Contrôles de conformité règlementaire Azure Policy pour Azure AI services
La Conformité réglementaire d’Azure Policy fournit des définitions d’initiatives créées et gérées par Microsoft, qui sont dites intégrées, pour les domaines de conformité et les contrôles de sécurité associés à différents standards de conformité. Cette page liste les domaines de conformité et les contrôles de sécurité pour Azure AI services. Vous pouvez affecter les composants intégrés pour un contrôle de sécurité individuellement, afin de rendre vos ressources Azure conformes au standard spécifique.
Le titre de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien de la colonne Version de la stratégie pour voir la source dans le dépôt GitHub Azure Policy.
Important
Chaque contrôle est associé à une ou plusieurs définitions Azure Policy. Ces stratégies peuvent vous aider à évaluer la conformité avec le contrôle. Toutefois, il n’existe pas souvent de correspondance un-à-un ou parfaite entre un contrôle et une ou plusieurs stratégies. En tant que tel, Conforme dans Azure Policy fait seulement référence aux stratégies elles-même. Cela ne garantit pas que vous êtes entièrement conforme à toutes les exigences d’un contrôle. En outre, la norme de conformité comprend des contrôles qui ne sont traités par aucune définition Azure Policy pour l’instant. Par conséquent, la conformité dans Azure Policy n’est qu’une vue partielle de l’état de conformité global. Les associations entre les contrôles et les définitions de conformité réglementaire Azure Policy pour ces normes de conformité peuvent changer au fil du temps.
CMMC niveau 3
Pour voir comment les composants intégrés Azure Policy de tous les services Azure répondent à ce standard de conformité, consultez Conformité réglementaire Azure Policy – CMMC niveau 3. Pour plus d’informations sur ce standard de conformité, consultez Cybersecurity Maturity Model Certification (CMMC).
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Contrôle d’accès | AC.1.001 | Restreindre l’accès au système d’information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes d’information). | Les ressources Azure AI Services doivent limiter l’accès réseau | 3.2.0 |
| Contrôle d’accès | AC.1.002 | Restreindre l’accès au système d’information aux types de transactions et de fonctions que seuls les utilisateurs autorisés peuvent exécuter. | Les ressources Azure AI Services doivent limiter l’accès réseau | 3.2.0 |
| Contrôle d’accès | AC.2.016 | Contrôler le flux de CUI conformément aux autorisations approuvées. | Les ressources Azure AI Services doivent limiter l’accès réseau | 3.2.0 |
| Gestion de la configuration | CM.3.068 | Limiter, désactiver ou empêcher l’utilisation de programmes, fonctions, ports, protocoles et services non essentiels. | Les ressources Azure AI Services doivent limiter l’accès réseau | 3.2.0 |
| Protection du système et des communications | SC.1.175 | Superviser, contrôler et protéger les communications (c’est-à-dire les informations transmises ou reçues par les systèmes de l’organisation) aux limites externes et aux limites internes clés des systèmes de l’organisation. | Les ressources Azure AI Services doivent limiter l’accès réseau | 3.2.0 |
| Protection du système et des communications | SC.3.177 | Utiliser le chiffrement validé FIPS quand il est utilisé pour protéger la confidentialité d’informations CUI. | Les ressources Azure AI Services doivent chiffrer les données au repos avec une clé gérée par le client (CMK) | 2.2.0 |
| Protection du système et des communications | SC.3.183 | Refuser le trafic des communications réseau par défaut et autoriser le trafic des communications réseau par exception (c’est-à-dire, tout refuser, autoriser par exception). | Les ressources Azure AI Services doivent limiter l’accès réseau | 3.2.0 |
FedRAMP Niveau élevé
Pour voir le mappage entre les composants intégrés Azure Policy disponibles pour tous les services Azure et cette norme de conformité, consultez Conformité réglementaire d’Azure Policy – FedRAMP High. Pour plus d’informations sur cette norme de conformité, consultez FedRAMP High.
FedRAMP Niveau modéré
Pour voir le mappage entre les composants intégrés Azure Policy disponibles pour tous les services Azure et cette norme de conformité, consultez Conformité réglementaire d’Azure Policy – FedRAMP Moderate. Pour plus d’informations sur cette norme de conformité, consultez FedRAMP Moderate.
Benchmark de sécurité cloud Microsoft
Le point de référence de sécurité du cloud Microsoft fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Pour voir comment ce service correspond totalement au point de référence de sécurité du cloud Microsoft, consultez les fichiers de correspondance Azure Security Benchmark.
Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure correspondent à cette norme de conformité, consultez l’article Conformité réglementaire Azure Policy – Point de référence de sécurité du cloud Microsoft.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Sécurité réseau | NS-2 | Sécuriser les services cloud avec des contrôles réseau | [Déconseillé] : Cognitive Services doit utiliser une liaison privée | 3.0.1-deprecated |
| Sécurité réseau | NS-2 | Sécuriser les services cloud avec des contrôles réseau | Les ressources Azure AI Services doivent limiter l’accès réseau | 3.2.0 |
| Sécurité réseau | NS-2 | Sécuriser les services cloud avec des contrôles réseau | Les ressources Azure AI Services doivent utiliser Azure Private Link | 1.0.0 |
| Gestion des identités | IM-1 | Utiliser le système d’identité et d’authentification centralisé | Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) | 1.1.0 |
| Protection des données | DP-5 | Utiliser l’option de clé gérée par le client dans le chiffrement des données au repos si nécessaire | Les ressources Azure AI Services doivent chiffrer les données au repos avec une clé gérée par le client (CMK) | 2.2.0 |
| Journalisation et détection des menaces | LT-3 | Activer la journalisation pour l’examen de sécurité | Les journaux de diagnostic dans les ressources Azure AI services doivent être activés | 1.0.0 |
NIST SP 800-171 R2
Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure correspondent à ce standard de conformité, consultez Conformité réglementaire Azure Policy – NIST SP 800-171 R2. Pour plus d’informations sur cette norme de conformité, consultez NIST SP 800-171 R2.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Contrôle d’accès | 3.1.1 | Limiter l’accès système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes). | [Déconseillé] : Cognitive Services doit utiliser une liaison privée | 3.0.1-deprecated |
| Contrôle d’accès | 3.1.1 | Limiter l’accès système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes). | Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) | 1.1.0 |
| Contrôle d’accès | 3.1.12 | Superviser et contrôler les sessions d’accès à distance. | [Déconseillé] : Cognitive Services doit utiliser une liaison privée | 3.0.1-deprecated |
| Contrôle d’accès | 3.1.13 | Utilisez des mécanismes de chiffrement pour protéger la confidentialité des sessions d’accès à distance. | [Déconseillé] : Cognitive Services doit utiliser une liaison privée | 3.0.1-deprecated |
| Contrôle d’accès | 3.1.14 | Router l’accès à distance via des points de contrôle d’accès managés. | [Déconseillé] : Cognitive Services doit utiliser une liaison privée | 3.0.1-deprecated |
| Contrôle d’accès | 3.1.2 | Restreindre l’accès du système aux types de transactions et de fonctions que seuls les utilisateurs autorisés peuvent exécuter. | Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) | 1.1.0 |
| Contrôle d’accès | 3.1.3 | Contrôler le flux de CUI conformément aux autorisations approuvées. | [Déconseillé] : Cognitive Services doit utiliser une liaison privée | 3.0.1-deprecated |
| Contrôle d’accès | 3.1.3 | Contrôler le flux de CUI conformément aux autorisations approuvées. | Les ressources Azure AI Services doivent limiter l’accès réseau | 3.2.0 |
| Protection du système et des communications | 3.13.1 | Superviser, contrôler et protéger les communications (c’est-à-dire les informations transmises ou reçues par les systèmes de l’organisation) aux limites externes et aux limites internes clés des systèmes de l’organisation. | [Déconseillé] : Cognitive Services doit utiliser une liaison privée | 3.0.1-deprecated |
| Protection du système et des communications | 3.13.1 | Superviser, contrôler et protéger les communications (c’est-à-dire les informations transmises ou reçues par les systèmes de l’organisation) aux limites externes et aux limites internes clés des systèmes de l’organisation. | Les ressources Azure AI Services doivent limiter l’accès réseau | 3.2.0 |
| Protection du système et des communications | 3.13.10 | Établir et gérer des clés de chiffrement pour le chiffrement utilisé dans les systèmes d’entreprise. | Les ressources Azure AI Services doivent chiffrer les données au repos avec une clé gérée par le client (CMK) | 2.2.0 |
| Protection du système et des communications | 3.13.2 | Utiliser les conceptions architecturales, les techniques de développement de logiciels et les principes d’ingénierie des systèmes qui favorisent la sécurité des informations au sein des systèmes d’entreprise. | [Déconseillé] : Cognitive Services doit utiliser une liaison privée | 3.0.1-deprecated |
| Protection du système et des communications | 3.13.2 | Utiliser les conceptions architecturales, les techniques de développement de logiciels et les principes d’ingénierie des systèmes qui favorisent la sécurité des informations au sein des systèmes d’entreprise. | Les ressources Azure AI Services doivent limiter l’accès réseau | 3.2.0 |
| Protection du système et des communications | 3.13.5 | Implémenter des sous-réseaux pour les composants système accessibles publiquement qui sont physiquement ou logiquement séparés des réseaux internes. | [Déconseillé] : Cognitive Services doit utiliser une liaison privée | 3.0.1-deprecated |
| Protection du système et des communications | 3.13.5 | Implémenter des sous-réseaux pour les composants système accessibles publiquement qui sont physiquement ou logiquement séparés des réseaux internes. | Les ressources Azure AI Services doivent limiter l’accès réseau | 3.2.0 |
| Protection du système et des communications | 3.13.6 | Refuser le trafic des communications réseau par défaut et autoriser le trafic des communications réseau par exception (c’est-à-dire, tout refuser, autoriser par exception). | Les ressources Azure AI Services doivent limiter l’accès réseau | 3.2.0 |
| Identification et authentification | 3.5.1 | Identifier les utilisateurs du système, les processus agissant au nom des utilisateurs et les appareils. | Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) | 1.1.0 |
| Identification et authentification | 3.5.2 | Authentifier (ou vérifier) les identités des utilisateurs, des processus ou des appareils, comme condition préalable à l’autorisation de l’accès aux systèmes de l’organisation. | Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) | 1.1.0 |
| Identification et authentification | 3.5.5 | Empêchez la réutilisation des identificateurs pour une période définie. | Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) | 1.1.0 |
| Identification et authentification | 3.5.6 | Désactivez les identificateurs après une période d’inactivité définie. | Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) | 1.1.0 |
NIST SP 800-53 Rev. 4
Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure correspondent à cette norme de conformité, consultez Conformité réglementaire Azure Policy – NIST SP 800-53 Rév. 4. Pour plus d’informations sur cette norme de conformité, consultez NIST SP 800-53 Rév. 4.
NIST SP 800-53 Rev. 5
Pour voir le mappage entre les composants intégrés Azure Policy disponibles pour tous les services Azure et cette norme de conformité, consultez Conformité réglementaire d’Azure Policy – NIST SP 800-53 Rev. 5. Pour plus d’informations sur cette norme de conformité, consultez NIST SP 800-53 Rev. 5.
Thème cloud BIO NL
Pour évaluer comment les composants intégrés Azure Policy disponibles pour tous les services Azure répondent à cette norme de conformité, consultez Détails de la conformité réglementaire Azure Policy pour le thème cloud BIO NL. Pour plus d’informations sur cette norme de conformité, consultez Cybersécurité du gouvernement de la sécurité des informations de référence - Digital Government (digitaleoverheid.nl).
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| U.05.2 Protection des données - Mesures de chiffrement | U.05.2 | Les données stockées dans le service cloud doivent être protégées avec les technologie les plus récentes. | Les ressources Azure AI Services doivent chiffrer les données au repos avec une clé gérée par le client (CMK) | 2.2.0 |
| U.07.1 Séparation des données - Isolé | U.07.1 | L’isolation permanente des données est une architecture multi-tenant. Les correctifs sont réalisés de manière contrôlée. | [Déconseillé] : Cognitive Services doit utiliser une liaison privée | 3.0.1-deprecated |
| U.07.1 Séparation des données - Isolé | U.07.1 | L’isolation permanente des données est une architecture multi-tenant. Les correctifs sont réalisés de manière contrôlée. | Les ressources Azure AI Services doivent limiter l’accès réseau | 3.2.0 |
| U.07.3 Séparation des données - Fonctionnalités de gestion | U.07.3 | U.07.3 - Les privilèges permettant d’afficher ou de modifier les données CSC et/ou les clés de chiffrement sont accordés de manière contrôlée et l’utilisation est journalisée. | Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) | 1.1.0 |
| U.10.2 Accès aux services et données informatiques - Utilisateurs | U.10.2 | Sous la responsabilité du CSP, l’accès est accordé aux administrateurs. | Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) | 1.1.0 |
| U.10.3 Accès aux services et données informatiques - Utilisateurs | U.10.3 | Seuls les utilisateurs disposant d’un équipement authentifié peuvent accéder aux services et données informatiques. | Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) | 1.1.0 |
| U.10.5 Accès aux services et données informatiques - Compétent | U.10.5 | L’accès aux services et données informatiques est limité par les mesures techniques et a été implémenté. | Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) | 1.1.0 |
| U.11.3 Cryptoservices – Chiffrés | U.11.3 | Les données sensibles sont toujours chiffrées, avec des clés privées gérées par le CSC. | Les ressources Azure AI Services doivent chiffrer les données au repos avec une clé gérée par le client (CMK) | 2.2.0 |
Banque de réserve de l’Inde – Infrastructure informatique pour les banques v2016
Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure répondent à cette norme de conformité, consultez Conformité réglementaire Azure Policy - RBI ITF Banks v2016. Pour plus d’informations sur cette norme de conformité, consultez RBI ITF Banks v2016 (PDF).
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Advanced Real-Timethreat Defenceand Management | Advanced Real-Timethreat Defenceand Management-13.4 | Les ressources Azure AI Services doivent chiffrer les données au repos avec une clé gérée par le client (CMK) | 2.2.0 | |
| Anti-hameçonnage | Anti-hameçonnage-14.1 | Les ressources Azure AI Services doivent limiter l’accès réseau | 3.2.0 |
Contrôles d’organisation et de Système (SOC) 2
Pour passer en revue la façon dont les intégrations Azure Policy disponibles pour tous les services Azure correspondent à cette norme de conformité, consultez Détails de la conformité réglementaire Azure Policy pour SOC (System and Organization Controls) 2. Pour obtenir plus d’informations sur cette norme de conformité, consultez SOC (System and Organization Controls) 2.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Contrôles d’accès logiques et physiques | CC6.1 | Architectures, infrastructure et logiciels de sécurité d’accès logique | Les ressources Azure AI Services doivent chiffrer les données au repos avec une clé gérée par le client (CMK) | 2.2.0 |
Étapes suivantes
- Apprenez-en davantage sur la Conformité réglementaire d’Azure Policy.
- Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub.