Recommandations en matière de sécurité de calcul
Cet article répertorie toutes les recommandations de sécurité de calcul multicloud que vous pouvez voir dans Microsoft Defender pour le cloud.
Les recommandations qui apparaissent dans votre environnement sont basées sur les ressources que vous protégez et sur votre configuration personnalisée.
Pour en savoir plus sur les actions que vous pouvez effectuer en réponse à ces recommandations, consultez Correction des recommandations dans Defender pour le cloud.
Conseil
Si une description de recommandation indique Aucune stratégie associée, cela est généralement dû au fait que cette recommandation dépend d’une autre recommandation.
Par exemple, les échecs d’intégrité Endpoint Protection doivent être corrigés en fonction de la recommandation qui vérifie si une solution endpoint protection est installée (la solution Endpoint Protection doit être installée). La recommandation sous-jacente est associée à une stratégie. La limitation des stratégies aux recommandations fondamentales simplifie la gestion des stratégies.
Recommandations pour Calcul Azure
Les mises à jour système doivent être installées sur vos machines (avec le Centre des mises à jour)
Description : vos ordinateurs ne disposent pas de mises à jour système, de sécurité et critiques. Les mises à jour de logiciel incluent souvent des correctifs critiques pour les failles de sécurité. Ces failles sont souvent exploitées lors d’attaques de programmes malveillants. Il est donc essentiel de maintenir vos logiciels à jour. Pour installer tous les correctifs en attente et sécuriser vos machines, suivez la procédure de correction.
Gravité : faible
Les machines doivent être configurées pour rechercher régulièrement les mises à jour système manquantes
Description : Pour vous assurer que les évaluations périodiques des mises à jour système manquantes sont déclenchées automatiquement toutes les 24 heures, la propriété AssessmentMode doit être définie sur « AutomaticByPlatform ». En savoir plus sur la propriété AssessmentMode pour Windows : https://aka.ms/computevm-windowspatchassessmentmode, pour Linux : https://aka.ms/computevm-linuxpatchassessmentmode.
Gravité : faible
Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines
Description : Activez les contrôles d’application pour définir la liste des applications connues en cours d’exécution sur vos machines et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Defender pour le cloud utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables. (Stratégie associée : Les contrôles d’application adaptatifs pour définir des applications sécurisées doivent être activés sur vos machines.
Gravité : élevée
Les règles de liste verte dans votre stratégie de contrôle d’application adaptatif doivent être mises à jour
Description : Surveillez les modifications du comportement sur les groupes de machines configurés pour l’audit par les contrôles d’application adaptatifs de Defender pour le cloud. Defender pour le cloud utilise le Machine Learning pour analyser les processus en cours d’exécution sur vos machines et suggérer une liste d’applications reconnues fiables. Elles sont présentées comme des applications recommandées à autoriser dans les stratégies de contrôles d’application adaptatifs. (Stratégie associée : Les règles de liste verte dans votre stratégie de contrôle d’application adaptative doivent être mises à jour).
Gravité : élevée
L’authentification auprès des machines Linux doit exiger des clés SSH
Description : Bien que SSH lui-même fournisse une connexion chiffrée, l’utilisation de mots de passe avec SSH laisse toujours la machine virtuelle vulnérable aux attaques par force brute. L’option la plus sûre pour l’authentification auprès d’une machine virtuelle Linux Azure via SSH est d’utiliser une paire de clés publique-privée, également appelées clés SSH. Pour en savoir plus, consultez Étapes détaillées : Créer et gérer des clés SSH pour l’authentification sur une machine virtuelle Linux dans Azure. (Stratégie associée : Auditez les machines Linux qui n’utilisent pas de clé SSH pour l’authentification.
Gravité : moyenne
Les variables de compte Automation doivent être chiffrées
Description : il est important d’activer le chiffrement des ressources de variables de compte Automation lors du stockage de données sensibles. (Stratégie associée : Les variables de compte Automation doivent être chiffrées).
Gravité : élevée
Sauvegarde Azure doit être activé pour les machines virtuelles
Description : Protégez les données sur vos machines virtuelles Azure avec Sauvegarde Azure. La Sauvegarde Azure est une solution Azure sécurisée et économique pour la protection des données. Elle crée des points de récupération stockés dans des coffres de récupération géoredondants. Quand vous effectuez une restauration à partir d’un point de récupération, vous pouvez restaurer la machine virtuelle entière ou des fichiers spécifiques. (Stratégie associée : Sauvegarde Azure doit être activé pour Machines Virtuelles).
Gravité : faible
(Préversion) Les machines locales Azure doivent répondre aux exigences de base sécurisée
Description : Vérifiez que toutes les machines locales Azure répondent aux exigences de base sécurisée. (Stratégie associée : L’extension Guest Configuration doit être installée sur des machines - Microsoft Azure).
Gravité : faible
(Préversion) Les machines locales Azure doivent avoir des stratégies de contrôle d’application appliquées de manière cohérente
Description : Au minimum, appliquez la stratégie de base Microsoft WDAC en mode appliqué sur toutes les machines locales Azure. Les stratégies appliquées par Windows Defender Application Control (WDAC) doivent être cohérentes entre les serveurs d'un même cluster. (Stratégie associée : L’extension Guest Configuration doit être installée sur des machines - Microsoft Azure).
Gravité : élevée
(Préversion) Les systèmes locaux Azure doivent avoir des volumes chiffrés
Description : Utilisez BitLocker pour chiffrer le système d’exploitation et les volumes de données sur les systèmes locaux Azure. (Stratégie associée : L’extension Guest Configuration doit être installée sur des machines - Microsoft Azure).
Gravité : élevée
Les hôtes de conteneur doivent être configurés en toute sécurité
Description : Corrigez les vulnérabilités dans les paramètres de configuration de sécurité sur les machines avec Docker installé pour les protéger contre les attaques. (Stratégie associée : Les vulnérabilités dans les configurations de sécurité de conteneur doivent être corrigées).
Gravité : élevée
Les journaux de diagnostic dans Azure Stream Analytics doivent être activés
Description : activez les journaux et conservez-les pendant un an. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. (Stratégie associée : Les journaux de diagnostic dans Azure Stream Analytics doivent être activés).
Gravité : faible
Les journaux de diagnostic dans les comptes Batch doivent être activés
Description : activez les journaux et conservez-les pendant un an. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. (Stratégie associée : Les journaux de diagnostic dans les comptes Batch doivent être activés).
Gravité : faible
Les journaux de diagnostic dans Event Hubs doivent être activés
Description : activez les journaux et conservez-les pendant un an. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. (Stratégie associée : Les journaux de diagnostic dans Event Hubs doivent être activés).
Gravité : faible
Les journaux de diagnostic dans Logic Apps doivent être activés
Description : Pour vous assurer que vous pouvez recréer des pistes d’activité à des fins d’investigation lorsqu’un incident de sécurité se produit ou que votre réseau est compromis, activez la journalisation. Si vos journaux de diagnostic ne sont pas envoyés à un espace de travail Log Analytics, Stockage Azure compte ou Azure Event Hubs, vérifiez que vous avez configuré les paramètres de diagnostic pour envoyer des métriques de plateforme et des journaux de plateforme aux destinations appropriées. Pour en savoir plus, consultez Créer des paramètres de diagnostic pour envoyer des journaux et des métriques de plateforme à différentes destinations. (Stratégie associée : Les journaux de diagnostic dans Logic Apps doivent être activés).
Gravité : faible
Les journaux de diagnostic dans Service Bus doivent être activés
Description : activez les journaux et conservez-les pendant un an. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. (Stratégie associée : Les journaux de diagnostic dans Service Bus doivent être activés).
Gravité : faible
Les journaux de diagnostic dans les groupes de machines virtuelles identiques doivent être activés
Description : activez les journaux et conservez-les pendant un an. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. (Stratégie associée : Les journaux de diagnostic dans les groupes de machines virtuelles identiques doivent être activés).
Gravité : élevée
Les problèmes de configuration d'EDR doivent être résolus sur les machines virtuelles
Description : Pour protéger les machines virtuelles contre les dernières menaces et vulnérabilités, résolvez tous les problèmes de configuration identifiés avec la solution EDR (Endpoint Detection and Response) installée. Actuellement, cette recommandation s’applique uniquement aux ressources avec Microsoft Defender pour point de terminaison activée.
Cette recommandation de point de terminaison sans agent est disponible si vous disposez de Defender for Servers Plan 2 ou du plan GPSI Defender. En savoir plus sur les recommandations de protection des points de terminaison sans agent.
- Ces nouvelles recommandations de point de terminaison sans agent prennent en charge les machines Azure et multicloud. Les serveurs locaux ne sont pas pris en charge.
- Ces nouvelles recommandations de point de terminaison sans agent remplacent les recommandations existantes endpoint protection doivent être installées sur vos machines (préversion) et les problèmes d’intégrité Endpoint Protection doivent être résolus sur vos machines (préversion).
- Ces anciennes recommandations utilisent l’agent MMA/AMA et seront remplacées, car les agents sont supprimés progressivement dans Defender pour serveurs.
Gravité : faible
La solution EDR doit être installée sur des machines virtuelles
Description : l’installation d’une solution EDR (Endpoint Detection and Response) sur des machines virtuelles est importante pour la protection contre les menaces avancées. Les EDR aident à prévenir, détecter, examiner et répondre à ces menaces. Microsoft Defender pour serveurs peut être utilisé pour déployer Microsoft Defender pour point de terminaison.
- Si une ressource est classée comme « non saine », elle indique l’absence d’une solution EDR prise en charge.
- Si une solution EDR est installée mais non détectable par cette recommandation, elle peut être exemptée
- Sans solution EDR, les machines virtuelles sont exposées à des menaces avancées.
Cette recommandation de point de terminaison sans agent est disponible si vous disposez de Defender for Servers Plan 2 ou du plan GPSI Defender. En savoir plus sur les recommandations de protection des points de terminaison sans agent.
- Ces nouvelles recommandations de point de terminaison sans agent prennent en charge les machines Azure et multicloud. Les serveurs locaux ne sont pas pris en charge.
- Ces nouvelles recommandations de point de terminaison sans agent remplacent les recommandations existantes endpoint protection doivent être installées sur vos machines (préversion) et les problèmes d’intégrité Endpoint Protection doivent être résolus sur vos machines (préversion).
- Ces anciennes recommandations utilisent l’agent MMA/AMA et seront remplacées, car les agents sont supprimés progressivement dans Defender pour serveurs.
Gravité : élevée
Les problèmes d’intégrité Endpoint Protection sur les groupes de machines virtuelles identiques doivent être résolus
Description : Sur les groupes de machines virtuelles identiques, corrigez les échecs d’intégrité de la protection des points de terminaison pour les protéger contre les menaces et les vulnérabilités. (Stratégie associée : La solution Endpoint Protection doit être installée sur des groupes de machines virtuelles identiques).
Gravité : faible
Endpoint Protection doit être installé sur les groupes de machines virtuelles identiques
Description : Installez une solution endpoint protection sur vos groupes de machines virtuelles identiques pour les protéger contre les menaces et les vulnérabilités. (Stratégie associée : La solution Endpoint Protection doit être installée sur des groupes de machines virtuelles identiques).
Gravité : élevée
Le monitoring de l’intégrité des fichiers doit être activé sur les machines
Description : Defender pour le cloud a identifié des ordinateurs qui ne disposent pas d’une solution de surveillance de l’intégrité des fichiers. Pour superviser les modifications apportées aux fichiers critiques, aux clés de Registre, etc. sur vos serveurs, activez le monitoring de l’intégrité des fichiers. Lorsque la solution de monitoring de l’intégrité des fichiers est activée, créez des règles de collecte de données pour définir les fichiers à superviser. Pour définir des règles ou voir les fichiers modifiés sur des machines avec des règles existantes, accédez à la page de gestion de l’intégrité des fichiers. (Aucune stratégie associée)
Gravité : élevée
L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Linux pris en charge
Description : Installez l’extension Attestation invité sur les groupes de machines virtuelles identiques Linux pris en charge pour permettre à Microsoft Defender pour le cloud d’attester et de surveiller de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique uniquement aux groupes de machines virtuelles identiques Linux pour lesquels le lancement fiable est activé.
- Le lancement fiable requiert la création de nouvelles machines virtuelles.
- Vous ne pouvez pas activer le lancement fiable sur les machines virtuelles existantes qui ont été créées initialement sans cette fonctionnalité.
En savoir plus sur le lancement fiable pour les machines virtuelles Azure. (Aucune stratégie associée)
Gravité : faible
L’extension Attestation d’invité doit être installée sur les machines virtuelles Linux prises en charge
Description : Installez l’extension Attestation invité sur les machines virtuelles Linux prises en charge pour permettre à Microsoft Defender pour le cloud d’attester et de surveiller de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique uniquement aux machines virtuelles Linux pour lesquelles le lancement fiable est activé.
- Le lancement fiable requiert la création de nouvelles machines virtuelles.
- Vous ne pouvez pas activer le lancement fiable sur les machines virtuelles existantes qui ont été créées initialement sans cette fonctionnalité.
En savoir plus sur le lancement fiable pour les machines virtuelles Azure. (Aucune stratégie associée)
Gravité : faible
L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Windows pris en charge
Description : Installez l’extension Attestation invité sur les groupes de machines virtuelles identiques pris en charge pour permettre à Microsoft Defender pour le cloud d’attester et de surveiller de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique uniquement aux groupes de machines virtuelles identiques pour lesquels le lancement fiable est activé.
- Le lancement fiable requiert la création de nouvelles machines virtuelles.
- Vous ne pouvez pas activer le lancement fiable sur les machines virtuelles existantes qui ont été créées initialement sans cette fonctionnalité.
En savoir plus sur le lancement fiable pour les machines virtuelles Azure. (Aucune stratégie associée)
Gravité : faible
L’extension Attestation d’invité doit être installée sur les machines virtuelles Windows prises en charge
Description : Installez l’extension Attestation invité sur les machines virtuelles prises en charge pour permettre à Microsoft Defender pour le cloud d’attester et de surveiller de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique uniquement aux machines virtuelles pour lesquelles le lancement fiable est activé.
- Le lancement fiable requiert la création de nouvelles machines virtuelles.
- Vous ne pouvez pas activer le lancement fiable sur les machines virtuelles existantes qui ont été créées initialement sans cette fonctionnalité.
En savoir plus sur le lancement fiable pour les machines virtuelles Azure. (Aucune stratégie associée)
Gravité : faible
L’extension Configuration Invité doit être installée sur les machines
Description : Pour garantir des configurations sécurisées des paramètres dans l’invité de votre ordinateur, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois installées, les stratégies in-guest seront disponibles, telles que Windows Exploit Guard, doit être activée. (Stratégie associée : Les machines virtuelles doivent avoir l’extension Guest Configuration).
Gravité : moyenne
(Préversion) La mise en réseau de l’hôte et de la machine virtuelle doit être protégée sur les systèmes locaux Azure
Description : Protégez les données sur le réseau de l’hôte local Azure et sur les connexions réseau de machines virtuelles. (Stratégie associée : L’extension Guest Configuration doit être installée sur des machines - Microsoft Azure).
Gravité : faible
Installer la solution de protection de point de terminaison sur les machines virtuelles
Description : Installez une solution endpoint protection sur vos machines virtuelles pour les protéger contre les menaces et les vulnérabilités. (Stratégie associée : Surveillez l’absence de Endpoint Protection dans Azure Security Center.
Gravité : élevée
Les machines virtuelles Linux doivent activer Azure Disk Encryption ou EncryptionAtHost
Description : par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme ; les disques temporaires et les caches de données ne sont pas chiffrés et les données ne sont pas chiffrées lors du flux entre les ressources de calcul et de stockage. Utilisez Azure Disk Encryption ou EncryptionAtHost pour chiffrer toutes ces données. Consultez la vue d’ensemble des options de chiffrement de disque managé pour comparer les offres de chiffrement. Cette stratégie nécessite deux conditions préalables pour être déployée dans l’étendue de l’affectation de stratégie. Pour plus d’informations, consultez Présentation de la configuration d’Azure Machine. (Stratégie associée : [Préversion] : les machines virtuelles Linux doivent activer Azure Disk Encryption ou EncryptionAtHost).
Remplace les anciennes recommandations Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage. La recommandation vous permet d’auditer la conformité du chiffrement des machines virtuelles.
Gravité : élevée
Les machines virtuelles Linux doivent appliquer la validation de signature du module de noyau
Description : Pour aider à atténuer l’exécution de code malveillant ou non autorisé en mode noyau, appliquez la validation de la signature du module de noyau sur les machines virtuelles Linux prises en charge. La validation de la signature du module de noyau garantit que seuls les modules de noyau approuvés pourront être exécutés. Cette évaluation s’applique uniquement aux machines virtuelles Linux sur lesquelles l’agent Azure Monitor est installé. (Aucune stratégie associée)
Gravité : faible
Les machines virtuelles Linux doivent utiliser uniquement des composants de démarrage signés et approuvés
Description : Avec le démarrage sécurisé activé, tous les composants de démarrage du système d’exploitation (chargeur de démarrage, noyau, pilotes de noyau) doivent être signés par des éditeurs approuvés. Defender pour le cloud a identifié des composants de démarrage du système d’exploitation non approuvés sur une ou plusieurs de vos machines Linux. Pour protéger vos machines contre les composants potentiellement malveillants, ajoutez-les à votre liste d’autorisation ou supprimez les composants identifiés. (Aucune stratégie associée)
Gravité : faible
Les machines virtuelles Linux doivent utiliser le démarrage sécurisé
Description : Pour vous protéger contre l’installation des rootkits et kits de démarrage basés sur des programmes malveillants, activez le démarrage sécurisé sur les machines virtuelles Linux prises en charge. Le démarrage sécurisé garantit que seuls les systèmes d’exploitation et pilotes signés sont autorisés à s’exécuter. Cette évaluation s’applique uniquement aux machines virtuelles Linux sur lesquelles l’agent Azure Monitor est installé. (Aucune stratégie associée)
Gravité : faible
L’agent Log Analytics doit être installé sur vos machines avec Azure Arc Linux
Description : Defender pour le cloud utilise l’agent Log Analytics (également appelé OMS) pour collecter des événements de sécurité à partir de vos machines Azure Arc. Pour déployer l’agent sur tous vos ordinateurs Azure Arc, suivez la procédure de correction. (Aucune stratégie associée)
Gravité : élevée
À mesure que l’utilisation de l’AMA et de l’MMA est supprimée dans Defender for Servers, les recommandations qui s’appuient sur ces agents, comme celui-ci, seront supprimées. Au lieu de cela, les fonctionnalités de Defender pour serveurs utilisent l’agent Microsoft Defender pour point de terminaison, ou l’analyse sans agent, sans dépendance sur MMA ou AMA.
Dépréciation estimée : juillet 2024
L’agent Log Analytics doit être installé sur les groupes de machines virtuelles identiques
Description : Defender pour le cloud collecte des données à partir de vos machines virtuelles Azure pour surveiller les vulnérabilités et menaces de sécurité. Les données sont collectées à l’aide de l’agent Log Analytics, anciennement « Microsoft Monitoring Agent » (MMA), qui lit divers journaux d’événements et configurations liées à la sécurité de la machine, et copie les données dans votre espace de travail à des fins d’analyse. Vous devez également suivre cette procédure si vos machines virtuelles sont utilisées par un service managé Azure comme Azure Kubernetes Service ou Azure Service Fabric. Vous ne pouvez pas configurer l’approvisionnement automatique de l’agent pour des groupes de machines virtuelles identiques Azure. Pour déployer l’agent sur des groupes de machines virtuelles identiques (y compris ceux utilisés par des services gérés Azure comme Azure Kubernetes Service et Azure Service Fabric), suivez la procédure décrite dans les étapes de correction. (Stratégie associée : L’agent Log Analytics doit être installé sur vos groupes de machines virtuelles identiques pour la surveillance d’Azure Security Center.
À mesure que l’utilisation de l’AMA et de l’MMA est supprimée dans Defender for Servers, les recommandations qui s’appuient sur ces agents, comme celui-ci, seront supprimées. Au lieu de cela, les fonctionnalités de Defender pour serveurs utilisent l’agent Microsoft Defender pour point de terminaison, ou l’analyse sans agent, sans dépendance sur MMA ou AMA.
Dépréciation estimée : juillet 2024
Gravité : élevée
L’agent Log Analytics doit être installé sur les machines virtuelles
Description : Defender pour le cloud collecte des données à partir de vos machines virtuelles Azure pour surveiller les vulnérabilités et menaces de sécurité. Les données sont collectées à l’aide de l’agent Log Analytics, anciennement « Microsoft Monitoring Agent » (MMA), qui lit divers journaux d’événements et configurations liées à la sécurité de la machine, et copie les données dans votre espace de travail Log Analytics à des fins d’analyse. Cet agent est également nécessaire si vos machines virtuelles sont utilisées par un service géré Azure comme Azure Kubernetes Service ou Azure Service Fabric. Nous vous recommandons de configurer l’approvisionnement automatique pour déployer automatiquement l’agent. Si vous choisissez de ne pas utiliser l’approvisionnement automatique, déployez manuellement l’agent sur vos machines virtuelles en suivant les instructions fournies dans les étapes de correction. (Stratégie associée : L’agent Log Analytics doit être installé sur votre machine virtuelle pour la surveillance d’Azure Security Center).
À mesure que l’utilisation de l’AMA et de l’MMA est supprimée dans Defender for Servers, les recommandations qui s’appuient sur ces agents, comme celui-ci, seront supprimées. Au lieu de cela, les fonctionnalités de Defender pour serveurs utilisent l’agent Microsoft Defender pour point de terminaison, ou l’analyse sans agent, sans dépendance sur MMA ou AMA.
Dépréciation estimée : juillet 2024
Gravité : élevée
L’agent Log Analytics doit être installé sur vos machines avec Azure Arc Windows
Description : Defender pour le cloud utilise l’agent Log Analytics (également appelé MMA) pour collecter des événements de sécurité à partir de vos machines Azure Arc. Pour déployer l’agent sur tous vos ordinateurs Azure Arc, suivez la procédure de correction. (Aucune stratégie associée)
Gravité : élevée
À mesure que l’utilisation de l’AMA et de l’MMA est supprimée dans Defender for Servers, les recommandations qui s’appuient sur ces agents, comme celui-ci, seront supprimées. Au lieu de cela, les fonctionnalités de Defender pour serveurs utilisent l’agent Microsoft Defender pour point de terminaison, ou l’analyse sans agent, sans dépendance sur MMA ou AMA.
Dépréciation estimée : juillet 2024
Les machines doivent être configurées en toute sécurité
Description : Corrigez les vulnérabilités dans la configuration de la sécurité sur vos machines pour les protéger contre les attaques. (Stratégie associée : Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées.
Cette recommandation vous aide à améliorer la posture de sécurité du serveur. Defender pour le cloud améliore les benchmarks CIS (Center for Internet Security) en fournissant des lignes de base de sécurité optimisées par Gestion des vulnérabilités Microsoft Defender. Plus d’informations
Gravité : faible
Les machines doivent être redémarrées pour appliquer les mises à jour de la configuration de sécurité
Description : Pour appliquer des mises à jour de configuration de sécurité et protéger contre les vulnérabilités, redémarrez vos machines. Cette évaluation s’applique uniquement aux machines virtuelles Linux sur lesquelles l’agent Azure Monitor est installé. (Aucune stratégie associée)
Gravité : faible
Les machines doivent avoir une solution d’évaluation des vulnérabilités
Description : Defender pour le cloud vérifie régulièrement vos machines connectées pour s’assurer qu’elles exécutent des outils d’évaluation des vulnérabilités. Utilisez cette recommandation pour déployer une solution d’évaluation des vulnérabilités. (Stratégie associée : Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles.
Gravité : moyenne
Les résultats des vulnérabilités des machines doivent être résolus
Description : Résolvez les résultats des solutions d’évaluation des vulnérabilités sur vos machines virtuelles. (Stratégie associée : Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles.
Gravité : faible
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps
Description : Defender pour le cloud a identifié certaines règles entrantes trop permissives pour les ports de gestion dans votre groupe de sécurité réseau. Activez le contrôle d’accès juste-à-temps pour protéger votre machine virtuelle contre les attaques en force brute provenant d’Internet. Pour en savoir plus, consultez Fonctionnement de l’accès aux machines virtuelles juste-à-temps (JAT). (Stratégie associée : Les ports de gestion des machines virtuelles doivent être protégés par le contrôle d’accès réseau juste-à-temps).
Gravité : élevée
Microsoft Defender pour serveurs doit être activé
Description : Microsoft Defender pour serveurs fournit une protection contre les menaces en temps réel pour vos charges de travail de serveur et génère des recommandations de renforcement ainsi que des alertes sur les activités suspectes. Vous pouvez utiliser ces informations pour remédier rapidement aux problèmes de sécurité et améliorer la sécurité de vos serveurs.
L’application de cette recommandation entraîne des frais liés à la protection de vos serveurs. Si vous n’avez pas de serveurs dans cet abonnement, cela n’entraînera aucuns frais. Si vous créez par la suite des serveurs dans cet abonnement, ceux-ci seront automatiquement protégés, ce qui entraînera des frais. Pour en savoir plus, consultez Présentation de Microsoft Defender pour les serveurs. (Stratégie associée : Azure Defender pour serveurs doit être activé).
Gravité : élevée
Microsoft Defender pour les serveurs doit être activé sur les espaces de travail
Description : Microsoft Defender pour serveurs met en place la détection des menaces et les défenses avancées pour vos machines Windows et Linux. Si vous activez ce plan Defender sur vos abonnements, mais pas sur vos espaces de travail, vous ne profitez pas de certaines fonctionnalités de Microsoft Defender pour les serveurs qui sont incluses dans le prix. Quand vous activez Microsoft Defender pour les serveurs sur un espace de travail, toutes les machines relevant de cet espace de travail sont facturées pour ce service, même si elles se trouvent dans un abonnement sur lequel les plans Defender ne sont pas activés. Vous devez donc également activer Microsoft Defender pour les serveurs sur l’abonnement afin que ces machines puissent tirer parti de l’accès juste-à-temps aux machines virtuelles, des contrôles d’application adaptatifs et des détections de réseau pour les ressources Azure. Pour en savoir plus, consultez Présentation de Microsoft Defender pour les serveurs. (Aucune stratégie associée)
Gravité : moyenne
Le démarrage sécurisé doit être activé sur les machines virtuelles Windows prises en charge
Description : activez le démarrage sécurisé sur les machines virtuelles Windows prises en charge pour atténuer les modifications malveillantes et non autorisées apportées à la chaîne de démarrage. Une fois activé, seuls les chargeurs de démarrage approuvés, le noyau et les pilotes de noyau sont autorisés à s’exécuter. Cette évaluation s’applique uniquement aux machines virtuelles Windows pour lesquelles le lancement fiable est activé.
- Le lancement fiable requiert la création de nouvelles machines virtuelles.
- Vous ne pouvez pas activer le lancement fiable sur les machines virtuelles existantes qui ont été créées initialement sans cette fonctionnalité.
En savoir plus sur le lancement fiable pour les machines virtuelles Azure. (Aucune stratégie associée)
Gravité : faible
La propriété ClusterProtectionLevel doit être définie sur EncryptAndSign pour les clusters Service Fabric
Description : Service Fabric fournit trois niveaux de protection (None, Sign et EncryptAndSign) pour la communication de nœud à nœud à nœud à l’aide d’un certificat de cluster principal. Définissez le niveau de protection pour vous assurer que tous les messages de nœud à nœud sont chiffrés et signés numériquement. (Stratégie associée : Les clusters Service Fabric doivent avoir la propriété ClusterProtectionLevel définie sur EncryptAndSign).
Gravité : élevée
Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client
Description : Effectuez l’authentification du client uniquement via Azure Active Directory dans Service Fabric (stratégie associée : les clusters Service Fabric doivent uniquement utiliser Azure Active Directory pour l’authentification du client).
Gravité : élevée
Les mises à jour système sur les groupes de machines virtuelles identiques doivent être installées
Description : Installez des mises à jour critiques et de sécurité système manquantes pour sécuriser vos groupes de machines virtuelles identiques Windows et Linux. (Stratégie associée : Les mises à jour système sur les groupes de machines virtuelles identiques doivent être installées).
L’utilisation de l’agent Azure Monitor (AMA) et de l’agent Log Analytics (également appelé Microsoft Monitoring Agent (MMA)) est supprimée progressivement dans Defender for Servers, des recommandations qui s’appuient sur ces agents, comme celui-ci, seront supprimées. Au lieu de cela, les fonctionnalités de Defender pour serveurs utilisent l’agent Microsoft Defender pour point de terminaison, ou l’analyse sans agent, sans dépendance sur MMA ou AMA.
Dépréciation estimée : juillet 2024. Ces recommandations sont remplacées par de nouvelles recommandations.
Gravité : élevée
Les mises à jour système doivent être installées sur vos machines
Description : Installez des mises à jour critiques et de sécurité système manquantes pour sécuriser vos ordinateurs et machines virtuelles Windows et Linux (stratégie associée : les mises à jour système doivent être installées sur vos machines).
L’utilisation de l’agent Azure Monitor (AMA) et de l’agent Log Analytics (également appelé Microsoft Monitoring Agent (MMA)) est supprimée progressivement dans Defender for Servers, des recommandations qui s’appuient sur ces agents, comme celui-ci, seront supprimées. Au lieu de cela, les fonctionnalités de Defender pour serveurs utilisent l’agent Microsoft Defender pour point de terminaison, ou l’analyse sans agent, sans dépendance sur MMA ou AMA.
Dépréciation estimée : juillet 2024. Ces recommandations sont remplacées par de nouvelles recommandations.
Gravité : élevée
Les mises à jour système doivent être installées sur vos machines (avec le Centre des mises à jour)
Description : vos ordinateurs ne disposent pas de mises à jour système, de sécurité et critiques. Les mises à jour de logiciel incluent souvent des correctifs critiques pour les failles de sécurité. Ces failles sont souvent exploitées lors d’attaques de programmes malveillants. Il est donc essentiel de maintenir vos logiciels à jour. Pour installer tous les correctifs en attente et sécuriser vos machines, suivez la procédure de correction. (Aucune stratégie associée)
Gravité : élevée
Les machines virtuelles et les groupes de machines virtuelles identiques doivent avoir le chiffrement sur l’hôte activé
Description : Utilisez le chiffrement sur l’hôte pour obtenir le chiffrement de bout en bout pour vos données de groupe de machines virtuelles identiques et de machine virtuelle. Le chiffrement sur l’hôte permet le chiffrement au repos pour votre disque temporaire et les caches du système d’exploitation/disque de données. Les disques de système d’exploitation temporaires et éphémères sont chiffrés avec des clés gérées par la plateforme lorsque le chiffrement sur l’hôte est activé. Les caches du système d’exploitation et du disque de données sont chiffrés au repos avec des clés gérées par le client ou par la plateforme, selon le type de chiffrement sélectionné sur le disque. En savoir plus sur Utiliser le Portail Azure pour activer le chiffrement de bout en bout à l’aide du chiffrement sur l’hôte. (Stratégie associée : le chiffrement doit être activé sur l’hôte pour les machines virtuelles et les groupes de machines virtuelles identiques).
Gravité : moyenne
Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager
Description : Les machines virtuelles (classiques) sont déconseillées et ces machines virtuelles doivent être migrées vers Azure Resource Manager. Comme Azure Resource Manager intègre désormais des fonctionnalités IaaS complètes et d’autres avancées, nous avons déprécié la gestion des machines virtuelles IaaS via Azure Service Manager (ASM) le 28 février 2020. Cette fonctionnalité sera entièrement mise hors service le 1er mars 2023.
Pour afficher toutes les machines virtuelles classiques concernées, veillez à sélectionner tous vos abonnements Azure sous l’onglet « Répertoires et abonnements ».
Ressources disponibles et informations sur cet outil et migration : vue d’ensemble de la dépréciation des machines virtuelles (classique), processus pas à pas pour la migration et les ressources Microsoft disponibles.Détails sur la migration vers l’outil de migration Azure Resource Manager.Migrez vers l’outil de migration Azure Resource Manager à l’aide de PowerShell. (Stratégie associée : Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager.
Gravité : élevée
L’état de l’attestation d’invité des machines virtuelles doit être sain
Description : l’attestation d’invité est effectuée en envoyant un journal approuvé (TCGLog) à un serveur d’attestation. Le serveur utilise ces journaux pour déterminer si les composants de démarrage sont dignes de confiance. Cette évaluation vise à détecter les compromissions de la chaîne de démarrage, ce qui peut être le résultat d’une infection ou rootkit
d’une bootkit
infection.
Cette évaluation s’applique uniquement aux machines virtuelles compatibles avec le lancement fiable sur lesquelles l’extension d’attestation d’invité est installée.
(Aucune stratégie associée)
Gravité : moyenne
L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système
Description : l’extension Guest Configuration nécessite une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. En savoir plus (Stratégie associée : l’extension Guest Configuration doit être déployée sur des machines virtuelles Azure avec une identité managée affectée par le système).
Gravité : moyenne
Les groupes de machines virtuelles identiques doivent être configurés en toute sécurité
Description : sur les groupes de machines virtuelles identiques, corrigez les vulnérabilités pour les protéger contre les attaques. (Stratégie associée : Les vulnérabilités dans la configuration de la sécurité sur vos groupes de machines virtuelles identiques doivent être corrigées.
Gravité : élevée
Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage
Description : par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme ; les disques temporaires et les caches de données ne sont pas chiffrés et les données ne sont pas chiffrées lors du flux entre les ressources de calcul et de stockage. Pour une comparaison des différentes technologies de chiffrement de disque dans Azure, consultez Vue d’ensemble des options de chiffrement de disque managé. Utilisez Azure Disk Encryption pour chiffrer toutes ces données. Ignorer cette recommandation dans les cas suivants :
Vous utilisez la fonctionnalité de chiffrement au niveau de l’hôte ou le chiffrement côté serveur sur Disques managés répond à vos exigences de sécurité. En savoir plus sur le chiffrement côté serveur du stockage disque Azure.
(Stratégie associée : Le chiffrement de disque doit être appliqué aux machines virtuelles)
Gravité : élevée
vTPM doit être activé sur les machines virtuelles prises en charge
Description : activez l’appareil TPM virtuel sur les machines virtuelles prises en charge pour faciliter le démarrage mesuré et d’autres fonctionnalités de sécurité du système d’exploitation qui nécessitent un module TPM. Une fois l’appareil vTPM activé, il permet d’attester l’intégrité du démarrage. Cette évaluation s’applique uniquement aux machines virtuelles pour lesquelles le lancement fiable est activé.
- Le lancement fiable requiert la création de nouvelles machines virtuelles.
- Vous ne pouvez pas activer le lancement fiable sur les machines virtuelles existantes qui ont été créées initialement sans cette fonctionnalité.
En savoir plus sur le lancement fiable pour les machines virtuelles Azure. (Aucune stratégie associée)
Gravité : faible
Les vulnérabilités dans la configuration de la sécurité sur vos machines Linux doivent être corrigées (avec Guest Configuration)
Description : Corrigez les vulnérabilités dans la configuration de la sécurité sur vos machines Linux pour les protéger contre les attaques. (Stratégie associée : Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure.
Gravité : faible
Les vulnérabilités dans la configuration de la sécurité sur vos machines Windows doivent être corrigées (avec Guest Configuration)
Description : Corrigez les vulnérabilités dans la configuration de sécurité sur vos machines Windows pour les protéger contre les attaques. (Aucune stratégie associée)
Gravité : faible
Windows Defender Exploit Guard doit être activé sur les machines
Description : Windows Defender Exploit Guard utilise l’agent Azure Policy Guest Configuration. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement). (Stratégie associée : Auditez les machines Windows sur lesquelles Windows Defender Exploit Guard n’est pas activé).
Gravité : moyenne
Les machines virtuelles Windows doivent activer Azure Disk Encryption ou EncryptionAtHost
Description : par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme ; les disques temporaires et les caches de données ne sont pas chiffrés et les données ne sont pas chiffrées lors du flux entre les ressources de calcul et de stockage. Utilisez Azure Disk Encryption ou EncryptionAtHost pour chiffrer toutes ces données. Consultez la vue d’ensemble des options de chiffrement de disque managé pour comparer les offres de chiffrement. Cette stratégie nécessite deux conditions préalables pour être déployée dans l’étendue de l’affectation de stratégie. Pour plus d’informations, consultez Présentation de la configuration d’Azure Machine. (Stratégie associée : [Préversion] : les machines virtuelles Windows doivent activer Azure Disk Encryption ou EncryptionAtHost).
Remplace les anciennes recommandations Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage. La recommandation vous permet d’auditer la conformité du chiffrement des machines virtuelles.
Gravité : élevée
Les serveurs web Windows doivent être configurés de façon à utiliser des protocoles de communication sécurisés
Description : Pour protéger la confidentialité des informations communiquées sur Internet, vos serveurs web doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). Le protocole TLS sécurise les communications sur un réseau en chiffrant une connexion entre les ordinateurs à l’aide de certificats de sécurité. (Stratégie associée : Auditez les serveurs web Windows qui n’utilisent pas de protocoles de communication sécurisés.
Gravité : élevée
Recommandations de calcul AWS
Les instances Amazon EC2 managées par Systems Manager doivent avoir l’état de conformité des correctifs COMPLIANT après l’installation d’un correctif
Description : ce contrôle vérifie si l’état de conformité de la conformité de la conformité des correctifs Amazon EC2 Systems Manager est CONFORME ou NON_COMPLIANT après l’installation du correctif sur l’instance. Elle vérifie uniquement les instances gérées par AWS Systems Manager Patch Manager. Il ne vérifie pas si le correctif a été appliqué dans la limite de 30 jours prescrite par l’exigence PCI DSS « 6.2 ». Il ne valide pas non plus si les correctifs appliqués ont été classés comme correctifs de sécurité. Vous devez créer des groupes de correctifs avec les paramètres de base appropriés et vérifier que les systèmes de l’étendue sont gérés par ces groupes de correctifs dans Systems Manager. Pour plus d’informations sur les groupes de correctifs, consultez aws Systems Manager User Guide.
Gravité : moyenne
Amazon EFS doit être configuré pour chiffrer les données de fichier au repos à l’aide d’AWS KMS
Description : ce contrôle vérifie si Amazon Elastic File System est configuré pour chiffrer les données de fichier à l’aide d’AWS KMS. La vérification échoue dans les cas suivants : *« Encrypted » a la valeur « false » dans la réponse DescribeFileSystems. La clé « KmsKeyId » dans la réponse DescribeFileSystems ne correspond pas au paramètre KmsKeyId pour efs-encrypted-check. Notez que ce contrôle n’utilise pas le paramètre « KmsKeyId » pour efs-encrypted-check. Il vérifie uniquement la valeur de « Encrypted ». Pour obtenir une couche de sécurité supplémentaire pour vos données sensibles dans Amazon EFS, vous devez créer des systèmes de fichiers chiffrés. Amazon EFS prend en charge le chiffrement des systèmes de fichiers au repos. Vous pouvez activer le chiffrement des données au repos lorsque vous créez un système de fichiers Amazon EFS. Pour en savoir plus sur le chiffrement Amazon EFS, consultez Chiffrement de données dans Amazon EFS dans le guide de l’utilisateur d’Amazon Elastic File System.
Gravité : moyenne
Les volumes Amazon EFS doivent se trouver dans des plans de sauvegarde
Description : ce contrôle vérifie si les systèmes de fichiers Amazon Elastic File System (Amazon EFS) sont ajoutés aux plans de sauvegarde dans AWS Backup. Le contrôle échoue si les systèmes de fichiers Amazon EFS ne sont pas inclus dans les plans de sauvegarde. L’inclusion des systèmes de fichiers EFS dans les plans de sauvegarde vous permet de protéger vos données contre la suppression et la perte de données.
Gravité : moyenne
La protection contre la suppression d’Application Load Balancer doit être activée
Description : ce contrôle vérifie si une protection contre la suppression d’Application Load Balancer est activée. Le contrôle échoue si la protection de suppression n’est pas configurée. Activez la protection contre la suppression pour empêcher la suppression de votre Application Load Balancer.
Gravité : moyenne
Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser des vérifications d’intégrité
Description : Les groupes de mise à l’échelle automatique associés à un équilibreur de charge utilisent des contrôles d’intégrité d’équilibrage de charge élastique. PCI DSS ne nécessite pas d’équilibrage de charge ou de configurations hautement disponibles. Ceci est recommandé par les meilleures pratiques d’AWS.
Gravité : faible
L’approvisionnement automatique d’Azure Arc doit être activé pour les comptes AWS
Description : Pour une visibilité complète du contenu de sécurité de Microsoft Defender pour les serveurs, les instances EC2 doivent être connectées à Azure Arc. Pour vous assurer que toutes les instances EC2 éligibles reçoivent automatiquement Azure Arc, activez le provisionnement automatique de Defender pour le cloud au niveau du compte AWS. En savoir plus sur Azure Arc et Microsoft Defender pour les serveurs.
Gravité : élevée
Les distributions CloudFront doivent avoir un basculement d’origin configuré
Description : Ce contrôle vérifie si une distribution Amazon CloudFront est configurée avec un groupe d’origines qui a deux origines ou plus. Le basculement d’origin CloudFront peut augmenter la disponibilité. Le basculement d’origin redirige automatiquement le trafic vers une origin secondaire si l’origin principale n’est pas disponible ou si elle renvoie des codes d’état de réponse HTTP spécifiques.
Gravité : moyenne
Les URL de référentiel source CodeBuild GitHub ou Bitbucket doivent utiliser OAuth
Description : ce contrôle vérifie si l’URL du référentiel source GitHub ou Bitbucket contient des jetons d’accès personnels ou un nom d’utilisateur et un mot de passe. Les informations d’identification ne doivent jamais être stockées ni transmises en texte clair ni apparaître dans l’URL du référentiel. Au lieu de jetons d’accès personnels ou d’un nom d’utilisateur et d’un mot de passe, vous devriez utiliser OAuth pour accorder l’autorisation d’accéder aux référentiels GitHub ou Bitbucket. L’utilisation de jetons d’accès personnels ou d’un nom d’utilisateur et d’un mot de passe peut conduire à une exposition involontaire de vos informations d’identification et à un accès non autorisé.
Gravité : élevée
Les variables d’environnement de projet CodeBuild ne doivent pas contenir d’informations d’identification
Description : ce contrôle vérifie si le projet contient les variables AWS_ACCESS_KEY_ID
d’environnement et AWS_SECRET_ACCESS_KEY
.
Les informations d’authentification AWS_ACCESS_KEY_ID
et AWS_SECRET_ACCESS_KEY
ne doivent jamais être stockées en texte clair, car cela pourrait entraîner une exposition involontaire des données et un accès non autorisé.
Gravité : élevée
Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
Description : ce contrôle vérifie si un cluster DAX est chiffré au repos. Le chiffrement des données au repos réduit le risque d’accès aux données stockées sur le disque par un utilisateur non authentifié auprès d’AWS. Le chiffrement ajoute un autre ensemble de contrôles d’accès pour limiter la capacité des utilisateurs non autorisés à accéder aux données. Par exemple, des autorisations d’API sont nécessaires pour déchiffrer les données avant de pouvoir les lire.
Gravité : moyenne
Les tables DynamoDB doivent automatiquement mettre à l’échelle la capacité selon la demande
Description : ce contrôle vérifie si une table Amazon DynamoDB peut mettre à l’échelle sa capacité de lecture et d’écriture en fonction des besoins. Ce contrôle réussit si la table utilise le mode de capacité à la demande ou le mode d’approvisionnement avec mise à l’échelle automatique configuré. La mise à l’échelle de la capacité en fonction de la demande évite les exceptions de limitation, ce qui permet de maintenir la disponibilité de vos applications.
Gravité : moyenne
Les instances EC2 doivent être connectées à Azure Arc
Description : Connectez vos instances EC2 à Azure Arc afin d’avoir une visibilité complète sur le contenu de sécurité de Microsoft Defender pour serveurs. En savoir plus sur Azure Arc et sur Microsoft Defender pour les serveurs dans un environnement de cloud hybride.
Gravité : élevée
Les instances EC2 doivent être gérées par AWS Systems Manager
Description : L’état de la conformité des correctifs Amazon EC2 Systems Manager est « CONFORME » ou « NON_COMPLIANT » après l’installation du correctif sur l’instance. Seules les instances gérées par AWS Systems Manager Patch Manager sont vérifiées. Les correctifs appliqués dans la limite de 30 jours prescrites par l’exigence PCI DSS « 6 » ne sont pas vérifiés.
Gravité : moyenne
Les problèmes de configuration d'EDR doivent être résolus sur les EC2
Description : Pour protéger les machines virtuelles contre les dernières menaces et vulnérabilités, résolvez tous les problèmes de configuration identifiés avec la solution EDR (Endpoint Detection and Response) installée. Actuellement, cette recommandation s’applique uniquement aux ressources avec Microsoft Defender pour point de terminaison activée.
Cette recommandation de point de terminaison sans agent est disponible si vous disposez de Defender for Servers Plan 2 ou du plan GPSI Defender. En savoir plus sur les recommandations de protection des points de terminaison sans agent.
- Ces nouvelles recommandations de point de terminaison sans agent prennent en charge les machines Azure et multicloud. Les serveurs locaux ne sont pas pris en charge.
- Ces nouvelles recommandations de point de terminaison sans agent remplacent les recommandations existantes endpoint protection doivent être installées sur vos machines (préversion) et les problèmes d’intégrité Endpoint Protection doivent être résolus sur vos machines (préversion).
- Ces anciennes recommandations utilisent l’agent MMA/AMA et seront remplacées, car les agents sont supprimés progressivement dans Defender pour serveurs.
Gravité : élevée
La solution EDR doit être installée sur les EC2
Description : Pour protéger ec2s, installez une solution EDR (Endpoint Detection and Response). Les EDR aident à prévenir, détecter, examiner et répondre aux menaces avancées. Utilisez Microsoft Defender pour serveurs pour déployer Microsoft Defender for Endpoint. Si la ressource est classée comme « Non saine », elle n’a pas de solution EDR prise en charge installée. Si vous avez installé une solution EDR qui n'est pas détectable par cette recommandation, vous pouvez l'exempter.
Cette recommandation de point de terminaison sans agent est disponible si vous disposez de Defender for Servers Plan 2 ou du plan GPSI Defender. En savoir plus sur les recommandations de protection des points de terminaison sans agent.
- Ces nouvelles recommandations de point de terminaison sans agent prennent en charge les machines Azure et multicloud. Les serveurs locaux ne sont pas pris en charge.
- Ces nouvelles recommandations de point de terminaison sans agent remplacent les recommandations existantes endpoint protection doivent être installées sur vos machines (préversion) et les problèmes d’intégrité Endpoint Protection doivent être résolus sur vos machines (préversion).
- Ces anciennes recommandations utilisent l’agent MMA/AMA et seront remplacées, car les agents sont supprimés progressivement dans Defender pour serveurs.
Gravité : élevée
Les instances gérées par Systems Manager doivent avoir l’état de conformité de l’association COMPLIANT
Description : ce contrôle vérifie si l’état de la conformité de l’association AWS Systems Manager est CONFORME ou NON_COMPLIANT après l’exécution de l’association sur une instance. Le contrôle réussit si l’état de conformité de l’association est COMPLIANT. Une association State Manager est une configuration qui est assignée à vos instances gérées. La configuration définit l’état que vous voulez conserver sur vos instances. Par exemple, une association peut spécifier qu’un logiciel antivirus doit être installé et exécuté sur vos instances, ou que certains ports doivent être fermés. Une fois que vous avez créé une ou plusieurs associations State Manager, les informations relatives à l’état de conformité sont immédiatement disponibles dans la console ou en réponse aux commandes CLI AWS ou aux opérations correspondantes de l’API System Manager. Pour les associations, la conformité « Configuration » affiche les états de conformité ou non conformes et le niveau de gravité attribué à l’association, tel que Critique ou Moyen. Pour en savoir plus sur la conformité de l’association State Manager, consultez About State Manager association compliance in the AWS Systems Manager User Guide. Vous devez configurer vos instances EC2 dans l’étendue pour l’association Systems Manager. Vous devez également configurer la base de référence des correctifs pour l’évaluation de sécurité du fournisseur de correctifs et définir la date d’application automatique pour répondre à la condition PCI DSS 3.2.1 6.2. Pour plus d’informations sur la création d’une association, consultez Créer une association dans le Guide utilisateur AWS Systems Manager. Pour plus d’informations sur l’utilisation des correctifs dans Systems Manager, consultez AWS Systems Manager Patch Manager dans le Guide de l’utilisateur AWS Systems Manager.
Gravité : faible
Une file d’attente de lettres mortes doit être configurée pour les fonctions Lambda
Description : ce contrôle vérifie si une fonction Lambda est configurée avec une file d’attente de lettres mortes. Le contrôle échoue si la fonction Lambda n’est pas configurée avec une file d’attente de lettres mortes. En guise d’alternative à une destination en cas d’échec, vous pouvez configurer votre fonction avec une file d’attente de lettres mortes pour sauvegarder les événements ignorés en vue d’un traitement ultérieur. Une file d’attente de lettres mortes agit de la même manière qu’une destination en cas d’échec. Elle est utilisée lorsqu’un événement échoue à toutes les tentatives de traitement ou expire sans avoir été traité. Une file d’attente de lettres mortes vous permet de revenir sur les erreurs ou les requêtes adressées à votre fonction Lambda ayant échoué pour déboguer ou identifier un comportement inhabituel. Du point de vue de la sécurité, il est important de comprendre la raison pour laquelle votre fonction a échoué et de vous assurer que votre fonction ne supprime pas de données ni ne compromet la sécurité des données en conséquence. Par exemple, si votre fonction ne peut pas communiquer avec une ressource sous-jacente, cela peut être le symptôme d’une attaque par déni de service (DoS) ailleurs sur le réseau.
Gravité : moyenne
Les fonctions Lambda doivent utiliser les runtimes pris en charge
Description : ce contrôle vérifie que les paramètres de fonction Lambda pour les runtimes correspondent aux valeurs attendues définies pour les runtimes pris en charge pour chaque langage. Ce contrôle vérifie les runtimes suivants : nodejs14.x, nodejs12.x, nodejs10.x, python3.8, python3.7, python3.6, ruby2.7, ruby2.5, java11, java8.al2, go1.x, dotnetcore3.1, dotnetcore2.1 Runtimes lambda sont construits autour d’une combinaison de systèmes d’exploitation, de langage de programmation et de bibliothèques logicielles soumises à des mises à jour de maintenance et de sécurité. Lorsqu’un composant du runtime n’est plus pris en charge par les mises à jour de sécurité, Lambda déprécie le runtime. Même si vous ne pouvez pas créer de fonctions qui utilisent le runtime déconseillé, la fonction est toujours disponible pour traiter les événements d’appel. Assurez-vous que vos fonctions Lambda sont actuelles et n’utilisent pas d’environnements runtime obsolètes. Pour en savoir plus sur les runtimes pris en charge pour lesquels ce contrôle vérifie les langages pris en charge, consultez Environnements d’exécution (runtimes) Lambda dans le guide du développeur d’AWS Lambda.
Gravité : moyenne
Les ports de gestion des instances EC2 doivent être protégés par un contrôle d’accès réseau juste-à-temps
Description : Microsoft Defender pour le cloud identifié certaines règles de trafic entrant excessivement permissives pour les ports de gestion de votre réseau. Activez le contrôle d’accès juste-à-temps pour protéger vos instances contre les attaques par force brute provenant d’Internet. Plus d’informations
Gravité : élevée
Les groupes de sécurité EC2 non utilisés doivent être supprimés
Description : Les groupes de sécurité doivent être attachés à des instances Amazon EC2 ou à un enI. La recherche saine peut indiquer qu’il existe des groupes de sécurité Amazon EC2 inutilisés.
Gravité : faible
Recommandations de calcul GCP
Les machines virtuelles du moteur de calcul doivent utiliser le système d’exploitation optimisé pour les conteneurs
Description : Cette recommandation évalue la propriété de configuration d’un pool de nœuds pour la paire clé-valeur , ' imageType' : 'COS.'
Gravité : faible
Les problèmes de configuration d'EDR doivent être résolus sur les machines virtuelles GCP
Description : Pour protéger les machines virtuelles contre les dernières menaces et vulnérabilités, résolvez tous les problèmes de configuration identifiés avec la solution EDR (Endpoint Detection and Response) installée. Actuellement, cette recommandation s’applique uniquement aux ressources avec Microsoft Defender pour point de terminaison activée.
Cette recommandation de point de terminaison sans agent est disponible si vous disposez de Defender for Servers Plan 2 ou du plan GPSI Defender. En savoir plus sur les recommandations de protection des points de terminaison sans agent.
- Ces nouvelles recommandations de point de terminaison sans agent prennent en charge les machines Azure et multicloud. Les serveurs locaux ne sont pas pris en charge.
- Ces nouvelles recommandations de point de terminaison sans agent remplacent les recommandations existantes endpoint protection doivent être installées sur vos machines (préversion) et les problèmes d’intégrité Endpoint Protection doivent être résolus sur vos machines (préversion).
- Ces anciennes recommandations utilisent l’agent MMA/AMA et seront remplacées, car les agents sont supprimés progressivement dans Defender pour serveurs.
Gravité : élevée
La solution EDR doit être installée sur des machines virtuelles GCP
Description : Pour protéger les machines virtuelles, installez une solution EDR (Endpoint Detection and Response). Les EDR aident à prévenir, détecter, examiner et répondre aux menaces avancées. Utilisez Microsoft Defender pour serveurs pour déployer Microsoft Defender for Endpoint. Si la ressource est classée comme « Non saine », elle n’a pas de solution EDR prise en charge installée. Si vous avez installé une solution EDR qui n'est pas détectable par cette recommandation, vous pouvez l'exempter.
Cette recommandation de point de terminaison sans agent est disponible si vous disposez de Defender for Servers Plan 2 ou du plan GPSI Defender. En savoir plus sur les recommandations de protection des points de terminaison sans agent.
- Ces nouvelles recommandations de point de terminaison sans agent prennent en charge les machines Azure et multicloud. Les serveurs locaux ne sont pas pris en charge.
- Ces nouvelles recommandations de point de terminaison sans agent remplacent les recommandations existantes endpoint protection doivent être installées sur vos machines (préversion) et les problèmes d’intégrité Endpoint Protection doivent être résolus sur vos machines (préversion).
- Ces anciennes recommandations utilisent l’agent MMA/AMA et seront remplacées, car les agents sont supprimés progressivement dans Defender pour serveurs.
Gravité : élevée
Vérifier que l’option « Bloquer les clés SSH à l’échelle du projet » est activée pour les instances de machine virtuelle
Description : il est recommandé d’utiliser une ou plusieurs clés SSH spécifiques à l’instance au lieu d’utiliser des clés SSH communes/partagées à l’échelle du projet pour accéder aux instances. Les clés SSH à l’échelle du projet sont stockées dans Compute/Project-meta-data. Les clés SSH à l’échelle du projet peuvent être utilisées pour se connecter à toutes les instances du projet. L’utilisation de clés SSH à l’échelle du projet facilite la gestion des clés SSH, mais en cas de compromission, pose le risque de sécurité qui peut affecter toutes les instances au sein du projet. Il est recommandé d’utiliser des clés SSH spécifiques à l’instance qui peuvent limiter la surface d’attaque si les clés SSH sont compromises.
Gravité : moyenne
Vérifier que les instances de calcul sont lancées avec la machine virtuelle protégée activée
Description : Pour vous défendre contre les menaces avancées et vous assurer que le chargeur de démarrage et le microprogramme sur vos machines virtuelles sont signés et non bloqués, il est recommandé que les instances de calcul soient lancées avec la machine virtuelle protégée activée.
Les machines virtuelles protégées sont des machines virtuelles sur Google Cloud Platform renforcées par un ensemble de contrôles de sécurité qui aident à se défendre contre rootkits
et bootkits
.
La machine virtuelle protégée offre l’intégrité vérifiable des instances de machine virtuelle de votre moteur de calcul, ce qui vous permet de vous assurer que vos instances n’ont pas été compromises par des programmes malveillants ou des rootkits de démarrage ou de noyau.
L’intégrité vérifiable des machines virtuelles protégées est obtenue grâce à l’utilisation du démarrage sécurisé, du démarrage par mesure avec module de plateforme sécurisée virtuelle (vTPM) et de la surveillance de l’intégrité.
Les instances de machine virtuelle protégées exécutent le microprogramme signé et vérifié à l’aide de l’autorité de certification de Google, ce qui garantit que le microprogramme de l’instance n’est pas modifié et établit la racine de confiance pour le démarrage sécurisé.
La surveillance de l’intégrité vous aide à comprendre l’état de vos instances de machine virtuelle et à prendre des décisions sur l’état de vos instances de machine virtuelle, et la machine virtuelle protégée vTPM active le démarrage mesuré en effectuant les mesures nécessaires pour créer une base de référence de démarrage correcte connue, appelée base de référence de la stratégie d’intégrité.
La base de référence de la stratégie d’intégrité est utilisée pour la comparaison avec les mesures des démarrages de machine virtuelle suivants afin de déterminer si quelque chose a changé.
Le démarrage sécurisé permet de s’assurer que le système exécute uniquement des logiciels authentiques en vérifiant la signature numérique de tous les composants de démarrage et en arrêtant le processus de démarrage en cas d’échec de la vérification de la signature.
Gravité : élevée
Vérifier qu’Activer la connexion aux ports série n’est pas activé pour l’instance VM
Description : l’interaction avec un port série est souvent appelée console série, qui est similaire à l’utilisation d’une fenêtre de terminal, dans cette entrée et la sortie est entièrement en mode texte et il n’existe aucune interface graphique ni prise en charge de la souris. Si vous activez la console série interactive sur une instance, les clients peuvent tenter de se connecter à cette instance à partir de n’importe quelle adresse IP. Par conséquent, la prise en charge de la console série interactive doit être désactivée. Une instance de machine virtuelle a quatre ports série virtuels. L’interaction avec un port série est similaire à l’utilisation d’une fenêtre de terminal, dans cette entrée et sortie est entièrement en mode texte et il n’existe aucune interface graphique ni prise en charge de la souris. Le système d’exploitation, le BIOS et d’autres entités de niveau système de l’instance écrivent souvent la sortie dans les ports série et peuvent accepter des entrées comme des commandes ou des réponses aux invites. En règle générale, ces entités de niveau système utilisent le premier port série (port 1), et le port série 1 est souvent appelé console série. La console série interactive ne prend pas en charge les restrictions d’accès basées sur IP, telles que les listes d’autorisation IP. Si vous activez la console série interactive sur une instance, les clients peuvent tenter de se connecter à cette instance à partir de n’importe quelle adresse IP. Cela permet à quiconque de se connecter à cette instance s’il connaît la clé SSH, le nom d’utilisateur, l’ID de projet, la zone et le nom d’instance appropriés. Par conséquent, la prise en charge de la console série interactive doit être désactivée.
Gravité : moyenne
Vérifiez que l’indicateur de base de données « log_duration » pour l’instance PostgreSQL cloud est défini sur « activé »
Description : L’activation du paramètre log_hostname entraîne la journalisation de la durée de chaque instruction terminée. Cela ne journalise pas le texte de la requête et se comporte donc différemment de l’indicateur de log_min_duration_statement. Ce paramètre ne peut pas être modifié après le démarrage de la session. La surveillance du temps nécessaire à l’exécution des requêtes peut être cruciale pour identifier les requêtes qui monopolisent les ressources et évaluer les performances du serveur. D’autres mesures comme l’équilibrage de charge et l’utilisation de requêtes optimisées peuvent être prises pour garantir les performances et la stabilité du serveur. Cette recommandation s’applique aux instances de base de données PostgreSQL.
Gravité : faible
Vérifiez que l’indicateur de base de données « log_executor_stats » pour l’instance PostgreSQL cloud est défini sur « désactivé »
Description : l’exécuteur PostgreSQL est chargé d’exécuter le plan remis par le planificateur PostgreSQL. L’exécuteur traite le plan de manière récursive pour extraire l’ensemble de lignes requis. L’indicateur « log_executor_stats » contrôle l’inclusion des statistiques de performances de l’exécuteur PostgreSQL dans les journaux PostgreSQL pour chaque requête. L’indicateur « log_executor_stats » permet une méthode de profilage brut pour la journalisation des statistiques de performances de l’exécuteur PostgreSQL, qui, même si elle peut être utile pour la résolution des problèmes, peut augmenter considérablement le nombre de journaux et avoir une surcharge de performances. Cette recommandation s’applique aux instances de base de données PostgreSQL.
Gravité : faible
Vérifiez que l’indicateur de base de données « log_min_error_statement » pour l’instance PostgreSQL cloud est défini sur « Erreur » ou plus strict
Description : l’indicateur « log_min_error_statement » définit le niveau de gravité minimal du message considéré comme une instruction d’erreur. Les messages pour les instructions d’erreur sont consignés avec l’instruction SQL. Les valeurs valides incluent « DEBUG5 », « DEBUG4 », « DEBUG3 », « DEBUG2 », « DEBUG1 », « INFO », « NOTICE », « WARNING », « ERROR », « LOG », « FATAL » et « PANIC ». Chaque niveau de gravité inclut les niveaux suivants mentionnés ci-dessus. Vérifiez qu’une valeur ERROR ou plus stricte est définie. L’audit aide à résoudre les problèmes opérationnels et permet également l’analyse d’investigation. Si « log_min_error_statement » n’est pas défini sur la valeur correcte, les messages peuvent ne pas être classés comme des messages d’erreur de manière appropriée. L’examen des messages de journal généraux comme messages d’erreur rend difficile la recherche d’erreurs réelles et la prise en compte uniquement des niveaux de gravité plus stricts, car les messages d’erreur peuvent ignorer les erreurs réelles pour journaliser leurs instructions SQL. L’indicateur « log_min_error_statement » doit être défini sur « ERROR » ou plus strict. Cette recommandation s’applique aux instances de base de données PostgreSQL.
Gravité : faible
Vérifiez que l’indicateur de base de données « log_parser_stats » pour l’instance PostgreSQL cloud est défini sur « désactivé »
Description : Le planificateur/optimiseur PostgreSQL est chargé d’analyser et de vérifier la syntaxe de chaque requête reçue par le serveur. Si la syntaxe est correcte, une « arborescence d’analyse » est générée, sinon une erreur est générée. L’indicateur « log_parser_stats » contrôle l’inclusion des statistiques de performances de l’analyseur dans les journaux PostgreSQL pour chaque requête. L’indicateur « log_parser_stats » permet une méthode de profilage brute pour la journalisation des statistiques de performances de l’analyseur, qui, même si elle peut être utile pour la résolution des problèmes, elle peut augmenter considérablement le nombre de journaux et avoir une surcharge de performances. Cette recommandation s’applique aux instances de base de données PostgreSQL.
Gravité : faible
Vérifiez que l’indicateur de base de données « log_planner_stats » pour l’instance PostgreSQL cloud est défini sur « désactivé »
Description : La même requête SQL peut être exécutée de plusieurs façons et produire des résultats différents. Le planificateur/optimiseur PostgreSQL est chargé de créer un plan d’exécution optimal pour chaque requête. L’indicateur « log_planner_stats » contrôle l’inclusion des statistiques de performances du planificateur PostgreSQL dans les journaux PostgreSQL pour chaque requête. L’indicateur « log_planner_stats » permet une méthode de profilage brute pour la journalisation des statistiques de performances du planificateur PostgreSQL, qui, même si elle peut être utile pour la résolution des problèmes, peut augmenter considérablement le nombre de journaux et avoir une surcharge de performances. Cette recommandation s’applique aux instances de base de données PostgreSQL.
Gravité : faible
Vérifiez que l’indicateur de base de données « log_statement_stats » pour l’instance PostgreSQL cloud est défini sur « désactivé »
Description : l’indicateur « log_statement_stats » contrôle l’inclusion des statistiques de performances de bout en bout d’une requête SQL dans les journaux PostgreSQL pour chaque requête. Cela ne peut pas être activé avec d’autres statistiques de module (log_parser_stats, log_planner_stats, log_executor_stats). L’indicateur « log_statement_stats » active une méthode de profilage brute pour la journalisation des statistiques de performances de bout en bout d’une requête SQL. Cela peut être utile pour la résolution des problèmes, mais peut augmenter considérablement le nombre de journaux et avoir une surcharge de performances. Cette recommandation s’applique aux instances de base de données PostgreSQL.
Gravité : faible
Vérifier que les instances de calcul n’ont pas d’adresse IP publique
Description : Les instances de calcul ne doivent pas être configurées pour avoir des adresses IP externes.
Pour réduire votre surface d’attaque, les instances de calcul ne doivent pas avoir d’adresses IP publiques. Au lieu de cela, les instances doivent être configurées derrière des équilibreurs de charge pour réduire l’exposition de l’instance à Internet.
Les instances créées par GKE doivent être exclues, car certaines d’entre elles ont des adresses IP externes et ne peuvent pas être modifiées en modifiant les paramètres d’instance.
Ces machines virtuelles ont des noms qui commencent par gke-
et sont étiquetés goog-gke-node
.
Gravité : élevée
Vérifiez que les instances ne sont pas configurées pour utiliser le compte de service par défaut
Description : il est recommandé de configurer votre instance pour ne pas utiliser le compte de service du moteur de calcul par défaut, car il a le rôle Éditeur sur le projet.
Le compte de service de moteur de calcul par défaut a le rôle Éditeur sur le projet, ce qui permet d’accéder en lecture et en écriture à la plupart des services cloud Google.
Pour vous défendre contre les escalades de privilèges si votre machine virtuelle est compromise et pour empêcher un attaquant d’accéder à tous vos projets, il est recommandé de ne pas utiliser le compte de service du moteur de calcul par défaut.
Au lieu de cela, vous devez créer un compte de service et affecter uniquement les autorisations nécessaires à votre instance.
Le compte de service du moteur de calcul par défaut est nommé [PROJECT_NUMBER]- compute@developer.gserviceaccount.com
.
Les machines virtuelles créées par GKE doivent être exclues. Ces machines virtuelles ont des noms qui commencent par gke-
et sont étiquetés goog-gke-node
.
Gravité : élevée
Vérifier que les instances ne sont pas configurées pour utiliser le compte de service par défaut avec un accès complet à toutes les API cloud
Description : Pour prendre en charge le principe des privilèges minimum et empêcher l’escalade potentielle des privilèges, il est recommandé que les instances ne soient pas affectées au compte de service par défaut « Compte de service par défaut du moteur de calcul » avec l’étendue « Autoriser l’accès total à toutes les API cloud ». Outre la possibilité de créer, de gérer et d’utiliser des comptes de service personnalisés gérés par l’utilisateur, Google Compute Engine fournit un compte de service par défaut « Compte de service par défaut du moteur de calcul » pour qu’une instance accède aux services cloud nécessaires.
Le rôle « Éditeur de projet » est attribué au « Compte de service par défaut du moteur de calcul ». Par conséquent, ce compte de service a accès à presque toutes les fonctionnalités sur tous les services cloud, à l’exception de la facturation. Toutefois, quand « Compte de service par défaut du moteur de calcul » affecté à une instance, il peut fonctionner dans trois étendues.
- Autoriser l’accès par défaut : autorise uniquement l’accès minimal requis pour exécuter une instance (privilèges minimum).
- Autoriser l’accès complet à toutes les API cloud : autoriser l’accès complet à toutes les API/services cloud (trop d’accès).
- Définissez l’accès pour chaque API : permet à l’administrateur d’instance de choisir uniquement les API nécessaires pour effectuer des fonctionnalités métier spécifiques attendues par instance.
Lorsqu’une instance est configurée avec le « compte de service par défaut du moteur de calcul » avec l’étendue « Autoriser l’accès complet à toutes les API cloud », en fonction des rôles IAM attribués à l’utilisateur accédant à l’instance, il peut permettre à l’utilisateur d’effectuer des opérations cloud/appels d’API que l’utilisateur n’est pas censé effectuer pour aboutir à une escalade de privilèges réussie.
Les machines virtuelles créées par GKE doivent être exclues. Ces machines virtuelles ont des noms qui commencent par gke-
et sont étiquetés goog-gke-node
.
Gravité : moyenne
Vérifier que le transfert IP n’est pas activé sur les instances
Description : l’instance du moteur de calcul ne peut pas transférer un paquet, sauf si l’adresse IP source du paquet correspond à l’adresse IP de l’instance. De même, GCP ne remet pas un paquet dont l’adresse IP de destination est différente de l’adresse IP de l’instance recevant le paquet. Toutefois, ces deux fonctionnalités sont requises si vous souhaitez utiliser des instances pour faciliter le routage des paquets. Le transfert des paquets de données doit être désactivé pour éviter la perte de données ou la divulgation d’informations. L’instance du moteur de calcul ne peut pas transférer un paquet, sauf si l’adresse IP source du paquet correspond à l’adresse IP de l’instance. De même, GCP ne remet pas un paquet dont l’adresse IP de destination est différente de l’adresse IP de l’instance recevant le paquet. Toutefois, ces deux fonctionnalités sont requises si vous souhaitez utiliser des instances pour faciliter le routage des paquets. Pour activer cette vérification IP source et de destination, désactivez le champ canIpForward, ce qui permet à une instance d’envoyer et de recevoir des paquets avec une destination ou des adresses IP sources qui ne correspondent pas.
Gravité : moyenne
Vérifiez que l’indicateur de base de données « log_checkpoints » pour l’instance Cloud SQL PostgreSQL est défini sur « activé »
Description : Vérifiez que l’indicateur de base de données log_checkpoints de l’instance PostgreSQL SQL Cloud est activé. L’activation de log_checkpoints entraîne la journalisation des points de contrôle et des points de redémarrage dans le journal du serveur. Certaines statistiques sont incluses dans les messages de journal, notamment le nombre de tampons écrits et le temps passé à les écrire. Ce paramètre peut être défini uniquement dans le fichier postgresql.conf ou sur la ligne de commande du serveur. Cette recommandation s’applique aux instances de base de données PostgreSQL.
Gravité : faible
Vérifiez que l’indicateur de base de données « log_lock_waits » pour l’instance Cloud SQL PostgreSQL est défini sur « activé »
Description : L’activation de l’indicateur « log_lock_waits » pour une instance PostgreSQL crée un journal pour toute attente de session qui prend plus de temps que le temps « deadlock_timeout » alloué pour acquérir un verrou. Le délai d’interblocage définit le temps d’attente sur un verrou avant de vérifier les conditions. Les dépassements fréquents du délai d’interblocage peuvent indiquer un problème sous-jacent. La journalisation de ces attentes sur les verrous en activant l’indicateur de log_lock_waits peut être utilisée pour identifier les performances médiocres en raison de retards de verrouillage ou si un SQL spécialement conçu tente de bloquer les ressources par le biais de verrouillages pendant des périodes excessives. Cette recommandation s’applique aux instances de base de données PostgreSQL.
Gravité : faible
Vérifiez que l’indicateur de base de données « log_min_duration_statement » pour l’instance Cloud SQL PostgreSQL est défini sur « -1 » (désactivé)
Description : l’indicateur « log_min_duration_statement » définit la durée minimale d’exécution d’une instruction en millisecondes où la durée totale de l’instruction est journalisée. Vérifiez que « log_min_duration_statement » est désactivé, c’est-à-dire qu’une valeur de -1 est définie. La journalisation des instructions SQL peut inclure des informations sensibles qui ne doivent pas être enregistrées dans les journaux. Cette recommandation s’applique aux instances de base de données PostgreSQL.
Gravité : faible
Vérifiez que l’indicateur de base de données « log_min_messages » pour l’instance Cloud SQL PostgreSQL est correctement défini
Description : l’indicateur « log_min_error_statement » définit le niveau de gravité minimal du message considéré comme une instruction d’erreur. Les messages pour les instructions d’erreur sont consignés avec l’instruction SQL. Les valeurs valides incluent « DEBUG5 », « DEBUG4 », « DEBUG3 », « DEBUG2 », « DEBUG1 », « INFO », « NOTICE », « WARNING », « ERROR », « LOG », « FATAL » et « PANIC ». Chaque niveau de gravité inclut les niveaux suivants mentionnés ci-dessus. Pour désactiver efficacement les instructions d’échec de journalisation, définissez ce paramètre sur PANIC. ERROR est considéré comme le paramètre recommandé. Les modifications doivent être effectuées uniquement conformément à la stratégie de journalisation de l’organisation. L’audit aide à résoudre les problèmes opérationnels et permet également l’analyse d’investigation. Si « log_min_error_statement » n’est pas défini sur la valeur correcte, les messages peuvent ne pas être classés comme des messages d’erreur de manière appropriée. En considérant les messages de journal généraux comme messages d’erreur, il est difficile de trouver des erreurs réelles, tout en considérant uniquement des niveaux de gravité plus stricts, car les messages d’erreur peuvent ignorer les erreurs réelles pour consigner leurs instructions SQL. L’indicateur « log_min_error_statement » doit être défini conformément à la stratégie de journalisation de l’organisation. Cette recommandation s’applique aux instances de base de données PostgreSQL.
Gravité : faible
Vérifiez que l’indicateur de base de données « log_temp_files » pour l’instance Cloud SQL PostgreSQL est défini sur « 0 »
Description : PostgreSQL peut créer un fichier temporaire pour des actions telles que le tri, le hachage et les résultats des requêtes temporaires lorsque ces opérations dépassent « work_mem ». L’indicateur « log_temp_files » contrôle les noms de journalisation et la taille du fichier lorsqu’il est supprimé. La configuration de « log_temp_files » sur 0 entraîne la journalisation de toutes les informations des fichiers temporaires, tandis que les valeurs positives enregistrent uniquement les fichiers dont la taille est supérieure ou égale au nombre de kilo-octets spécifié. La valeur « -1 » désactive la journalisation des informations des fichiers temporaires. Si tous les fichiers temporaires ne sont pas enregistrés, il peut être plus difficile d’identifier les problèmes de performances potentiels susceptibles d’être dus à un codage d’application médiocre ou à des tentatives délibérées de faim de ressources.
Gravité : faible
Vérifier que les disques VM pour les machines virtuelles critiques sont chiffrés avec des clés de chiffrement fournies par le client (CSEK)
Description : Les clés de chiffrement fournies par le client (CSEK) sont une fonctionnalité de Google Cloud Storage et du moteur de calcul Google. Si vous fournissez vos propres clés de chiffrement, Google utilise votre clé pour protéger les clés générées par Google utilisées pour chiffrer et déchiffrer vos données. Par défaut, Google Compute Engine chiffre toutes les données au repos. Le moteur de calcul gère ce chiffrement pour vous sans aucune action supplémentaire de votre part. Toutefois, si vous souhaitez contrôler et gérer ce chiffrement vous-même, vous pouvez fournir vos propres clés de chiffrement. Par défaut, Google Compute Engine chiffre toutes les données au repos. Le moteur de calcul gère ce chiffrement pour vous sans aucune action supplémentaire de votre part. Toutefois, si vous souhaitez contrôler et gérer ce chiffrement vous-même, vous pouvez fournir vos propres clés de chiffrement. Si vous fournissez vos propres clés de chiffrement, Compute Engine utilise votre clé pour protéger les clés générées par Google utilisées pour chiffrer et déchiffrer vos données. Seuls les utilisateurs qui peuvent fournir la bonne clé peuvent utiliser des ressources protégées par une clé de chiffrement fournie par le client. Google ne stocke pas vos clés sur ses serveurs et ne peut pas accéder à vos données protégées, sauf si vous fournissez la clé. Cela signifie également que si vous oubliez ou perdez votre clé, il n’existe aucun moyen pour Google de récupérer la clé ou de récupérer les données chiffrées avec la clé perdue. Au moins les machines virtuelles vitales pour l’entreprise doivent avoir des disques de machine virtuelle chiffrés avec CSEK.
Gravité : moyenne
Le provisionnement automatique d’Azure Arc doit être activé pour les projets GCP
Description : Pour une visibilité complète du contenu de sécurité de Microsoft Defender pour les serveurs, les instances de machine virtuelle GCP doivent être connectées à Azure Arc. Pour vous assurer que toutes les instances de machine virtuelle éligibles reçoivent automatiquement Azure Arc, activez le provisionnement automatique de Defender pour le cloud au niveau du projet GCP. En savoir plus sur Azure Arc et Microsoft Defender pour les serveurs.
Gravité : élevée
Les instances de machine virtuelle GCP doivent être connectées à Azure Arc
Description : Connectez votre Machines Virtuelles GCP à Azure Arc afin d’avoir une visibilité complète sur le contenu de sécurité de Microsoft Defender pour serveurs. En savoir plus sur Azure Arc et sur Microsoft Defender pour les serveurs dans un environnement de cloud hybride.
Gravité : élevée
L’agent de configuration du système d’exploitation doit être installé sur les instances de machine virtuelle GCP
Description : Pour recevoir les fonctionnalités complètes de Defender pour serveurs à l’aide du provisionnement automatique Azure Arc, les machines virtuelles GCP doivent avoir activé l’agent de configuration du système d’exploitation.
Gravité : élevée
La fonctionnalité de réparation automatique du cluster GKE doit être activée
Description : cette recommandation évalue la propriété de gestion d’un pool de nœuds pour la paire clé-valeur, « clé » : « autoRepair », « value » : true.
Gravité : moyenne
La fonctionnalité de mise à niveau automatique du cluster GKE doit être activée
Description : cette recommandation évalue la propriété de gestion d’un pool de nœuds pour la paire clé-valeur, « clé » : « autoUpgrade », « value » : true.
Gravité : élevée
La surveillance sur les clusters GKE doit être activée
Description : cette recommandation évalue si la propriété monitoringService d’un cluster contient l’emplacement que cloud Monitoring doit utiliser pour écrire des métriques.
Gravité : moyenne