Contrôles de conformité réglementaire d'Azure Policy pour Serveurs avec Azure Arc
La Conformité réglementaire d’Azure Policy fournit des définitions d’initiatives créées et gérées par Microsoft, qui sont dites intégrées, pour les domaines de conformité et les contrôles de sécurité associés à différents standards de conformité. Cette page répertorie les domaines de conformité et les contrôles de sécurité qui s'appliquent aux Serveurs avec Azure Arc. Vous pouvez affecter les composants intégrés pour un contrôle de sécurité individuellement, afin de rendre vos ressources Azure conformes au standard spécifique.
Le titre de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien de la colonne Version de la stratégie pour voir la source dans le dépôt GitHub Azure Policy.
Important
Chaque contrôle est associé à une ou plusieurs définitions Azure Policy. Ces stratégies peuvent vous aider à évaluer la conformité avec le contrôle. Toutefois, il n’existe pas souvent de correspondance un-à-un ou parfaite entre un contrôle et une ou plusieurs stratégies. En tant que tel, Conforme dans Azure Policy fait seulement référence aux stratégies elles-même. Cela ne garantit pas que vous êtes entièrement conforme à toutes les exigences d’un contrôle. En outre, la norme de conformité comprend des contrôles qui ne sont traités par aucune définition Azure Policy pour l’instant. Par conséquent, la conformité dans Azure Policy n’est qu’une vue partielle de l’état de conformité global. Les associations entre les contrôles et les définitions de conformité réglementaire Azure Policy pour ces normes de conformité peuvent changer au fil du temps.
Australian Government ISM PROTECTED
Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure correspondent à ce standard de conformité, consultez Conformité réglementaire d’Azure Policy – Australian Government ISM PROTECTED. Pour plus d’informations sur cette norme de conformité, consultez Australian Government ISM PROTECTED.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Instructions pour la sécurité personnelle - Accès aux systèmes et à leurs ressources | 415 | Identification de l’utilisateur - 415 | Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs | 2.0.0 |
| Instructions pour le durcissement du système - Durcissement de l’authentification | 421 | Authentification monofacteur - 421 | Les machines Windows doivent répondre aux exigences de « Paramètres de sécurité - Stratégies de compte » | 3.0.0 |
| Instructions pour la sécurité personnelle - Accès aux systèmes et à leurs ressources | 445 | Accès privilégié aux systèmes - 445 | Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs | 2.0.0 |
| Instructions pour le chiffrement - Protocole TLS (Transport Layer Security) | 1139 | Utilisation du protocole TLS (Transport Layer Security) - 1139 | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| Instructions pour les systèmes de base de données - Serveurs de base de données | 1277 | Communications entre les serveurs de base de données et les serveurs web - 1277 | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| Instructions pour la sécurité personnelle - Accès aux systèmes et à leurs ressources | 1503 | Accès standard aux systèmes - 1503 | Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs | 2.0.0 |
| Instructions pour la sécurité personnelle - Accès aux systèmes et à leurs ressources | 1507 | Accès privilégié aux systèmes - 1507 | Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs | 2.0.0 |
| Instructions pour la sécurité personnelle - Accès aux systèmes et à leurs ressources | 1508 | Accès privilégié aux systèmes - 1508 | Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs | 2.0.0 |
| Instructions pour le durcissement du système - Durcissement de l’authentification | 1546 | Authentification dans les systèmes - 1546 | Auditer les machines Linux qui autorisent les connexions à distance à partir de comptes sans mot de passe | 3.1.0 |
| Instructions pour le durcissement du système - Durcissement de l’authentification | 1546 | Authentification dans les systèmes - 1546 | Auditer les machines Linux qui ont des comptes sans mot de passe | 3.1.0 |
PBMM fédéral du Canada
Pour voir comment les composants intégrés Azure Policy de tous les services Azure répondent à ce standard de conformité, consultez Conformité réglementaire Azure Policy – Canada Federal PBMM. Pour plus d’informations sur cette norme de conformité, consultez Canada Federal PBMM.
CIS Microsoft Azure Foundations Benchmark 2.0.0
Pour voir comment les composants intégrés Azure Policy disponibles de tous les services Azure répondent à cette norme de conformité, consultez Détails de la conformité réglementaire Azure Policy pour CIS v2.0.0. Pour plus d’informations sur cette norme de conformité, consultez CIS Microsoft Azure Foundations Benchmark.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| 2.1 | 2.1.13 | Vérifier que la recommandation Microsoft Defender pour l’état de « Appliquer les mises à jour système » est « Terminé » | Les machines doivent être configurées pour rechercher régulièrement les mises à jour système manquantes | 3.7.0 |
CMMC niveau 3
Pour voir comment les composants intégrés Azure Policy de tous les services Azure répondent à ce standard de conformité, consultez Conformité réglementaire Azure Policy – CMMC niveau 3. Pour plus d’informations sur ce standard de conformité, consultez Cybersecurity Maturity Model Certification (CMMC).
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Contrôle d’accès | AC.1.001 | Restreindre l’accès au système d’information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes d’information). | Auditer les machines Linux qui autorisent les connexions à distance à partir de comptes sans mot de passe | 3.1.0 |
| Contrôle d’accès | AC.1.001 | Restreindre l’accès au système d’information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes d’information). | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Accès réseau » | 3.0.0 |
| Contrôle d’accès | AC.1.001 | Restreindre l’accès au système d’information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes d’information). | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau » | 3.0.0 |
| Contrôle d’accès | AC.1.002 | Restreindre l’accès au système d’information aux types de transactions et de fonctions que seuls les utilisateurs autorisés peuvent exécuter. | Auditer les machines Linux qui autorisent les connexions à distance à partir de comptes sans mot de passe | 3.1.0 |
| Contrôle d’accès | AC.1.002 | Restreindre l’accès au système d’information aux types de transactions et de fonctions que seuls les utilisateurs autorisés peuvent exécuter. | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| Contrôle d’accès | AC.1.002 | Restreindre l’accès au système d’information aux types de transactions et de fonctions que seuls les utilisateurs autorisés peuvent exécuter. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Accès réseau » | 3.0.0 |
| Contrôle d’accès | AC.2.008 | Utiliser des comptes ou des rôles non privilégiés lors de l’accès à des fonctions non relatives à la sécurité. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Contrôle de compte d’utilisateur » | 3.0.0 |
| Contrôle d’accès | AC.2.008 | Utiliser des comptes ou des rôles non privilégiés lors de l’accès à des fonctions non relatives à la sécurité. | Les machines Windows doivent répondre aux exigences de « Attribution de droits de l’utilisateur » | 3.0.0 |
| Contrôle d’accès | AC.2.013 | Superviser et contrôler les sessions d’accès à distance. | Auditer les machines Linux qui autorisent les connexions à distance à partir de comptes sans mot de passe | 3.1.0 |
| Contrôle d’accès | AC.2.013 | Superviser et contrôler les sessions d’accès à distance. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau » | 3.0.0 |
| Contrôle d’accès | AC.2.016 | Contrôler le flux de CUI conformément aux autorisations approuvées. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Accès réseau » | 3.0.0 |
| Contrôle d’accès | AC.3.017 | Séparer les tâches des individus pour réduire le risque d’activité malveillante sans collusion. | Auditer les machines Windows qui ont un ou plusieurs membres spécifiés manquants dans le groupe Administrateurs | 2.0.0 |
| Contrôle d’accès | AC.3.017 | Séparer les tâches des individus pour réduire le risque d’activité malveillante sans collusion. | Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs | 2.0.0 |
| Contrôle d’accès | AC.3.018 | Empêcher les utilisateurs non privilégiés d’exécuter des fonctions privilégiées et de capturer l’exécution de ces fonctions dans les journaux d’audit. | Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Utilisation de privilège » | 3.0.0 |
| Contrôle d’accès | AC.3.021 | Autoriser l’exécution à distance des commandes privilégiées et l’accès à distance aux informations relatives à la sécurité. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Contrôle de compte d’utilisateur » | 3.0.0 |
| Contrôle d’accès | AC.3.021 | Autoriser l’exécution à distance des commandes privilégiées et l’accès à distance aux informations relatives à la sécurité. | Les machines Windows doivent répondre aux exigences de « Attribution de droits de l’utilisateur » | 3.0.0 |
| Gestion de la configuration | CM.2.061 | Établir et gérer les configurations de référence et les inventaires des systèmes d’entreprise (y compris le matériel, les logiciels, les microprogrammes et la documentation) tout au long de leur cycle de vie de développement système. | Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute | 2.2.0 |
| Gestion de la configuration | CM.2.062 | Utiliser le principe des fonctionnalités minimum en configurant des systèmes d’entreprise de manière à fournir uniquement des fonctionnalités essentielles. | Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Utilisation de privilège » | 3.0.0 |
| Gestion de la configuration | CM.2.063 | Contrôler et superviser les logiciels installés par l’utilisateur. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Contrôle de compte d’utilisateur » | 3.0.0 |
| Gestion de la configuration | CM.2.064 | Établir et appliquer des paramètres de configuration de sécurité pour les produits informatiques utilisés dans les systèmes d’entreprise. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau » | 3.0.0 |
| Gestion de la configuration | CM.2.065 | Suivre, vérifier, approuver ou désapprouver, et journaliser les modifications apportées aux systèmes d’entreprise. | Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Changement de stratégie » | 3.0.0 |
| Identification et authentification | IA.1.077 | Authentifier (ou vérifier) les identités des utilisateurs, des processus ou des appareils, comme condition préalable à l’autorisation de l’accès aux systèmes d’information de l’organisation. | Auditer les machines Linux qui n’ont pas les autorisations de fichier de mot de passe définies sur 0644 | 3.1.0 |
| Identification et authentification | IA.1.077 | Authentifier (ou vérifier) les identités des utilisateurs, des processus ou des appareils, comme condition préalable à l’autorisation de l’accès aux systèmes d’information de l’organisation. | Auditer les machines Linux qui ont des comptes sans mot de passe | 3.1.0 |
| Identification et authentification | IA.1.077 | Authentifier (ou vérifier) les identités des utilisateurs, des processus ou des appareils, comme condition préalable à l’autorisation de l’accès aux systèmes d’information de l’organisation. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau » | 3.0.0 |
| Identification et authentification | IA.2.078 | Imposer une complexité minimale du mot de passe et un changement de caractères lors de la création de nouveaux mots de passe. | Auditer les machines Linux qui ont des comptes sans mot de passe | 3.1.0 |
| Identification et authentification | IA.2.078 | Imposer une complexité minimale du mot de passe et un changement de caractères lors de la création de nouveaux mots de passe. | Auditer les machines Windows qui n’ont pas le paramètre de complexité de mot de passe activé | 2.0.0 |
| Identification et authentification | IA.2.078 | Imposer une complexité minimale du mot de passe et un changement de caractères lors de la création de nouveaux mots de passe. | Auditer les machines Windows qui ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié | 2.1.0 |
| Identification et authentification | IA.2.078 | Imposer une complexité minimale du mot de passe et un changement de caractères lors de la création de nouveaux mots de passe. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau » | 3.0.0 |
| Identification et authentification | IA.2.079 | Interdire la réutilisation du mot de passe pour un nombre spécifié de générations. | Auditer les machines Windows qui autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques | 2.1.0 |
| Identification et authentification | IA.2.079 | Interdire la réutilisation du mot de passe pour un nombre spécifié de générations. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau » | 3.0.0 |
| Identification et authentification | IA.2.081 | Stocker et transmettre uniquement les mots de passe protégés par chiffrement. | Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible | 2.0.0 |
| Identification et authentification | IA.2.081 | Stocker et transmettre uniquement les mots de passe protégés par chiffrement. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau » | 3.0.0 |
| Identification et authentification | IA.3.084 | Utiliser des mécanismes d’authentification capables d’offrir une protection contre les attaques par rejeu pour l’accès réseau aux comptes privilégiés et non privilégiés. | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| Protection du système et des communications | SC.1.175 | Superviser, contrôler et protéger les communications (c’est-à-dire les informations transmises ou reçues par les systèmes de l’organisation) aux limites externes et aux limites internes clés des systèmes de l’organisation. | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| Protection du système et des communications | SC.1.175 | Superviser, contrôler et protéger les communications (c’est-à-dire les informations transmises ou reçues par les systèmes de l’organisation) aux limites externes et aux limites internes clés des systèmes de l’organisation. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Accès réseau » | 3.0.0 |
| Protection du système et des communications | SC.1.175 | Superviser, contrôler et protéger les communications (c’est-à-dire les informations transmises ou reçues par les systèmes de l’organisation) aux limites externes et aux limites internes clés des systèmes de l’organisation. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau » | 3.0.0 |
| Protection du système et des communications | SC.3.177 | Utiliser le chiffrement validé FIPS quand il est utilisé pour protéger la confidentialité d’informations CUI. | Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible | 2.0.0 |
| Protection du système et des communications | SC.3.181 | Séparer les fonctionnalités utilisateur des fonctionnalités de gestion du système. | Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs | 2.0.0 |
| Protection du système et des communications | SC.3.183 | Refuser le trafic des communications réseau par défaut et autoriser le trafic des communications réseau par exception (c’est-à-dire, tout refuser, autoriser par exception). | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Accès réseau » | 3.0.0 |
| Protection du système et des communications | SC.3.183 | Refuser le trafic des communications réseau par défaut et autoriser le trafic des communications réseau par exception (c’est-à-dire, tout refuser, autoriser par exception). | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau » | 3.0.0 |
| Protection du système et des communications | SC.3.185 | Implémenter des mécanismes de chiffrement pour empêcher toute divulgation non autorisée de CUI pendant la transmission, sauf en cas de protection par d’autres dispositifs de protection physique. | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| Protection du système et des communications | SC.3.190 | Protéger l’authenticité des sessions de communication. | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
FedRAMP Niveau élevé
Pour voir le mappage entre les composants intégrés Azure Policy disponibles pour tous les services Azure et cette norme de conformité, consultez Conformité réglementaire d’Azure Policy – FedRAMP High. Pour plus d’informations sur cette norme de conformité, consultez FedRAMP High.
FedRAMP Niveau modéré
Pour voir le mappage entre les composants intégrés Azure Policy disponibles pour tous les services Azure et cette norme de conformité, consultez Conformité réglementaire d’Azure Policy – FedRAMP Moderate. Pour plus d’informations sur cette norme de conformité, consultez FedRAMP Moderate.
HIPAA HITRUST 9.2
Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure correspondent à ce standard de conformité, consultez Conformité réglementaire Azure Policy – HIPAA HITRUST 9.2. Pour plus d’informations sur cette norme de conformité, consultez HIPAA HITRUST 9.2.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Identification et authentification des utilisateurs | 11210.01q2Organizational.10 - 01.q | Les signatures électroniques et les signatures manuscrites exécutées pour les enregistrements électroniques doivent être liées à leurs enregistrements électroniques respectifs. | Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs | 2.0.0 |
| Identification et authentification des utilisateurs | 11211.01q2Organizational.11 - 01.q | Les enregistrements électroniques signés doivent contenir des informations associées à la signature dans un format lisible par l’homme. | Auditer les machines Windows qui ont un ou plusieurs membres spécifiés manquants dans le groupe Administrateurs | 2.0.0 |
| 06 Gestion de la configuration | 0605.10h1System.12-10.h | 0605.10h1Système.12-10.h 10.04 Sécurité des fichiers système | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Audit » | 3.0.0 |
| 06 Gestion de la configuration | 0605.10h1System.12-10.h | 0605.10h1Système.12-10.h 10.04 Sécurité des fichiers système | Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Gestion de compte » | 3.0.0 |
| 06 Gestion de la configuration | 0635.10k1Organizational.12-10.k | 0635.10k1Organisationnel.12-10.k 10.05 Sécurité dans les processus de développement et de support | Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » | 3.0.0 |
| 06 Gestion de la configuration | 0636.10k2Organizational.1-10.k | 0636.10k2Organisationnel.1-10.k 10.05 Sécurité dans les processus de développement et de support | Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » | 3.0.0 |
| 06 Gestion de la configuration | 0637.10k2Organizational.2-10.k | 0637.10k2Organisationnel.2-10.k 10.05 Sécurité dans les processus de développement et de support | Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » | 3.0.0 |
| 06 Gestion de la configuration | 0638.10k2Organizational.34569-10.k | 0638.10k2Organisationnel.34569-10.k 10.05 Sécurité dans les processus de développement et de support | Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » | 3.0.0 |
| 06 Gestion de la configuration | 0639.10k2Organizational.78-10.k | 0639.10k2Organisationnel.78-10.k 10.05 Sécurité dans les processus de développement et de support | Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » | 3.0.0 |
| 06 Gestion de la configuration | 0640.10k2Organizational.1012-10.k | 0640.10k2Organisationnel.1012-10.k 10.05 Sécurité dans les processus de développement et de support | Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » | 3.0.0 |
| 06 Gestion de la configuration | 0641.10k2Organizational.11-10.k | 0641.10k2Organisationnel.11-10.k 10.05 Sécurité dans les processus de développement et de support | Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » | 3.0.0 |
| 06 Gestion de la configuration | 0642.10k3Organizational.12-10.k | 0642.10k3Organisationnel.12-10.k 10.05 Sécurité dans les processus de développement et de support | Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » | 3.0.0 |
| 06 Gestion de la configuration | 0643.10k3Organizational.3-10.k | 0643.10k3Organisationnel.3-10.k 10.05 Sécurité dans les processus de développement et de support | Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » | 3.0.0 |
| 06 Gestion de la configuration | 0644.10k3Organizational.4-10.k | 0644.10k3Organisationnel.4-10.k 10.05 Sécurité dans les processus de développement et de support | Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » | 3.0.0 |
| 07 Gestion des vulnérabilités | 0709.10m1Organizational.1-10.m | 0709.10m1Organisationnel.1-10.m 10.06 Gestion technique des vulnérabilités | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Serveur réseau Microsoft » | 3.0.0 |
| 08 Protection réseau | 0858.09m1Organizational.4-09.m | 0858.09m1Organisationnel.4-09.m 09.06 Gestion de la sécurité réseau | Les machines Windows doivent répondre aux exigences de « Propriétés de pare-feu Windows » | 3.0.0 |
| 08 Protection réseau | 0861.09m2Organizational.67-09.m | 0861.09m2Organisationnel.67-09.m 09.06 Gestion de la sécurité réseau | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Accès réseau » | 3.0.0 |
| 09 Protection de transmission | 0945.09y1Organizational.3-09.y | 0945.09y1Organisationnel.3-09.y 09.09 Services de commerce électronique | Auditer les machines Windows qui ne contiennent pas les certificats spécifiés dans la racine de confiance | 3.0.0 |
| 11 Contrôle d’accès | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 Contrôle d’accès aux systèmes d’exploitation | Auditer les machines Windows qui ont des comptes supplémentaires dans le groupe Administrateurs | 2.0.0 |
| 11 Contrôle d’accès | 1125.01q2System.1-01.q | 1125.01q2System.1-01.q 01.05 Contrôle d’accès aux systèmes d’exploitation | Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs | 2.0.0 |
| 11 Contrôle d’accès | 1127.01q2System.3-01.q | 1127.01q2System.3-01.q 01.05 Contrôle d’accès aux systèmes d’exploitation | Auditer les machines Windows qui ont un ou plusieurs membres spécifiés manquants dans le groupe Administrateurs | 2.0.0 |
| 11 Contrôle d’accès | 1148.01c2System.78-01.c | 1148.01c2Système.78-01.c 01.02 Accès autorisé aux systèmes d’information | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Comptes » | 3.0.0 |
| 12 Journalisation d’audit & Supervision | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organisationnel.4-09.ab 09.10 Analyse | Auditer les machines Windows sur lesquelles l’agent Log Analytics n’est pas connecté comme prévu | 2.0.0 |
| 12 Journalisation d’audit & Supervision | 1217.09ab3System.3-09.ab | 1217.09ab3Système.3-09.ab 09.10 Analyse | Auditer les machines Windows sur lesquelles l’agent Log Analytics n’est pas connecté comme prévu | 2.0.0 |
| 12 Journalisation d’audit & Supervision | 1232.09c3Organizational.12-09.c | 1232.09c3ysOrganisationnel.12-09.c 09.01 Procédures d’exploitation documentées | Les machines Windows doivent répondre aux exigences de « Attribution de droits de l’utilisateur » | 3.0.0 |
| 12 Journalisation d’audit & Supervision | 1277.09c2Organizational.4-09.c | 1277.09c2Organisationnel.4-09.c 09.01 Procédures d’exploitation documentées | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Contrôle de compte d’utilisateur » | 3.0.0 |
| 16 Continuité d’activité et reprise d’activité | 1637.12b2Organizational.2-12.b | 1637.12b2Organisationnel.2-12.b 12.01 Aspects de la sécurité des informations de la gestion de la continuité des activités | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Console de récupération » | 3.0.0 |
IRS 1075 septembre 2016
Pour voir comment les composants intégrés Azure Policy disponibles de tous les services Azure répondent à cette norme de conformité, consultez Conformité réglementaire Azure Policy – IRS 1075 septembre 2016. Pour plus d’informations sur cette norme de conformité, consultez IRS 1075 septembre 2016.
ISO 27001:2013
Pour voir comment les composants intégrés Azure Policy disponibles de tous les services Azure répondent à cette norme de conformité, consultez Conformité réglementaire Azure Policy – ISO 27001:2013. Pour plus d’informations sur cette norme de conformité, consultez ISO 27001:2013.
Benchmark de sécurité cloud Microsoft
Le point de référence de sécurité du cloud Microsoft fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Pour voir comment ce service correspond totalement au point de référence de sécurité du cloud Microsoft, consultez les fichiers de correspondance Azure Security Benchmark.
Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure correspondent à cette norme de conformité, consultez l’article Conformité réglementaire Azure Policy – Point de référence de sécurité du cloud Microsoft.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Gestion des identités | IM-6 | Utiliser des contrôles d’authentification renforcés | L’authentification auprès des machines Linux doit exiger des clés SSH | 3.2.0 |
| Protection des données | DP-3 | Chiffrer les données sensibles en transit | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| Journalisation et détection des menaces | LT-1 | Activer les fonctionnalités de détection des menaces | Windows Defender Exploit Guard doit être activé sur vos machines | 2.0.0 |
| Journalisation et détection des menaces | LT-2 | Activer la détection des menaces pour la gestion des identités et des accès | Windows Defender Exploit Guard doit être activé sur vos machines | 2.0.0 |
| Journalisation et détection des menaces | LT-5 | Centraliser la gestion et l’analyse des journaux de sécurité | [Préversion] : l’extension Log Analytics doit être installée sur vos machines Linux Azure Arc | 1.0.1-preview |
| Journalisation et détection des menaces | LT-5 | Centraliser la gestion et l’analyse des journaux de sécurité | [Préversion] : l’extension Log Analytics doit être installée sur vos machines Windows Azure Arc | 1.0.1-preview |
| Gestion de la posture et des vulnérabilités | PV-4 | Auditer et appliquer des configurations sécurisées pour les ressources de calcul | Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute | 2.2.0 |
| Gestion de la posture et des vulnérabilités | PV-4 | Auditer et appliquer des configurations sécurisées pour les ressources de calcul | Les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute | 2.0.0 |
| Gestion de la posture et des vulnérabilités | PV-6 | Corriger rapidement et automatiquement les vulnérabilités | Les machines doivent être configurées pour rechercher régulièrement les mises à jour système manquantes | 3.7.0 |
| Gestion de la posture et des vulnérabilités | PV-6 | Corriger rapidement et automatiquement les vulnérabilités | Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus | 1.0.0 |
| Gestion de la posture et des vulnérabilités | PV-6 | Corriger rapidement et automatiquement les vulnérabilités | Les mises à jour système doivent être installées sur vos machines (avec le Centre des mises à jour) | 1.0.1 |
| Sécurité des points de terminaison | ES-2 | Utiliser un logiciel anti-programme malveillant moderne | Windows Defender Exploit Guard doit être activé sur vos machines | 2.0.0 |
NIST SP 800-171 R2
Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure correspondent à ce standard de conformité, consultez Conformité réglementaire Azure Policy – NIST SP 800-171 R2. Pour plus d’informations sur cette norme de conformité, consultez NIST SP 800-171 R2.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Contrôle d’accès | 3.1.1 | Limiter l’accès système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes). | Auditer les machines Linux qui autorisent les connexions à distance à partir de comptes sans mot de passe | 3.1.0 |
| Contrôle d’accès | 3.1.1 | Limiter l’accès système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes). | Auditer les machines Linux qui ont des comptes sans mot de passe | 3.1.0 |
| Contrôle d’accès | 3.1.1 | Limiter l’accès système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes). | L’authentification auprès des machines Linux doit exiger des clés SSH | 3.2.0 |
| Contrôle d’accès | 3.1.12 | Superviser et contrôler les sessions d’accès à distance. | Auditer les machines Linux qui autorisent les connexions à distance à partir de comptes sans mot de passe | 3.1.0 |
| Contrôle d’accès | 3.1.4 | Séparer les tâches des individus pour réduire le risque d’activité malveillante sans collusion. | Auditer les machines Windows qui ont un ou plusieurs membres spécifiés manquants dans le groupe Administrateurs | 2.0.0 |
| Contrôle d’accès | 3.1.4 | Séparer les tâches des individus pour réduire le risque d’activité malveillante sans collusion. | Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs | 2.0.0 |
| Évaluation des risques | 3.11.2 | Rechercher régulièrement les vulnérabilités dans les applications et les systèmes de l’organisation et quand de nouvelles vulnérabilités affectant ces systèmes et applications sont identifiées. | Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus | 1.0.0 |
| Évaluation des risques | 3.11.3 | Corriger les vulnérabilités conformément aux évaluations des risques. | Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus | 1.0.0 |
| Protection du système et des communications | 3.13.8 | Implémenter des mécanismes de chiffrement pour empêcher toute divulgation non autorisée de CUI pendant la transmission, sauf en cas de protection par d’autres dispositifs de protection physique. | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| Intégrité du système et des informations | 3.14.1 | Identifier, signaler et corriger les failles système en temps voulu. | Windows Defender Exploit Guard doit être activé sur vos machines | 2.0.0 |
| Intégrité du système et des informations | 3.14.2 | Assurer la protection contre le code malveillant à des emplacements désignés au sein des systèmes de l’organisation. | Windows Defender Exploit Guard doit être activé sur vos machines | 2.0.0 |
| Intégrité du système et des informations | 3.14.4 | Mettre à jour les mécanismes de protection contre le code malveillant lorsque de nouvelles versions sont disponibles. | Windows Defender Exploit Guard doit être activé sur vos machines | 2.0.0 |
| Intégrité du système et des informations | 3.14.5 | Effectuez des analyses périodiques des systèmes d’organisation et des analyses en temps réel des fichiers provenant de sources externes à mesure que les fichiers sont téléchargés, ouverts ou exécutés. | Windows Defender Exploit Guard doit être activé sur vos machines | 2.0.0 |
| Intégrité du système et des informations | 3.14.6 | Superviser les systèmes de l’organisation, notamment le trafic des communications entrantes et sortantes, pour détecter les attaques et les indicateurs d’attaques potentielles. | [Préversion] : l’extension Log Analytics doit être installée sur vos machines Linux Azure Arc | 1.0.1-preview |
| Intégrité du système et des informations | 3.14.6 | Superviser les systèmes de l’organisation, notamment le trafic des communications entrantes et sortantes, pour détecter les attaques et les indicateurs d’attaques potentielles. | [Préversion] : l’extension Log Analytics doit être installée sur vos machines Windows Azure Arc | 1.0.1-preview |
| Intégrité du système et des informations | 3.14.7 | Identifier les utilisations non autorisées des systèmes d’entreprise. | [Préversion] : l’extension Log Analytics doit être installée sur vos machines Linux Azure Arc | 1.0.1-preview |
| Intégrité du système et des informations | 3.14.7 | Identifier les utilisations non autorisées des systèmes d’entreprise. | [Préversion] : l’extension Log Analytics doit être installée sur vos machines Windows Azure Arc | 1.0.1-preview |
| Audit et responsabilité | 3.3.1 | Créer et conserver les journaux d’audit système et les enregistrements de façon à pouvoir activer la supervision, l’analyse, l’investigation et la création de rapports concernant l’activité système non légale ou non autorisée | [Préversion] : l’extension Log Analytics doit être installée sur vos machines Linux Azure Arc | 1.0.1-preview |
| Audit et responsabilité | 3.3.1 | Créer et conserver les journaux d’audit système et les enregistrements de façon à pouvoir activer la supervision, l’analyse, l’investigation et la création de rapports concernant l’activité système non légale ou non autorisée | [Préversion] : l’extension Log Analytics doit être installée sur vos machines Windows Azure Arc | 1.0.1-preview |
| Audit et responsabilité | 3.3.2 | Vérifier que les actions de chaque utilisateur du système peuvent être suivies et mises en correspondance avec les utilisateurs en question, afin qu’ils puissent être tenus responsables de leurs actions. | [Préversion] : l’extension Log Analytics doit être installée sur vos machines Linux Azure Arc | 1.0.1-preview |
| Audit et responsabilité | 3.3.2 | Vérifier que les actions de chaque utilisateur du système peuvent être suivies et mises en correspondance avec les utilisateurs en question, afin qu’ils puissent être tenus responsables de leurs actions. | [Préversion] : l’extension Log Analytics doit être installée sur vos machines Windows Azure Arc | 1.0.1-preview |
| Gestion de la configuration | 3.4.1 | Établir et gérer les configurations de référence et les inventaires des systèmes d’entreprise (y compris le matériel, les logiciels, les microprogrammes et la documentation) tout au long de leur cycle de vie de développement système. | Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute | 2.2.0 |
| Gestion de la configuration | 3.4.1 | Établir et gérer les configurations de référence et les inventaires des systèmes d’entreprise (y compris le matériel, les logiciels, les microprogrammes et la documentation) tout au long des cycles de vie de développement du système. | Les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute | 2.0.0 |
| Gestion de la configuration | 3.4.2 | Établir et appliquer des paramètres de configuration de sécurité pour les produits informatiques utilisés dans les systèmes d’entreprise. | Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute | 2.2.0 |
| Gestion de la configuration | 3.4.2 | Établir et appliquer des paramètres de configuration de sécurité pour les produits informatiques utilisés dans les systèmes d’entreprise. | Les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute | 2.0.0 |
| Identification et authentification | 3.5.10 | Stocker et transmettre uniquement les mots de passe protégés par chiffrement. | Auditer les machines Linux qui n’ont pas les autorisations de fichier de mot de passe définies sur 0644 | 3.1.0 |
| Identification et authentification | 3.5.10 | Stocker et transmettre uniquement les mots de passe protégés par chiffrement. | Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible | 2.0.0 |
| Identification et authentification | 3.5.10 | Stocker et transmettre uniquement les mots de passe protégés par chiffrement. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau » | 3.0.0 |
| Identification et authentification | 3.5.2 | Authentifier (ou vérifier) les identités des utilisateurs, des processus ou des appareils, comme condition préalable à l’autorisation de l’accès aux systèmes de l’organisation. | Auditer les machines Linux qui n’ont pas les autorisations de fichier de mot de passe définies sur 0644 | 3.1.0 |
| Identification et authentification | 3.5.2 | Authentifier (ou vérifier) les identités des utilisateurs, des processus ou des appareils, comme condition préalable à l’autorisation de l’accès aux systèmes de l’organisation. | Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible | 2.0.0 |
| Identification et authentification | 3.5.2 | Authentifier (ou vérifier) les identités des utilisateurs, des processus ou des appareils, comme condition préalable à l’autorisation de l’accès aux systèmes de l’organisation. | L’authentification auprès des machines Linux doit exiger des clés SSH | 3.2.0 |
| Identification et authentification | 3.5.4 | Utilisez des mécanismes d’authentification résistants aux attaques par rejeu pour l’accès réseau aux comptes privilégiés et non privilégiés. | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau » | 3.0.0 |
| Identification et authentification | 3.5.7 | Imposer une complexité minimale du mot de passe et un changement de caractères lors de la création de nouveaux mots de passe. | Auditer les machines Windows qui n’ont pas le paramètre de complexité de mot de passe activé | 2.0.0 |
| Identification et authentification | 3.5.7 | Imposer une complexité minimale du mot de passe et un changement de caractères lors de la création de nouveaux mots de passe. | Auditer les machines Windows qui ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié | 2.1.0 |
| Identification et authentification | 3.5.8 | Interdire la réutilisation du mot de passe pour un nombre spécifié de générations. | Auditer les machines Windows qui autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques | 2.1.0 |
NIST SP 800-53 Rev. 4
Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure correspondent à cette norme de conformité, consultez Conformité réglementaire Azure Policy – NIST SP 800-53 Rév. 4. Pour plus d’informations sur cette norme de conformité, consultez NIST SP 800-53 Rév. 4.
NIST SP 800-53 Rev. 5
Pour voir le mappage entre les composants intégrés Azure Policy disponibles pour tous les services Azure et cette norme de conformité, consultez Conformité réglementaire d’Azure Policy – NIST SP 800-53 Rev. 5. Pour plus d’informations sur cette norme de conformité, consultez NIST SP 800-53 Rev. 5.
Thème Cloud BIO NL
Pour évaluer comment les composants intégrés Azure Policy disponibles pour tous les services Azure répondent à cette norme de conformité, consultez Détails de la conformité réglementaire Azure Policy pour le thème cloud BIO NL. Pour plus d’informations sur cette norme de conformité, consultez Cybersécurité du gouvernement de la sécurité des informations de référence - Digital Government (digitaleoverheid.nl).
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| C.04.3 Gestion des vulnérabilités techniques – Chronologies | C.04.3 | Si la probabilité d’abus et les dommages attendus sont tous les deux élevés, les correctifs sont installés au plus tard dans les sept jours. | Windows Defender Exploit Guard doit être activé sur vos machines | 2.0.0 |
| C.04.6 Gestion des vulnérabilités techniques – Chronologies | C.04.6 | Les faiblesses techniques peuvent être corrigées en effectuant une gestion des correctifs en temps opportun. | Windows Defender Exploit Guard doit être activé sur vos machines | 2.0.0 |
| C.04.7 Gestion des vulnérabilités techniques – Évaluation | C.04.7 | Les évaluations des vulnérabilités techniques sont enregistrées et signalées. | Windows Defender Exploit Guard doit être activé sur vos machines | 2.0.0 |
| U.05.1 - Protection des données - Mesures de chiffrement | U.05.1 | Le transport de données est sécurisé avec chiffrement là où la gestion des clés est effectuée par le CSC lui-même dans la mesure du possible. | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| U.09.3 Protection contre les programmes malveillants : détection, prévention et récupération | U.09.3 | La protection contre les programmes malveillants s’exécute sur différents environnements. | Windows Defender Exploit Guard doit être activé sur vos machines | 2.0.0 |
| U.10.2 Accès aux services et données informatiques – Utilisateurs | U.10.2 | Sous la responsabilité du CSP, l’accès est accordé aux administrateurs. | Auditer les machines Linux qui autorisent les connexions à distance à partir de comptes sans mot de passe | 3.1.0 |
| U.10.2 Accès aux services et données informatiques – Utilisateurs | U.10.2 | Sous la responsabilité du CSP, l’accès est accordé aux administrateurs. | Auditer les machines Linux qui ont des comptes sans mot de passe | 3.1.0 |
| U.10.3 Accès aux services et données informatiques – Utilisateurs | U.10.3 | Seuls les utilisateurs disposant d’un équipement authentifié peuvent accéder aux services et données informatiques. | Auditer les machines Linux qui autorisent les connexions à distance à partir de comptes sans mot de passe | 3.1.0 |
| U.10.3 Accès aux services et données informatiques – Utilisateurs | U.10.3 | Seuls les utilisateurs disposant d’un équipement authentifié peuvent accéder aux services et données informatiques. | Auditer les machines Linux qui ont des comptes sans mot de passe | 3.1.0 |
| U.10.5 Accès aux services et données informatiques – Compétent | U.10.5 | L’accès aux services et données informatiques est limité par les mesures techniques et a été implémenté. | Auditer les machines Linux qui autorisent les connexions à distance à partir de comptes sans mot de passe | 3.1.0 |
| U.10.5 Accès aux services et données informatiques – Compétent | U.10.5 | L’accès aux services et données informatiques est limité par les mesures techniques et a été implémenté. | Auditer les machines Linux qui ont des comptes sans mot de passe | 3.1.0 |
| U.11.1 - Services de chiffrement - Stratégie | U.11.1 | Dans la stratégie de chiffrement, au minimum les sujets conformes à BIO ont été élaborés. | Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible | 2.0.0 |
| U.11.1 Services de chiffrement – Stratégie | U.11.1 | Dans la stratégie de chiffrement, au minimum les sujets conformes à BIO ont été élaborés. | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| U.11.2 - Services de chiffrement - Mesures de chiffrement | U.11.2 | Dans le cas de certificats PKIoverheid, utilisez les exigences PKIoverheid pour la gestion des clés. Dans d’autres situations, utilisez ISO11770. | Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible | 2.0.0 |
| U.11.2 Services de chiffrement – Mesures de chiffrement | U.11.2 | Dans le cas de certificats PKIoverheid, utilisez les exigences PKIoverheid pour la gestion des clés. Dans d’autres situations, utilisez ISO11770. | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| U.15.1 Journalisation et surveillance : événements enregistrés | U.15.1 | La violation des règles de stratégie est enregistrée par le CSP et le CSC. | [Préversion] : l’extension Log Analytics doit être installée sur vos machines Linux Azure Arc | 1.0.1-preview |
| U.15.1 Journalisation et monitoring – Événements enregistrés | U.15.1 | La violation des règles de stratégie est enregistrée par le CSP et le CSC. | [Préversion] : l’extension Log Analytics doit être installée sur vos machines Windows Azure Arc | 1.0.1-preview |
PCI DSS 3.2.1
Pour voir comment les éléments intégrés Azure Policy disponibles pour tous les services Azure correspondent à cette norme de conformité, consultez PCI DSS 3.2.1. Pour plus d’informations sur cette norme de conformité, consultez PCI DSS 3.2.1.
PCI DSS v4.0
Pour voir comment les composants intégrés Azure Policy disponibles de tous les services Azure répondent à cette norme de conformité, consultez Conformité réglementaire Azure Policy pour PCI DSS v4.0. Pour plus d’informations sur ce standard de conformité, consultez PCI DSS v4.0.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Exigence 08 : Identifier les utilisateurs et authentifier l’accès aux composants système | 8.3.6 | L’authentification forte pour les utilisateurs et les administrateurs est établie et gérée | Auditer les machines Windows qui autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques | 2.1.0 |
| Exigence 08 : Identifier les utilisateurs et authentifier l’accès aux composants système | 8.3.6 | L’authentification forte pour les utilisateurs et les administrateurs est établie et gérée | Auditer les machines Windows dont la durée de vie maximale du mot de passe n’est pas définie sur le nombre de jours spécifié | 2.1.0 |
| Exigence 08 : Identifier les utilisateurs et authentifier l’accès aux composants système | 8.3.6 | L’authentification forte pour les utilisateurs et les administrateurs est établie et gérée | Auditer les machines Windows qui ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié | 2.1.0 |
Reserve Bank of India - Infrastructure informatique pour NBFC
Pour évaluer comment les composants intégrés Azure Policy disponibles de tous les services Azure répondent à cette norme de conformité, consultez Conformité réglementaire Azure Policy - Reserve Bank of India - Infrastructure informatique pour NBFC. Pour plus d’informations sur cette norme de conformité, consultez Reserve Bank of India - Infrastructure informatique pour NBFC.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Gouvernance informatique | 1 | Gouvernance informatique-1 | Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus | 1.0.0 |
| Informations et cybersécurité | 3.3 | Gestion des vulnérabilités-3.3 | Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus | 1.0.0 |
Banque de réserve de l’Inde – Infrastructure informatique pour les banques v2016
Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure répondent à cette norme de conformité, consultez Conformité réglementaire Azure Policy - RBI ITF Banks v2016. Pour plus d’informations sur cette norme de conformité, consultez RBI ITF Banks v2016 (PDF).
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Maintenance, surveillance et analyse des journaux d’audit | Maintenance, surveillance et analyse des journaux d’audit-16.2 | [Préversion] : l’extension Log Analytics doit être installée sur vos machines Linux Azure Arc | 1.0.1-preview | |
| Maintenance, surveillance et analyse des journaux d’audit | Maintenance, surveillance et analyse des journaux d’audit-16.2 | [Préversion] : l’extension Log Analytics doit être installée sur vos machines Windows Azure Arc | 1.0.1-preview | |
| Framework d’authentification pour les clients | Framework d’authentification pour les clients-9.1 | L’authentification auprès des machines Linux doit exiger des clés SSH | 3.2.0 | |
| Paramètres du journal d’audit | Paramètres du journal d’audit-17.1 | Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute | 2.2.0 | |
| Interdiction de l’exécution de logiciels non autorisés | Gestion des correctifs de sécurité-2.3 | Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus | 1.0.0 | |
| Configuration sécurisée | Configuration sécurisée-5.1 | Windows Defender Exploit Guard doit être activé sur vos machines | 2.0.0 | |
| Systèmes de messagerie et de messagerie sécurisés | Systèmes de messagerie et de messagerie sécurisés-10.1 | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 | |
| Paramètres du journal d’audit | Paramètres du journal d’audit-17.1 | Les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute | 2.0.0 |
Espagne - ENS
Pour savoir comment les composants intégrés Azure Policy disponibles de tous les services Azure répondent à cette norme de conformité, consultez les Détails de la conformité réglementaire d’Azure Policy de l’ENS (Espagne). Pour plus d’informations sur cette norme de conformité, consultez CCN-STIC 884.
SWIFT CSP-CSCF v2021
Pour évaluer le lien entre les éléments intégrés Azure Policy, disponibles pour tous les services Azure, et cette norme de conformité, consultez Informations relatives à la conformité réglementaire Azure Policy de SWIFT CSP-CSCF v2021. Pour plus d’informations sur cette norme de conformité, consultez SWIFT CSP-CSCF v2021.
