Détails de l’initiative intégrée Conformité réglementaire pour CIS Microsoft Azure Foundations Benchmark 1.3.0 (Azure Government)
L’article suivant explique en détail comment la définition de l’initiative intégrée Conformité réglementaire pour Azure Policy est mappée à des domaines de conformité et des contrôles dans CIS Microsoft Azure Foundations Benchmark 1.3.0 (Azure Government). Pour plus d’informations sur ce standard de conformité, consultez CIS Microsoft Azure Foundations Benchmark 1.3.0. Pour comprendre la Propriété, consultez le type de stratégie et la responsabilité partagée dans le cloud.
Les mappages suivants sont relatifs aux contrôles CIS Microsoft Azure Foundations Benchmark 1.3.0. De nombreux contrôles sont mis en œuvre avec la définition d’une initiative Azure Policy. Pour examiner la définition d’initiative complète, ouvrez Stratégie dans le Portail Azure et sélectionnez la page Définitions. Recherchez et sélectionnez ensuite la définition de l’initiative intégrée de conformité réglementaire pour CIS Microsoft Azure Foundations Benchmark v1.3.0.
Important
Chaque contrôle ci-dessous est associé à une ou plusieurs définitions Azure Policy. Ces stratégies peuvent vous aider à évaluer la conformité avec le contrôle ; toutefois, il n’existe pas souvent de correspondance un-à-un ou parfaite entre un contrôle et une ou plusieurs stratégies. Ainsi, la conformité dans Azure Policy fait uniquement référence aux définitions de stratégie elles-mêmes ; cela ne garantit pas que vous êtes entièrement conforme à toutes les exigences d’un contrôle. En outre, la norme de conformité comprend des contrôles qui ne sont traités par aucune définition Azure Policy pour l’instant. Par conséquent, la conformité dans Azure Policy n’est qu’une vue partielle de l’état de conformité global. Les associations entre les domaines de conformité, les contrôles et les définitions Azure Policy pour cette norme de conformité peuvent changer au fil du temps. Pour afficher l’historique des changements, consultez l’historique des validations GitHub.
1 Gestion des identités et des accès
Vérifier que l’authentification multifacteur est activée pour tous les utilisateurs privilégiés
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.1 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Vérifier que l’authentification multifacteur est activée pour tous les utilisateurs non privilégiés
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.2 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Vérifier que les utilisateurs invités sont passés en revue tous les mois
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.3 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
2 Security Center
Vérifier qu’Azure Defender est activé pour les serveurs
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 2.1 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
Vérifier que les « adresses e-mail supplémentaires » sont configurées avec un e-mail de contact de sécurité
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 2.13 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
Vérifier que « Notify about alerts with the following severity » (Envoyer une notification pour les alertes ayant la gravité suivante) a la valeur « High » (Élevée)
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 2.14 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
La notification par e-mail pour les alertes à gravité élevée doit être activée | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
Vérifier qu’Azure Defender est activé pour les serveurs Azure SQL Database
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 2.3 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
Vérifier qu’Azure Defender est activé pour Stockage
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 2.5 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Microsoft Defender pour le stockage (classique) doit être activé | Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. | AuditIfNotExists, Désactivé | 1.0.4 |
Vérifier qu’Azure Defender est activé pour Kubernetes
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 2.6 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
Vérifier qu’Azure Defender est activé pour les registres de conteneurs
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 2.7 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
3 Comptes de stockage
Vérifier que l’option « Transfert sécurisé requis » est définie sur « Enabled »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 3.1 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
La sécurisation du transfert vers des comptes de stockage doit être activée | Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) | Audit, Refuser, Désactivé | 2.0.0 |
Vérifier que la règle d’accès réseau par défaut pour les comptes de stockage est définie sur Refuser
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 3.6 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Les comptes de stockage doivent limiter l’accès réseau | L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. | Audit, Refuser, Désactivé | 1.1.1 |
Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau | Protégez vos comptes de stockage contre les menaces potentielles en utilisant des règles de réseau virtuel comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les IP publiques d’accéder à vos comptes de stockage. | Audit, Refuser, Désactivé | 1.0.1 |
Vérifier que l’option « Services Microsoft approuvés » est activée pour l’accès au compte de stockage
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 3.7 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Les comptes de stockage doivent autoriser l’accès à partir des services Microsoft approuvés | Certains services Microsoft qui interagissent avec les comptes de stockage fonctionnent à partir de réseaux qui ne peuvent pas obtenir l’accès par le biais des règles de réseau. Pour que ce type de service fonctionne comme prévu, autorisez l’ensemble des services Microsoft approuvés à contourner les règles de réseau. Ces services utilisent alors une authentification forte pour accéder au compte de stockage. | Audit, Refuser, Désactivé | 1.0.0 |
Vérifier que le stockage des données critiques est chiffré avec la clé gérée par le client
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 3.9 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Les comptes de stockage doivent utiliser une clé gérée par le client pour le chiffrement | Sécurisez votre compte de stockage blob et fichier avec une plus grande flexibilité en utilisant des clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. | Audit, Désactivé | 1.0.3 |
4 Services de base de données
Vérifier que l’option « Audit » est définie sur « On »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.1.1 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
L’audit sur SQL Server doit être activé | L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. | AuditIfNotExists, Désactivé | 2.0.0 |
Vérifiez que l’option « Chiffrement des données » est définie sur « On » sur une base de données SQL
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.1.2 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Transparent Data Encryption sur les bases de données SQL doit être activé | Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises | AuditIfNotExists, Désactivé | 2.0.0 |
Vérifier que la période de rétention d’audit est supérieure à 90 jours
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.1.3 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Les serveurs SQL avec un audit dans la destination Compte de stockage doivent être configurés avec une conservation d'au moins 90 jours | À des fins d’investigation d’incident, nous vous recommandons de définir la conservation des données pour la fonctionnalité d’audit de votre serveur SQL Server sur au moins 90 jours. Confirmez que vous respectez les règles de conservation nécessaires pour les régions dans lesquelles vous travaillez. Cela est parfois nécessaire pour la conformité aux normes réglementaires. | AuditIfNotExists, Désactivé | 3.0.0 |
Vérifier qu’Advanced Threat Protection (ATP) sur un serveur SQL Server a la valeur « Enabled » (Activé)
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.2.1 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 2.0.1 |
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
Vérifier que la fonctionnalité Évaluation des vulnérabilités est activée sur un serveur SQL Server via la définition d’un compte de stockage
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.2.2 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 1.0.1 |
L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 3.0.0 |
Vérifier que l’option « Appliquer une connexion SSL » est définie sur « ENABLED » pour le serveur de base de données PostgreSQL
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.3.1 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL | Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, Désactivé | 1.0.1 |
Vérifier que l’option « Appliquer une connexion SSL » est définie sur « ENABLED » pour le serveur de base de données MySQL
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.3.2 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL | La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, Désactivé | 1.0.1 |
Vérifier que le paramètre de serveur « log_checkpoints » est défini sur « ON » pour le serveur de base de données PostgreSQL
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.3.3 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Les points de contrôle de journal doivent être activés pour les serveurs de bases de données PostgreSQL | Cette stratégie permet d’auditer toutes les bases de données PostgreSQL de votre environnement sans activer le paramètre log_checkpoints. | AuditIfNotExists, Désactivé | 1.0.0 |
Vérifier que le paramètre de serveur « log_connections » est défini sur « ON » pour le serveur de base de données PostgreSQL
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.3.4 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Les connexions de journal doivent être activées pour les serveurs de bases de données PostgreSQL | Cette stratégie permet d’auditer toutes les bases de données PostgreSQL de votre environnement sans activer le paramètre log_connections. | AuditIfNotExists, Désactivé | 1.0.0 |
Vérifier que le paramètre de serveur « log_disconnections » est défini sur « ON » pour le serveur de base de données PostgreSQL
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.3.5 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Les déconnexions doivent être journalisées pour les serveurs de bases de données PostgreSQL. | Cette stratégie permet d’auditer toutes les bases de données PostgreSQL de votre environnement sans activer le paramètre log_disconnections. | AuditIfNotExists, Désactivé | 1.0.0 |
Vérifier que le paramètre de serveur « connection_throttling » est défini sur « ON » pour le serveur de base de données PostgreSQL
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.3.6 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
La limitation de connexion doit être activée pour les serveurs de base de données PostgreSQL | Cette stratégie aide à auditer toutes les bases de données PostgreSQL de votre environnement sans activer la limitation de connexion. Ce paramètre active la limitation de connexion temporaire par adresse IP à la suite d’un trop grand nombre de connexions infructueuses avec des mots de passe non valides. | AuditIfNotExists, Désactivé | 1.0.0 |
Vérifier que l’administrateur Azure Active Directory est configuré
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.4 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.0.0 |
Vérifier que le protecteur TDE du serveur SQL Server est chiffré avec la clé gérée par le client
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.5 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Les instances managées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. | Audit, Refuser, Désactivé | 2.0.0 |
Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. | Audit, Refuser, Désactivé | 2.0.1 |
5 Journalisation et supervision
Vérifier que le compte de stockage comprenant le conteneur des journaux d’activité est chiffré avec BYOK (Bring Your Own Key)
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.1.4 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Le compte de stockage disposant du conteneur des journaux d’activité doit être chiffré avec BYOK | Cette stratégie vérifie si le compte de stockage disposant du conteneur des journaux d’activité est chiffré avec BYOK. La stratégie fonctionne uniquement si le compte de stockage se trouve par défaut dans le même abonnement que les journaux d’activité. Vous trouverez plus d’informations sur le chiffrement du stockage Azure au repos ici https://aka.ms/azurestoragebyok. | AuditIfNotExists, Désactivé | 1.0.0 |
Vérifier que la journalisation d’Azure KeyVault est définie sur « Enabled »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.1.5 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Les journaux de ressources dans Key Vault doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau | AuditIfNotExists, Désactivé | 5.0.0 |
Vérifier l’existence de l’alerte de journal d’activité pour la création d’attribution de stratégie
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.2.1 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Une alerte de journal d’activité doit exister pour des opérations de stratégie spécifiques | Cette stratégie audite toute opération de stratégie spécifique sans aucune alerte de journal d’activité configurée. | AuditIfNotExists, Désactivé | 3.0.0 |
Vérifier qu’il existe une alerte du journal d’activité pour Supprimer l’attribution de stratégie
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.2.2 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Une alerte de journal d’activité doit exister pour des opérations de stratégie spécifiques | Cette stratégie audite toute opération de stratégie spécifique sans aucune alerte de journal d’activité configurée. | AuditIfNotExists, Désactivé | 3.0.0 |
Vérifier l’existence d’une alerte de journal d’activité pour la création ou la mise à jour d’un groupe de sécurité réseau
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.2.3 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques | Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée. | AuditIfNotExists, Désactivé | 1.0.0 |
Vérifier l’existence d’une alerte de journal d’activité pour la suppression de groupe de sécurité réseau
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.2.4 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques | Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée. | AuditIfNotExists, Désactivé | 1.0.0 |
Vérifier l’existence d’une alerte de journal d’activité pour la création ou la mise à jour d’une règle de groupe de sécurité réseau
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.2.5 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques | Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée. | AuditIfNotExists, Désactivé | 1.0.0 |
Vérifier l’existence d’une alerte de journal d’activité pour la suppression d’une règle de groupe de sécurité réseau
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.2.6 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques | Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée. | AuditIfNotExists, Désactivé | 1.0.0 |
Vérifier l’existence d’une alerte de journal d’activité pour la création ou la mise à jour d’une solution de sécurité
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.2.7 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Une alerte de journal d’activité doit exister pour des opérations de sécurité spécifiques | Cette stratégie audite des opérations de sécurité spécifiques sans aucune alerte de journal d’activité configurée. | AuditIfNotExists, Désactivé | 1.0.0 |
Vérifier l’existence d’une alerte de journal d’activité pour la suppression d’une solution de sécurité
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.2.8 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Une alerte de journal d’activité doit exister pour des opérations de sécurité spécifiques | Cette stratégie audite des opérations de sécurité spécifiques sans aucune alerte de journal d’activité configurée. | AuditIfNotExists, Désactivé | 1.0.0 |
Vérifier l’existence d’une alerte de journal d’activité pour la création, la mise à jour ou la suppression d’une règle de pare-feu SQL Server
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.2.9 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques | Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée. | AuditIfNotExists, Désactivé | 1.0.0 |
Vérifier que les journaux de diagnostic sont activés pour tous les services qui les prennent en charge.
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.3 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Les applications App Service doivent avoir activé les journaux des ressources | Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 2.0.1 |
Les journaux de ressources dans Azure Data Lake Store doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans Azure Stream Analytics doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans les comptes Batch doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans Data Lake Analytics doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans Event Hub doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans Key Vault doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans Logic Apps doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.1.0 |
Les journaux de ressources dans les services Search doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans Service Bus doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
6 Mise en réseau
Vérifier que Network Watcher est défini sur « Enabled »
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 6.5 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Network Watcher doit être activé | Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. | AuditIfNotExists, Désactivé | 3.0.0 |
7 Machines virtuelles
Vérifier que les machines virtuelles utilisent des disques managés
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 7.1 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Faire l’audit des machines virtuelles n’utilisant aucun disque managé | Cette stratégie fait l’audit des machines virtuelles n’utilisant pas de disque managé | audit | 1.0.0 |
Vérifier que seules les extensions approuvées sont installées
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 7.4 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Seules les extensions de machine virtuelle approuvées doivent être installées | Cette stratégie régit les extensions de machine virtuelle qui ne sont pas approuvées. | Audit, Refuser, Désactivé | 1.0.0 |
8 Autres considérations liées à la sécurité
Vérifier que le coffre de clés est récupérable
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 8.4 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
La protection contre la suppression doit être activée pour les coffres de clés | La suppression malveillante d’un coffre de clés peut entraîner une perte définitive des données. Vous pouvez empêcher la perte permanente de données en activant la protection contre la suppression définitive et la suppression réversible. La protection contre la suppression définitive vous protège des attaques internes en appliquant une période de conservation obligatoire pour les coffres de clés supprimés de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne pourra supprimer définitivement vos coffres de clés pendant la période de conservation de la suppression réversible. N’oubliez pas que la suppression réversible est activée par défaut pour les coffres de clés créés après le 1er septembre 2019. | Audit, Refuser, Désactivé | 2.1.0 |
Activer le contrôle d’accès en fonction du rôle (RBAC) dans Azure Kubernetes Services
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 8.5 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes | Pour fournir un filtrage précis des actions que les utilisateurs peuvent effectuer, utilisez le contrôle d’accès en fonction du rôle (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurez les stratégies d’autorisation appropriées. | Audit, Désactivé | 1.0.4 |
9 AppService
Vérifier qu’App Service Authentication est défini sur Azure App Service
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 9.1 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
L’authentification doit être activée pour les applications App Service | L’authentification Azure App Service est une fonctionnalité qui peut empêcher les requêtes HTTP anonymes d’accéder à l’application web ou authentifier celles ayant des jetons avant qu’elles n’accèdent à l’application web. | AuditIfNotExists, Désactivé | 2.0.1 |
L’authentification doit être activée pour les applications de fonction | L’authentification Azure App Service est une fonctionnalité qui peut empêcher les requêtes HTTP anonymes d’accéder à l’application de fonction ou authentifier celles ayant des jetons avant qu’elles n’accèdent à l’application de fonction. | AuditIfNotExists, Désactivé | 3.0.0 |
Vérifier que les déploiements FTP sont désactivés
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 9.10 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Les applications App Service doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.0.0 |
Les applications de fonction doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.0.0 |
Vérifier que l’application web redirige tout le trafic HTTP vers HTTPS dans Azure App Service
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 9.2 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Les applications App Service doivent être accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 4.0.0 |
Vérifier que l’application web utilise la dernière version du chiffrement TLS
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 9.3 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Les applications App Service doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.1.0 |
Les applications de fonctions doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.1.0 |
Vérifier que « Certificats clients (certificats clients entrants) » est activé pour l’application web
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 9.4 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
[Déconseillé] L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications de fonction | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant de certificats valides peuvent accéder à l’application. Cette stratégie a été remplacée par une nouvelle stratégie portant le même nom, car HTTP 2.0 ne prend pas en charge les certificats clients. | Audit, Désactivé | 3.1.0-deprecated |
L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications App service | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. | AuditIfNotExists, Désactivé | 1.0.0 |
Vérifier que l’inscription auprès d’Azure Active Directory est activée pour App Service
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 9.5 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Les applications App Service doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
Les applications de fonction doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
Vérifier que la version de HTTP est la plus récente si elle est utilisée pour exécuter l’application web
ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 9.9 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Les applications App Service doivent utiliser la dernière « version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 4.0.0 |
Les applications de fonctions doivent utiliser la dernière « version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 4.0.0 |
Étapes suivantes
Autres articles sur Azure Policy :
- Présentation de la Conformité réglementaire.
- Voir la structure de la définition d’initiative.
- Passez en revue d’autres exemples de la page Exemples Azure Policy.
- Consultez la page Compréhension des effets de Policy.
- Découvrez comment corriger des ressources non conformes.