Partager via


Base de référence de sécurité Azure pour les machines virtuelles - Machines virtuelles Linux

Cette base de référence de sécurité applique des conseils du benchmark de sécurité cloud Microsoft version 1.0 aux machines virtuelles - Machines virtuelles Linux. Le benchmark de sécurité cloud Microsoft fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé par les contrôles de sécurité définis par le benchmark de sécurité cloud Microsoft et les instructions associées applicables aux machines virtuelles - Machines virtuelles Linux.

Vous pouvez surveiller cette base de référence de sécurité et ses recommandations à l’aide de Microsoft Defender pour Cloud. Les définitions d’Azure Policy sont répertoriées dans la section Conformité réglementaire de la page du portail Microsoft Defender pour cloud.

Lorsqu’une fonctionnalité a des définitions Azure Policy pertinentes, elles sont répertoriées dans cette base de référence pour vous aider à mesurer la conformité avec les contrôles et recommandations de benchmark de sécurité cloud Microsoft. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Note

fonctionnalités non applicables aux machines virtuelles - Les machines virtuelles Linux ont été exclues. Pour voir comment les Machines virtuelles - Machines virtuelles Linux se mappent au point de référence de sécurité du cloud Microsoft, consultez le fichier de mappage complet de la ligne de base de sécurité pour les Machines virtuelles - Machines virtuelles Linux.

Profil de sécurité

Le profil de sécurité résume les comportements à impact élevé des machines virtuelles - Machines virtuelles Linux, ce qui peut entraîner une augmentation des considérations de sécurité.

Attribut de comportement du service Valeur
Catégorie de produit Calcul
Le client peut accéder à HOST/OS Accès complet
Le service peut être déployé dans le réseau virtuel du client Vrai
Stocke le contenu des clients au repos Vrai

Sécurité réseau

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : sécurité réseau.

NS-1 : Établir des limites de segmentation du réseau

Fonctionnalités

Intégration de réseau virtuel

Description: le service prend en charge le déploiement dans le réseau virtuel privé du client. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Vrai Microsoft

Guide de configuration: aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.

Référence : Réseaux virtuels et machines virtuelles dans Azure

Prise en charge des groupes de sécurité réseau

Description: Le trafic réseau du service respecte les règles assignées par les groupes de sécurité réseau sur ses sous-réseaux. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Faux Customer

Guide de configuration: utilisez des groupes de sécurité réseau (NSG) pour restreindre ou surveiller le trafic par port, protocole, adresse IP source ou adresse IP de destination. Créez des règles de groupe de sécurité réseau pour restreindre les ports ouverts de votre service (par exemple, empêcher l’accès aux ports de gestion à partir de réseaux non approuvés). N’oubliez pas que par défaut, les groupes de sécurité réseau refusent tout le trafic entrant, mais autorisent le trafic provenant du réseau virtuel et d’équilibreurs de charge Azure.

Lorsque vous créez une machine virtuelle Azure, vous devez créer un réseau virtuel ou utiliser un réseau virtuel existant et configurer la machine virtuelle avec un sous-réseau. Assurez-vous que tous les sous-réseaux déployés sont équipés d'un groupe de sécurité réseau avec des contrôles d’accès réseau spécifiques aux ports et aux sources approuvés de vos applications.

Référence : Groupes de sécurité réseau

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées d'Azure Policy - Microsoft.ClassicCompute:

Nom
(portail Azure)
Description Effet(s) Version
(GitHub)
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle Azure Security Center a identifié certaines des règles de trafic entrant de vos groupes de sécurité réseau pour être trop permissives. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut potentiellement permettre aux attaquants de cibler vos ressources. AuditIfNotExists, Désactivé 3.0.0

Définitions intégrées de la stratégie Azure - Microsoft.Compute:

Nom
(portail Azure)
Description Effet(s) Version
(GitHub)
Les recommandations de renforcement adaptatif du réseau doivent être appliquées aux machines virtuelles exposées à Internet Azure Security Center analyse les modèles de trafic des machines virtuelles accessibles sur Internet et fournit des recommandations de règle de groupe de sécurité réseau qui réduisent la surface d’attaque potentielle AuditIfNotExists, Désactivé 3.0.0

NS-2 : Sécuriser les services cloud avec des contrôles réseau

Fonctionnalités

Désactiver l’accès au réseau public

Description: Le service prend en charge la désactivation de l’accès au réseau public en utilisant soit une règle de filtrage ACL IP au niveau du service (pas de NSG ou pare-feu Azure), soit un interrupteur à bascule "Désactiver l’accès réseau public". En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Faux Customer

Guide de configuration: les services tels que les iptables ou le pare-feu peuvent être installés dans le système d’exploitation Linux et fournir un filtrage réseau pour désactiver l’accès public.

Gestion des identités

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Gestion des identités.

Système de gestion d'identité-1 : Utiliser un système centralisé d'identité et d'authentification

Fonctionnalités

Authentification Azure AD requise pour l’accès au plan de données

Description: le service prend en charge l’utilisation de l’authentification Azure AD pour l’accès au plan de données. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Faux Customer

Guide de configuration: utilisez Azure Active Directory (Azure AD) comme méthode d’authentification par défaut pour contrôler l’accès à votre plan de données.

référence: se connecter à une machine virtuelle Linux dans Azure à l’aide d’Azure AD et d’OpenSSH

Méthodes d’authentification locales pour l’accès au plan de données

Description: méthodes d’authentification locales prises en charge pour l’accès au plan de données, telles qu’un nom d’utilisateur local et un mot de passe. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Vrai Microsoft

notes de fonctionnalité: un compte d’administrateur local est créé par défaut pendant le déploiement initial de la machine virtuelle. Évitez l’utilisation des méthodes ou comptes d’authentification locaux, celles-ci doivent être désactivées dans la mesure du possible. Utilisez plutôt Azure AD pour s’authentifier le cas échéant.

Guide de configuration: aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.

IM-3 : Gérer les identités d'application de manière sécurisée et automatiquement

Fonctionnalités

Identités managées

Description: les actions du plan de données prennent en charge l’authentification à l’aide d’identités managées. En savoir plus.

Soutenu Activé par défaut Responsabilité de la configuration
Vrai Faux Customer

notes de fonctionnalité: l’identité managée est traditionnellement exploitée par la machine virtuelle Linux pour s’authentifier auprès d’autres services. Si la machine virtuelle Linux prend en charge l’authentification Azure AD, l’identité managée peut être prise en charge.

Guide de configuration: utilisez des identités managées Azure au lieu des principaux de service lorsque cela est possible, ce qui peut s’authentifier auprès des services et ressources Azure qui prennent en charge l’authentification Azure Active Directory (Azure AD). Les identifiants d’identité gérés sont entièrement gérés, rotés et protégés par la plateforme, ce qui évite les identifiants codés en dur dans le code source ou les fichiers de configuration.

Principaux de service

Description : le plan de données prend en charge l’authentification à l’aide de principaux de service. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Faux Customer

Notes sur les fonctionnalités : les principaux de service peuvent être utilisés par des applications s'exécutant dans la machine virtuelle Linux.

Guide de configuration: il n’existe aucun guide Microsoft actuel pour cette configuration de fonctionnalité. Vérifiez et déterminez si votre organisation souhaite configurer cette fonctionnalité de sécurité.

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy – Microsoft.Compute :

Nom
(portail Azure)
Description Effet(s) Version
(GitHub)
L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système L’extension Guest Configuration nécessite une identité managée affectée par le système. Les machines virtuelles Azure dans l’étendue de cette stratégie ne sont pas conformes quand l’extension Guest Configuration est installée, mais qu’elles n’ont pas d’identité managée affectée par le système. En savoir plus sur https://aka.ms/gcpol AuditIfNotExists, Désactivé 1.0.1

IM-7 : Restreindre l'accès aux ressources en fonction des conditions

Fonctionnalités

Accès conditionnel pour le plan de données

Description: l’accès au plan de données peut être contrôlé à l’aide de stratégies d’accès conditionnel Azure AD. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Faux Customer

Notes sur les fonctionnalités : utilisez Azure AD comme plateforme d’authentification principale et autorité de certification pour établir une connexion SSH à une machine virtuelle Linux à l’aide d’Azure AD et de l’authentification par certificat OpenSSH. Cette fonctionnalité permet aux organisations de gérer l’accès aux machines virtuelles avec le contrôle d’accès en fonction du rôle Azure (RBAC) et les stratégies d’accès conditionnel.

Guide de configuration: définissez les conditions et critères applicables pour l’accès conditionnel Azure Active Directory (Azure AD) dans la charge de travail. Tenez compte des cas d’usage courants tels que le blocage ou l’octroi d’accès à partir d’emplacements spécifiques, le blocage du comportement de connexion risquée ou l’exigence d’appareils gérés par l’organisation pour des applications spécifiques.

référence: se connecter à une machine virtuelle Linux dans Azure à l’aide d’Azure AD et d’OpenSSH

IM-8 : Restreindre l’exposition des identifiants et des secrets

Fonctionnalités

Prise en charge de l’intégration et du stockage des informations d’identification et des secrets de service dans Azure Key Vault

Description: le plan de données supporte l’utilisation native d’Azure Key Vault pour le stockage des informations d’identification et des secrets. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Faux Customer

Notes de fonctionnalité: dans le plan de données ou le système d’exploitation, les services peuvent appeler Azure Key Vault pour obtenir des informations d’identification ou des secrets.

Guide de configuration: vérifiez que les secrets et les informations d’identification sont stockés dans des emplacements sécurisés tels qu’Azure Key Vault, au lieu de les incorporer dans du code ou des fichiers de configuration.

Accès privilégié

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Accès privilégié.

PA-1 : Séparer et limiter les utilisateurs hautement privilégiés/administratifs

Fonctionnalités

Comptes d’administrateur local

Description: le service a le concept d’un compte d’administration local. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Vrai Microsoft

notes de fonctionnalité: évitez l’utilisation des méthodes ou comptes d’authentification locaux, celles-ci doivent être désactivées dans la mesure du possible. Utilisez plutôt Azure AD pour s’authentifier le cas échéant.

Guide de configuration: aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.

de référence : démarrage rapide : Créer une machine virtuelle Linux dans le portail Azure

PA-7 : Suivez le principe d’administration suffisante (privilège minimum)

Fonctionnalités

RBAC Azure pour plan de données

Description: Azure Role-Based Access Control (Azure RBAC) peut être utilisé pour gérer l’accès aux actions du plan de données du service. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Faux Customer

Notes de fonctionnalité: Utilisez Azure AD comme plateforme d'authentification principale et comme autorité de certification pour vous connecter à une machine virtuelle Linux en utilisant l'authentification basée sur les certificats OpenSSH et Azure AD. Cette fonctionnalité permet aux organisations de gérer l’accès aux machines virtuelles avec le contrôle d’accès en fonction du rôle Azure (RBAC) et les stratégies d’accès conditionnel.

Guide de configuration: avec RBAC, spécifiez qui peut se connecter à une machine virtuelle en tant qu’utilisateur normal ou avec des privilèges d’administrateur. Lorsque les utilisateurs rejoignent votre équipe, vous pouvez mettre à jour la stratégie Azure RBAC pour la machine virtuelle afin d’accorder l’accès selon les besoins. Lorsque les employés quittent votre organisation et que leurs comptes d’utilisateur sont désactivés ou supprimés d’Azure AD, ils n’ont plus accès à vos ressources.

référence: se connecter à une machine virtuelle Linux dans Azure à l’aide d’Azure AD et d’OpenSSH

PA-8 : Déterminer le processus d’accès pour la prise en charge du fournisseur de cloud

Fonctionnalités

Customer Lockbox

Description: Customer Lockbox peut être utilisé pour l’accès au support Microsoft. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Faux Customer

Guide de configuration: dans les scénarios de support où Microsoft doit accéder à vos données, utilisez Customer Lockbox pour passer en revue, puis approuver ou rejeter chacune des demandes d’accès aux données de Microsoft.

Protection des données

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Protection des données.

DP-1 : Découvrir, classifier et étiqueter des données sensibles

Fonctionnalités

Découverte et classification des données sensibles

Description: Les outils (tels qu’Azure Purview ou Azure Information Protection) peuvent être utilisés pour la découverte et la classification des données dans le service. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Faux Sans objet Sans objet

Guide de configuration: cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

DP-2 : Surveiller les anomalies et les menaces ciblant les données sensibles

Fonctionnalités

Fuite de données/protection contre la perte

Description: le service supporte la solution DLP pour surveiller le mouvement des données sensibles (dans le contenu du client). En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Faux Sans objet Sans objet

Guide de configuration: cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

DP-3 : Chiffrer les données sensibles en transit

Fonctionnalités

Chiffrement des données en transit

Description : Le service prend en charge le chiffrement des données en transit pour le plan de données. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Faux Customer

notes de fonctionnalité: certains protocoles de communication tels que SSH sont chiffrés par défaut. Toutefois, d’autres services tels que HTTP doivent être configurés pour utiliser TLS pour le chiffrement.

Guide de configuration: activez le transfert sécurisé dans les services où il existe une fonctionnalité de chiffrement native des données en transit intégrée. Appliquez HTTPS sur toutes les applications et services web et vérifiez que TLS v1.2 ou version ultérieure est utilisé. Les versions héritées telles que SSL 3.0, TLS v1.0 doivent être désactivées. Pour la gestion à distance des machines virtuelles, utilisez SSH (pour Linux) ou RDP/TLS (pour Windows) au lieu d’un protocole non chiffré.

Référence : Chiffrement en transit dans les machines virtuelles

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy – Microsoft.Compute :

Nom
(portail Azure)
Description Effet(s) Version
(GitHub)
machines Windows doivent être configurées pour utiliser des protocoles de communication sécurisés Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. AuditIfNotExists, Désactivé 4.1.1

DP-4 : Activer le chiffrement des données au repos par défaut

Fonctionnalités

Chiffrement des données au repos à l’aide de clés de plateforme

Description: le chiffrement des données au repos à l’aide de clés de plateforme est pris en charge, tout contenu client au repos est chiffré avec ces clés gérées par Microsoft. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Vrai Microsoft

notes de fonctionnalité: par défaut, les disques managés utilisent des clés de chiffrement gérées par la plateforme. Tous les disques managés, captures instantanées, images et données écrits sur des disques managés existants sont automatiquement chiffrés au repos avec des clés gérées par la plateforme.

Guide de configuration: aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.

de référence : chiffrement côté serveur du stockage disque Azure - Clés gérées par la plateforme

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.ClassicCompute :

Nom
(portail Azure)
Description Effet(s) Version
(GitHub)
machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage Par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme. Les disques temporaires, les caches de données et les données qui circulent entre le calcul et le stockage ne sont pas chiffrés. Ignorez cette recommandation si : 1. Vous utilisez le chiffrement sur l’hôte. Le chiffrement côté serveur sur les disques managés répond à vos exigences de sécurité. En savoir plus sur : Chiffrement côté serveur du stockage disque Azure : https://aka.ms/disksse, offres de chiffrement de disque différentes : https://aka.ms/diskencryptioncomparison AuditIfNotExists, Désactivé 2.0.3

Définitions intégrées à Azure Policy – Microsoft.Compute :

Nom
(portail Azure)
Description Effet(s) Version
(GitHub)
[préversion] : les machines virtuelles Linux doivent activer Azure Disk Encryption ou EncryptionAtHost. Par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme ; les disques temporaires et les caches de données ne sont pas chiffrés, et les données ne sont pas chiffrées lors du flux entre les ressources de calcul et de stockage. Utilisez Azure Disk Encryption ou EncryptionAtHost pour chiffrer toutes ces données. Visitez https://aka.ms/diskencryptioncomparison pour comparer les offres de chiffrement. Cette stratégie nécessite deux conditions préalables pour être déployées dans le périmètre d'attribution de la stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 1.2.0-prévision

DP-5 : Utiliser l’option de clé gérée par le client dans le chiffrement des données au repos si nécessaire

Fonctionnalités

Chiffrement des données au repos à l’aide de CMK

Description: le chiffrement des données au repos à l’aide de clés gérées par le client est pris en charge pour le contenu client stocké par le service. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Faux Customer

notes de fonctionnalité: vous pouvez choisir de gérer le chiffrement au niveau de chaque disque managé, avec vos propres clés. Lorsque vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. Les clés gérées par le client offrent une plus grande flexibilité pour gérer les contrôles d’accès.

Guide de configuration: si nécessaire pour la conformité réglementaire, définissez le cas d’utilisation et l’étendue du service où le chiffrement à l’aide de clés gérées par le client est nécessaire. Configurez et implémentez le chiffrement des données au repos en utilisant une clé gérée par le client pour ces services.

Les disques virtuels sur les machines virtuelles sont chiffrés au repos à l’aide du chiffrement côté serveur ou du chiffrement de disque Azure (ADE). Azure Disk Encryption tire parti de la fonctionnalité DM-Crypt de Linux pour chiffrer les disques managés avec des clés gérées par le client au sein de la machine virtuelle invitée. Le chiffrement côté serveur avec des clés gérées par le client s’améliore sur ADE en vous permettant d’utiliser tous les types et images de système d’exploitation pour vos machines virtuelles en chiffrant les données dans le service de stockage.

Référence : Chiffrement côté serveur de Stockage sur disque Azure - Clés gérées par le client

DP-6 : Utiliser un processus de gestion des clés sécurisé

Fonctionnalités

Gestion des clés dans Azure Key Vault

Description: le service prend en charge l’intégration d’Azure Key Vault pour toutes les clés client, secrets ou certificats. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Faux Customer

Guide de configuration: utilisez Azure Key Vault pour créer et contrôler le cycle de vie de vos clés de chiffrement, notamment la génération de clés, la distribution et le stockage. Faites pivoter et révoquez vos clés dans Azure Key Vault et votre service en fonction d’une planification définie ou en cas de suppression ou de compromission d’une clé. Lorsqu’il est nécessaire d’utiliser la clé gérée par le client (CMK) dans la charge de travail, le service ou le niveau de l’application, veillez à suivre les meilleures pratiques pour la gestion des clés : utilisez une hiérarchie de clés pour générer une clé de chiffrement de données distincte (DEK) avec votre clé de chiffrement de clé (KEK) dans votre coffre de clés. Vérifiez que les clés sont inscrites auprès d’Azure Key Vault et référencées via des ID de clé à partir du service ou de l’application. Si vous devez apporter votre propre clé (BYOK) au service (par exemple, l’importation de clés protégées par HSM à partir de vos modules HSM locaux dans Azure Key Vault), suivez les instructions recommandées pour effectuer la génération de clés initiale et le transfert de clé.

Référence : Création et configuration d’un coffre de clés pour Azure Disk Encryption

DP-7 : Utiliser un processus de gestion des certificats sécurisé

Fonctionnalités

Gestion des certificats dans Azure Key Vault

Description: le service prend en charge l’intégration d’Azure Key Vault pour tous les certificats clients. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Faux Sans objet Sans objet

Guide de configuration: cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

Gestion des ressources

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Gestion des ressources.

AM-2 : Utiliser uniquement les services approuvés

Fonctionnalités

Prise en charge d’Azure Policy

Description: les configurations de service peuvent être surveillées et appliquées via Azure Policy. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Faux Customer

Guide de configuration: Azure Policy peut être utilisé pour définir le comportement souhaité pour les machines virtuelles Windows et les machines virtuelles Linux de votre organisation. En utilisant des stratégies, une organisation peut appliquer différentes conventions et règles dans l’ensemble de l’entreprise et définir et implémenter des configurations de sécurité standard pour les machines virtuelles Azure. L’application du comportement souhaité peut aider à atténuer les risques tout en contribuant au succès de l’organisation.

Référence : Définitions intégrées d'Azure Policy pour les machines virtuelles Azure

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.ClassicCompute :

Nom
(portail Azure)
Description Effet(s) Version
(GitHub)
machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager Utilisez azure Resource Manager pour vos machines virtuelles pour fournir des améliorations de sécurité telles que : contrôle d’accès plus fort (RBAC), audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD et prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité Audit, Refuser, Désactivé 1.0.0

Définitions intégrées à Azure Policy – Microsoft.Compute :

Nom
(portail Azure)
Description Effet(s) Version
(GitHub)
machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager Utilisez azure Resource Manager pour vos machines virtuelles pour fournir des améliorations de sécurité telles que : contrôle d’accès plus fort (RBAC), audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD et prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité Audit, Refuser, Désactivé 1.0.0

AM-5 : Utiliser uniquement les applications approuvées dans la machine virtuelle

Fonctionnalités

Microsoft Defender pour cloud - Contrôles d’application adaptatifs

Description: le service peut limiter les applications client exécutées sur la machine virtuelle à l’aide de contrôles d’application adaptatifs dans Microsoft Defender pour cloud. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Faux Customer

Guide de configuration: utilisez les contrôles d’application adaptatifs Microsoft Defender pour cloud pour découvrir les applications s’exécutant sur des machines virtuelles et générer une liste d’autorisations d’application pour mandater les applications approuvées qui peuvent s’exécuter dans l’environnement de machine virtuelle.

Référence : Utilisez des contrôles d’application adaptatifs pour réduire les surfaces d’attaque de vos machines

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.ClassicCompute :

Nom
(portail Azure)
Description Effet(s) Version
(GitHub)
contrôles d’application adaptatifs pour définir des applications sécurisées doivent être activés sur vos machines Activez les contrôles d’application pour définir la liste des applications connues en cours d’exécution sur vos machines et vous avertir quand d’autres applications s’exécutent. Cela permet de renforcer vos machines contre les programmes malveillants. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications en cours d’exécution sur chaque ordinateur et suggérer la liste des applications connues sécurisées. AuditIfNotExists, Désactivé 3.0.0

Définitions intégrées à Azure Policy – Microsoft.Compute :

Nom
(portail Azure)
Description Effet(s) Version
(GitHub)
contrôles d’application adaptatifs pour définir des applications sécurisées doivent être activés sur vos machines Activez les contrôles d’application pour définir la liste des applications connues en cours d’exécution sur vos machines et vous avertir quand d’autres applications s’exécutent. Cela permet de renforcer vos machines contre les programmes malveillants. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications en cours d’exécution sur chaque ordinateur et suggérer la liste des applications connues sécurisées. AuditIfNotExists, Désactivé 3.0.0

Journalisation et détection des menaces

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : journalisation et détection des menaces.

LT-1 : Activer les fonctionnalités de détection des menaces

Fonctionnalités

Microsoft Defender pour service / offre de produit

Description: le service dispose d’une solution Microsoft Defender spécifique à l’offre pour surveiller et alerter sur les problèmes de sécurité. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Faux Customer

Guide de configuration: Defender pour serveurs étend la protection à vos machines Windows et Linux s’exécutant dans Azure. Defender pour serveurs s’intègre à Microsoft Defender pour point de terminaison pour fournir une détection et une réponse de point de terminaison (EDR) et fournit également une multitude de fonctionnalités de protection contre les menaces supplémentaires, telles que les bases de référence de sécurité et les évaluations au niveau du système d’exploitation, l’analyse des évaluations des vulnérabilités, les contrôles d’application adaptatifs (AAC), la surveillance de l’intégrité des fichiers (FIM), etc.

Référence : Planifier le déploiement de Defender for Servers

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy – Microsoft.Compute :

Nom
(portail Azure)
Description Effet(s) Version
(GitHub)
Windows Defender Exploit Guard doit être activé sur vos machines Windows Defender Exploit Guard utilise l’agent Azure Policy Guest Configuration. Exploit Guard a quatre composants conçus pour verrouiller les appareils contre un large éventail de vecteurs d’attaque et bloquer les comportements couramment utilisés dans les attaques contre les programmes malveillants tout en permettant aux entreprises d’équilibrer leurs besoins en matière de sécurité et de productivité (Windows uniquement). AuditIfNotExists, Désactivé 2.0.0

LT-4 : Activer la journalisation pour l’enquête de sécurité

Fonctionnalités

Journaux des ressources Azure

Description: le service produit des journaux de ressources qui peuvent fournir des métriques et une journalisation spécifiques au service améliorées. Le client peut configurer ces journaux de ressources et les envoyer à leur propre récepteur de données, comme un compte de stockage ou un espace de travail Log Analytics. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Faux Customer

Guide de configuration: Azure Monitor commence à collecter automatiquement les données de métrique pour votre hôte de machine virtuelle lorsque vous créez la machine virtuelle. Toutefois, pour collecter des journaux et des données de performances à partir du système d’exploitation invité de la machine virtuelle, vous devez installer l’agent Azure Monitor. Vous pouvez installer l’agent et configurer la collecte à l’aide de VM Insights ou en créant une règle de collecte de données.

Référence : Vue d'ensemble de l'agent Log Analytics

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy – Microsoft.Compute :

Nom
(portail Azure)
Description Effet(s) Version
(GitHub)
[Aperçu] : L’agent de collecte de données du trafic réseau doit être installé sur des machines virtuelles Linux Security Center utilise l’agent de dépendances Microsoft pour collecter des données de trafic réseau à partir de vos machines virtuelles Azure afin d’activer des fonctionnalités avancées de protection réseau telles que la visualisation du trafic sur la carte réseau, les recommandations de renforcement du réseau et les menaces réseau spécifiques. AuditIfNotExists, Désactivé 1.0.2-prévision

Gestion des postures et des vulnérabilités

Pour plus d'informations, consultez le référentiel de sécurité du cloud de Microsoft : Posture et gestion des vulnérabilités.

PV-3 : Définir et établir des configurations sécurisées pour les ressources de calcul

Fonctionnalités

Azure Automation – State Configuration

Description: Azure Automation State Configuration peut être utilisé pour maintenir la configuration de sécurité du système d’exploitation. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Faux Customer

Guide de configuration: utilisez Azure Automation State Configuration pour maintenir la configuration de sécurité du système d’exploitation.

Référence : Configurer une machine virtuelle avec la configuration de l'état désiré.

Agent de configuration d'Azure Policy pour les invités

Description: l’agent de configuration invité Azure Policy peut être installé ou déployé en tant qu’extension pour les ressources de calcul. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Faux Customer

Notes de fonctionnalité: Azure Policy Guest Configuration est désormais appelée Configuration de machine Azure Automanage.

Guide de configuration: utilisez l’agent de configuration invité Microsoft Defender pour cloud et Azure Policy pour évaluer et corriger régulièrement les écarts de configuration sur vos ressources de calcul Azure, notamment les machines virtuelles, les conteneurs et d’autres.

Référence : Comprendre la fonctionnalité de configuration des machines d'Azure Automanage

Images de machine virtuelle personnalisées

Description: le service prend en charge l’utilisation d’images de machine virtuelle fournies par l’utilisateur ou d’images prédéfinies à partir de la Place de marché avec certaines configurations de référence pré-appliquées. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Faux Customer

Guide de configuration: utilisez une image renforcée préconfigurée d’un fournisseur approuvé tel que Microsoft ou créez une base de référence de configuration sécurisée souhaitée dans le modèle d’image de machine virtuelle.

Référence: Tutoriel : Créer une image personnalisée d’une machine virtuelle Azure avec l’interface en ligne de commande Azure

PV-4 : Auditer et appliquer des configurations sécurisées pour les ressources de calcul

Fonctionnalités

Machine virtuelle à démarrage sécurisé

Description: le lancement approuvé protège contre les techniques d’attaque avancées et persistantes en combinant des technologies d’infrastructure telles que le démarrage sécurisé, vTPM et la surveillance de l’intégrité. Chaque technologie fournit une autre couche de défense contre les menaces sophistiquées. Le lancement approuvé permet le déploiement sécurisé de machines virtuelles avec des chargeurs de démarrage vérifiés, des noyaux de système d’exploitation et des pilotes, et protège en toute sécurité les clés, les certificats et les secrets dans les machines virtuelles. Le lancement sécurisé fournit également des aperçus et des confidents de l'intégrité de l'ensemble de la chaîne de démarrage et garantit que les charges de travail sont fiables et vérifiables. Le lancement approuvé est intégré à Microsoft Defender pour cloud pour s’assurer que les machines virtuelles sont correctement configurées, en attestant à distance que la machine virtuelle est démarrée de manière saine. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Faux Customer

Note sur les fonctionnalités : le lancement fiable est disponible pour les machines virtuelles de 2e génération. Le démarrage sécurisé nécessite la création de nouvelles machines virtuelles. Vous ne pouvez pas activer le lancement approuvé sur les machines virtuelles existantes qui ont été créées initialement sans celle-ci.

Guide de configuration: le lancement approuvé peut être activé pendant le déploiement de la machine virtuelle. Activez les trois - Démarrage sécurisé, vTPM et surveillance du démarrage de l’intégrité pour garantir la meilleure posture de sécurité pour la machine virtuelle. Notez qu’il existe quelques prérequis, notamment l’intégration de votre abonnement à Microsoft Defender pour cloud, l’attribution de certaines initiatives Azure Policy et la configuration des stratégies de pare-feu.

Référence : Déployer une machine virtuelle avec le lancement fiable activé

PV-5 : Effectuer des évaluations des vulnérabilités

Fonctionnalités

Évaluation des vulnérabilités à l’aide de Microsoft Defender

Description: le service peut être analysé pour l’analyse des vulnérabilités à l’aide de Microsoft Defender pour cloud ou d’autres fonctionnalités d’évaluation des vulnérabilités incorporées de Microsoft Defender (y compris Microsoft Defender pour serveur, registre de conteneurs, App Service, SQL et DNS). En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Faux Customer

Guide de configuration: suivez les recommandations de Microsoft Defender pour Cloud pour effectuer des évaluations des vulnérabilités sur vos machines virtuelles Azure.

Référence : Planifier le déploiement de Defender for Servers

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.ClassicCompute :

Nom
(portail Azure)
Description Effet(s) Version
(GitHub)
Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. Un composant essentiel de chaque programme de cyber-risque et de sécurité est l’identification et l’analyse des vulnérabilités. Le niveau tarifaire standard d’Azure Security Center inclut l’analyse des vulnérabilités pour vos machines virtuelles sans frais supplémentaires. De plus, Security Center peut déployer automatiquement cet outil pour vous. AuditIfNotExists, Désactivé 3.0.0

Définitions intégrées à Azure Policy – Microsoft.Compute :

Nom
(portail Azure)
Description Effet(s) Version
(GitHub)
Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. Un composant essentiel de chaque programme de cyber-risque et de sécurité est l’identification et l’analyse des vulnérabilités. Le niveau tarifaire standard d’Azure Security Center inclut l’analyse des vulnérabilités pour vos machines virtuelles sans frais supplémentaires. De plus, Security Center peut déployer automatiquement cet outil pour vous. AuditIfNotExists, Désactivé 3.0.0

PV-6 : Corriger rapidement et automatiquement les vulnérabilités

Fonctionnalités

Azure Update Manager

Description: le service peut utiliser Azure Update Manager pour déployer automatiquement des correctifs et des mises à jour. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Vrai Customer

Guide de configuration: utilisez Azure Update Manager pour vous assurer que les mises à jour de sécurité les plus récentes sont installées sur vos machines virtuelles Linux.

Référence: Gérer les mises à jour et les correctifs pour vos machines virtuelles

Service de mise à jour corrective d'invité Azure

Description: le service peut utiliser le correctif invité Azure pour déployer automatiquement des correctifs et des mises à jour. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Faux Customer

Conseils de configuration : les services peuvent exploiter les différents mécanismes de mise à jour tels que les mises à niveau automatiques des images du système d'exploitation et la mise à jour corrective automatisée des invités. Les fonctionnalités sont recommandées pour appliquer les dernières mises à jour de sécurité et critiques au système d’exploitation invité de votre machine virtuelle en suivant les principes de déploiement sécurisé.

La mise à jour corrective automatique des invités vous permet d’évaluer et de mettre à jour automatiquement vos machines virtuelles Azure afin de maintenir la conformité de la sécurité avec les mises à jour critiques et de sécurité publiées chaque mois. Les mises à jour sont appliquées pendant les heures creuses, y compris pour les machines virtuelles au sein d'un groupe à haute disponibilité. Cette fonctionnalité est disponible pour l’orchestration flexible VMSS, avec un support futur prévu pour l’orchestration uniforme.

Si vous exécutez une charge de travail sans état, les mises à niveau automatiques de l'image du système d'exploitation sont idéales pour appliquer la dernière mise à jour à votre uniforme VMSS. Avec la fonctionnalité de restauration, ces mises à jour sont compatibles avec Marketplace ou des images personnalisées. Future prise en charge des mises à jour roulantes sur la feuille de route de Flexible Orchestration.

Référence : Mise à jour corrective automatique d’invité pour les machines virtuelles Azure

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.ClassicCompute :

Nom
(portail Azure)
Description Effet(s) Version
(GitHub)
mises à jour système doivent être installées sur vos machines Les mises à jour du système de sécurité manquantes sur vos serveurs seront surveillées par Azure Security Center comme recommandations AuditIfNotExists, Désactivé 4.0.0

Définitions intégrées à Azure Policy – Microsoft.Compute :

Nom
(portail Azure)
Description Effet(s) Version
(GitHub)
[Preview] : les mises à jour système doivent être installées sur vos machines (gérées par Update Center) Vos machines ne disposent pas des mises à jour système, de sécurité et critiques. Les mises à jour logicielles incluent souvent des correctifs critiques pour les trous de sécurité. Ces trous sont fréquemment exploités dans les attaques de programmes malveillants afin qu’il soit essentiel de maintenir votre logiciel mis à jour. Pour installer tous les correctifs en attente et sécuriser vos machines, suivez les étapes de correction. AuditIfNotExists, Désactivé 1.0.0-prévision

Sécurité des points de terminaison

Pour plus d'informations, consultez le Point de référence de sécurité du cloud Microsoft : sécurité des points de terminaison.

ES-1 : Utiliser la détection de point de terminaison et réponse (EDR)

Fonctionnalités

Solution EDR

Description: la fonctionnalité EDR (Endpoint Detection and Response) telle qu’Azure Defender pour serveurs peut être déployée dans le point de terminaison. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Faux Customer

Guide de configuration: Azure Defender pour les serveurs (avec Microsoft Defender pour point de terminaison intégré) offre une fonctionnalité EDR pour empêcher, détecter, examiner et répondre aux menaces avancées. Utilisez Microsoft Defender pour cloud pour déployer Azure Defender pour serveurs pour votre point de terminaison et intégrer les alertes à votre solution SIEM, comme Azure Sentinel.

Référence : Planifiez le déploiement de Defender for Servers

ES-2 : Utiliser des logiciels anti-programmes malveillants modernes

Fonctionnalités

Solution anti-programme malveillant

Description: fonctionnalité anti-programme malveillant telle que l’antivirus Microsoft Defender, Microsoft Defender pour point de terminaison peut être déployée sur le point de terminaison. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Faux Customer

Guide de configuration: Pour Linux, les clients peuvent avoir le choix d’installer Microsoft Defender pour point de terminaison pour Linux. Les clients ont également le choix d’installer des produits anti-programmes malveillants tiers.

Référence : Microsoft Defender pour point de terminaison sur Linux

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.ClassicCompute :

Nom
(portail Azure)
Description Effet(s) Version
(GitHub)
Les problèmes d'intégrité de la protection des points de terminaison devraient être résolus sur vos machines Résolvez les problèmes d’intégrité de la protection des points de terminaison sur vos machines virtuelles pour les protéger contre les dernières menaces et vulnérabilités. Les solutions de protection des points de terminaison prises en charge par Azure Security Center sont documentées ici - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. L’évaluation de la protection des terminaux est documentée ici - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Désactivé 1.0.0

Définitions intégrées d'Azure Policy - Microsoft.Compute:

Nom
(portail Azure)
Description Effet(s) Version
(GitHub)
Les problèmes d'intégrité de la protection des points de terminaison devraient être résolus sur vos machines Résolvez les problèmes d’intégrité de la protection des points de terminaison sur vos machines virtuelles pour les protéger contre les dernières menaces et vulnérabilités. Les solutions de protection des points de terminaison prises en charge par Azure Security Center sont documentées ici - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. L'évaluation de la protection des points d'accès est documentée ici - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Désactivé 1.0.0

ES-3 : Vérifier que les logiciels et signatures anti-programmes malveillants sont mis à jour

Fonctionnalités

Surveillance de l’intégrité des solutions anti-programmes malveillants

Description: La solution antimalware fournit une surveillance de l'état de santé de la plateforme, du moteur et des mises à jour automatiques de signatures. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Faux Customer

Notes sur les fonctionnalités : les renseignements de sécurité et les mises à jour des produits s’appliquent à Defender pour Endpoint, qui peut être installé sur les machines virtuelles Linux.

Guide de configuration: configurez votre solution anti-programme malveillant pour vous assurer que la plateforme, le moteur et les signatures sont mis à jour rapidement et de manière cohérente et leur état peut être surveillé.

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.ClassicCompute :

Nom
(portail Azure)
Description Effet(s) Version
(GitHub)
Les problèmes d'intégrité de la protection des points de terminaison devraient être résolus sur vos machines Résolvez les problèmes d’intégrité de la protection des points de terminaison sur vos machines virtuelles pour les protéger contre les dernières menaces et vulnérabilités. Les solutions de protection des points de terminaison prises en charge par Azure Security Center sont documentées ici - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. L’évaluation de la protection des points de terminaison est documentée ici - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Désactivé 1.0.0

Définitions prédéfinies d'Azure Policy - Microsoft.Compute:

Nom
(portail Azure)
Description Effet(s) Version
(GitHub)
Les problèmes d'intégrité de la protection des points de terminaison devraient être résolus sur vos machines Résolvez les problèmes d’intégrité de la protection des points de terminaison sur vos machines virtuelles pour les protéger contre les dernières menaces et vulnérabilités. Les solutions de protection des points de terminaison prises en charge par Azure Security Center sont documentées ici - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. L'évaluation de la protection des endpoints est documentée ici - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Désactivé 1.0.0

Sauvegarde et récupération

Pour plus d'informations, consultez le benchmark de sécurité cloud Microsoft : sauvegarde et récupération.

BR-1 : Garantir des sauvegardes automatisées régulières

Fonctionnalités

Sauvegarde Azure

Description: le service peut être sauvegardé par le service Sauvegarde Azure. En savoir plus.

Pris en charge Activé par défaut Responsabilité de la configuration
Vrai Faux Customer

Guide de configuration: activez sauvegarde Azure et ciblez des machines virtuelles Azure, ainsi que la fréquence et les périodes de rétention souhaitées. Cela inclut la sauvegarde complète de l’état du système. Si vous utilisez le chiffrement de disque Azure, la sauvegarde de machine virtuelle Azure gère automatiquement la sauvegarde des clés gérées par le client. Pour les machines virtuelles Azure, vous pouvez utiliser Azure Policy pour activer les sauvegardes automatiques.

de référence : options de sauvegarde et de restauration pour les machines virtuelles dans Azure

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy – Microsoft.Compute :

Nom
(portail Azure)
Description Effet(s) Version
(GitHub)
Sauvegarde Azure doit être activée pour les machines virtuelles Assurez-vous de la protection de vos machines virtuelles Azure en activant Sauvegarde Azure. Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. AuditIfNotExists, Désactivé 3.0.0

Étapes suivantes