SWIFT CSP-CSCF v2022
Pour examiner la façon dont les intégrations Azure Policy disponibles pour toute la carte des services Azure correspondent à cette norme de conformité, consultez Détails de conformité réglementaire Azure Policy pour SWIFT CSP-CSCF v2022. Pour plus d’informations sur cette norme de conformité, consultez SWIFT CSP CSCF v2022.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.1 | Assurez-vous de la confidentialité, de l’intégrité et de l’authenticité des flux de données d’application entre les composants locaux liés à SWIFT. | L’authentification auprès des machines Linux doit exiger des clés SSH | 3.2.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.1 | Assurez-vous de la confidentialité, de l’intégrité et de l’authenticité des flux de données d’application entre les composants locaux liés à SWIFT. | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.2 | Minimisez l’occurrence de vulnérabilités techniques connues sur les PC d’opérateur et dans l’infrastructure SWIFT locale en garantissant la prise en charge par le fournisseur, en appliquant des mises à jour logiciel obligatoires et en appliquant des correctifs de sécurité en temps opportun alignées sur le risque évalué. | Auditer les machines virtuelles Windows avec un redémarrage en attente | 2.0.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.3 | Réduisez la surface de cyber-attaque des composants SWIFT en effectuant un renforcement du système. | Auditer les machines Linux qui n’ont pas les autorisations de fichier de mot de passe définies sur 0644 | 3.1.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.3 | Réduisez la surface de cyber-attaque des composants SWIFT en effectuant un renforcement du système. | Auditer les machines Windows qui contiennent des certificats arrivant à expiration dans le nombre spécifié de jours | 2.0.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.3 | Réduisez la surface de cyber-attaque des composants SWIFT en effectuant un renforcement du système. | Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible | 2.0.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.4A | Sécurité du flux de données du back-office | L’authentification auprès des machines Linux doit exiger des clés SSH | 3.2.0 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.4A | Sécurité du flux de données du back-office | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.6 | Protéger la confidentialité et l’intégrité des sessions d’opérateur interactives qui se connectent aux applications SWIFT locales ou distantes (gérées par un fournisseur de services) aux applications SWIFT associées au fournisseur de services ou au fournisseur de services | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| 2. Réduire la surface d’attaque et les vulnérabilités | 2.6 | Protéger la confidentialité et l’intégrité des sessions d’opérateur interactives qui se connectent aux applications SWIFT locales ou distantes (gérées par un fournisseur de services) aux applications SWIFT associées au fournisseur de services ou au fournisseur de services | Les machines Windows doivent répondre aux exigences de « Options de sécurité - Ouverture de session interactive » | 3.0.0 |
| 4. Empêcher la compromission des informations d’identification | 4,1 | Assurez-vous que les mots de passe sont suffisamment résistants aux attaques courantes de mot de passe en implémentant et en appliquant une stratégie de mot de passe effective. | Auditer les machines Linux qui autorisent les connexions à distance à partir de comptes sans mot de passe | 3.1.0 |
| 4. Empêcher la compromission des informations d’identification | 4,1 | Assurez-vous que les mots de passe sont suffisamment résistants aux attaques courantes de mot de passe en implémentant et en appliquant une stratégie de mot de passe effective. | Auditer les machines Linux qui ont des comptes sans mot de passe | 3.1.0 |
| 4. Empêcher la compromission des informations d’identification | 4,1 | Assurez-vous que les mots de passe sont suffisamment résistants aux attaques courantes de mot de passe en implémentant et en appliquant une stratégie de mot de passe effective. | Auditer les machines Windows qui autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques | 2.1.0 |
| 4. Empêcher la compromission des informations d’identification | 4,1 | Assurez-vous que les mots de passe sont suffisamment résistants aux attaques courantes de mot de passe en implémentant et en appliquant une stratégie de mot de passe effective. | Auditer les machines Windows dont la durée de vie maximale du mot de passe n’est pas définie sur le nombre de jours spécifié | 2.1.0 |
| 4. Empêcher la compromission des informations d’identification | 4,1 | Assurez-vous que les mots de passe sont suffisamment résistants aux attaques courantes de mot de passe en implémentant et en appliquant une stratégie de mot de passe effective. | Auditer les machines Windows dont la durée de vie minimale du mot de passe n’est pas définie sur le nombre de jours spécifié | 2.1.0 |
| 4. Empêcher la compromission des informations d’identification | 4,1 | Assurez-vous que les mots de passe sont suffisamment résistants aux attaques courantes de mot de passe en implémentant et en appliquant une stratégie de mot de passe effective. | Auditer les machines Windows qui n’ont pas le paramètre de complexité de mot de passe activé | 2.0.0 |
| 4. Empêcher la compromission des informations d’identification | 4,1 | Assurez-vous que les mots de passe sont suffisamment résistants aux attaques courantes de mot de passe en implémentant et en appliquant une stratégie de mot de passe effective. | Auditer les machines Windows qui ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié | 2.1.0 |
| 5. Gérer les identités et séparer les privilèges | 5,1 | Appliquez les principes de sécurité de l’accès nécessaire, du privilège minimum et de la séparation des tâches pour les comptes d’opérateur. | Auditer les machines Windows qui contiennent des certificats arrivant à expiration dans le nombre spécifié de jours | 2.0.0 |
| 5. Gérer les identités et séparer les privilèges | 5.4 | Protéger physiquement et logiquement le référentiel des mots de passe enregistrés. | Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible | 2.0.0 |
Contrôles d’organisation et de Système (SOC) 2
Pour passer en revue la façon dont les intégrations Azure Policy disponibles pour tous les services Azure correspondent à cette norme de conformité, consultez Détails de la conformité réglementaire Azure Policy pour SOC (System and Organization Controls) 2. Pour obtenir plus d’informations sur cette norme de conformité, consultez SOC (System and Organization Controls) 2.
| Domain | ID du contrôle | Titre du contrôle | Policy (Portail Azure) |
Version de la stratégie (GitHub) |
|---|---|---|---|---|
| Contrôles d’accès logiques et physiques | CC6.1 | Architectures, infrastructure et logiciels de sécurité d’accès logique | L’authentification auprès des machines Linux doit exiger des clés SSH | 3.2.0 |
| Contrôles d’accès logiques et physiques | CC6.1 | Architectures, infrastructure et logiciels de sécurité d’accès logique | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| Contrôles d’accès logiques et physiques | CC6.6 | Mesures de sécurité contre les menaces extérieures aux limites du système | L’authentification auprès des machines Linux doit exiger des clés SSH | 3.2.0 |
| Contrôles d’accès logiques et physiques | CC6.6 | Mesures de sécurité contre les menaces extérieures aux limites du système | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| Contrôles d’accès logiques et physiques | CC6.7 | Réserver uniquement la diffusion des informations aux utilisateurs autorisés | Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | 4.1.1 |
| Contrôles d’accès logiques et physiques | CC6.8 | Prévenir ou détecter les logiciels non autorisés ou malveillants | Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute | 2.2.0 |
| Contrôles d’accès logiques et physiques | CC6.8 | Prévenir ou détecter les logiciels non autorisés ou malveillants | Les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute | 2.0.0 |
| Opérations du système | CC7.2 | Analyser les composants du système pour détecter tout comportement anormal | Windows Defender Exploit Guard doit être activé sur vos machines | 2.0.0 |
| Gestion des changements | CC8.1 | Modifications apportées à l’infrastructure, aux données et aux logiciels | Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute | 2.2.0 |
| Gestion des changements | CC8.1 | Modifications apportées à l’infrastructure, aux données et aux logiciels | Les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute | 2.0.0 |
UK OFFICIAL et UK NHS
Pour voir comment les composants intégrés Azure Policy disponibles de tous les services Azure répondent à cette norme de conformité, consultez Conformité réglementaire Azure Policy – UK OFFICIAL et UK NHS. Pour plus d’informations sur cette norme de conformité, consultez UK OFFICIAL.
Étapes suivantes
- Apprenez-en davantage sur la Conformité réglementaire d’Azure Policy.
- Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub.