Base de référence de sécurité Azure pour Virtual Machine Scale Sets
Cette base de référence de sécurité applique les conseils du benchmark de sécurité cloud Microsoft version 1.0 à Virtual Machine Scale Sets. Le Benchmark de sécurité Microsoft Cloud fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé selon les contrôles de sécurité définis par le benchmark de sécurité cloud Microsoft et les conseils associés applicables aux Virtual Machine Scale Sets.
Vous pouvez superviser cette base de référence de la sécurité et ses recommandations en utilisant Microsoft Defender pour le cloud. Azure Policy définitions sont répertoriées dans la section Conformité réglementaire de la page Microsoft Defender pour le portail cloud.
Lorsqu’une fonctionnalité a des définitions de Azure Policy pertinentes, elles sont répertoriées dans cette base de référence pour vous aider à mesurer la conformité avec les contrôles et recommandations du benchmark de sécurité cloud Microsoft. Certaines recommandations peuvent nécessiter un plan de Microsoft Defender payant pour activer certains scénarios de sécurité.
Notes
Les fonctionnalités non applicables à Virtual Machine Scale Sets ont été exclues. Pour voir comment Virtual Machine Scale Sets est entièrement mappé au benchmark de sécurité cloud Microsoft, consultez le fichier de mappage complet de la base de référence de sécurité Virtual Machine Scale Sets.
Profil de sécurité
Le profil de sécurité résume les comportements à fort impact de Virtual Machine Scale Sets, ce qui peut entraîner des considérations de sécurité accrues.
| Attribut de comportement du service | Valeur |
|---|---|
| Catégorie de produit | Compute |
| Le client peut accéder à HOST/OS | Accès total |
| Le service peut être déployé dans le réseau virtuel du client | True |
| Stocke le contenu client au repos | True |
Sécurité du réseau
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Sécurité réseau.
NS-1 : Établir des limites de segmentation réseau
Fonctionnalités
Intégration du réseau virtuel
Description : Le service prend en charge le déploiement dans le Réseau virtuel privé (VNet) du client. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | True | Microsoft |
Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
Référence : Réseaux virtuels et machines virtuelles dans Azure
Prise en charge des groupes de sécurité réseau
Description : Le trafic réseau de service respecte l’attribution de règles groupes de sécurité réseau sur ses sous-réseaux. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : Utilisez des groupes de sécurité réseau (NSG) pour restreindre ou surveiller le trafic par port, protocole, adresse IP source ou adresse IP de destination. Créez des règles NSG pour restreindre les ports ouverts de votre service (par exemple, pour empêcher l’accès aux ports de gestion à partir de réseaux non approuvés). N’oubliez pas que par défaut, les groupes de sécurité réseau refusent tout le trafic entrant, mais autorisent le trafic provenant du réseau virtuel et d’équilibreurs de charge Azure.
Lorsque vous créez une machine virtuelle Azure, vous devez créer un réseau virtuel ou utiliser un réseau virtuel existant et configurer la machine virtuelle avec un sous-réseau. Veillez à ce qu’un groupe de sécurité réseau soit appliqué à tous les sous-réseaux déployés avec des contrôles d’accès réseau propres aux ports et sources approuvés de votre application.
Référence : Groupes de sécurité réseau
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.Compute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet | Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle | AuditIfNotExists, Désactivé | 3.0.0 |
NS-2 : Sécuriser les services cloud avec des contrôles réseau
Fonctionnalités
Désactiver l’accès public au réseau
Description : le service prend en charge la désactivation de l’accès au réseau public à l’aide d’une règle de filtrage de liste de contrôle d’accès IP au niveau du service (pas de groupe de sécurité réseau ou de Pare-feu Azure) ou à l’aide d’un commutateur bascule « Désactiver l’accès réseau public ». Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Remarques sur les fonctionnalités : les services installés avec le système d’exploitation peuvent être utilisés pour fournir un filtrage réseau pour désactiver l’accès au réseau public.
Conseils de configuration : Il n’existe aucune aide Microsoft actuelle pour cette configuration de fonctionnalité. Vérifiez et déterminez si votre organization souhaite configurer cette fonctionnalité de sécurité.
Gestion des identités
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Gestion des identités.
IM-1 : utiliser le système centralisé d’identité et d’authentification
Fonctionnalités
Azure AD Authentication requis pour l’accès au plan de données
Description : Le service prend en charge l’utilisation de l’authentification Azure AD pour l’accès au plan de données. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : Utilisez Azure Active Directory (Azure AD) comme méthode d’authentification par défaut pour contrôler l’accès à votre plan de données. Azure AD protège les données en utilisant un chiffrement fort pour les données au repos et en transit. De plus, AAD sale, hache et stocke de manière sécurisée les informations d’identification utilisateur. Vous pouvez utiliser des identités managées pour vous authentifier auprès d’un service qui prend en charge l’authentification Azure AD, notamment Key Vault, sans informations d’identification dans votre code. Votre code, qui s’exécute sur une machine virtuelle, peut utiliser son identité managée pour faire une demande de jetons d’accès pour les services qui prennent en charge l’authentification Azure AD.
Référence : Implémentation de la jointure Azure AD
Méthodes d’authentification locales pour l’accès au plan de données
Description : méthodes d’authentification locales prises en charge pour l’accès au plan de données, telles qu’un nom d’utilisateur et un mot de passe locaux. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | True | Microsoft |
Remarques sur les fonctionnalités : évitez d’utiliser des comptes ou des méthodes d’authentification locaux. Ceux-ci doivent être désactivés dans la mesure du possible. Utilisez plutôt Azure AD pour vous authentifier lorsque cela est possible.
Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
IM-3 : gérer les identités d’application de façon sécurisée et automatique
Fonctionnalités
Identités managées
Description : les actions du plan de données prennent en charge l’authentification à l’aide d’identités managées. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : Utilisez des identités managées Azure au lieu des principaux de service lorsque cela est possible, qui peuvent s’authentifier auprès des services et ressources Azure qui prennent en charge l’authentification Azure Active Directory (Azure AD). La plateforme assure entièrement la gestion, la rotation et la protection des informations d’identification d’identité managée, ce qui évite les informations d’identification codées en dur dans le code source ou les fichiers de configuration.
Référence : Identités managées pour les ressources Azure
Principaux de service
Description : Le plan de données prend en charge l’authentification à l’aide de principaux de service. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | False | Client |
Remarques sur les fonctionnalités : les principaux de service peuvent être utilisés par les applications qui s’exécutent dans Virtual Machine Scale Sets.
Conseils de configuration : Il n’existe aucune aide Microsoft actuelle pour cette configuration de fonctionnalité. Vérifiez et déterminez si votre organization souhaite configurer cette fonctionnalité de sécurité.
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.Compute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol | AuditIfNotExists, Désactivé | 1.0.1 |
IM-8 : restreindre l’exposition des informations d’identification et des secrets
Fonctionnalités
Prise en charge de l’intégration et du stockage des informations d’identification et des secrets de service dans Azure Key Vault
Description : Le plan de données prend en charge l’utilisation native d’Azure Key Vault pour le magasin d’informations d’identification et de secrets. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | False | Client |
Remarques sur les fonctionnalités : Dans le plan de données ou le système d’exploitation, les services peuvent appeler Azure Key Vault pour obtenir des informations d’identification ou des secrets.
Conseils de configuration : Assurez-vous que les secrets et les informations d’identification sont stockés dans des emplacements sécurisés tels que Azure Key Vault, au lieu de les incorporer dans du code ou des fichiers de configuration.
Accès privilégié
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Accès privilégié.
PA-1 : Séparer et limiter les utilisateurs hautement privilégiés/administratifs
Fonctionnalités
Comptes Administration locaux
Description : le service a le concept d’un compte d’administration local. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | True | Microsoft |
Remarques sur les fonctionnalités : évitez d’utiliser des comptes ou des méthodes d’authentification locaux. Ceux-ci doivent être désactivés dans la mesure du possible. Utilisez plutôt Azure AD pour vous authentifier lorsque cela est possible.
Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
Référence : Créer des machines virtuelles dans un groupe identique à l’aide de Portail Azure
PA-7 : Suivre le principe JEA, Just Enough Administration (privilège minimum)
Fonctionnalités
Azure RBAC pour le plan de données
Description : Azure Role-Based Access Control (Azure RBAC) peut être utilisé pour gérer l’accès aux actions du plan de données du service. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | False | Client |
Conseils de configuration : Utilisez le contrôle d’accès en fonction du rôle Azure (Azure RBAC) pour gérer l’accès aux ressources Azure via des attributions de rôles intégrées. Les rôles RBAC Azure peuvent être attribués à des utilisateurs, des groupes, des principaux de service et des identités managées.
Référence : Rôle intégré pour contributeur de machine virtuelle
PA-8 : Déterminer le processus d’accès pour la prise en charge du fournisseur de services cloud
Fonctionnalités
Customer Lockbox
Description : Customer Lockbox peut être utilisé pour l’accès au support Microsoft. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : Dans les scénarios de support où Microsoft doit accéder à vos données, utilisez Customer Lockbox pour passer en revue, puis approuver ou rejeter chacune des demandes d’accès aux données de Microsoft.
Protection des données
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Protection des données.
DP-1 : Découvrir, classer et étiqueter des données sensibles
Fonctionnalités
Découverte et classification des données sensibles
Description : Les outils (tels qu’Azure Purview ou Azure Information Protection) peuvent être utilisés pour la découverte et la classification des données dans le service. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| False | Non applicable | Non applicable |
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
DP-2 : surveiller les anomalies et les menaces ciblant les données sensibles
Fonctionnalités
Protection contre les fuites/pertes de données
Description : Le service prend en charge la solution DLP pour surveiller le déplacement des données sensibles (dans le contenu du client). Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| False | Non applicable | Non applicable |
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
DP-3 : chiffrer les données sensibles en transit
Fonctionnalités
Chiffrement des données en transit
Description : Le service prend en charge le chiffrement des données en transit pour le plan de données. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Remarques sur les fonctionnalités : certains protocoles de communication tels que SSH sont chiffrés par défaut. Toutefois, des services tels que RDP ou HTTP doivent être configurés pour utiliser TLS pour le chiffrement.
Conseils de configuration : Activez le transfert sécurisé dans les services où il existe une fonctionnalité de chiffrement de données natives dans le transit intégrée. Appliquez HTTPS à tous les services et applications web et assurez-vous que TLS v1.2 ou version ultérieure est utilisé. Les versions héritées telles que SSL 3.0 et TLS v1.0 doivent être désactivées. Pour la gestion à distance de Machines Virtuelles, utilisez SSH (pour Linux) ou RDP/TLS (pour Windows) au lieu d’un protocole non chiffré.
Référence : Chiffrement en transit dans les machines virtuelles
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.Compute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les machines Windows doivent être configurées pour utiliser des protocoles de communication sécurisés | Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. | AuditIfNotExists, Désactivé | 4.1.1 |
DP-4 : activer le chiffrement des données au repos par défaut
Fonctionnalités
Chiffrement des données au repos à l’aide de clés de plateforme
Description : Le chiffrement des données au repos à l’aide de clés de plateforme est pris en charge. Tout contenu client au repos est chiffré avec ces clés gérées par Microsoft. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | True | Microsoft |
Remarques de fonctionnalité : En plus du chiffrement standard avec des clés gérées par la plateforme, les clients à haute sécurité qui se préoccupent du risque associé à un algorithme de chiffrement, à une implémentation ou à une clé compromise peuvent désormais opter pour une couche supplémentaire de chiffrement à l’aide d’un autre algorithme/mode de chiffrement au niveau de la couche d’infrastructure à l’aide de clés de chiffrement gérées par la plateforme et de clés gérées par le client. Cette nouvelle couche peut être appliquée systèmes d’exploitation et disques de données persistants, à des captures instantanées et à des images, qui seront toutes chiffrées au repos avec un double chiffrement.
Pour plus d’informations, consultez : Chiffrement double au repos.
Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
Référence : Azure Disk Encryption pour Virtual Machine Scale Sets
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.Compute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : les machines virtuelles Linux doivent activer Azure Disk Encryption ou EncryptionAtHost. | Par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme. Les disques temporaires et les caches de données ne sont pas chiffrés, de même que les données lors de leur transmission entre des ressources de calcul et de stockage. Utilisez Azure Disk Encryption ou EncryptionAtHost pour chiffrer toutes ces données. Consultez la page https://aka.ms/diskencryptioncomparison pour comparer les offres de chiffrement. Cette stratégie nécessite deux conditions préalables pour être déployée dans l’étendue de l’affectation de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.2.0-preview |
DP-5 : utiliser l’option de clé gérée par le client dans le chiffrement des données au repos si nécessaire
Fonctionnalités
Chiffrement des données au repos à l’aide de CMK
Description : le chiffrement des données au repos à l’aide de clés gérées par le client est pris en charge pour le contenu client stocké par le service. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : si nécessaire pour la conformité réglementaire, définissez le cas d’usage et l’étendue du service où le chiffrement à l’aide de clés gérées par le client est nécessaire. Activez et implémentez le chiffrement des données au repos à l’aide de la clé gérée par le client dans ces services.
Les disques virtuels sur Machines Virtuelles sont chiffrés au repos à l’aide du chiffrement côté serveur ou d’Azure Disk Encryption (ADE). Azure Disk Encryption utilise la fonctionnalité DM-Crypt de Linux pour chiffrer les disques managés avec des clés gérées par le client au sein de la machine virtuelle invitée. Le chiffrement côté serveur avec des clés gérées par le client améliore l’utilisation de Azure Disk Encryption en vous permettant d’utiliser des types et des images de système d’exploitation pour vos machines virtuelles en chiffrant les données dans le service de stockage.
Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. Les clés gérées par le client offrent davantage de flexibilité pour gérer les contrôles d’accès. Vous devez utiliser Azure Key Vault ou azure Key Vault Module de sécurité matérielle managée (HSM) pour stocker vos clés gérées par le client.
Vous pouvez importer vos clés RSA vers votre Key Vault ou générer de nouvelles clés RSA dans Azure Key Vault. Les disques managés Azure gèrent le chiffrement et le déchiffrement de manière entièrement transparente à l’aide du chiffrement d’enveloppe. Ils chiffrent les données à l’aide d’une clé de chiffrement de données AES 256, qui est à son tour protégée à l’aide de vos clés. Le service Stockage génère des clés de chiffrement de données et les chiffre avec des clés gérées par le client à l’aide du chiffrement RSA. Le chiffrement d’enveloppe vous permet de faire pivoter (modifier) régulièrement vos clés en fonction de vos stratégies de conformité sans perturber le fonctionnement de vos machines virtuelles. Lorsque vous faites pivoter vos clés, le service Stockage rechiffre les clés de chiffrement de données avec les nouvelles clés gérées par le client.
Les disques managés et le coffre de clés ou le HSM managé doivent se trouver dans la même région Azure, mais ils peuvent appartenir à des abonnements différents. Ils doivent également se trouver dans le même locataire Azure Active Directory (Azure AD), sauf si vous chiffrez des disques managés avec des clés gérées par le client entre locataires.
Référence : Création et configuration d’un coffre de clés pour Azure Disk Encryption
DP-6 : Utiliser un processus sécurisé de gestion de clés
Fonctionnalités
Gestion des clés dans Azure Key Vault
Description : Le service prend en charge l’intégration d’Azure Key Vault pour les clés client, les secrets ou les certificats. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : Utilisez Azure Key Vault pour créer et contrôler le cycle de vie de vos clés de chiffrement, y compris la génération, la distribution et le stockage des clés. Faites pivoter et révoquez vos clés dans Azure Key Vault et votre service en fonction d’une planification définie ou en cas de mise hors service ou de compromission de clé. Lorsqu’il est nécessaire d’utiliser une clé gérée par le client (CMK) au niveau de la charge de travail, du service ou de l’application, veillez à suivre les meilleures pratiques pour la gestion des clés : utilisez une hiérarchie de clés pour générer une clé de chiffrement de données distincte (DEK) avec votre clé de chiffrement de clé (KEK) dans votre coffre de clés. Vérifiez que les clés sont inscrites auprès d’Azure Key Vault et référencées via les ID de clé du service ou de l’application. Si vous devez apporter votre propre clé (BYOK) au service (par exemple, l’importation de clés protégées par HSM à partir de vos HSM locaux dans Azure Key Vault), suivez les instructions recommandées pour effectuer la génération initiale de clés et le transfert de clé.
Référence : Création et configuration d’un coffre de clés pour Azure Disk Encryption
Gestion des ressources
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Gestion des ressources.
AM-2 : Utiliser uniquement des services approuvés
Fonctionnalités
Prise en charge d’Azure Policy
Description : les configurations de service peuvent être surveillées et appliquées via Azure Policy. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : Azure Policy pouvez définir le comportement souhaité pour les machines virtuelles Windows et Linux de votre organization. À l’aide de stratégies, un organization peut appliquer diverses conventions et règles dans l’ensemble de l’entreprise et définir et implémenter des configurations de sécurité standard pour Azure Virtual Machine Scale Sets. L’application du comportement souhaité peut vous aider à atténuer les risques tout en contribuant à la réussite de l'organisation.
Référence : Définitions de Azure Policy intégrées pour Virtual Machine Scale Sets
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.Compute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager | Utilisez le nouvel Azure Resource Manager pour renforcer la sécurité de vos machines virtuelles : contrôle d’accès en fonction du rôle (RBAC) renforcé, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, et prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité. | Audit, Refuser, Désactivé | 1.0.0 |
AM-5 : Utiliser uniquement des applications approuvées dans une machine virtuelle
Fonctionnalités
Microsoft Defender pour le cloud - Contrôles d’application adaptatifs
Description : le service peut limiter les applications clientes qui s’exécutent sur la machine virtuelle à l’aide de contrôles d’application adaptatifs dans Microsoft Defender pour le cloud. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : utilisez Microsoft Defender pour les contrôles d’application adaptatifs cloud afin de découvrir les applications s’exécutant sur des machines virtuelles et de générer une liste verte d’applications afin de déterminer quelles applications approuvées peuvent s’exécuter dans l’environnement de machine virtuelle.
Référence : Utiliser des contrôles d’application adaptatifs pour réduire les surfaces d’attaque de vos machines
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.Compute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines | Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables. | AuditIfNotExists, Désactivé | 3.0.0 |
Journalisation et détection des menaces
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : journalisation et détection des menaces.
LT-1 : activer les fonctionnalités de détection des menaces
Fonctionnalités
Microsoft Defender pour les offres de services/produits
Description : le service dispose d’une solution de Microsoft Defender spécifique à l’offre pour surveiller et alerter sur les problèmes de sécurité. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | False | Client |
Conseils de configuration : Defender pour serveurs étend la protection à vos machines Windows et Linux s’exécutant dans Azure. Defender pour les serveurs s’intègre à Microsoft Defender pour point de terminaison pour fournir la détection et la réponse des points de terminaison (EDR), et fournit également une foule de fonctionnalités de protection contre les menaces supplémentaires, telles que les bases de référence de sécurité et les évaluations au niveau du système d’exploitation, l’analyse de l’évaluation des vulnérabilités, les contrôles d’application adaptatifs (AAC), la surveillance de l’intégrité des fichiers (FIM), et bien plus encore.
Référence : Vue d’ensemble de Microsoft Defender pour les serveurs
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.Compute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Windows Defender Exploit Guard doit être activé sur vos machines | Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement). | AuditIfNotExists, Désactivé | 2.0.0 |
LT-4 : Activer la journalisation pour l’examen de sécurité
Fonctionnalités
Journaux des ressources Azure
Description : le service produit des journaux de ressources qui peuvent fournir des métriques et une journalisation améliorées spécifiques au service. Le client peut configurer ces journaux de ressources et les envoyer à son propre récepteur de données, comme un compte de stockage ou un espace de travail Log Analytics. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | False | Client |
Conseils de configuration : Azure Monitor commence à collecter automatiquement les données de métrique pour votre hôte de machine virtuelle lorsque vous créez la machine virtuelle. Toutefois, pour collecter des journaux et des données de performances à partir du système d’exploitation invité de la machine virtuelle, vous devez installer l’agent Azure Monitor. Vous pouvez installer l’agent et configurer la collecte à l’aide de VM Insights ou en créant une règle de collecte de données.
Référence : Vue d’ensemble de l’agent Log Analytics
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.Compute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
Gestion des postures et des vulnérabilités
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : posture et gestion des vulnérabilités.
PV-3 : définir et établir des configurations sécurisées pour les ressources de calcul
Fonctionnalités
Azure Automation – State Configuration
Description : Azure Automation State Configuration peut être utilisé pour maintenir la configuration de sécurité du système d’exploitation. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | False | Client |
Conseils de configuration : Utilisez Azure Automation State Configuration pour maintenir la configuration de sécurité du système d’exploitation. Azure Automation State Configuration est un service de gestion de configuration Azure qui vous permet d’écrire, de gérer et de compiler des configurations PowerShell Desired State Configuration (DSC) pour les nœuds.
Azure Automation State Configuration offre plusieurs avantages par rapport à l’utilisation de DSC en dehors d’Azure. Ce service permet de faire évoluer des milliers d’ordinateurs rapidement et facilement à partir d’un emplacement central et sécurisé. Vous pouvez facilement activer des machines, leur affecter des configurations déclaratives et afficher des rapports montrant la conformité de chaque machine avec l’état souhaité que vous spécifiez.
Référence : Utilisation de Virtual Machine Scale Sets avec l’extension Azure DSC
Agent de configuration invité Azure Policy
Description : Azure Policy’agent de configuration invité peut être installé ou déployé en tant qu’extension des ressources de calcul. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | False | Client |
Conseils de configuration : Utilisez Microsoft Defender pour cloud et Azure Policy agent de configuration invité pour évaluer et corriger régulièrement les écarts de configuration sur vos machines virtuelles.
Référence : Comprendre la fonctionnalité de configuration invité de Azure Policy
Images de machine virtuelle personnalisées
Description : Le service prend en charge l’utilisation d’images de machine virtuelle fournies par l’utilisateur ou d’images prédéfinies de la Place de marché avec certaines configurations de base pré-appliquées. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | False | Client |
Conseils de configuration : Utilisez une image renforcée préconfigurée d’un fournisseur approuvé tel que Microsoft ou créez une base de référence de configuration sécurisée souhaitée dans le modèle d’image de machine virtuelle
PV-4 : auditer et appliquer des configurations sécurisées pour les ressources de calcul
Fonctionnalités
Machine virtuelle de lancement approuvé
Description : Trusted Launch protège contre les techniques d’attaque avancées et persistantes en combinant des technologies d’infrastructure telles que le démarrage sécurisé, le vTPM et la surveillance de l’intégrité. Chaque technologie offre une couche de défense supplémentaire contre les menaces sophistiquées. Le lancement approuvé permet le déploiement sécurisé de machines virtuelles avec des chargeurs de démarrage vérifiés, des noyaux de système d’exploitation et des pilotes, et protège de manière sécurisée les clés, les certificats et les secrets dans les machines virtuelles. Le lancement approuvé fournit également des informations et des informations fiables sur l’intégrité de l’ensemble de la chaîne de démarrage et garantit que les charges de travail sont fiables et vérifiables. Le lancement approuvé est intégré à Microsoft Defender pour le cloud pour garantir que les machines virtuelles sont correctement configurées, en attestant à distance que la machine virtuelle est démarrée de manière saine. Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Remarque de fonctionnalité : Le lancement approuvé est disponible pour les machines virtuelles de génération 2. Le lancement fiable requiert la création de nouvelles machines virtuelles. Vous ne pouvez pas activer le lancement fiable sur les machines virtuelles existantes qui ont été créées initialement sans cette fonctionnalité.
Conseils de configuration : Le lancement approuvé peut être activé pendant le déploiement de la machine virtuelle. Activez les trois : démarrage sécurisé, vTPM et surveillance du démarrage d’intégrité pour garantir la meilleure posture de sécurité pour la machine virtuelle. Notez qu’il existe quelques prérequis, notamment l’intégration de votre abonnement à Microsoft Defender pour le cloud, l’attribution de certaines initiatives de Azure Policy et la configuration des stratégies de pare-feu.
Référence : Déployer une machine virtuelle avec le lancement approuvé activé
PV-5 : effectuer des évaluations des vulnérabilités
Fonctionnalités
Évaluation des vulnérabilités à l’aide de Microsoft Defender
Description : Le service peut être analysé pour l’analyse des vulnérabilités à l’aide de Microsoft Defender pour le cloud ou d’autres fonctionnalités d’évaluation des vulnérabilités incorporées des services Microsoft Defender (y compris Microsoft Defender pour le serveur, le registre de conteneurs, les App Service, SQL et DNS). Plus d’informations
| Pris en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : Suivez les recommandations de Microsoft Defender pour le cloud pour effectuer des évaluations des vulnérabilités sur vos machines virtuelles Azure.
Référence : Vue d’ensemble de Microsoft Defender pour les serveurs
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.Compute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. | AuditIfNotExists, Désactivé | 3.0.0 |
PV-6 : corriger rapidement et automatiquement les vulnérabilités
Fonctionnalités
Azure Automation Update Management
Description : le service peut utiliser Azure Automation Update Management pour déployer automatiquement des correctifs et des mises à jour. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Faux | Non applicable | Non applicable |
Remarques sur les fonctionnalités : Microsoft offre d’autres fonctionnalités pour vous aider à gérer les mises à jour de vos machines virtuelles Azure ou groupes de machines virtuelles identiques Azure que vous devez prendre en compte dans le cadre de votre stratégie globale de gestion des mises à jour.
Si vous souhaitez évaluer et mettre à jour automatiquement vos machines virtuelles Azure, afin de garantir la conformité en matière de sécurité à l’aide des mises à jour Critiques et de Sécurité publiées chaque mois, consultez Mise à jour corrective automatique d’un invité de machine virtuelle. Il s’agit d’une autre solution de gestion des mises à jour qui permet à vos machines virtuelles Azure d’être mises à jour automatiquement pendant les heures creuses, notamment les machines virtuelles d’un groupe à haute disponibilité, comparée à la gestion des déploiements de mises à jour sur ces machines virtuelles à partir d’Update Management dans Azure Automation.
Si vous gérez des groupes de machines virtuelles identiques Azure, regardez comment effectuer des Mises à niveau automatiques de l’image du système d’exploitation pour mettre à niveau le disque du système d’exploitation de toutes les instances du groupe identique de manière sécurisée et automatique.
Pour plus d’informations, consultez : Mises à niveau automatiques d’images de système d’exploitation Azure Virtual Machine Scale Set.
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
Service de mise à jour corrective invité Azure
Description : le service peut utiliser Azure Guest Patching pour déployer automatiquement des correctifs et des mises à jour. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Faux | Client |
Conseils de configuration : Les services peuvent tirer parti des différents mécanismes de mise à jour, tels que les mises à niveau d’images de système d’exploitation automatique et lamise à jour corrective automatique des invités. Les fonctionnalités sont recommandées pour appliquer les dernières mises à jour critiques et de sécurité au système d’exploitation invité de votre machine virtuelle en suivant les principes de déploiement sécurisé.
La mise à jour corrective d’invité automatique vous permet d’évaluer et de mettre à jour automatiquement vos machines virtuelles Azure pour maintenir la conformité de la sécurité avec les mises à jour critiques et de sécurité publiées chaque mois. Mises à jour sont appliqués pendant les heures creuses, y compris les machines virtuelles au sein d’un groupe à haute disponibilité. Cette fonctionnalité est disponible pour l’orchestration flexible VMSS, avec une prise en charge future sur la feuille de route pour Uniform Orchestration.
Si vous exécutez une charge de travail sans état, les mises à niveau d’image de système d’exploitation automatique sont idéales pour appliquer la dernière mise à jour pour votre vmSS Uniform. Avec la fonctionnalité de restauration, ces mises à jour sont compatibles avec la Place de marché ou les images personnalisées. Prise en charge de la mise à niveau propagée future sur la feuille de route pour l’orchestration flexible.
Référence : Mise à jour corrective automatique des machines virtuelles invitées pour les machines virtuelles Azure
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.Compute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : Les mises à jour système doivent être installées sur vos machines (avec le Centre des mises à jour) | Des mises à jour système, critiques et de sécurité sont manquantes sur vos machines. Les mises à jour de logiciel incluent souvent des correctifs critiques pour les failles de sécurité. Ces failles sont souvent exploitées lors d’attaques de programmes malveillants. Il est donc essentiel de maintenir vos logiciels à jour. Pour installer tous les correctifs en attente et sécuriser vos machines, suivez la procédure de correction. | AuditIfNotExists, Désactivé | 1.0.0-preview |
Sécurité des points de terminaison
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Sécurité des points de terminaison.
ES-1 : Utiliser la détection de point de terminaison et réponse (EDR)
Fonctionnalités
EDR Solution
Description : La fonctionnalité EDR (Endpoint Detection and Response) telle qu’Azure Defender pour les serveurs peut être déployée dans le point de terminaison. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | False | Client |
Conseils de configuration : Azure Defender pour serveurs (avec Microsoft Defender pour point de terminaison intégré) offre une fonctionnalité EDR permettant d’empêcher, de détecter, d’examiner et de répondre aux menaces avancées. Utilisez Microsoft Defender pour le cloud pour déployer Azure Defender pour les serveurs de votre point de terminaison et intégrer les alertes à votre solution SIEM comme Azure Sentinel.
Référence : Licence intégrée pour Microsoft Defender pour point de terminaison
ES-2 : Utiliser un logiciel anti-programmes malveillants moderne
Fonctionnalités
Solution anti-programme malveillant
Description : la fonctionnalité anti-programme malveillant, telle que l’antivirus Microsoft Defender, Microsoft Defender pour point de terminaison peut être déployée sur le point de terminaison. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | False | Client |
Conseils de configuration : pour Windows Server 2016 et versions ultérieures, Microsoft Defender pour Antivirus est installé par défaut. Pour Windows Server 2012 R2 et versions ultérieures, les clients peuvent installer SCEP (System Center Endpoint Protection). Pour Linux, les clients peuvent avoir le choix d’installer Microsoft Defender pour Linux. Les clients ont également le choix d’installer des produits anti-programmes malveillants tiers.
Référence : Microsoft Antimalware pour azure Services cloud et Machines Virtuelles
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.Compute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines | Résolvez les problèmes d’intégrité concernant la protection des points de terminaison de vos machines virtuelles pour les protéger des menaces et des vulnérabilités les plus récentes. Les solutions de protection des points de terminaison Azure Security Center prises en charge sont documentées ici : https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. L’évaluation de la protection des points de terminaison est documentée ici : https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Désactivé | 1.0.0 |
ES-3 : Vérifier que les logiciels et signatures anti-programme malveillant sont mis à jour
Fonctionnalités
Surveillance de l’intégrité des solutions anti-programme malveillant
Description : La solution anti-programme malveillant fournit l’intégrité status la surveillance des mises à jour de la plateforme, du moteur et des signatures automatiques. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | False | Client |
Conseils de configuration : Configurez votre solution anti-programme malveillant pour vous assurer que la plateforme, le moteur et les signatures sont mis à jour rapidement et de manière cohérente et que leurs status peuvent être surveillés.
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.Compute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines | Résolvez les problèmes d’intégrité concernant la protection des points de terminaison de vos machines virtuelles pour les protéger des menaces et des vulnérabilités les plus récentes. Les solutions de protection des points de terminaison Azure Security Center prises en charge sont documentées ici : https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. L’évaluation de la protection des points de terminaison est documentée ici : https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Désactivé | 1.0.0 |
Sauvegarde et récupération
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Sauvegarde et récupération.
BR-1 : Garantir des sauvegardes automatiques régulières
Fonctionnalités
Sauvegarde Azure
Description : le service peut être sauvegardé par le service Sauvegarde Azure. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | False | Client |
Notes de fonctionnalité : pris en charge pour VMSS Flex et non pour VMSS Uniform
Conseils de configuration : activez Sauvegarde Azure et ciblez azure Machines Virtuelles (machine virtuelle), ainsi que la fréquence et les périodes de rétention souhaitées. Cela comprend la sauvegarde complète de l’état du système. Si vous utilisez Azure Disk Encryption, la sauvegarde de machine virtuelle Azure gère automatiquement la sauvegarde des clés gérées par le client. Pour Azure Machines Virtuelles, vous pouvez utiliser Azure Policy pour activer les sauvegardes automatiques.
Référence : Comment prendre une instantané d’un groupe de machines virtuelles identiques instance et un disque managé
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées à Azure Policy - Microsoft.Compute :
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| La sauvegarde Azure doit être activée pour les machines virtuelles | Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. | AuditIfNotExists, Désactivé | 3.0.0 |
Étapes suivantes
- Consultez la vue d’ensemble du benchmark de sécurité cloud Microsoft
- En savoir plus sur les bases de référence de la sécurité Azure