Base de référence de sécurité Azure pour Machines Virtuelles - Windows Machines Virtuelles

Cette base de référence de sécurité applique les conseils du benchmark de sécurité cloud Microsoft version 1.0 à Machines Virtuelles - Windows Machines Virtuelles. Le Benchmark de sécurité Microsoft Cloud fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé selon les contrôles de sécurité définis par le benchmark de sécurité cloud Microsoft et les conseils associés applicables à Machines Virtuelles - Windows Machines Virtuelles.

Vous pouvez superviser cette base de référence de la sécurité et ses recommandations en utilisant Microsoft Defender pour le cloud. Azure Policy définitions sont répertoriées dans la section Conformité réglementaire de la page Microsoft Defender pour le portail cloud.

Lorsqu’une fonctionnalité a des définitions de Azure Policy pertinentes, elles sont répertoriées dans cette base de référence pour vous aider à mesurer la conformité avec les contrôles et recommandations du benchmark de sécurité cloud Microsoft. Certaines recommandations peuvent nécessiter un plan de Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Fonctionnalités non applicables à Machines Virtuelles : les Machines Virtuelles Windows ont été exclues. Pour voir comment Machines Virtuelles - Windows Machines Virtuelles entièrement mappé au benchmark de sécurité cloud Microsoft, consultez le fichier de mappage complet Machines Virtuelles - Base de référence de sécurité Windows Machines Virtuelles.

Profil de sécurité

Le profil de sécurité résume les comportements à fort impact de Machines Virtuelles - Windows Machines Virtuelles, ce qui peut entraîner des considérations de sécurité accrues.

Attribut de comportement du service Valeur
Catégorie de produit Compute
Le client peut accéder à HOST/OS Accès total
Le service peut être déployé dans le réseau virtuel du client True
Stocke le contenu client au repos True

Sécurité du réseau

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Sécurité réseau.

NS-1 : Établir des limites de segmentation réseau

Fonctionnalités

Intégration du réseau virtuel

Description : Le service prend en charge le déploiement dans le Réseau virtuel privé (VNet) du client. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True True Microsoft

Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.

Référence : Réseaux virtuels et machines virtuelles dans Azure

Prise en charge des groupes de sécurité réseau

Description : Le trafic réseau de service respecte l’attribution de règles groupes de sécurité réseau sur ses sous-réseaux. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True False Client

Conseils de configuration : Utilisez des groupes de sécurité réseau (NSG) pour restreindre ou surveiller le trafic par port, protocole, adresse IP source ou adresse IP de destination. Créez des règles NSG pour restreindre les ports ouverts de votre service (par exemple, pour empêcher l’accès aux ports de gestion à partir de réseaux non approuvés). N’oubliez pas que par défaut, les groupes de sécurité réseau refusent tout le trafic entrant, mais autorisent le trafic provenant du réseau virtuel et d’équilibreurs de charge Azure.

Lorsque vous créez une machine virtuelle Azure, vous devez créer un réseau virtuel ou utiliser un réseau virtuel existant et configurer la machine virtuelle avec un sous-réseau. Veillez à ce qu’un groupe de sécurité réseau soit appliqué à tous les sous-réseaux déployés avec des contrôles d’accès réseau propres aux ports et sources approuvés de votre application.

Référence : Groupes de sécurité réseau

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.ClassicCompute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. AuditIfNotExists, Désactivé 3.0.0

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle AuditIfNotExists, Désactivé 3.0.0

NS-2 : Sécuriser les services cloud avec des contrôles réseau

Fonctionnalités

Désactiver l’accès public au réseau

Description : le service prend en charge la désactivation de l’accès au réseau public à l’aide d’une règle de filtrage de liste de contrôle d’accès IP au niveau du service (pas de groupe de sécurité réseau ou de Pare-feu Azure) ou à l’aide d’un commutateur bascule « Désactiver l’accès réseau public ». Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True False Client

Conseils de configuration : Utilisez des services au niveau du système d’exploitation tels que Windows Defender Pare-feu pour fournir un filtrage réseau afin de désactiver l’accès public.

Gestion des identités

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Gestion des identités.

IM-1 : utiliser le système centralisé d’identité et d’authentification

Fonctionnalités

Azure AD Authentication requis pour l’accès au plan de données

Description : Le service prend en charge l’utilisation de l’authentification Azure AD pour l’accès au plan de données. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True Faux Client

Conseils de configuration : Utilisez Azure Active Directory (Azure AD) comme méthode d’authentification par défaut pour contrôler l’accès à votre plan de données.

Référence : Se connecter à une machine virtuelle Windows dans Azure à l’aide d’Azure AD, y compris sans mot de passe

Méthodes d’authentification locales pour l’accès au plan de données

Description : méthodes d’authentification locales prises en charge pour l’accès au plan de données, telles qu’un nom d’utilisateur et un mot de passe locaux. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
True True Microsoft

Remarques sur les fonctionnalités : un compte d’administrateur local est créé par défaut lors du déploiement initial de la machine virtuelle. Évitez l’utilisation de comptes ou de méthodes d’authentification locaux. Ceux-ci doivent être désactivés dans la mesure du possible. Utilisez plutôt Azure AD pour vous authentifier lorsque cela est possible.

Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.

IM-3 : gérer les identités d’application de façon sécurisée et automatique

Fonctionnalités

Identités managées

Description : les actions du plan de données prennent en charge l’authentification à l’aide d’identités managées. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
True Faux Client

Remarques sur les fonctionnalités : l’identité managée est généralement exploitée par la machine virtuelle Windows pour s’authentifier auprès d’autres services. Si la machine virtuelle Windows prend en charge l’authentification Azure AD, l’identité managée peut être prise en charge.

Conseils de configuration : Utilisez des identités managées Azure au lieu des principaux de service lorsque cela est possible, qui peuvent s’authentifier auprès des services et ressources Azure qui prennent en charge l’authentification Azure Active Directory (Azure AD). La plateforme assure entièrement la gestion, la rotation et la protection des informations d’identification d’identité managée, ce qui évite les informations d’identification codées en dur dans le code source ou les fichiers de configuration.

Principaux de service

Description : Le plan de données prend en charge l’authentification à l’aide de principaux de service. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
True Faux Client

Remarques sur les fonctionnalités : les principaux de service peuvent être utilisés par les applications exécutées sur la machine virtuelle Windows.

Conseils de configuration : Il n’existe aucune aide Microsoft actuelle pour cette configuration de fonctionnalité. Vérifiez et déterminez si votre organization souhaite configurer cette fonctionnalité de sécurité.

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol AuditIfNotExists, Désactivé 1.0.1

IM-7 : restreindre l’accès aux ressources en fonction des conditions

Fonctionnalités

Accès conditionnel pour le plan de données

Description : L’accès au plan de données peut être contrôlé à l’aide de stratégies d’accès conditionnel Azure AD. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
True Faux Client

Remarques sur les fonctionnalités : utilisez Azure AD comme plateforme d’authentification principale pour rdpment dans Windows Server 2019 Datacenter édition et versions ultérieures, ou Windows 10 1809 et versions ultérieures. Vous pouvez alors contrôler et appliquer de manière centralisée les stratégies d’accès conditionnel et de contrôle d’accès en fonction du rôle (RBAC) Azure qui autorisent ou refusent l’accès aux machines virtuelles.

Conseils de configuration : Définissez les conditions et les critères applicables pour l’accès conditionnel Azure Active Directory (Azure AD) dans la charge de travail. Envisagez des cas d’usage courants tels que le blocage ou l’octroi de l’accès à partir d’emplacements spécifiques, le blocage du comportement de connexion à risque ou l’exigence d’appareils gérés organization pour des applications spécifiques.

Référence : Se connecter à une machine virtuelle Windows dans Azure à l’aide d’Azure AD, y compris sans mot de passe

IM-8 : restreindre l’exposition des informations d’identification et des secrets

Fonctionnalités

Prise en charge de l’intégration et du stockage des informations d’identification et des secrets de service dans Azure Key Vault

Description : Le plan de données prend en charge l’utilisation native d’Azure Key Vault pour le magasin d’informations d’identification et de secrets. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
True Faux Client

Remarques sur les fonctionnalités : Dans le plan de données ou le système d’exploitation, les services peuvent appeler Azure Key Vault pour obtenir des informations d’identification ou des secrets.

Conseils de configuration : Assurez-vous que les secrets et les informations d’identification sont stockés dans des emplacements sécurisés tels que Azure Key Vault, au lieu de les incorporer dans du code ou des fichiers de configuration.

Accès privilégié

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Accès privilégié.

PA-1 : Séparer et limiter les utilisateurs hautement privilégiés/administratifs

Fonctionnalités

Comptes Administration locaux

Description : le service a le concept d’un compte d’administration local. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
True True Microsoft

Remarques sur les fonctionnalités : évitez d’utiliser des comptes ou des méthodes d’authentification locaux. Ceux-ci doivent être désactivés dans la mesure du possible. Utilisez plutôt Azure AD pour vous authentifier lorsque cela est possible.

Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.

Référence : Démarrage rapide : Créer une machine virtuelle Windows dans le Portail Azure

PA-7 : Suivre le principe JEA, Just Enough Administration (privilège minimum)

Fonctionnalités

Azure RBAC pour le plan de données

Description : Azure Role-Based Access Control (Azure RBAC) peut être utilisé pour gérer l’accès aux actions du plan de données du service. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True Faux Client

Remarques sur les fonctionnalités : utilisez Azure AD comme plateforme d’authentification principale pour rdpment dans Windows Server 2019 Datacenter édition et versions ultérieures, ou Windows 10 1809 et versions ultérieures. Vous pouvez alors contrôler et appliquer de manière centralisée les stratégies d’accès conditionnel et de contrôle d’accès en fonction du rôle (RBAC) Azure qui autorisent ou refusent l’accès aux machines virtuelles.

Conseils de configuration : Avec RBAC, spécifiez qui peut se connecter à une machine virtuelle en tant qu’utilisateur normal ou avec des privilèges d’administrateur. Lorsque des utilisateurs rejoignent votre équipe, vous pouvez mettre à jour la stratégie RBAC Azure pour la machine virtuelle afin d’accorder les accès appropriés. Lorsque des employés quittent votre organisation et que leurs comptes d’utilisateur sont désactivés ou supprimés d’Azure AD, ils n’ont plus accès à vos ressources.

Référence : Se connecter à une machine virtuelle Windows dans Azure à l’aide d’Azure AD, y compris sans mot de passe

PA-8 : Déterminer le processus d’accès pour la prise en charge du fournisseur de services cloud

Fonctionnalités

Customer Lockbox

Description : Customer Lockbox peut être utilisé pour l’accès au support Microsoft. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True Faux Client

Conseils de configuration : Dans les scénarios de support dans lesquels Microsoft doit accéder à vos données, utilisez Customer Lockbox pour passer en revue, puis approuver ou rejeter chacune des demandes d’accès aux données de Microsoft.

Protection des données

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Protection des données.

DP-1 : Découvrir, classer et étiqueter des données sensibles

Fonctionnalités

Découverte et classification des données sensibles

Description : Les outils (comme Azure Purview ou Azure Information Protection) peuvent être utilisés pour la découverte et la classification des données dans le service. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
False Non applicable Non applicable

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

DP-2 : surveiller les anomalies et les menaces ciblant les données sensibles

Fonctionnalités

Protection contre les fuites/pertes de données

Description : Le service prend en charge la solution DLP pour surveiller le déplacement des données sensibles (dans le contenu du client). Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
False Non applicable Non applicable

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

DP-3 : chiffrer les données sensibles en transit

Fonctionnalités

Chiffrement des données en transit

Description : Le service prend en charge le chiffrement des données en transit pour le plan de données. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True Faux Client

Remarques sur les fonctionnalités : certains protocoles de communication tels que SSH sont chiffrés par défaut. Toutefois, d’autres services tels que HTTP doivent être configurés pour utiliser TLS pour le chiffrement.

Conseils de configuration : Activez le transfert sécurisé dans les services où une fonctionnalité de chiffrement des données en transit native est intégrée. Appliquez HTTPS sur toutes les applications et services web et assurez-vous que TLS v1.2 ou version ultérieure est utilisé. Les versions héritées telles que SSL 3.0 et TLS v1.0 doivent être désactivées. Pour la gestion à distance de Machines Virtuelles, utilisez SSH (pour Linux) ou RDP/TLS (pour Windows) au lieu d’un protocole non chiffré.

Référence : Chiffrement en transit dans les machines virtuelles

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les machines Windows doivent être configurées pour utiliser des protocoles de communication sécurisés Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. AuditIfNotExists, Désactivé 4.1.1

DP-4 : activer le chiffrement des données au repos par défaut

Fonctionnalités

Chiffrement des données au repos à l’aide de clés de plateforme

Description : Le chiffrement des données au repos à l’aide de clés de plateforme est pris en charge, tout contenu client au repos est chiffré avec ces clés gérées par Microsoft. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True True Microsoft

Remarques sur les fonctionnalités : Par défaut, les disques managés utilisent des clés de chiffrement gérées par la plateforme. L’ensemble des nouveaux disques managés, des instantanés et des images ainsi que les données écrites sur des disques managés existants sont automatiquement chiffrés au repos avec des clés gérées par les plateformes.

Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.

Référence : Chiffrement côté serveur du stockage sur disque Azure - Clés gérées par la plateforme

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.ClassicCompute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage Par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme. Les disques temporaires, les caches de données et le flux de données entre le calcul et le stockage ne sont pas chiffrés. Ignorez cette recommandation dans les deux cas suivants : Vous utilisez le chiffrement sur l’hôte. Le chiffrement côté serveur des Disques managés répond à vos besoins en matière de sécurité. Pour en savoir plus, consultez : Chiffrement côté serveur de Stockage sur disque Azure : https://aka.ms/disksse, Différentes offres de chiffrement de disque : https://aka.ms/diskencryptioncomparison AuditIfNotExists, Désactivé 2.0.3

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : les machines virtuelles Linux doivent activer Azure Disk Encryption ou EncryptionAtHost. Par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme. Les disques temporaires et les caches de données ne sont pas chiffrés, de même que les données lors de leur transmission entre des ressources de calcul et de stockage. Utilisez Azure Disk Encryption ou EncryptionAtHost pour chiffrer toutes ces données. Consultez la page https://aka.ms/diskencryptioncomparison pour comparer les offres de chiffrement. Cette stratégie nécessite deux conditions préalables pour être déployée dans l’étendue de l’affectation de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 1.2.0-preview

DP-5 : utiliser l’option de clé gérée par le client dans le chiffrement des données au repos si nécessaire

Fonctionnalités

Chiffrement des données au repos à l’aide de CMK

Description : Le chiffrement des données au repos à l’aide de clés gérées par le client est pris en charge pour le contenu client stocké par le service. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True False Client

Remarques sur les fonctionnalités : vous pouvez choisir de gérer le chiffrement au niveau de chaque disque managé, avec vos propres clés. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. Les clés gérées par le client offrent davantage de flexibilité pour gérer les contrôles d’accès.

Conseils de configuration : si nécessaire pour la conformité réglementaire, définissez le cas d’usage et l’étendue du service où le chiffrement à l’aide de clés gérées par le client est nécessaire. Activez et implémentez le chiffrement des données au repos à l’aide de la clé gérée par le client dans ces services.

Les disques virtuels sur Machines Virtuelles sont chiffrés au repos à l’aide du chiffrement côté serveur ou d’Azure Disk Encryption (ADE). Azure Disk Encryption utilise la fonctionnalité BitLocker de Windows pour chiffrer des disques managés avec des clés gérées par le client au sein de la machine virtuelle invitée. Le chiffrement côté serveur avec des clés gérées par le client améliore l’utilisation de Azure Disk Encryption en vous permettant d’utiliser des types et des images de système d’exploitation pour vos machines virtuelles en chiffrant les données dans le service de stockage.

Référence : Chiffrement côté serveur du stockage sur disque Azure

DP-6 : Utiliser un processus sécurisé de gestion de clés

Fonctionnalités

Gestion des clés dans Azure Key Vault

Description : Le service prend en charge l’intégration d’Azure Key Vault pour les clés client, les secrets ou les certificats. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True False Client

Conseils de configuration : Utilisez Azure Key Vault pour créer et contrôler le cycle de vie de vos clés de chiffrement, y compris la génération, la distribution et le stockage des clés. Faites pivoter et révoquez vos clés dans Azure Key Vault et votre service en fonction d’une planification définie ou en cas de mise hors service ou de compromission de clé. Lorsqu’il est nécessaire d’utiliser une clé gérée par le client (CMK) au niveau de la charge de travail, du service ou de l’application, veillez à suivre les meilleures pratiques pour la gestion des clés : utilisez une hiérarchie de clés pour générer une clé de chiffrement de données distincte (DEK) avec votre clé de chiffrement de clé (KEK) dans votre coffre de clés. Vérifiez que les clés sont inscrites auprès d’Azure Key Vault et référencées via les ID de clé du service ou de l’application. Si vous devez apporter votre propre clé (BYOK) au service (par exemple, l’importation de clés protégées par HSM à partir de vos HSM locaux dans Azure Key Vault), suivez les instructions recommandées pour effectuer la génération initiale de clés et le transfert de clé.

Référence : Créer et configurer un coffre de clés pour Azure Disk Encryption sur une machine virtuelle Windows

DP-7 : utiliser un processus de gestion des certificats sécurisé

Fonctionnalités

Gestion des certificats dans Azure Key Vault

Description : Le service prend en charge l’intégration d’Azure Key Vault pour tous les certificats clients. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
False Non applicable Non applicable

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

Gestion des ressources

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Gestion des ressources.

AM-2 : Utiliser uniquement des services approuvés

Fonctionnalités

Prise en charge d’Azure Policy

Description : les configurations de service peuvent être surveillées et appliquées via Azure Policy. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True False Client

Conseils de configuration : Azure Policy pouvez définir le comportement souhaité pour les machines virtuelles Windows et Linux de votre organization. En utilisant des stratégies, un organization peut appliquer diverses conventions et règles dans l’ensemble de l’entreprise et définir et implémenter des configurations de sécurité standard pour Azure Machines Virtuelles. L’application du comportement souhaité peut vous aider à atténuer les risques tout en contribuant à la réussite de l'organisation.

Référence : Azure Policy définitions intégrées pour Azure Machines Virtuelles

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.ClassicCompute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager Utilisez le nouvel Azure Resource Manager pour renforcer la sécurité de vos machines virtuelles : contrôle d’accès en fonction du rôle (RBAC) renforcé, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, et prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité. Audit, Refuser, Désactivé 1.0.0

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager Utilisez le nouvel Azure Resource Manager pour renforcer la sécurité de vos machines virtuelles : contrôle d’accès en fonction du rôle (RBAC) renforcé, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, et prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité. Audit, Refuser, Désactivé 1.0.0

AM-5 : Utiliser uniquement des applications approuvées dans une machine virtuelle

Fonctionnalités

Microsoft Defender pour le cloud - Contrôles d’application adaptatifs

Description : le service peut limiter les applications clientes qui s’exécutent sur la machine virtuelle à l’aide de contrôles d’application adaptatifs dans Microsoft Defender pour le cloud. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True Faux Client

Conseils de configuration : utilisez Microsoft Defender pour les contrôles d’application adaptatifs cloud afin de découvrir les applications s’exécutant sur des machines virtuelles et de générer une liste verte d’applications afin de déterminer quelles applications approuvées peuvent s’exécuter dans l’environnement de machine virtuelle.

Référence : Utiliser des contrôles d’application adaptatifs pour réduire les surfaces d’attaque de vos machines

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.ClassicCompute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables. AuditIfNotExists, Désactivé 3.0.0

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables. AuditIfNotExists, Désactivé 3.0.0

Journalisation et détection des menaces

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : journalisation et détection des menaces.

LT-1 : activer les fonctionnalités de détection des menaces

Fonctionnalités

Microsoft Defender pour les offres de services/produits

Description : Le service dispose d’une solution de Microsoft Defender spécifique à l’offre pour surveiller et alerter sur les problèmes de sécurité. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True Faux Client

Conseils de configuration : Defender pour les serveurs étend la protection à vos machines Windows et Linux s’exécutant dans Azure. Defender pour les serveurs s’intègre à Microsoft Defender pour point de terminaison pour fournir la détection et la réponse des points de terminaison (EDR), et fournit également une multitude de fonctionnalités de protection contre les menaces supplémentaires, telles que les bases de référence de sécurité et les évaluations au niveau du système d’exploitation, l’analyse de l’évaluation des vulnérabilités, les contrôles d’application adaptatifs (AAC), la surveillance de l’intégrité des fichiers (FIM), etc.

Référence : Planifier votre déploiement defender pour les serveurs

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Windows Defender Exploit Guard doit être activé sur vos machines Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement). AuditIfNotExists, Désactivé 2.0.0

LT-4 : Activer la journalisation pour l’examen de sécurité

Fonctionnalités

Journaux des ressources Azure

Description : le service produit des journaux de ressources qui peuvent fournir des métriques et une journalisation améliorées spécifiques au service. Le client peut configurer ces journaux de ressources et les envoyer à son propre récepteur de données, comme un compte de stockage ou un espace de travail Log Analytics. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
True Faux Client

Conseils de configuration : Azure Monitor commence à collecter automatiquement les données de métrique pour votre hôte de machine virtuelle lorsque vous créez la machine virtuelle. Toutefois, pour collecter des journaux et des données de performances à partir du système d’exploitation invité de la machine virtuelle, vous devez installer l’agent Azure Monitor. Vous pouvez installer l’agent et configurer la collecte à l’aide de VM Insights ou en créant une règle de collecte de données.

Référence : Vue d’ensemble de l’agent Log Analytics

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. AuditIfNotExists, Désactivé 1.0.2-preview

Gestion des postures et des vulnérabilités

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : posture et gestion des vulnérabilités.

PV-3 : définir et établir des configurations sécurisées pour les ressources de calcul

Fonctionnalités

Azure Automation – State Configuration

Description : Azure Automation State Configuration peut être utilisé pour maintenir la configuration de sécurité du système d’exploitation. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
True Faux Client

Conseils de configuration : Utilisez Azure Automation State Configuration pour maintenir la configuration de sécurité du système d’exploitation.

Référence : Configurer une machine virtuelle avec Desired State Configuration

Agent de configuration invité Azure Policy

Description : Azure Policy’agent de configuration invité peut être installé ou déployé en tant qu’extension des ressources de calcul. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
True False Client

Remarques de fonctionnalité : Azure Policy configuration invité s’appelle désormais Azure Automanage Machine Configuration.

Conseils de configuration : Utilisez Microsoft Defender pour l’agent de configuration invité cloud et Azure Policy pour évaluer et corriger régulièrement les écarts de configuration sur vos ressources de calcul Azure, notamment les machines virtuelles, les conteneurs et autres.

Référence : Comprendre la fonctionnalité de configuration de machine d’Azure Automanage

Images de machine virtuelle personnalisées

Description : Le service prend en charge l’utilisation d’images de machine virtuelle fournies par l’utilisateur ou d’images prédéfinies de la Place de marché avec certaines configurations de base pré-appliquées. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
True Faux Client

Conseils de configuration : Utilisez une image renforcée préconfigurée d’un fournisseur approuvé tel que Microsoft ou créez une base de référence de configuration sécurisée souhaitée dans le modèle d’image de machine virtuelle

Référence : Tutoriel : Créer des images de machine virtuelle Windows avec Azure PowerShell

PV-4 : auditer et appliquer des configurations sécurisées pour les ressources de calcul

Fonctionnalités

Machine virtuelle de lancement approuvé

Description : Trusted Launch protège contre les techniques d’attaque avancées et persistantes en combinant des technologies d’infrastructure telles que le démarrage sécurisé, le vTPM et la surveillance de l’intégrité. Chaque technologie offre une couche de défense supplémentaire contre les menaces sophistiquées. Le lancement approuvé permet le déploiement sécurisé de machines virtuelles avec des chargeurs de démarrage vérifiés, des noyaux de système d’exploitation et des pilotes, et protège de manière sécurisée les clés, les certificats et les secrets dans les machines virtuelles. Le lancement approuvé fournit également des informations et des informations fiables sur l’intégrité de l’ensemble de la chaîne de démarrage et garantit que les charges de travail sont fiables et vérifiables. Le lancement approuvé est intégré à Microsoft Defender pour le cloud pour garantir que les machines virtuelles sont correctement configurées, en attestant à distance que la machine virtuelle est démarrée de manière saine. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
True Faux Client

Remarque de fonctionnalité : Le lancement approuvé est disponible pour les machines virtuelles de génération 2. Le lancement fiable requiert la création de nouvelles machines virtuelles. Vous ne pouvez pas activer le lancement fiable sur les machines virtuelles existantes qui ont été créées initialement sans cette fonctionnalité.

Conseils de configuration : Le lancement approuvé peut être activé pendant le déploiement de la machine virtuelle. Activez les trois : démarrage sécurisé, vTPM et surveillance du démarrage d’intégrité pour garantir la meilleure posture de sécurité pour la machine virtuelle. Notez qu’il existe quelques prérequis, notamment l’intégration de votre abonnement à Microsoft Defender pour le cloud, l’attribution de certaines initiatives de Azure Policy et la configuration des stratégies de pare-feu.

Référence : Déployer une machine virtuelle avec le lancement approuvé activé

PV-5 : effectuer des évaluations des vulnérabilités

Fonctionnalités

Évaluation des vulnérabilités à l’aide de Microsoft Defender

Description : Le service peut être analysé pour l’analyse des vulnérabilités à l’aide de Microsoft Defender pour le cloud ou d’autres fonctionnalités d’évaluation des vulnérabilités incorporées des services Microsoft Defender (y compris Microsoft Defender pour le serveur, le registre de conteneurs, les App Service, SQL et DNS). Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
True Faux Client

Conseils de configuration : Suivez les recommandations de Microsoft Defender pour le cloud pour effectuer des évaluations des vulnérabilités sur vos machines virtuelles Azure.

Référence : Planifier votre déploiement de Defender pour serveurs

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.ClassicCompute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. AuditIfNotExists, Désactivé 3.0.0

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. AuditIfNotExists, Désactivé 3.0.0

PV-6 : corriger rapidement et automatiquement les vulnérabilités

Fonctionnalités

Azure Automation Update Management

Description : le service peut utiliser Azure Automation Update Management pour déployer automatiquement des correctifs et des mises à jour. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True False Client

Conseils de configuration : utilisez Azure Automation Update Management ou une solution tierce pour vous assurer que les mises à jour de sécurité les plus récentes sont installées sur vos machines virtuelles Windows. Pour les machines virtuelles Windows, assurez-vous que Windows Update a été activé et configuré pour être mis à jour automatiquement.

Référence : Gérer les mises à jour et les correctifs pour vos machines virtuelles

Service de mise à jour corrective invité Azure

Description : Le service peut utiliser la mise à jour corrective d’invité Azure pour déployer automatiquement des correctifs et des mises à jour. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True False Client

Conseils de configuration : Les services peuvent tirer parti des différents mécanismes de mise à jour, tels que les mises à niveau automatiques d’images de système d’exploitation et lamise à jour corrective automatique des invités. Il est recommandé d’appliquer les dernières mises à jour critiques et de sécurité au système d’exploitation invité de votre machine virtuelle en suivant les principes de déploiement sécurisé.

La mise à jour corrective automatique d’invité vous permet d’évaluer et de mettre à jour automatiquement vos machines virtuelles Azure pour maintenir la conformité de la sécurité avec les mises à jour critiques et de sécurité publiées chaque mois. Mises à jour sont appliquées pendant les heures creuses, y compris les machines virtuelles au sein d’un groupe à haute disponibilité. Cette fonctionnalité est disponible pour l’orchestration flexible VMSS, avec une prise en charge future sur la feuille de route de l’orchestration uniforme.

Si vous exécutez une charge de travail sans état, les mises à niveau d’image de système d’exploitation automatique sont idéales pour appliquer la dernière mise à jour de votre vmsS Uniform. Avec la fonctionnalité de restauration, ces mises à jour sont compatibles avec la Place de marché ou les images personnalisées. Prise en charge future des mises à niveau propagées sur la feuille de route de l’orchestration flexible.

Référence : Mise à jour corrective automatique des invités de machine virtuelle pour les machines virtuelles Azure

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.ClassicCompute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les mises à jour système doivent être installées sur vos machines Les mises à jour système de sécurité manquantes sur vos serveurs seront supervisées par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 4.0.0

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : Les mises à jour système doivent être installées sur vos machines (avec le Centre des mises à jour) Des mises à jour système, critiques et de sécurité sont manquantes sur vos machines. Les mises à jour de logiciel incluent souvent des correctifs critiques pour les failles de sécurité. Ces failles sont souvent exploitées lors d’attaques de programmes malveillants. Il est donc essentiel de maintenir vos logiciels à jour. Pour installer tous les correctifs en attente et sécuriser vos machines, suivez la procédure de correction. AuditIfNotExists, Désactivé 1.0.0-preview

Sécurité des points de terminaison

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Sécurité des points de terminaison.

ES-1 : Utiliser la détection de point de terminaison et réponse (EDR)

Fonctionnalités

EDR Solution

Description : La fonctionnalité EDR (Endpoint Detection and Response) telle qu’Azure Defender pour les serveurs peut être déployée dans le point de terminaison. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True False Client

Conseils de configuration : Azure Defender pour serveurs (avec Microsoft Defender pour point de terminaison intégré) offre une fonctionnalité EDR permettant d’empêcher, de détecter, d’examiner et de répondre aux menaces avancées. Utilisez Microsoft Defender pour le cloud pour déployer Azure Defender pour les serveurs de votre point de terminaison et intégrer les alertes à votre solution SIEM comme Azure Sentinel.

Référence : Planifier votre déploiement de Defender pour serveurs

ES-2 : Utiliser un logiciel anti-programmes malveillants moderne

Fonctionnalités

Solution anti-programme malveillant

Description : une fonctionnalité anti-programme malveillant, telle que l’antivirus Microsoft Defender, Microsoft Defender pour point de terminaison peut être déployée sur le point de terminaison. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True False Client

Conseils de configuration : Pour les Windows Server 2016 et versions ultérieures, Microsoft Defender pour Antivirus est installé par défaut. Pour les Windows Server 2012 R2 et versions ultérieures, les clients peuvent installer SCEP (System Center Endpoint Protection). Les clients ont également le choix d’installer des produits anti-programmes malveillants tiers.

Référence : Intégration de Defender pour point de terminaison à Windows Server

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.ClassicCompute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines Résolvez les problèmes d’intégrité concernant la protection des points de terminaison de vos machines virtuelles pour les protéger des menaces et des vulnérabilités les plus récentes. Les solutions de protection des points de terminaison Azure Security Center prises en charge sont documentées ici : https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. L’évaluation de la protection des points de terminaison est documentée ici : https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Désactivé 1.0.0

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines Résolvez les problèmes d’intégrité concernant la protection des points de terminaison de vos machines virtuelles pour les protéger des menaces et des vulnérabilités les plus récentes. Les solutions de protection des points de terminaison Azure Security Center prises en charge sont documentées ici : https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. L’évaluation de la protection des points de terminaison est documentée ici : https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Désactivé 1.0.0

ES-3 : Vérifier que les logiciels et signatures anti-programme malveillant sont mis à jour

Fonctionnalités

Analyse de l’intégrité des solutions anti-programmes malveillants

Description : La solution anti-programme malveillant fournit une surveillance status d’intégrité pour les mises à jour de la plateforme, du moteur et des signatures automatiques. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True False Client

Remarques sur les fonctionnalités : Les informations de sécurité et les mises à jour du produit s’appliquent à Defender pour point de terminaison qui peut être installé sur les machines virtuelles Windows.

Conseils de configuration : Configurez votre solution anti-programme malveillant pour vous assurer que la plateforme, le moteur et les signatures sont mis à jour rapidement et de manière cohérente et que leurs status peuvent être surveillés.

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.ClassicCompute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines Résolvez les problèmes d’intégrité concernant la protection des points de terminaison de vos machines virtuelles pour les protéger des menaces et des vulnérabilités les plus récentes. Les solutions de protection des points de terminaison Azure Security Center prises en charge sont documentées ici : https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. L’évaluation de la protection des points de terminaison est documentée ici : https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Désactivé 1.0.0

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines Résolvez les problèmes d’intégrité concernant la protection des points de terminaison de vos machines virtuelles pour les protéger des menaces et des vulnérabilités les plus récentes. Les solutions de protection des points de terminaison Azure Security Center prises en charge sont documentées ici : https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. L’évaluation de la protection des points de terminaison est documentée ici : https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Désactivé 1.0.0

Sauvegarde et récupération

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Sauvegarde et récupération.

BR-1 : Garantir des sauvegardes automatiques régulières

Fonctionnalités

Sauvegarde Azure

Description : le service peut être sauvegardé par le service Sauvegarde Azure. Plus d’informations

Pris en charge Activé par défaut Responsabilité de la configuration
True False Client

Conseils de configuration : activez Sauvegarde Azure et configurez la source de sauvegarde (par exemple, Azure Machines Virtuelles, SQL Server, bases de données HANA ou partages de fichiers) à la fréquence souhaitée et avec une période de rétention souhaitée. Pour Azure Machines Virtuelles, vous pouvez utiliser Azure Policy pour activer les sauvegardes automatiques.

Référence : Options de sauvegarde et de restauration pour les machines virtuelles dans Azure

Surveillance de Microsoft Defender pour le cloud

Définitions intégrées à Azure Policy - Microsoft.Compute :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La sauvegarde Azure doit être activée pour les machines virtuelles Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. AuditIfNotExists, Désactivé 3.0.0

Étapes suivantes