurisée. | Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| 1. Restreindre l’accès à Internet et protéger les systèmes critiques de l’environnement informatique général | 1.4 | Contrôlez/protégez l’accès à Internet depuis les PC et systèmes de l’opérateur dans la zone sécurisée. | Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| 1. Restreindre l’accès à Internet et protéger les systèmes critiques de l’environnement informatique général | 1.5A | Vérifier la protection de l’infrastructure de connectivité du client à partir d’un environnement externe et des éléments potentiellement compromis de l’environnement informatique général. | [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | 1.0.2-preview |
| 1. Restreindre l’accès à Internet et protéger les systèmes critiques de l’environnement informatique général | 1.5A | Vérifier la protection de l’infrastructure de connectivité du client à partir d’un environnement externe et des éléments potentiellement compromis de l’environnement informatique général. | [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | 1.0.2-preview |
| 1. Restreindre l’accès à Internet et protéger les systèmes critiques de l’environnement informatique général | 1.5A | Vérifier la protection de l’infrastructure de connectivité du client à partir d’un environnement externe et des éléments potentiellement compromis de l’environnement informatique général. | Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | 3.0.0 |
| 1. Restreindre l’accès à Internet et protéger les systèmes critiques de l’environnement informatique général | 1.5A | Vérifier la protection de l’infrastructure de connectivité du client à partir d’un environnement externe et des éléments potentiellement compromis de l’environnement informatique général. | Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| 1. Restreindre l’accès à Internet et protéger les systèmes critiques de l’environnement informatique général | 1.5A | Vérifier la protection de l’infrastructure de connectivité du client à partir d’un environnement externe et des éléments potentiellement compromis de l’environnement informatique général. | Le transfert IP doit être désactivé sur votre machine virtuelle | 3.0.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.1 | Assurez-vous de la confidentialité, de l’intégrité et de l’authenticité des flux de données d’application entre les composants locaux liés à SWIFT. | L’authentification auprès des machines Linux doit exiger des clés SSH | 3.2.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.1 | Assurez-vous de la confidentialité, de l’intégrité et de l’authenticité des flux de données d’application entre les composants locaux liés à SWIFT. | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.2 | Minimisez l’occurrence de vulnérabilités techniques connues sur les PC d’opérateur et dans l’infrastructure SWIFT locale en garantissant la prise en charge par le fournisseur, en appliquant des mises à jour logiciel obligatoires et en appliquant des correctifs de sécurité en temps opportun alignées sur le risque évalué. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | 4.1.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.2 | Minimisez l’occurrence de vulnérabilités techniques connues sur les PC d’opérateur et dans l’infrastructure SWIFT locale en garantissant la prise en charge par le fournisseur, en appliquant des mises à jour logiciel obligatoires et en appliquant des correctifs de sécurité en temps opportun alignées sur le risque évalué. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | 4.1.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.2 | Minimisez l’occurrence de vulnérabilités techniques connues sur les PC d’opérateur et dans l’infrastructure SWIFT locale en garantissant la prise en charge par le fournisseur, en appliquant des mises à jour logiciel obligatoires et en appliquant des correctifs de sécurité en temps opportun alignées sur le risque évalué. | Auditer les machines virtuelles Windows avec un redémarrage en attente | 2.0.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.2 | Minimisez l’occurrence de vulnérabilités techniques connues sur les PC d’opérateur et dans l’infrastructure SWIFT locale en garantissant la prise en charge par le fournisseur, en appliquant des mises à jour logiciel obligatoires et en appliquant des correctifs de sécurité en temps opportun alignées sur le risque évalué. | Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | 1.2.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.2 | Minimisez l’occurrence de vulnérabilités techniques connues sur les PC d’opérateur et dans l’infrastructure SWIFT locale en garantissant la prise en charge par le fournisseur, en appliquant des mises à jour logiciel obligatoires et en appliquant des correctifs de sécurité en temps opportun alignées sur le risque évalué. | Les mises à jour système sur les groupes de machines virtuelles identiques doivent être installées | 3.0.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.2 | Minimisez l’occurrence de vulnérabilités techniques connues sur les PC d’opérateur et dans l’infrastructure SWIFT locale en garantissant la prise en charge par le fournisseur, en appliquant des mises à jour logiciel obligatoires et en appliquant des correctifs de sécurité en temps opportun alignées sur le risque évalué. | Les mises à jour système doivent être installées sur vos machines | 4.0.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.3 | Réduisez la surface de cyber-attaque des composants SWIFT en effectuant un renforcement du système. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | 4.1.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.3 | Réduisez la surface de cyber-attaque des composants SWIFT en effectuant un renforcement du système. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | 4.1.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.3 | Réduisez la surface de cyber-attaque des composants SWIFT en effectuant un renforcement du système. | Auditer les machines Linux qui n’ont pas les autorisations de fichier de mot de passe définies sur 0644 | 3.1.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.3 | Réduisez la surface de cyber-attaque des composants SWIFT en effectuant un renforcement du système. | Auditer les machines Windows qui contiennent des certificats arrivant à expiration dans le nombre spécifié de jours | 2.0.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.3 | Réduisez la surface de cyber-attaque des composants SWIFT en effectuant un renforcement du système. | Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible | 2.0.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.3 | Réduisez la surface de cyber-attaque des composants SWIFT en effectuant un renforcement du système. | Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux | 3.1.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.3 | Réduisez la surface de cyber-attaque des composants SWIFT en effectuant un renforcement du système. | Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | 1.2.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.3 | Réduisez la surface de cyber-attaque des composants SWIFT en effectuant un renforcement du système. | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.4A | Sécurité du flux de données du back-office | L’authentification auprès des machines Linux doit exiger des clés SSH | 3.2.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.4A | Sécurité du flux de données du back-office | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.5A | Protection des données de transmission externe | Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée | 1.0.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.5A | Protection des données de transmission externe | Faire l’audit des machines virtuelles n’utilisant aucun disque managé | 1.0.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.5A | Protection des données de transmission externe | La sauvegarde Azure doit être activée pour les machines virtuelles | 3.0.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.6 | Protéger la confidentialité et l’intégrité des sessions d’opérateur interactives qui se connectent aux applications SWIFT locales ou distantes (gérées par un fournisseur de services) aux applications SWIFT associées au fournisseur de services ou au fournisseur de services | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | 4.1.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.6 | Protéger la confidentialité et l’intégrité des sessions d’opérateur interactives qui se connectent aux applications SWIFT locales ou distantes (gérées par un fournisseur de services) aux applications SWIFT associées au fournisseur de services ou au fournisseur de services | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | 4.1.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.6 | Protéger la confidentialité et l’intégrité des sessions d’opérateur interactives qui se connectent aux applications SWIFT locales ou distantes (gérées par un fournisseur de services) aux applications SWIFT associées au fournisseur de services ou au fournisseur de services | Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | 1.2.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.6 | Protéger la confidentialité et l’intégrité des sessions d’opérateur interactives qui se connectent aux applications SWIFT locales ou distantes (gérées par un fournisseur de services) aux applications SWIFT associées au fournisseur de services ou au fournisseur de services | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.6 | Protéger la confidentialité et l’intégrité des sessions d’opérateur interactives qui se connectent aux applications SWIFT locales ou distantes (gérées par un fournisseur de services) aux applications SWIFT associées au fournisseur de services ou au fournisseur de services | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Ouverture de session interactive » | 3.0.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.7 | Identifiez les vulnérabilités connues dans l’environnement SWIFT local en implémentant un processus d’analyse des vulnérabilités standard et en agissant sur les résultats. | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.7 | Identifiez les vulnérabilités connues dans l’environnement SWIFT local en implémentant un processus d’analyse des vulnérabilités standard et en agissant sur les résultats. | Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | 3.1.0 |
| 3. Sécuriser physiquement l'environnement | 3.1 | Empêcher l’accès physique non autorisé aux équipements sensibles, aux environnements de travail, aux sites d’hébergement et au stockage. | Faire l’audit des machines virtuelles n’utilisant aucun disque managé | 1.0.0 |
| 4. Empêcher la compromission des informations d’identification | 4,1 | Assurez-vous que les mots de passe sont suffisamment résistants aux attaques courantes de mot de passe en implémentant et en appliquant une stratégie de mot de passe effective. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | 4.1.0 |
| 4. Empêcher la compromission des informations d’identification | 4,1 | Assurez-vous que les mots de passe sont suffisamment résistants aux attaques courantes de mot de passe en implémentant et en appliquant une stratégie de mot de passe effective. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | 4.1.0 |
| 4. Empêcher la compromission des informations d’identification | 4,1 | Assurez-vous que les mots de passe sont suffisamment résistants aux attaques courantes de mot de passe en implémentant et en appliquant une stratégie de mot de passe effective. | Auditer les machines Linux qui autorisent les connexions à distance à partir de comptes sans mot de passe | 3.1.0 |
| 4. Empêcher la compromission des informations d’identification | 4,1 | Assurez-vous que les mots de passe sont suffisamment résistants aux attaques courantes de mot de passe en implémentant et en appliquant une stratégie de mot de passe effective. | Auditer les machines Linux qui ont des comptes sans mot de passe | 3.1.0 |
| 4. Empêcher la compromission des informations d’identification | 4,1 | Assurez-vous que les mots de passe sont suffisamment résistants aux attaques courantes de mot de passe en implémentant et en appliquant une stratégie de mot de passe effective. | Auditer les machines Windows qui autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques | 2.1.0 |
| 4. Empêcher la compromission des informations d’identification | 4,1 | Assurez-vous que les mots de passe sont suffisamment résistants aux attaques courantes de mot de passe en implémentant et en appliquant une stratégie de mot de passe effective. | Auditer les machines Windows dont la durée de vie maximale du mot de passe n’est pas définie sur le nombre de jours spécifié | 2.1.0 |
| 4. Empêcher la compromission des informations d’identification | 4,1 | Assurez-vous que les mots de passe sont suffisamment résistants aux attaques courantes de mot de passe en implémentant et en appliquant une stratégie de mot de passe effective. | Auditer les machines Windows dont la durée de vie minimale du mot de passe n’est pas définie sur le nombre de jours spécifié | 2.1.0 |
| 4. Empêcher la compromission des informations d’identification | 4,1 | Assurez-vous que les mots de passe sont suffisamment résistants aux attaques courantes de mot de passe en implémentant et en appliquant une stratégie de mot de passe effective. | Auditer les machines Windows qui n’ont pas le paramètre de complexité de mot de passe activé | 2.0.0 |
| 4. Empêcher la compromission des informations d’identification | 4,1 | Assurez-vous que les mots de passe sont suffisamment résistants aux attaques courantes de mot de passe en implémentant et en appliquant une stratégie de mot de passe effective. | Auditer les machines Windows qui ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié | 2.1.0 |
| 4. Empêcher la compromission des informations d’identification | 4,1 | Assurez-vous que les mots de passe sont suffisamment résistants aux attaques courantes de mot de passe en implémentant et en appliquant une stratégie de mot de passe effective. | Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux | 3.1.0 |
| 4. Empêcher la compromission des informations d’identification | 4,1 | Assurez-vous que les mots de passe sont suffisamment résistants aux attaques courantes de mot de passe en implémentant et en appliquant une stratégie de mot de passe effective. | Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | 1.2.0 |
| 5. Gérer les identités et séparer les privilèges | 5,1 | Appliquez les principes de sécurité de l’accès nécessaire, du privilège minimum et de la séparation des tâches pour les comptes d’opérateur. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | 4.1.0 |
| 5. Gérer les identités et séparer les privilèges | 5,1 | Appliquez les principes de sécurité de l’accès nécessaire, du privilège minimum et de la séparation des tâches pour les comptes d’opérateur. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | 4.1.0 |
| 5. Gérer les identités et séparer les privilèges | 5,1 | Appliquez les principes de sécurité de l’accès nécessaire, du privilège minimum et de la séparation des tâches pour les comptes d’opérateur. | Auditer les machines Windows qui contiennent des certificats arrivant à expiration dans le nombre spécifié de jours | 2.0.0 |
| 5. Gérer les identités et séparer les privilèges | 5,1 | Appliquez les principes de sécurité de l’accès nécessaire, du privilège minimum et de la séparation des tâches pour les comptes d’opérateur. | Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | 1.2.0 |
| 5. Gérer les identités et séparer les privilèges | 5.2 | Veillez à la gestion, le suivi et l’utilisation appropriés de l’authentification matérielle connectée et déconnectée ou des jetons personnels (quand des jetons sont utilisés). | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| 5. Gérer les identités et séparer les privilèges | 5.4 | Protéger physiquement et logiquement le référentiel des mots de passe enregistrés. | Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible | 2.0.0 |
| 6. Détecter les activités anormales dans les systèmes ou les enregistrements de transaction | 6.1 | Assurez-vous que l’infrastructure SWIFT locale est protégée contre les programmes malveillants et agit en fonction des résultats. | Microsoft Antimalware pour Azure doit être configuré pour mettre à jour automatiquement les signatures de protection | 1.0.0 |
| 6. Détecter les activités anormales dans les systèmes ou les enregistrements de transaction | 6.1 | Assurez-vous que l’infrastructure SWIFT locale est protégée contre les programmes malveillants et agit en fonction des résultats. | L’extension Microsoft IaaSAntimalware doit être déployée sur des serveurs Windows | 1.1.0 |
| 6. Détecter les activités anormales dans les systèmes ou les enregistrements de transaction | 6.4 | Enregistrez les événements de sécurité, puis détectez les actions et les opérations anormales dans l’environnement SWIFT local. | [Préversion] : L’extension Log Analytics doit être activée pour les images de machine virtuelle listées | 2.0.1-preview |
| 6. Détecter les activités anormales dans les systèmes ou les enregistrements de transaction | 6.4 | Enregistrez les événements de sécurité, puis détectez les actions et les opérations anormales dans l’environnement SWIFT local. | [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | 1.0.2-preview |
| 6. Détecter les activités anormales dans les systèmes ou les enregistrements de transaction | 6.4 | Enregistrez les événements de sécurité, puis détectez les actions et les opérations anormales dans l’environnement SWIFT local. | [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | 1.0.2-preview |
| 6. Détecter les activités anormales dans les systèmes ou les enregistrements de transaction | 6.4 | Enregistrez les événements de sécurité, puis détectez les actions et les opérations anormales dans l’environnement SWIFT local. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | 4.1.0 |
| 6. Détecter les activités anormales dans les systèmes ou les enregistrements de transaction | 6.4 | Enregistrez les événements de sécurité, puis détectez les actions et les opérations anormales dans l’environnement SWIFT local. | Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | 4.1.0 |
| 6. Détecter les activités anormales dans les systèmes ou les enregistrements de transaction | 6.4 | Enregistrez les événements de sécurité, puis détectez les actions et les opérations anormales dans l’environnement SWIFT local. | Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée | 1.0.0 |
| 6. Détecter les activités anormales dans les systèmes ou les enregistrements de transaction | 6.4 | Enregistrez les événements de sécurité, puis détectez les actions et les opérations anormales dans l’environnement SWIFT local. | La sauvegarde Azure doit être activée pour les machines virtuelles | 3.0.0 |
| 6. Détecter les activités anormales dans les systèmes ou les enregistrements de transaction | 6.4 | Enregistrez les événements de sécurité, puis détectez les actions et les opérations anormales dans l’environnement SWIFT local. | Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | 1.2.0 |
| 6. Détecter les activités anormales dans les systèmes ou les enregistrements de transaction | 6.4 | Enregistrez les événements de sécurité, puis détectez les actions et les opérations anormales dans l’environnement SWIFT local. | L’extension Log Analytics doit être activée dans les groupes de machines virtuelles identiques pour les images de machines virtuelles répertoriées | 2.0.1 |
| 6. Détecter les activités anormales dans les systèmes ou les enregistrements de transaction | 6.4 | Enregistrez les événements de sécurité, puis détectez les actions et les opérations anormales dans l’environnement SWIFT local. | L’extension Log Analytics doit être installée sur les groupes de machines virtuelles identiques | 1.0.1 |
| 6. Détecter les activités anormales dans les systèmes ou les enregistrements de transaction | 6.4 | Enregistrez les événements de sécurité, puis détectez les actions et les opérations anormales dans l’environnement SWIFT local. | L’extension Log Analytics doit être installée sur les machines virtuelles | 1.0.1 |
| 6. Détecter les activités anormales dans les systèmes ou les enregistrements de transaction | 6.5A | Détectez puis maîtrisez une activité réseau anormale en direction et à l’intérieur l’environnement SWIFT local ou distant. | [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | 1.0.2-preview |
| 6. Détecter les activités anormales dans les systèmes ou les enregistrements de transaction | 6.5A | Détectez puis maîtrisez une activité réseau anormale en direction et à l’intérieur l’environnement SWIFT local ou distant. | [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | 1.0.2-preview |
Contrôles d’organisation et de Système (SOC) 2
Pour passer en revue la façon dont les intégrations Azure Policy disponibles pour tous les services Azure correspondent à cette norme de conformité, consultez Détails de la conformité réglementaire Azure Policy pour SOC (System and Organization Controls) 2. Pour obtenir plus d’informations sur cette norme de conformité, consultez SOC (System and Organization Controls) 2.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Critères supplémentaires pour la disponibilité | A1.2 | Protections de l’environnement, logiciels, processus de sauvegarde des données et infrastructure de récupération | La sauvegarde Azure doit être activée pour les machines virtuelles | 3.0.0 |
| Évaluation des risques | CC3.2 | Principe 7 de COSO | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| Contrôles d'accès logiques et physiques | CC6.1 | Architectures, infrastructure et logiciels de sécurité d'accès logique | Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | 3.0.0 |
| Contrôles d'accès logiques et physiques | CC6.1 | Architectures, infrastructure et logiciels de sécurité d’accès logique | L’authentification auprès des machines Linux doit exiger des clés SSH | 3.2.0 |
| Contrôles d’accès logiques et physiques | CC6.1 | Architectures, infrastructure et logiciels de sécurité d'accès logique | Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| Contrôles d'accès logiques et physiques | CC6.1 | Architectures, infrastructure et logiciels de sécurité d'accès logique | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| Contrôles d'accès logiques et physiques | CC6.1 | Architectures, infrastructure et logiciels de sécurité d'accès logique | Les ports de gestion doivent être fermés sur vos machines virtuelles | 3.0.0 |
| Contrôles d'accès logiques et physiques | CC6.1 | Architectures, infrastructure et logiciels de sécurité d'accès logique | Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| Contrôles d'accès logiques et physiques | CC6.1 | Architectures, infrastructure et logiciels de sécurité d’accès logique | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| Contrôles d’accès logiques et physiques | CC6.6 | Mesures de sécurité contre les menaces extérieures aux limites du système | Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | 3.0.0 |
| Contrôles d’accès logiques et physiques | CC6.6 | Mesures de sécurité contre les menaces extérieures aux limites du système | L’authentification auprès des machines Linux doit exiger des clés SSH | 3.2.0 |
| Contrôles d’accès logiques et physiques | CC6.6 | Mesures de sécurité contre les menaces extérieures aux limites du système | Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| Contrôles d’accès logiques et physiques | CC6.6 | Mesures de sécurité contre les menaces extérieures aux limites du système | Le transfert IP doit être désactivé sur votre machine virtuelle | 3.0.0 |
| Contrôles d’accès logiques et physiques | CC6.6 | Mesures de sécurité contre les menaces extérieures aux limites du système | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| Contrôles d’accès logiques et physiques | CC6.6 | Mesures de sécurité contre les menaces extérieures aux limites du système | Les ports de gestion doivent être fermés sur vos machines virtuelles | 3.0.0 |
| Contrôles d’accès logiques et physiques | CC6.6 | Mesures de sécurité contre les menaces extérieures aux limites du système | Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| Contrôles d’accès logiques et physiques | CC6.6 | Mesures de sécurité contre les menaces extérieures aux limites du système | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| Contrôles d’accès logiques et physiques | CC6.7 | Réserver uniquement la diffusion des informations aux utilisateurs autorisés | Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | 3.0.0 |
| Contrôles d’accès logiques et physiques | CC6.7 | Réserver uniquement la diffusion des informations aux utilisateurs autorisés | Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| Contrôles d’accès logiques et physiques | CC6.7 | Réserver uniquement la diffusion des informations aux utilisateurs autorisés | Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | 3.0.0 |
| Contrôles d’accès logiques et physiques | CC6.7 | Réserver uniquement la diffusion des informations aux utilisateurs autorisés | Les ports de gestion doivent être fermés sur vos machines virtuelles | 3.0.0 |
| Contrôles d’accès logiques et physiques | CC6.7 | Réserver uniquement la diffusion des informations aux utilisateurs autorisés | Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | 3.0.0 |
| Contrôles d’accès logiques et physiques | CC6.7 | Réserver uniquement la diffusion des informations aux utilisateurs autorisés | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| Contrôles d’accès logiques et physiques | CC6.8 | Prévenir ou détecter les logiciels non autorisés ou malveillants | [Préversion] : L’extension Attestation d’invité doit être installée sur les machines virtuelles Linux prises en charge | 6.0.0-preview |
| Contrôles d'accès logiques et physiques | CC6.8 | Prévenir ou détecter les logiciels non autorisés ou malveillants | [Préversion] : L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Linux prises en charge | 5.1.0-preview |
| Contrôles d'accès logiques et physiques | CC6.8 | Prévenir ou détecter les logiciels non autorisés ou malveillants | [Préversion] : L’extension Attestation d’invité doit être installée sur les machines virtuelles Windows prises en charge | 4.0.0-preview |
| Contrôles d'accès logiques et physiques | CC6.8 | Prévenir ou détecter les logiciels non autorisés ou malveillants | [Préversion] : L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Windows prises en charge | 3.1.0-preview |
| Contrôles d'accès logiques et physiques | CC6.8 | Prévenir ou détecter les logiciels non autorisés ou malveillants | [Préversion] : Le démarrage sécurisé doit être activé sur les machines virtuelles Windows prises en charge | 4.0.0-preview |
| Contrôles d'accès logiques et physiques | CC6.8 | Prévenir ou détecter les logiciels non autorisés ou malveillants | [Préversion] : vTPM doit être activé sur les machines virtuelles prises en charge | 2.0.0-preview |
| Contrôles d'accès logiques et physiques | CC6.8 | Prévenir ou détecter les logiciels non autorisés ou malveillants | Faire l’audit des machines virtuelles n’utilisant aucun disque managé | 1.0.0 |
| Contrôles d’accès logiques et physiques | CC6.8 | Prévenir ou détecter les logiciels non autorisés ou malveillants | L’extension Guest Configuration doit être installée sur vos machines | 1.0.3 |
| Contrôles d'accès logiques et physiques | CC6.8 | Prévenir ou détecter les logiciels non autorisés ou malveillants | Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute | 2.2.0 |
| Contrôles d’accès logiques et physiques | CC6.8 | Prévenir ou détecter les logiciels non autorisés ou malveillants | Seules les extensions de machine virtuelle approuvées doivent être installées | 1.0.0 |
| Contrôles d’accès logiques et physiques | CC6.8 | Prévenir ou détecter les logiciels non autorisés ou malveillants | L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | 1.0.1 |
| Contrôles d'accès logiques et physiques | CC6.8 | Prévenir ou détecter les logiciels non autorisés ou malveillants | Les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute | 2.0.0 |
| Opérations du système | CC7.1 | Détection et analyse des nouvelles vulnérabilités | Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | 3.0.0 |
| Opérations du système | CC7.2 | Analyser les composants du système pour détecter tout comportement anormal | Windows Defender Exploit Guard doit être activé sur vos machines | 2.0.0 |
| Gestion des changements | CC8.1 | Modifications apportées à l'infrastructure, aux données et aux logiciels | [Préversion] : L’extension Attestation d’invité doit être installée sur les machines virtuelles Linux prises en charge | 6.0.0-preview |
| Gestion des changements | CC8.1 | Modifications apportées à l'infrastructure, aux données et aux logiciels | [Préversion] : L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Linux prises en charge | 5.1.0-preview |
| Gestion des changements | CC8.1 | Modifications apportées à l'infrastructure, aux données et aux logiciels | [Préversion] : L’extension Attestation d’invité doit être installée sur les machines virtuelles Windows prises en charge | 4.0.0-preview |
| Gestion des changements | CC8.1 | Modifications apportées à l'infrastructure, aux données et aux logiciels | [Préversion] : L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Windows prises en charge | 3.1.0-preview |
| Gestion des changements | CC8.1 | Modifications apportées à l'infrastructure, aux données et aux logiciels | [Préversion] : Le démarrage sécurisé doit être activé sur les machines virtuelles Windows prises en charge | 4.0.0-preview |
| Gestion des changements | CC8.1 | Modifications apportées à l'infrastructure, aux données et aux logiciels | [Préversion] : vTPM doit être activé sur les machines virtuelles prises en charge | 2.0.0-preview |
| Gestion des changements | CC8.1 | Modifications apportées à l'infrastructure, aux données et aux logiciels | Faire l’audit des machines virtuelles n’utilisant aucun disque managé | 1.0.0 |
| Gestion des changements | CC8.1 | Modifications apportées à l'infrastructure, aux données et aux logiciels | L’extension Guest Configuration doit être installée sur vos machines | 1.0.3 |
| Gestion des changements | CC8.1 | Modifications apportées à l’infrastructure, aux données et aux logiciels | Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute | 2.2.0 |
| Gestion des changements | CC8.1 | Modifications apportées à l'infrastructure, aux données et aux logiciels | Seules les extensions de machine virtuelle approuvées doivent être installées | 1.0.0 |
| Gestion des changements | CC8.1 | Modifications apportées à l'infrastructure, aux données et aux logiciels | L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | 1.0.1 |
| Gestion des changements | CC8.1 | Modifications apportées à l’infrastructure, aux données et aux logiciels | Les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute | 2.0.0 |
| Critères supplémentaires de traitement de l'intégrité | PI1.5 | Stocker des entrées et des sorties complètement, précisément et en temps opportun | La sauvegarde Azure doit être activée pour les machines virtuelles | 3.0.0 |
UK OFFICIAL et UK NHS
Pour voir comment les composants intégrés Azure Policy disponibles de tous les services Azure répondent à cette norme de conformité, consultez Conformité réglementaire Azure Policy – UK OFFICIAL et UK NHS. Pour plus d’informations sur cette norme de conformité, consultez UK OFFICIAL.
Étapes suivantes
- Apprenez-en davantage sur la Conformité réglementaire d’Azure Policy.
- Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub.