Détails de l’initiative intégrée Conformité réglementaire FedRAMP High
L’article suivant explique en détail comment la définition de l’initiative intégrée Conformité réglementaire Azure Policy est mappée à des domaines de conformité et des contrôles dans FedRAMP High. Pour plus d’informations sur cette norme de conformité, consultez FedRAMP High. Pour comprendre la Propriété, consultez le type de stratégie et la responsabilité partagée dans le cloud.
Les mappages suivants concernent les contrôles FedRAMP High. De nombreux contrôles sont mis en œuvre avec la définition d’une initiative Azure Policy. Pour examiner la définition d’initiative complète, ouvrez Stratégie dans le Portail Azure et sélectionnez la page Définitions. Ensuite, recherchez et sélectionnez la définition de l’initiative intégrée Conformité réglementaire FedRAMP High.
Important
Chaque contrôle ci-dessous est associé à une ou plusieurs définitions Azure Policy. Ces stratégies peuvent vous aider à évaluer la conformité avec le contrôle ; toutefois, il n’existe pas souvent de correspondance un-à-un ou parfaite entre un contrôle et une ou plusieurs stratégies. Ainsi, la conformité dans Azure Policy fait uniquement référence aux définitions de stratégie elles-mêmes ; cela ne garantit pas que vous êtes entièrement conforme à toutes les exigences d’un contrôle. En outre, la norme de conformité comprend des contrôles qui ne sont traités par aucune définition Azure Policy pour l’instant. Par conséquent, la conformité dans Azure Policy n’est qu’une vue partielle de l’état de conformité global. Les associations entre les domaines de conformité, les contrôles et les définitions Azure Policy pour cette norme de conformité peuvent changer au fil du temps. Pour afficher l’historique des changements, consultez l’historique des validations GitHub.
Contrôle d’accès
Stratégie et procédures du contrôle d’accès
ID : FedRAMP High AC-1 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des stratégies et des procédures de contrôle d’accès | CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
Gouverner les stratégies et les procédures | CMA_0292 - Gouverner les stratégies et les procédures | Manuel, désactivé | 1.1.0 |
Passer en revue les stratégies et les procédures de contrôle d’accès | CMA_0457 - Passer en revue les stratégies et les procédures de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Gestion de compte
ID : FedRAMP High AC-2 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
3 propriétaires maximum doivent être désignés pour votre abonnement | Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. | AuditIfNotExists, Désactivé | 3.0.0 |
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.0.0 |
Les applications App Service doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
Affecter des gestionnaires de comptes | CMA_0015 - Affecter des gestionnaires de comptes | Manuel, désactivé | 1.1.0 |
Auditer l’utilisation des rôles RBAC personnalisés | Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces | Audit, Désactivé | 1.0.1 |
Auditer l’état du compte d’utilisateur | CMA_0020 – Auditer l’état du compte d’utilisateur | Manuel, désactivé | 1.1.0 |
Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) | Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth | Audit, Refuser, Désactivé | 1.1.0 |
Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés | Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
Définir et appliquer des conditions pour les comptes partagés et de groupe | CMA_0117 – Définir et appliquer des conditions pour les comptes partagés et de groupe | Manuel, désactivé | 1.1.0 |
Définir des types de comptes de système d’information | CMA_0121 - Définir des types de comptes de système d’information | Manuel, désactivé | 1.1.0 |
Documenter les privilèges d’accès | CMA_0186 - Documenter les privilèges d’accès | Manuel, désactivé | 1.1.0 |
Établir des conditions pour l’appartenance à un rôle | CMA_0269 - Établir des conditions pour l’appartenance à un rôle | Manuel, désactivé | 1.1.0 |
Les applications de fonction doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
Surveiller l’activité des comptes | CMA_0377 - Surveiller l’activité des comptes | Manuel, désactivé | 1.1.0 |
Notifier les gestionnaires de compte des comptes contrôlés par le client | CMA_C1009 - Notifier les gestionnaires de compte des comptes contrôlés par le client | Manuel, désactivé | 1.1.0 |
Réémettre les authentificateurs pour les groupes et les comptes modifiés | CMA_0426 - Réémettre les authentificateurs pour les groupes et les comptes modifiés | Manuel, désactivé | 1.1.0 |
Exiger une approbation pour la création de compte | CMA_0431 – Exiger une approbation pour la création de compte | Manuel, désactivé | 1.1.0 |
Restreindre l’accès aux comptes privilégiés | CMA_0446 – Restreindre l’accès aux comptes privilégiés | Manuel, désactivé | 1.1.0 |
Examiner les journaux d’approvisionnement de compte | CMA_0460 – Examiner les journaux d’approvisionnement de compte | Manuel, désactivé | 1.1.0 |
Réviser les comptes d’utilisateur | CMA_0480 – Passer en revue les comptes d’utilisateurs | Manuel, désactivé | 1.1.0 |
Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client | Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric | Audit, Refuser, Désactivé | 1.1.0 |
Gestion automatisée des comptes système
ID : FedRAMP High AC-2 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.0.0 |
Automatiser la gestion des comptes | CMA_0026 – Automatiser la gestion des comptes | Manuel, désactivé | 1.1.0 |
Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) | Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth | Audit, Refuser, Désactivé | 1.1.0 |
Gérer les comptes système et d’administration | CMA_0368 – Gérer les comptes système et d’administration | Manuel, désactivé | 1.1.0 |
Surveiller l’accès au sein de l’organisation | CMA_0376 – Surveiller l’accès au sein de l’organisation | Manuel, désactivé | 1.1.0 |
Avertir lorsque le compte n’est pas nécessaire | CMA_0383 – Avertir lorsque le compte n’est pas nécessaire | Manuel, désactivé | 1.1.0 |
Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client | Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric | Audit, Refuser, Désactivé | 1.1.0 |
Désactiver les comptes inactifs
ID : FedRAMP High AC-2 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Désactiver les authentificateurs lors de l’arrêt | CMA_0169 – Désactiver les authentificateurs lors de l’arrêt | Manuel, désactivé | 1.1.0 |
Révoquer les rôles privilégiés selon les besoins | CMA_0483 – Révoquer les rôles privilégiés selon les besoins | Manuel, désactivé | 1.1.0 |
Actions d’audit automatisées
ID : FedRAMP High AC-2 (4) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Auditer l’état du compte d’utilisateur | CMA_0020 – Auditer l’état du compte d’utilisateur | Manuel, désactivé | 1.1.0 |
Automatiser la gestion des comptes | CMA_0026 – Automatiser la gestion des comptes | Manuel, désactivé | 1.1.0 |
Gérer les comptes système et d’administration | CMA_0368 – Gérer les comptes système et d’administration | Manuel, désactivé | 1.1.0 |
Surveiller l’accès au sein de l’organisation | CMA_0376 – Surveiller l’accès au sein de l’organisation | Manuel, désactivé | 1.1.0 |
Avertir lorsque le compte n’est pas nécessaire | CMA_0383 – Avertir lorsque le compte n’est pas nécessaire | Manuel, désactivé | 1.1.0 |
Déconnexion pour inactivité
ID : FedRAMP High AC-2 (5) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Définir et appliquer une stratégie de journal d’inactivité | CMA_C1017 – Définir et appliquer une stratégie de journal d’inactivité | Manuel, désactivé | 1.1.0 |
Schémas basés sur les rôles
ID : FedRAMP High AC-2 (7) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.0.0 |
Auditer les fonctions privilégiées | CMA_0019 – Auditer les fonctions privilégiées | Manuel, désactivé | 1.1.0 |
Auditer l’utilisation des rôles RBAC personnalisés | Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces | Audit, Désactivé | 1.0.1 |
Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) | Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth | Audit, Refuser, Désactivé | 1.1.0 |
Surveiller l’activité des comptes | CMA_0377 - Surveiller l’activité des comptes | Manuel, désactivé | 1.1.0 |
Surveiller l’attribution de rôle privilégié | CMA_0378 – Surveiller l’attribution de rôle privilégié | Manuel, désactivé | 1.1.0 |
Restreindre l’accès aux comptes privilégiés | CMA_0446 – Restreindre l’accès aux comptes privilégiés | Manuel, désactivé | 1.1.0 |
Révoquer les rôles privilégiés selon les besoins | CMA_0483 – Révoquer les rôles privilégiés selon les besoins | Manuel, désactivé | 1.1.0 |
Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client | Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric | Audit, Refuser, Désactivé | 1.1.0 |
Utiliser Privileged Identity Management | CMA_0533 – Utiliser la gestion des identités privilégiées | Manuel, désactivé | 1.1.0 |
Restrictions sur l’utilisation des comptes/groupes partagés
ID : FedRAMP High AC-2 (9) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Définir et appliquer des conditions pour les comptes partagés et de groupe | CMA_0117 – Définir et appliquer des conditions pour les comptes partagés et de groupe | Manuel, désactivé | 1.1.0 |
Résiliation des informations d’identification de compte partagé/de groupe
ID : FedRAMP High AC-2 (10) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Mettre fin aux informations d’identification de compte contrôlées par le client | CMA_C1022 - Mettre fin aux informations d’identification de compte contrôlées par le client | Manuel, désactivé | 1.1.0 |
Conditions d’utilisation
ID : FedRAMP High AC-2 (11) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Appliquer l’utilisation appropriée de tous les comptes | CMA_C1023 – Appliquer l’utilisation appropriée de tous les comptes | Manuel, désactivé | 1.1.0 |
Surveillance de compte pour toute utilisation atypique
ID : FedRAMP High AC-2 (12) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
[Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc | L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Désactivé | 6.0.0-preview |
Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
Azure Defender pour Key Vault doit être activé | Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour Resource Manager doit être activé | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour les serveurs SQL sur les machines doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
Azure Defender pour SQL doit être activé pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
Microsoft Defender pour le stockage doit être activé | Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. | AuditIfNotExists, Désactivé | 1.0.0 |
Surveiller l’activité des comptes | CMA_0377 - Surveiller l’activité des comptes | Manuel, désactivé | 1.1.0 |
Signaler le comportement atypique de comptes d’utilisateur | CMA_C1025 - Signaler le comportement atypique de comptes d’utilisateur | Manuel, désactivé | 1.1.0 |
Désactiver les comptes des personnes à risque élevé
ID : FedRAMP High AC-2 (13) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Désactiver les comptes d’utilisateur présentant un risque important | CMA_C1026 – Désactiver les comptes d’utilisateur présentant un risque important | Manuel, désactivé | 1.1.0 |
Application de l’accès
ID : FedRAMP High AC-3 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.0.0 |
Les applications App Service doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
Auditer les machines Linux qui ont des comptes sans mot de passe | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles ont des comptes sans mot de passe | AuditIfNotExists, Désactivé | 3.1.0 |
L’authentification auprès des machines Linux doit exiger des clés SSH | Bien que le protocole SSH lui-même offre une connexion chiffrée, l’utilisation de mots de passe avec SSH laisse néanmoins la machine virtuelle vulnérable aux attaques en force brute. L’option la plus sûre pour l’authentification auprès d’une machine virtuelle Linux Azure via SSH est d’utiliser une paire de clés publique-privée, également appelées clés SSH. En savoir plus : https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Désactivé | 3.2.0 |
Autoriser l’accès aux fonctions et informations de sécurité | CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité | Manuel, désactivé | 1.1.0 |
Autoriser et gérer l’accès | CMA_0023 – Autoriser et gérer l’accès | Manuel, désactivé | 1.1.0 |
Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) | Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth | Audit, Refuser, Désactivé | 1.1.0 |
Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux | Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
Appliquer l’accès logique | CMA_0245 – Appliquer l’accès logique | Manuel, désactivé | 1.1.0 |
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
Les applications de fonction doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
Exiger une approbation pour la création de compte | CMA_0431 – Exiger une approbation pour la création de compte | Manuel, désactivé | 1.1.0 |
Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | Manuel, désactivé | 1.1.0 |
Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client | Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric | Audit, Refuser, Désactivé | 1.1.0 |
Les comptes de stockage doivent être migrés vers de nouvelles ressources Azure Resource Manager | Profitez des nouveautés d’Azure Resource Manager pour renforcer la sécurité de vos comptes de stockage : contrôle d’accès plus puissant, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité, etc. | Audit, Refuser, Désactivé | 1.0.0 |
Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager | Utilisez le nouvel Azure Resource Manager pour renforcer la sécurité de vos machines virtuelles : contrôle d’accès en fonction du rôle (RBAC) renforcé, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, et prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité. | Audit, Refuser, Désactivé | 1.0.0 |
Application du flux d’informations
ID : FedRAMP High AC-4 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
[Déconseillé] : Les services Recherche cognitive Azure doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Désactivé | 1.0.1-deprecated |
[Déconseillé] : Cognitive Services doit utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Désactivé | 3.0.1-deprecated |
[Préversion] : L’ensemble du trafic Internet doit transiter par votre Pare-feu Azure déployé | Azure Security Center a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge | AuditIfNotExists, Désactivé | 3.0.0-preview |
[Préversion] : L’accès public au compte de stockage doit être interdit | L’accès en lecture public anonyme aux conteneurs et aux blobs dans Stockage Azure est un moyen pratique de partager des données, mais peut présenter des risques pour la sécurité. Pour éviter les violations de données provoquées par un accès anonyme non souhaité, Microsoft recommande d’empêcher l’accès public à un compte de stockage, sauf si votre scénario l’exige. | audit, Audit, refus, Refus, désactivé, Désactivé | 3.1.0-preview |
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. | AuditIfNotExists, Désactivé | 3.0.0 |
Les services Gestion des API doivent utiliser un réseau virtuel | Le déploiement d’un réseau virtuel Azure offre une sécurité renforcée et une isolation, et vous permet de placer votre service Gestion des API dans un réseau routable non-Internet auquel vous contrôlez l’accès. Ces réseaux peuvent ensuite être connectés à vos réseaux locaux à l’aide de différentes technologies VPN, ce qui permet d’accéder à vos services back-end au sein du réseau et/ou localement. Le portail des développeurs et la passerelle API peuvent être configurés pour être accessibles depuis Internet ou uniquement au sein du réseau virtuel. | Audit, Refuser, Désactivé | 1.0.2 |
App Configuration doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Désactivé | 1.0.2 |
Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications | Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. | AuditIfNotExists, Désactivé | 2.0.0 |
Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes | Limitez l’accès à l’API Gestion des services Kubernetes en n’accordant l’accès à l’API qu’à des adresses IP de plages spécifiques. Nous vous recommandons de limiter l’accès aux plages d’adresses IP autorisées afin d’être sûr que seules les applications des réseaux autorisés puissent accéder au cluster. | Audit, Désactivé | 2.0.1 |
Les ressources Azure AI Services doivent limiter l’accès réseau | En limitant l’accès réseau, vous pouvez vous assurer que seuls les réseaux autorisés peuvent accéder au service. Pour ce faire, configurez des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder au service Azure AI. | Audit, Refuser, Désactivé | 3.2.0 |
API Azure pour FHIR doit utiliser une liaison privée | API Azure pour FHIR doit avoir au moins une connexion de point de terminaison privé approuvée. Les clients d’un réseau virtuel peuvent accéder de façon sécurisée aux ressources qui ont des connexions de point de terminaison privés via des liens privés. Pour plus d’informations, consultez https://aka.ms/fhir-privatelink. | Audit, Désactivé | 1.0.0 |
Azure Cache pour Redis doit utiliser une liaison privée | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Désactivé | 1.0.0 |
Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées | Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Refuser, Désactivé | 1.0.0 |
Les services Recherche cognitive Azure doivent désactiver l’accès réseau public | La désactivation de l’accès au réseau public améliore la sécurité en s’assurant que votre service Recherche cognitive Azure n’est pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre service de recherche. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Refuser, Désactivé | 1.0.0 |
Les comptes Azure Cosmos DB doivent avoir des règles de pare-feu | Les règles de pare-feu doivent être définies dans vos comptes Azure Cosmos DB pour empêcher le trafic provenant de sources non autorisées. Les comptes qui possèdent au moins une règle IP définie avec le filtre de réseau virtuel activé sont considérés comme conformes. Les comptes qui désactivent l’accès public sont également jugés conformes. | Audit, Refuser, Désactivé | 2.1.0 |
Azure Data Factory doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Désactivé | 1.0.0 |
Les domaines Azure Event Grid doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Audit, Désactivé | 1.0.2 |
Les rubriques Azure Event Grid doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Audit, Désactivé | 1.0.2 |
Azure File Sync doit utiliser une liaison privée | La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public. | AuditIfNotExists, Désactivé | 1.0.0 |
Le pare-feu doit être activé pour Azure Key Vault | Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez éventuellement configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Refuser, Désactivé | 3.2.1 |
Les coffres de clés Azure doivent utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
Les espaces de travail Azure Machine Learning doivent utiliser un lien privé | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Désactivé | 1.0.0 |
Les espaces de noms Azure Service Bus doivent utiliser la liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Désactivé | 1.0.0 |
Azure SignalR Service doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink. | Audit, Désactivé | 1.0.0 |
Les espaces de travail Azure Synapse doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Désactivé | 1.0.1 |
Le service Azure Web PubSub doit utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service Azure Web PubSub, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/awps/privatelink. | Audit, Désactivé | 1.0.0 |
Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint | Par défaut, les registres de conteneurs Azure acceptent les connexions via Internet à partir d’hôtes situés sur n’importe quel réseau. Pour protéger vos registres des menaces potentielles, autorisez l’accès uniquement à partir de points de terminaison privés, d’adresses ou de plages d’adresses IP publiques spécifiques. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. Découvrez plus en détail les règles réseau de Container Registry ici : https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network et https://aka.ms/acr/vnet. | Audit, Refuser, Désactivé | 2.0.0 |
Les registres de conteneurs doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. | Audit, Désactivé | 1.0.1 |
Flux d’informations de contrôle | CMA_0079 – Flux d’informations de contrôle | Manuel, désactivé | 1.1.0 |
Les comptes CosmosDB doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Désactivé | 1.0.0 |
Les ressources d’accès au disque doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Désactivé | 1.0.0 |
Utiliser des mécanismes de contrôle de flux d’informations chiffrées | CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées | Manuel, désactivé | 1.1.0 |
Les espaces de noms Event Hub doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Désactivé | 1.0.0 |
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet. | Audit, Désactivé | 1.0.0 |
Le transfert IP doit être désactivé sur votre machine virtuelle | L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. | AuditIfNotExists, Désactivé | 3.0.0 |
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
Les ports de gestion doivent être fermés sur vos machines virtuelles | Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. | AuditIfNotExists, Désactivé | 3.0.0 |
Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. | Audit, Désactivé | 1.1.0 |
Le point de terminaison privé doit être activé pour les serveurs MariaDB | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database for MariaDB privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
Le point de terminaison privé doit être activé pour les serveurs MySQL | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour MySQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
Le point de terminaison privé doit être activé pour les serveurs PostgreSQL | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour PostgreSQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
L’accès au réseau public sur Azure SQL Database doit être désactivé | Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 1.1.0 |
L’accès au réseau public doit être désactivé pour les serveurs MariaDB | Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database for MariaDB n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 2.0.0 |
L’accès au réseau public doit être désactivé pour les serveurs MySQL | Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour MySQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 2.0.0 |
L’accès au réseau public doit être désactivé pour les serveurs PostgreSQL | Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour PostgreSQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 2.0.1 |
Les comptes de stockage doivent limiter l’accès réseau | L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. | Audit, Refuser, Désactivé | 1.1.1 |
Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau | Protégez vos comptes de stockage contre les menaces potentielles en utilisant des règles de réseau virtuel comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les IP publiques d’accéder à vos comptes de stockage. | Audit, Refuser, Désactivé | 1.0.1 |
Les comptes de stockage doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Désactivé | 2.0.0 |
les sous-réseaux doivent être associés à un groupe de sécurité réseau | Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. | AuditIfNotExists, Désactivé | 3.0.0 |
Les modèles VM Image Builder doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos ressources de création VM Image Builder, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Désactivé, Refus | 1.1.0 |
Filtres des stratégies de sécurité
ID : FedRAMP High AC-4 (8) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Contrôle des flux d’informations en utilisant des filtres de stratégie de sécurité | CMA_C1029 - Contrôle des flux d’informations en utilisant des filtres de stratégie de sécurité | Manuel, désactivé | 1.1.0 |
Séparation physique/logique des flux d’informations
ID : FedRAMP High AC-4 (21) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Flux d’informations de contrôle | CMA_0079 – Flux d’informations de contrôle | Manuel, désactivé | 1.1.0 |
Établir des normes de configuration de pare-feu et de routeur | CMA_0272 – Établir des normes de configuration de pare-feu et de routeur | Manuel, désactivé | 1.1.0 |
Établir une segmentation réseau pour l’environnement de données du titulaire de carte | CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte | Manuel, désactivé | 1.1.0 |
Identifier et gérer les échanges d’informations en aval | CMA_0298 – Identifier et gérer les échanges d’informations en aval | Manuel, désactivé | 1.1.0 |
Séparation des tâches
ID : FedRAMP High AC-5 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Définir des autorisations d’accès pour prendre en charge la séparation des tâches | CMA_0116 - Définir des autorisations d’accès pour prendre en charge la séparation des tâches | Manuel, désactivé | 1.1.0 |
Documenter la séparation des tâches | CMA_0204 - Documenter la séparation des tâches | Manuel, désactivé | 1.1.0 |
Séparer les tâches des personnes | CMA_0492 - Séparer les tâches des personnes | Manuel, désactivé | 1.1.0 |
Plusieurs propriétaires doivent être attribués à votre abonnement | Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur. | AuditIfNotExists, Désactivé | 3.0.0 |
Privilège minimum
ID : FedRAMP High AC-6 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
3 propriétaires maximum doivent être désignés pour votre abonnement | Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. | AuditIfNotExists, Désactivé | 3.0.0 |
Auditer l’utilisation des rôles RBAC personnalisés | Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces | Audit, Désactivé | 1.0.1 |
Concevoir un modèle de contrôle d’accès | CMA_0129 – Concevoir un modèle de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Utiliser l’accès aux privilèges minimum | CMA_0212 – Utiliser l’accès aux privilèges minimum | Manuel, désactivé | 1.1.0 |
Autoriser l’accès aux fonctions de sécurité
ID : FedRAMP High AC-6 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Autoriser l’accès aux fonctions et informations de sécurité | CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité | Manuel, désactivé | 1.1.0 |
Autoriser et gérer l’accès | CMA_0023 – Autoriser et gérer l’accès | Manuel, désactivé | 1.1.0 |
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
Comptes privilégiés
ID : FedRAMP High AC-6 (5) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Restreindre l’accès aux comptes privilégiés | CMA_0446 – Restreindre l’accès aux comptes privilégiés | Manuel, désactivé | 1.1.0 |
Révision des privilèges utilisateur
ID : FedRAMP High AC-6 (7) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
3 propriétaires maximum doivent être désignés pour votre abonnement | Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. | AuditIfNotExists, Désactivé | 3.0.0 |
Auditer l’utilisation des rôles RBAC personnalisés | Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces | Audit, Désactivé | 1.0.1 |
Réaffecter ou supprimer des privilèges utilisateur selon les besoins | CMA_C1040 – Réaffecter ou supprimer des privilèges utilisateur selon les besoins | Manuel, désactivé | 1.1.0 |
Passer en revue les privilèges utilisateur | CMA_C1039 – Vérifier les privilèges utilisateur | Manuel, désactivé | 1.1.0 |
Niveaux de privilège pour l’exécution du code
ID : FedRAMP High AC-6 (8) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Appliquer les privilèges d’exécution du logiciel | CMA_C1041 – Appliquer les privilèges d’exécution du logiciel | Manuel, désactivé | 1.1.0 |
Audit de l’utilisation des fonctions privilégiées
ID : FedRAMP High AC-6 (9) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Auditer les fonctions privilégiées | CMA_0019 – Auditer les fonctions privilégiées | Manuel, désactivé | 1.1.0 |
Effectuer une analyse de texte intégral des commandes privilégiées journalisées | CMA_0056 - Effectuer une analyse de texte intégral des commandes privilégiées journalisées | Manuel, désactivé | 1.1.0 |
Surveiller l’attribution de rôle privilégié | CMA_0378 – Surveiller l’attribution de rôle privilégié | Manuel, désactivé | 1.1.0 |
Restreindre l’accès aux comptes privilégiés | CMA_0446 – Restreindre l’accès aux comptes privilégiés | Manuel, désactivé | 1.1.0 |
Révoquer les rôles privilégiés selon les besoins | CMA_0483 – Révoquer les rôles privilégiés selon les besoins | Manuel, désactivé | 1.1.0 |
Utiliser Privileged Identity Management | CMA_0533 – Utiliser la gestion des identités privilégiées | Manuel, désactivé | 1.1.0 |
Essais de connexion infructueux
ID : FedRAMP High AC-7 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Appliquer une limite du nombre de tentatives de connexion consécutives ayant échoué | CMA_C1044 - Appliquer une limite du nombre de tentatives de connexion consécutives ayant échoué | Manuel, désactivé | 1.1.0 |
Contrôle des sessions simultanées
ID : FedRAMP High AC-10 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Définir et appliquer la limite des sessions simultanées | CMA_C1050 - Définir et appliquer la limite des sessions simultanées | Manuel, désactivé | 1.1.0 |
Arrêt de session
ID : FedRAMP High AC-12 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Terminer automatiquement la session utilisateur | CMA_C1054 – Terminer automatiquement la session utilisateur | Manuel, désactivé | 1.1.0 |
Déconnexions/affichages de messages initié(e)s par l’utilisateur
ID : FedRAMP High AC-12 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Afficher un message de déconnexion explicite | CMA_C1056 – Afficher un message de déconnexion explicite | Manuel, désactivé | 1.1.0 |
Fournir la fonctionnalité de déconnexion | CMA_C1055 - Fournir la fonctionnalité de déconnexion | Manuel, désactivé | 1.1.0 |
Actions autorisées sans identification ou authentification
ID : FedRAMP High AC-14 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Identifier les actions autorisées sans authentification | CMA_0295 - Identifier les actions autorisées sans authentification | Manuel, désactivé | 1.1.0 |
Accès à distance
ID : FedRAMP High AC-17 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
[Déconseillé] : Les services Recherche cognitive Azure doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Désactivé | 1.0.1-deprecated |
[Déconseillé] : Cognitive Services doit utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Désactivé | 3.0.1-deprecated |
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
App Configuration doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Désactivé | 1.0.2 |
Le débogage à distance doit être désactivé pour les applications App Service | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
Auditer les machines Linux qui autorisent les connexions à distance des comptes sans mot de passe | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles autorisent les connexions à distance à partir de comptes sans mot de passe | AuditIfNotExists, Désactivé | 3.1.0 |
Autoriser l’accès à distance | CMA_0024 – Autoriser l’accès à distance | Manuel, désactivé | 1.1.0 |
API Azure pour FHIR doit utiliser une liaison privée | API Azure pour FHIR doit avoir au moins une connexion de point de terminaison privé approuvée. Les clients d’un réseau virtuel peuvent accéder de façon sécurisée aux ressources qui ont des connexions de point de terminaison privés via des liens privés. Pour plus d’informations, consultez https://aka.ms/fhir-privatelink. | Audit, Désactivé | 1.0.0 |
Azure Cache pour Redis doit utiliser une liaison privée | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Désactivé | 1.0.0 |
Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées | Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Refuser, Désactivé | 1.0.0 |
Azure Data Factory doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Désactivé | 1.0.0 |
Les domaines Azure Event Grid doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Audit, Désactivé | 1.0.2 |
Les rubriques Azure Event Grid doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Audit, Désactivé | 1.0.2 |
Azure File Sync doit utiliser une liaison privée | La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public. | AuditIfNotExists, Désactivé | 1.0.0 |
Les coffres de clés Azure doivent utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
Les espaces de travail Azure Machine Learning doivent utiliser un lien privé | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Désactivé | 1.0.0 |
Les espaces de noms Azure Service Bus doivent utiliser la liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Désactivé | 1.0.0 |
Azure SignalR Service doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink. | Audit, Désactivé | 1.0.0 |
Azure Spring Cloud doit utiliser l’injection de réseau | Les instances Azure Spring Cloud doivent utiliser l’injection de réseau virtuel pour les motifs suivants : 1. Isoler Azure Spring Cloud d’Internet. 2. Permettre à Azure Spring Cloud d’interagir avec des systèmes de centres de données locaux ou des services Azure d’autres réseaux virtuels. 3. Permettre aux clients de contrôler les communications réseau entrantes et sortantes pour Azure Spring Cloud. | Audit, Désactivé, Refus | 1.2.0 |
Les espaces de travail Azure Synapse doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Désactivé | 1.0.1 |
Le service Azure Web PubSub doit utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service Azure Web PubSub, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/awps/privatelink. | Audit, Désactivé | 1.0.0 |
Les registres de conteneurs doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. | Audit, Désactivé | 1.0.1 |
Les comptes CosmosDB doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Désactivé | 1.0.0 |
Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux | Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Les ressources d’accès au disque doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Désactivé | 1.0.0 |
Formation sur la mobilité des documents | CMA_0191 – Formation sur la mobilité des documents | Manuel, désactivé | 1.1.0 |
Documentation des instructions d’accès à distance | CMA_0196 – Documentation des instructions d’accès à distance | Manuel, désactivé | 1.1.0 |
Les espaces de noms Event Hub doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Désactivé | 1.0.0 |
Le débogage à distance doit être désactivé pour les applications de fonctions | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
Implémenter des contrôles pour sécuriser d’autres sites de travail | CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail | Manuel, désactivé | 1.1.0 |
Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet. | Audit, Désactivé | 1.0.0 |
Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. | Audit, Désactivé | 1.1.0 |
Le point de terminaison privé doit être activé pour les serveurs MariaDB | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database for MariaDB privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
Le point de terminaison privé doit être activé pour les serveurs MySQL | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour MySQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
Le point de terminaison privé doit être activé pour les serveurs PostgreSQL | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour PostgreSQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
Fournir une formation sur la confidentialité | CMA_0415 – Fournir une formation sur la confidentialité | Manuel, désactivé | 1.1.0 |
Les comptes de stockage doivent limiter l’accès réseau | L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. | Audit, Refuser, Désactivé | 1.1.1 |
Les comptes de stockage doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Désactivé | 2.0.0 |
Les modèles VM Image Builder doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos ressources de création VM Image Builder, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Désactivé, Refus | 1.1.0 |
Contrôle/surveillance automatique
ID : FedRAMP High AC-17 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
[Déconseillé] : Les services Recherche cognitive Azure doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Désactivé | 1.0.1-deprecated |
[Déconseillé] : Cognitive Services doit utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Désactivé | 3.0.1-deprecated |
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
App Configuration doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Désactivé | 1.0.2 |
Le débogage à distance doit être désactivé pour les applications App Service | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
Auditer les machines Linux qui autorisent les connexions à distance des comptes sans mot de passe | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles autorisent les connexions à distance à partir de comptes sans mot de passe | AuditIfNotExists, Désactivé | 3.1.0 |
API Azure pour FHIR doit utiliser une liaison privée | API Azure pour FHIR doit avoir au moins une connexion de point de terminaison privé approuvée. Les clients d’un réseau virtuel peuvent accéder de façon sécurisée aux ressources qui ont des connexions de point de terminaison privés via des liens privés. Pour plus d’informations, consultez https://aka.ms/fhir-privatelink. | Audit, Désactivé | 1.0.0 |
Azure Cache pour Redis doit utiliser une liaison privée | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Désactivé | 1.0.0 |
Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées | Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Refuser, Désactivé | 1.0.0 |
Azure Data Factory doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Désactivé | 1.0.0 |
Les domaines Azure Event Grid doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Audit, Désactivé | 1.0.2 |
Les rubriques Azure Event Grid doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Audit, Désactivé | 1.0.2 |
Azure File Sync doit utiliser une liaison privée | La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public. | AuditIfNotExists, Désactivé | 1.0.0 |
Les coffres de clés Azure doivent utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
Les espaces de travail Azure Machine Learning doivent utiliser un lien privé | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Désactivé | 1.0.0 |
Les espaces de noms Azure Service Bus doivent utiliser la liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Désactivé | 1.0.0 |
Azure SignalR Service doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink. | Audit, Désactivé | 1.0.0 |
Azure Spring Cloud doit utiliser l’injection de réseau | Les instances Azure Spring Cloud doivent utiliser l’injection de réseau virtuel pour les motifs suivants : 1. Isoler Azure Spring Cloud d’Internet. 2. Permettre à Azure Spring Cloud d’interagir avec des systèmes de centres de données locaux ou des services Azure d’autres réseaux virtuels. 3. Permettre aux clients de contrôler les communications réseau entrantes et sortantes pour Azure Spring Cloud. | Audit, Désactivé, Refus | 1.2.0 |
Les espaces de travail Azure Synapse doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Désactivé | 1.0.1 |
Le service Azure Web PubSub doit utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service Azure Web PubSub, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/awps/privatelink. | Audit, Désactivé | 1.0.0 |
Les registres de conteneurs doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. | Audit, Désactivé | 1.0.1 |
Les comptes CosmosDB doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Désactivé | 1.0.0 |
Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux | Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Les ressources d’accès au disque doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Désactivé | 1.0.0 |
Les espaces de noms Event Hub doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Désactivé | 1.0.0 |
Le débogage à distance doit être désactivé pour les applications de fonctions | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet. | Audit, Désactivé | 1.0.0 |
Surveiller l’accès au sein de l’organisation | CMA_0376 – Surveiller l’accès au sein de l’organisation | Manuel, désactivé | 1.1.0 |
Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. | Audit, Désactivé | 1.1.0 |
Le point de terminaison privé doit être activé pour les serveurs MariaDB | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database for MariaDB privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
Le point de terminaison privé doit être activé pour les serveurs MySQL | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour MySQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
Le point de terminaison privé doit être activé pour les serveurs PostgreSQL | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour PostgreSQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
Les comptes de stockage doivent limiter l’accès réseau | L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. | Audit, Refuser, Désactivé | 1.1.1 |
Les comptes de stockage doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Désactivé | 2.0.0 |
Les modèles VM Image Builder doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos ressources de création VM Image Builder, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Désactivé, Refus | 1.1.0 |
Protection de la confidentialité/de l’intégrité à l’aide du chiffrement
ID : FedRAMP High AC-17 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Avertir les utilisateurs de l’ouverture de session ou de l’accès au système | CMA_0382 - Avertir les utilisateurs de l’ouverture de session ou de l’accès au système | Manuel, désactivé | 1.1.0 |
Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
Points de contrôle d’accès gérés
ID : FedRAMP High AC-17 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Router le trafic via des points d’accès réseau gérés | CMA_0484 - Router le trafic via des points d’accès réseau gérés | Manuel, désactivé | 1.1.0 |
Commandes/accès privilégié(e)s
ID : FedRAMP High AC-17 (4) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Autoriser l’accès à distance | CMA_0024 – Autoriser l’accès à distance | Manuel, désactivé | 1.1.0 |
Autoriser l’accès à distance aux commandes privilégiées | CMA_C1064 – Autoriser l’accès à distance aux commandes privilégiées | Manuel, désactivé | 1.1.0 |
Documentation des instructions d’accès à distance | CMA_0196 – Documentation des instructions d’accès à distance | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser d’autres sites de travail | CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail | Manuel, désactivé | 1.1.0 |
Fournir une formation sur la confidentialité | CMA_0415 – Fournir une formation sur la confidentialité | Manuel, désactivé | 1.1.0 |
Déconnexion/désactivation de l’accès
ID : FedRAMP High AC-17 (9) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Offrir la possibilité de déconnecter ou de désactiver l’accès à distance | CMA_C1066 - Permettre de déconnecter ou de désactiver l’accès à distance | Manuel, désactivé | 1.1.0 |
Accès sans fil
ID : FedRAMP High AC-18 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Documenter et implémenter les instructions d’accès sans fil | CMA_0190 - Documenter et implémenter les instructions d’accès sans fil | Manuel, désactivé | 1.1.0 |
Protéger l’accès sans fil | CMA_0411 - Protéger l’accès sans fil | Manuel, désactivé | 1.1.0 |
Authentification et chiffrement
ID : FedRAMP High AC-18 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Documenter et implémenter les instructions d’accès sans fil | CMA_0190 - Documenter et implémenter les instructions d’accès sans fil | Manuel, désactivé | 1.1.0 |
Identifier et authentifier les périphériques réseau | CMA_0296 – Identifier et authentifier les périphériques réseau | Manuel, désactivé | 1.1.0 |
Protéger l’accès sans fil | CMA_0411 - Protéger l’accès sans fil | Manuel, désactivé | 1.1.0 |
Contrôle d’accès pour les appareils mobiles
ID : FedRAMP High AC-19 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Définir les exigences pour les appareils mobiles | CMA_0122 - Définir les exigences pour les appareils mobiles | Manuel, désactivé | 1.1.0 |
Chiffrement complet de l’appareil/du conteneur
ID : FedRAMP High AC-19 (5) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Définir les exigences pour les appareils mobiles | CMA_0122 - Définir les exigences pour les appareils mobiles | Manuel, désactivé | 1.1.0 |
Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
Utilisation de systèmes d’information externes
ID : FedRAMP High AC-20 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Établir les conditions générales d’accès aux ressources | CMA_C1076 - Établir les conditions générales d’accès aux ressources | Manuel, désactivé | 1.1.0 |
Établir les conditions générales pour le traitement des ressources | CMA_C1077 - Établir les conditions générales pour le traitement des ressources | Manuel, désactivé | 1.1.0 |
Limites d’utilisation autorisée
ID : FedRAMP High AC-20 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Vérifier les contrôles de sécurité pour les systèmes d’information externes | CMA_0541 - Vérifier les contrôles de sécurité pour les systèmes d’information externes | Manuel, désactivé | 1.1.0 |
Appareils de stockage portable
ID : FedRAMP High AC-20 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Bloque les processus non approuvés et non signés qui s’exécutent par USB | CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB | Manuel, désactivé | 1.1.0 |
Contrôler l’utilisation des périphériques de stockage portables | CMA_0083 - Contrôler l’utilisation des périphériques de stockage portables | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Partage d’informations
ID : FedRAMP High AC-21 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Automatiser les décisions de partage d’informations | CMA_0028 - Automatiser les décisions de partage d’informations | Manuel, désactivé | 1.1.0 |
Faciliter le partage des informations | CMA_0284 – Faciliter le partage des informations | Manuel, désactivé | 1.1.0 |
Contenu accessible publiquement
ID : FedRAMP High AC-22 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Désigner le personnel autorisé à publier des informations accessibles publiquement | CMA_C1083 - Désigner le personnel autorisé à publier des informations accessibles publiquement | Manuel, désactivé | 1.1.0 |
Passer en revue le contenu avant de publier des informations accessibles publiquement | CMA_C1085 – Vérifier le contenu avant de publier des informations accessibles publiquement | Manuel, désactivé | 1.1.0 |
Examiner le contenu accessible publiquement pour obtenir des informations non publiques | CMA_C1086 – Vérifier le contenu accessible publiquement pour obtenir des informations non publiques | Manuel, désactivé | 1.1.0 |
Former le personnel à la divulgation d’informations non publiques | CMA_C1084 - Former le personnel à la divulgation d’informations non publiques | Manuel, désactivé | 1.1.0 |
Reconnaissance et formation
Stratégie et procédures de formation et de sensibilisation à la sécurité
ID : FedRAMP High AT-1 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Documenter les activités de formation à la sécurité et à la confidentialité | CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité | Manuel, désactivé | 1.1.0 |
Mettre à jour les stratégies de sécurité des informations | CMA_0518 - Mettre à jour les stratégies de sécurité des informations | Manuel, désactivé | 1.1.0 |
Formation sur la sécurité
ID : FedRAMP High AT-2 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Fournir une formation périodique sur la sensibilisation à la sécurité | CMA_C1091 - Fournir une formation périodique sur la sensibilisation à la sécurité | Manuel, désactivé | 1.1.0 |
Fournir une formation sur la sécurité pour les nouveaux utilisateurs | CMA_0419 - Fournir une formation sur la sécurité pour les nouveaux utilisateurs | Manuel, désactivé | 1.1.0 |
Fournir une formation de sensibilisation à la sécurité mise à jour | CMA_C1090 - Fournir une formation de sensibilisation à la sécurité mise à jour | Manuel, désactivé | 1.1.0 |
Menace interne
ID : FedRAMP High AT-2 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Fournir une formation de sensibilisation à la sécurité pour les menaces internes | CMA_0417 – Fournir une formation de sensibilisation à la sécurité pour les menaces internes | Manuel, désactivé | 1.1.0 |
Formation sur la sécurité en fonction du rôle
ID : FedRAMP High AT-3 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Fournir une formation périodique sur la sécurité basée sur les rôles | CMA_C1095 - Fournir une formation périodique sur la sécurité basée sur les rôles | Manuel, désactivé | 1.1.0 |
Fournir une formation sur la sécurité basée sur les rôles | CMA_C1094 - Fournir une formation sur la sécurité basée sur les rôles | Manuel, désactivé | 1.1.0 |
Fournir une formation sur la sécurité avant de fournir l’accès | CMA_0418 - Fournir une formation sur la sécurité avant de fournir l’accès | Manuel, désactivé | 1.1.0 |
Exercices pratiques
ID : FedRAMP High AT-3 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Fournir des exercices pratiques basés sur des rôles | CMA_C1096 – Fournir des exercices pratiques basés sur des rôles | Manuel, désactivé | 1.1.0 |
Communications suspectes et comportement anormal du système
ID : FedRAMP High AT-3 (4) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Fournir une formation basée sur les rôles sur les activités suspectes | CMA_C1097 – Fournir une formation basée sur les rôles sur les activités suspectes | Manuel, désactivé | 1.1.0 |
Enregistrements de la formation sur la sécurité
ID : FedRAMP High AT-4 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Documenter les activités de formation à la sécurité et à la confidentialité | CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité | Manuel, désactivé | 1.1.0 |
Surveiller la réalisation des formations sur la sécurité et la confidentialité | CMA_0379 - Surveiller la réalisation des formations sur la sécurité et la confidentialité | Manuel, désactivé | 1.1.0 |
Conserver les dossiers de formation | CMA_0456 - Conserver les dossiers de formation | Manuel, désactivé | 1.1.0 |
Audit et responsabilité
Stratégie et procédures d’audit et de responsabilité
ID : FedRAMP High AU-1 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des stratégies et des procédures d’audit et de responsabilité | CMA_0154 - Développer des stratégies et des procédures d’audit et de responsabilité | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures de sécurité des informations | CMA_0158 -Développer des stratégies et des procédures de sécurité des informations | Manuel, désactivé | 1.1.0 |
Gouverner les stratégies et les procédures | CMA_0292 - Gouverner les stratégies et les procédures | Manuel, désactivé | 1.1.0 |
Mettre à jour les stratégies de sécurité des informations | CMA_0518 - Mettre à jour les stratégies de sécurité des informations | Manuel, désactivé | 1.1.0 |
Événements d’audit
ID : FedRAMP High AU-2 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Déterminer les événements auditables | CMA_0137 – Déterminer les événements auditables | Manuel, désactivé | 1.1.0 |
Revues et mises à jour
ID : FedRAMP High AU-2 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Passer en revue et mettre à jour les événements définis dans AU-02 | CMA_C1106 - Passer en revue et mettre à jour les événements définis dans AU-02 | Manuel, désactivé | 1.1.0 |
Contenu des enregistrements d’audit
ID : FedRAMP High AU-3 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Déterminer les événements auditables | CMA_0137 – Déterminer les événements auditables | Manuel, désactivé | 1.1.0 |
Informations d'audit supplémentaires
ID : FedRAMP High AU-3 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Configurer les fonctionnalités d’audit d’Azure | CMA_C1108 - Configurer les fonctionnalités d’audit d’Azure | Manuel, désactivé | 1.1.1 |
Capacité de stockage de l’audit
ID : FedRAMP High AU-4 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Régir et surveiller les activités de traitement d’audit | CMA_0289 – Régir et surveiller les activités de traitement d’audit | Manuel, désactivé | 1.1.0 |
Réponse aux échecs du processus d’audit
ID : FedRAMP High AU-5 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Régir et surveiller les activités de traitement d’audit | CMA_0289 – Régir et surveiller les activités de traitement d’audit | Manuel, désactivé | 1.1.0 |
Alertes en temps réel
ID : FedRAMP High AU-5 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Fournir des alertes en temps réel pour les échecs d’événements d’audit | CMA_C1114 – Fournir des alertes en temps réel pour les échecs d’événements d’audit | Manuel, désactivé | 1.1.0 |
Révision, analyse et rapports d’audit
ID : FedRAMP High AU-6 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
[Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc | L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Désactivé | 6.0.0-preview |
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
Azure Defender pour Key Vault doit être activé | Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour Resource Manager doit être activé | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour les serveurs SQL sur les machines doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 2.0.1 |
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
Mettre en corrélation les enregistrements d’audit | CMA_0087 - Mettre en corrélation les enregistrements d’audit | Manuel, désactivé | 1.1.0 |
Établir des exigences pour la révision et la création de rapports d’audit | CMA_0277 - Établir des exigences pour la révision et la création de rapports d’audit | Manuel, désactivé | 1.1.0 |
Intégrer la révision d’audit, l’analyse et la création de rapports | CMA_0339 - Intégrer la révision d’audit, l’analyse et la création de rapports | Manuel, désactivé | 1.1.0 |
Intégrer la sécurité des applications cloud à un SIEM | CMA_0340 - Intégrer la sécurité des applications cloud à un SIEM | Manuel, désactivé | 1.1.0 |
Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
Microsoft Defender pour le stockage doit être activé | Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. | AuditIfNotExists, Désactivé | 1.0.0 |
Network Watcher doit être activé | Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. | AuditIfNotExists, Désactivé | 3.0.0 |
Examiner les journaux d’approvisionnement de compte | CMA_0460 – Examiner les journaux d’approvisionnement de compte | Manuel, désactivé | 1.1.0 |
Passer en revue les affectations d’administrateurs toutes les semaines | CMA_0461 - Passer en revue les affectations d’administrateurs toutes les semaines | Manuel, désactivé | 1.1.0 |
Vérifier les journaux d'audit | CMA_0466 – Examiner les données d’audit | Manuel, désactivé | 1.1.0 |
Passer en revue la vue d’ensemble du rapport des identités cloud | CMA_0468 - Passer en revue la vue d’ensemble du rapport des identités cloud | Manuel, désactivé | 1.1.0 |
Passer en revue les événements accès contrôlé aux dossiers | CMA_0471 - Passer en revue les événements d’accès contrôlé aux dossiers | Manuel, désactivé | 1.1.0 |
Examiner l’activité des fichiers et des dossiers | CMA_0473 - Examiner l’activité des fichiers et des dossiers | Manuel, désactivé | 1.1.0 |
Passer en revue les modifications apportées aux groupes de rôles chaque semaine | CMA_0476 - Passer en revue les modifications apportées aux groupes de rôles chaque semaine | Manuel, désactivé | 1.1.0 |
Intégration de processus
ID : FedRAMP High AU-6 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Mettre en corrélation les enregistrements d’audit | CMA_0087 - Mettre en corrélation les enregistrements d’audit | Manuel, désactivé | 1.1.0 |
Établir des exigences pour la révision et la création de rapports d’audit | CMA_0277 - Établir des exigences pour la révision et la création de rapports d’audit | Manuel, désactivé | 1.1.0 |
Intégrer la révision d’audit, l’analyse et la création de rapports | CMA_0339 - Intégrer la révision d’audit, l’analyse et la création de rapports | Manuel, désactivé | 1.1.0 |
Intégrer la sécurité des applications cloud à un SIEM | CMA_0340 - Intégrer la sécurité des applications cloud à un SIEM | Manuel, désactivé | 1.1.0 |
Examiner les journaux d’approvisionnement de compte | CMA_0460 – Examiner les journaux d’approvisionnement de compte | Manuel, désactivé | 1.1.0 |
Passer en revue les affectations d’administrateurs toutes les semaines | CMA_0461 - Passer en revue les affectations d’administrateurs toutes les semaines | Manuel, désactivé | 1.1.0 |
Vérifier les journaux d'audit | CMA_0466 – Examiner les données d’audit | Manuel, désactivé | 1.1.0 |
Passer en revue la vue d’ensemble du rapport des identités cloud | CMA_0468 - Passer en revue la vue d’ensemble du rapport des identités cloud | Manuel, désactivé | 1.1.0 |
Passer en revue les événements accès contrôlé aux dossiers | CMA_0471 - Passer en revue les événements d’accès contrôlé aux dossiers | Manuel, désactivé | 1.1.0 |
Examiner l’activité des fichiers et des dossiers | CMA_0473 - Examiner l’activité des fichiers et des dossiers | Manuel, désactivé | 1.1.0 |
Passer en revue les modifications apportées aux groupes de rôles chaque semaine | CMA_0476 - Passer en revue les modifications apportées aux groupes de rôles chaque semaine | Manuel, désactivé | 1.1.0 |
Mettre en corrélation les dépôts d’audit
ID : FedRAMP High AU-6 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Mettre en corrélation les enregistrements d’audit | CMA_0087 - Mettre en corrélation les enregistrements d’audit | Manuel, désactivé | 1.1.0 |
Intégrer la sécurité des applications cloud à un SIEM | CMA_0340 - Intégrer la sécurité des applications cloud à un SIEM | Manuel, désactivé | 1.1.0 |
Évaluation et analyse centralisées
ID : FedRAMP High AU-6 (4) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
[Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc | L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Désactivé | 6.0.0-preview |
[Préversion] : l’extension Log Analytics doit être installée sur vos machines Linux Azure Arc | Cette stratégie audite les machines Linux Azure Arc si l’extension Log Analytics n’est pas installée. | AuditIfNotExists, Désactivé | 1.0.1-preview |
[Préversion] : l’extension Log Analytics doit être installée sur vos machines Windows Azure Arc | Cette stratégie audite les machines Windows Azure Arc si l’extension Log Analytics n’est pas installée. | AuditIfNotExists, Désactivé | 1.0.1-preview |
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
Les applications App Service doivent avoir activé les journaux des ressources | Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 2.0.1 |
L’audit sur SQL Server doit être activé | L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. | AuditIfNotExists, Désactivé | 2.0.0 |
Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
Azure Defender pour Key Vault doit être activé | Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour Resource Manager doit être activé | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour les serveurs SQL sur les machines doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 2.0.1 |
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
L’extension Guest Configuration doit être installée sur vos machines | Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.3 |
Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
Microsoft Defender pour le stockage doit être activé | Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. | AuditIfNotExists, Désactivé | 1.0.0 |
Network Watcher doit être activé | Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. | AuditIfNotExists, Désactivé | 3.0.0 |
Les journaux de ressources dans Azure Data Lake Store doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans Azure Stream Analytics doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans les comptes Batch doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans Data Lake Analytics doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans Event Hub doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans IoT Hub doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 3.1.0 |
Les journaux de ressources dans Key Vault doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans Logic Apps doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.1.0 |
Les journaux de ressources dans les services Search doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans Service Bus doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol | AuditIfNotExists, Désactivé | 1.0.1 |
Fonctionnalités d’intégration/analyse et supervision
ID : FedRAMP High AU-6 (5) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
[Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc | L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Désactivé | 6.0.0-preview |
[Préversion] : l’extension Log Analytics doit être installée sur vos machines Linux Azure Arc | Cette stratégie audite les machines Linux Azure Arc si l’extension Log Analytics n’est pas installée. | AuditIfNotExists, Désactivé | 1.0.1-preview |
[Préversion] : l’extension Log Analytics doit être installée sur vos machines Windows Azure Arc | Cette stratégie audite les machines Windows Azure Arc si l’extension Log Analytics n’est pas installée. | AuditIfNotExists, Désactivé | 1.0.1-preview |
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
Les applications App Service doivent avoir activé les journaux des ressources | Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 2.0.1 |
L’audit sur SQL Server doit être activé | L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. | AuditIfNotExists, Désactivé | 2.0.0 |
Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
Azure Defender pour Key Vault doit être activé | Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour Resource Manager doit être activé | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour les serveurs SQL sur les machines doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 2.0.1 |
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
L’extension Guest Configuration doit être installée sur vos machines | Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.3 |
Intégrer l’analyse des enregistrements d’audit | CMA_C1120 – Intégrer l’analyse des enregistrements d’audit | Manuel, désactivé | 1.1.0 |
Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
Microsoft Defender pour le stockage doit être activé | Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. | AuditIfNotExists, Désactivé | 1.0.0 |
Network Watcher doit être activé | Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. | AuditIfNotExists, Désactivé | 3.0.0 |
Les journaux de ressources dans Azure Data Lake Store doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans Azure Stream Analytics doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans les comptes Batch doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans Data Lake Analytics doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans Event Hub doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans IoT Hub doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 3.1.0 |
Les journaux de ressources dans Key Vault doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans Logic Apps doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.1.0 |
Les journaux de ressources dans les services Search doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans Service Bus doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol | AuditIfNotExists, Désactivé | 1.0.1 |
Actions autorisées
ID : FedRAMP High AU-6 (7) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Spécifier les actions autorisées associées aux informations d’audit client | CMA_C1122 - Spécifier les actions autorisées associées aux informations d’audit client | Manuel, désactivé | 1.1.0 |
Ajustement du niveau d’audit
ID : FedRAMP High AU-6 (10) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Ajuster le niveau d’évaluation, d’analyse et de production de rapports d’audit | CMA_C1123 - Ajuster le niveau d’évaluation, d’analyse et de production de rapports d’audit | Manuel, désactivé | 1.1.0 |
Réduction des audits et génération de rapports
ID : FedRAMP High AU-7 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Vérifier que les enregistrements d’audit ne sont pas modifiés | CMA_C1125 – Vérifier que les enregistrements d’audit ne sont pas modifiés | Manuel, désactivé | 1.1.0 |
Fournir une fonctionnalité de révision, d’analyse et de création de rapports d’audit | CMA_C1124 – Fournir une fonctionnalité de révision, d’analyse et de création de rapports d’audit | Manuel, désactivé | 1.1.0 |
Traitement automatique
ID : FedRAMP High AU-7 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Fournir la possibilité de traiter les enregistrements d’audit contrôlés par le client | CMA_C1126 - Fournir la possibilité de traiter les enregistrements d’audit contrôlés par le client | Manuel, désactivé | 1.1.0 |
Horodatages
ID : FedRAMP High AU-8 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Utiliser des horloges système pour les enregistrements d’audit | CMA_0535 - Utiliser des horloges système pour les enregistrements d’audit | Manuel, désactivé | 1.1.0 |
Synchronisation avec une source de temps faisant autorité
ID : FedRAMP High AU-8 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Utiliser des horloges système pour les enregistrements d’audit | CMA_0535 - Utiliser des horloges système pour les enregistrements d’audit | Manuel, désactivé | 1.1.0 |
Protection des informations d’audit
ID : FedRAMP High AU-9 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Activer l’autorisation double ou conjointe | CMA_0226 – Activer l’autorisation double ou conjointe | Manuel, désactivé | 1.1.0 |
Protéger les informations d’audit | CMA_0401 – Protéger les informations d’audit | Manuel, désactivé | 1.1.0 |
Sauvegarde de l’audit sur des composants/systèmes physiques distincts
ID : FedRAMP High AU-9 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Établir des stratégies et des procédures de sauvegarde | CMA_0268 - Établir des stratégies et des procédures de sauvegarde | Manuel, désactivé | 1.1.0 |
Protection par chiffrement
ID : FedRAMP High AU-9 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Maintenir l’intégrité du système d’audit | CMA_C1133 – Maintenir l’intégrité du système d’audit | Manuel, désactivé | 1.1.0 |
Accès par un sous-ensemble d’utilisateurs disposant de privilèges
ID : FedRAMP High AU-9 (4) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Protéger les informations d’audit | CMA_0401 – Protéger les informations d’audit | Manuel, désactivé | 1.1.0 |
Non-répudiation
ID : FedRAMP High AU-10 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Établir les exigences de signature électronique et de certificat | CMA_0271 - Établir les exigences de signature électronique et de certificat | Manuel, désactivé | 1.1.0 |
Rétention des enregistrements d’audit
ID : FedRAMP High AU-11 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Respecter les périodes de rétention définies | CMA_0004 – Respecter les périodes de rétention définies | Manuel, désactivé | 1.1.0 |
Conserver les stratégies et procédures de sécurité | CMA_0454 – Conserver les stratégies et procédures de sécurité | Manuel, désactivé | 1.1.0 |
Conserver les données utilisateur terminées | CMA_0455 – Conserver les données utilisateur terminées | Manuel, désactivé | 1.1.0 |
Les serveurs SQL avec un audit dans la destination Compte de stockage doivent être configurés avec une conservation d'au moins 90 jours | À des fins d’investigation d’incident, nous vous recommandons de définir la conservation des données pour la fonctionnalité d’audit de votre serveur SQL Server sur au moins 90 jours. Confirmez que vous respectez les règles de conservation nécessaires pour les régions dans lesquelles vous travaillez. Cela est parfois nécessaire pour la conformité aux normes réglementaires. | AuditIfNotExists, Désactivé | 3.0.0 |
Génération de l’audit
ID : FedRAMP High AU-12 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
[Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc | L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Désactivé | 6.0.0-preview |
[Préversion] : l’extension Log Analytics doit être installée sur vos machines Linux Azure Arc | Cette stratégie audite les machines Linux Azure Arc si l’extension Log Analytics n’est pas installée. | AuditIfNotExists, Désactivé | 1.0.1-preview |
[Préversion] : l’extension Log Analytics doit être installée sur vos machines Windows Azure Arc | Cette stratégie audite les machines Windows Azure Arc si l’extension Log Analytics n’est pas installée. | AuditIfNotExists, Désactivé | 1.0.1-preview |
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
Les applications App Service doivent avoir activé les journaux des ressources | Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 2.0.1 |
Auditer les fonctions privilégiées | CMA_0019 – Auditer les fonctions privilégiées | Manuel, désactivé | 1.1.0 |
Auditer l’état du compte d’utilisateur | CMA_0020 – Auditer l’état du compte d’utilisateur | Manuel, désactivé | 1.1.0 |
L’audit sur SQL Server doit être activé | L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. | AuditIfNotExists, Désactivé | 2.0.0 |
Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
Azure Defender pour Key Vault doit être activé | Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour Resource Manager doit être activé | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour les serveurs SQL sur les machines doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 2.0.1 |
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
Déterminer les événements auditables | CMA_0137 – Déterminer les événements auditables | Manuel, désactivé | 1.1.0 |
L’extension Guest Configuration doit être installée sur vos machines | Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.3 |
Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
Microsoft Defender pour le stockage doit être activé | Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. | AuditIfNotExists, Désactivé | 1.0.0 |
Network Watcher doit être activé | Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. | AuditIfNotExists, Désactivé | 3.0.0 |
Les journaux de ressources dans Azure Data Lake Store doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans Azure Stream Analytics doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans les comptes Batch doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans Data Lake Analytics doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans Event Hub doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans IoT Hub doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 3.1.0 |
Les journaux de ressources dans Key Vault doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans Logic Apps doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.1.0 |
Les journaux de ressources dans les services Search doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans Service Bus doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Vérifier les journaux d'audit | CMA_0466 – Examiner les données d’audit | Manuel, désactivé | 1.1.0 |
L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol | AuditIfNotExists, Désactivé | 1.0.1 |
Piste d’audit corrélée au temps/à l’échelle du système
ID : FedRAMP High AU-12 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
[Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc | L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Désactivé | 6.0.0-preview |
[Préversion] : l’extension Log Analytics doit être installée sur vos machines Linux Azure Arc | Cette stratégie audite les machines Linux Azure Arc si l’extension Log Analytics n’est pas installée. | AuditIfNotExists, Désactivé | 1.0.1-preview |
[Préversion] : l’extension Log Analytics doit être installée sur vos machines Windows Azure Arc | Cette stratégie audite les machines Windows Azure Arc si l’extension Log Analytics n’est pas installée. | AuditIfNotExists, Désactivé | 1.0.1-preview |
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
Les applications App Service doivent avoir activé les journaux des ressources | Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 2.0.1 |
L’audit sur SQL Server doit être activé | L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. | AuditIfNotExists, Désactivé | 2.0.0 |
Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
Azure Defender pour Key Vault doit être activé | Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour Resource Manager doit être activé | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour les serveurs SQL sur les machines doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 2.0.1 |
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
Compiler les enregistrements d’audit dans l’audit à l’échelle du système | CMA_C1140 - Compiler les enregistrements d’audit dans l’audit à l’échelle du système | Manuel, désactivé | 1.1.0 |
L’extension Guest Configuration doit être installée sur vos machines | Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.3 |
Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
Microsoft Defender pour le stockage doit être activé | Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. | AuditIfNotExists, Désactivé | 1.0.0 |
Network Watcher doit être activé | Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. | AuditIfNotExists, Désactivé | 3.0.0 |
Les journaux de ressources dans Azure Data Lake Store doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans Azure Stream Analytics doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans les comptes Batch doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans Data Lake Analytics doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans Event Hub doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans IoT Hub doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 3.1.0 |
Les journaux de ressources dans Key Vault doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans Logic Apps doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.1.0 |
Les journaux de ressources dans les services Search doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Les journaux de ressources dans Service Bus doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol | AuditIfNotExists, Désactivé | 1.0.1 |
Modifications apportées par des personnes autorisées
ID : FedRAMP High AU-12 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Fournir la possibilité d’étendre ou de limiter l’audit sur les ressources déployées par le client | CMA_C1141 - Offrir la possibilité d’étendre ou de limiter l’audit sur les ressources déployées par le client | Manuel, désactivé | 1.1.0 |
Autorisation et évaluation de la sécurité
Stratégie et procédures d’autorisation et d’évaluation de la sécurité
ID : FedRAMP High CA-1 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation | CMA_C1143 - Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation | Manuel, désactivé | 1.1.0 |
Évaluations de la sécurité
ID : FedRAMP High CA-2 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les contrôles de sécurité | CMA_C1145 - Évaluer les contrôles de sécurité | Manuel, désactivé | 1.1.0 |
Fournir les résultats de l’évaluation de la sécurité | CMA_C1147 - Fournir les résultats de l’évaluation de la sécurité | Manuel, désactivé | 1.1.0 |
Développer un plan d’évaluation de la sécurité | CMA_C1144 - Développer un plan d’évaluation de la sécurité | Manuel, désactivé | 1.1.0 |
Produire un rapport d’évaluation de la sécurité | CMA_C1146 - Produire un rapport d’évaluation de la sécurité | Manuel, désactivé | 1.1.0 |
Évaluateurs indépendants
ID : FedRAMP High CA-2 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Utiliser des évaluateurs indépendants pour effectuer des évaluations des contrôles de sécurité | CMA_C1148 - Utiliser des évaluateurs indépendants pour effectuer des évaluations des contrôles de sécurité | Manuel, désactivé | 1.1.0 |
Évaluations spécialisées
ID : FedRAMP High CA-2 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Sélectionner des tests supplémentaires pour les évaluations des contrôles de sécurité | CMA_C1149 - Sélectionner des tests supplémentaires pour les évaluations des contrôles de sécurité | Manuel, désactivé | 1.1.0 |
Organisations externes
ID : FedRAMP High CA-2 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Accepter les résultats de l’évaluation | CMA_C1150 - Accepter les résultats de l’évaluation | Manuel, désactivé | 1.1.0 |
Interconnexions de systèmes
ID : FedRAMP High CA-3 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Exiger des contrats de sécurité des interconnexion | CMA_C1151 - Exiger des contrats de sécurité des interconnexions | Manuel, désactivé | 1.1.0 |
Mettre à jour les contrats de sécurité des interconnexions | CMA_0519 - Mettre à jour les contrats de sécurité des interconnexions | Manuel, désactivé | 1.1.0 |
Connexions non classifiées du système de sécurité non national
ID : FedRAMP High CA-3 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter la protection des limites des systèmes | CMA_0328 - Implémenter la protection des limites des systèmes | Manuel, désactivé | 1.1.0 |
Restrictions sur les connexions de systèmes externes
ID : FedRAMP High CA-3 (5) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Restrictions d’emploi sur les interconnexions de système externe | CMA_C1155 – Restrictions d’emploi sur les interconnexions de système externe | Manuel, désactivé | 1.1.0 |
Plan d’action et jalons
ID : FedRAMP High CA-5 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des POA&M | CMA_C1156 – Développer POA&M | Manuel, désactivé | 1.1.0 |
Mettre à jour les éléments POA&M | CMA_C1157 – Mettre à jour des éléments POA&M | Manuel, désactivé | 1.1.0 |
Autorisation de sécurité
ID : FedRAMP High CA-6 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Affecter un responsable des autorisations | CMA_C1158 - Affecter un responsable des autorisations | Manuel, désactivé | 1.1.0 |
Vérifier que les ressources sont autorisées | CMA_C1159 - Vérifier que les ressources sont autorisées | Manuel, désactivé | 1.1.0 |
Mettre à jour l’autorisation de sécurité | CMA_C1160 – Mettre à jour l’autorisation de sécurité | Manuel, désactivé | 1.1.0 |
Surveillance continue
ID : FedRAMP High CA-7 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Configurer la liste verte des détections | CMA_0068 - Configurer la liste verte des détections | Manuel, désactivé | 1.1.0 |
Activer les capteurs pour la solution de sécurité de point de terminaison | CMA_0514 – Activer les capteurs pour la solution de sécurité de point de terminaison | Manuel, désactivé | 1.1.0 |
Faire l’objet d’une révision de sécurité indépendante | CMA_0515 - Faire l’objet d’une révision de sécurité indépendante | Manuel, désactivé | 1.1.0 |
Évaluation indépendante
ID : FedRAMP High CA-7 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Utiliser des évaluateurs indépendants pour une surveillance continue | CMA_C1168 - Utiliser des évaluateurs indépendants pour une surveillance continue | Manuel, désactivé | 1.1.0 |
Analyses de tendances
ID : FedRAMP High CA-7 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Analyser les données obtenues à partir de la surveillance continue | CMA_C1169 – Analyser les données obtenues à partir de la surveillance continue | Manuel, désactivé | 1.1.0 |
Agent ou équipe de pénétration indépendant(e)
ID : FedRAMP High CA-8 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Utiliser une équipe indépendante pour les tests d’intrusion | CMA_C1171 - Utiliser une équipe indépendante pour les tests d’intrusion | Manuel, désactivé | 1.1.0 |
Connexions internes du système
ID : FedRAMP High CA-9 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Vérifier la conformité de la confidentialité et de la sécurité avant d’établir des connexions internes | CMA_0053 - Vérifier la conformité de la confidentialité et de la sécurité avant d’établir des connexions internes | Manuel, désactivé | 1.1.0 |
Gestion de la configuration
Stratégie et procédures de gestion de la configuration
ID : FedRAMP High CM-1 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations | CMA_C1175 - Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations | Manuel, désactivé | 1.1.0 |
Configuration de base
ID : FedRAMP High CM-2 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Configurer des actions pour les appareils non conformes | CMA_0062 – Configurer des actions pour les appareils non conformes | Manuel, désactivé | 1.1.0 |
Développer et tenir à jour les configurations de base | CMA_0153 – Développer et tenir à jour les configurations de base | Manuel, désactivé | 1.1.0 |
Appliquer les paramètres de configuration de sécurité | CMA_0249 – Appliquer les paramètres de configuration de sécurité | Manuel, désactivé | 1.1.0 |
Établir un panneau de configuration | CMA_0254 – Établir un panneau de configuration | Manuel, désactivé | 1.1.0 |
Établir et documenter un plan de gestion de la configuration | CMA_0264 – Établir et documenter un plan de gestion de la configuration | Manuel, désactivé | 1.1.0 |
Implémenter un outil de gestion de la configuration automatisée | CMA_0311 – Implémenter un outil de gestion de la configuration automatisée | Manuel, désactivé | 1.1.0 |
Prise en charge de l’automatisation pour la précision/l’actualisation
ID : FedRAMP High CM-2 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Configurer des actions pour les appareils non conformes | CMA_0062 – Configurer des actions pour les appareils non conformes | Manuel, désactivé | 1.1.0 |
Développer et tenir à jour les configurations de base | CMA_0153 – Développer et tenir à jour les configurations de base | Manuel, désactivé | 1.1.0 |
Appliquer les paramètres de configuration de sécurité | CMA_0249 – Appliquer les paramètres de configuration de sécurité | Manuel, désactivé | 1.1.0 |
Établir un panneau de configuration | CMA_0254 – Établir un panneau de configuration | Manuel, désactivé | 1.1.0 |
Établir et documenter un plan de gestion de la configuration | CMA_0264 – Établir et documenter un plan de gestion de la configuration | Manuel, désactivé | 1.1.0 |
Implémenter un outil de gestion de la configuration automatisée | CMA_0311 – Implémenter un outil de gestion de la configuration automatisée | Manuel, désactivé | 1.1.0 |
Rétention des configurations précédentes
ID : FedRAMP High CM-2 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Conserver les versions précédentes des configurations de base de référence | CMA_C1181 - Conserver les versions précédentes des configurations de base de référence | Manuel, désactivé | 1.1.0 |
Configurer des systèmes, composants ou appareils pour les zones à risque élevé
ID : FedRAMP High CM-2 (7) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
S’assurer que les protections de sécurité ne sont pas nécessaires quand les personnes reviennent | CMA_C1183 - S’assurer que les protections de sécurité ne sont pas nécessaires quand les personnes reviennent | Manuel, désactivé | 1.1.0 |
Empêcher les systèmes d’information d’être associés à des personnes | CMA_C1182 - Empêcher les systèmes d’information d’être associés à des personnes | Manuel, désactivé | 1.1.0 |
Contrôle de la modification de la configuration
ID : FedRAMP High CM-3 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Effectuer une analyse d’impact sur la sécurité | CMA_0057 - Effectuer une analyse d’impact sur la sécurité | Manuel, désactivé | 1.1.0 |
Développer et gérer un standard de gestion des vulnérabilités | CMA_0152 - Développer et gérer un standard de gestion des vulnérabilités | Manuel, désactivé | 1.1.0 |
Établir une stratégie de gestion des risques | CMA_0258 - Établir une stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
Établir des exigences de gestion de configuration pour les développeurs | CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation de l’impact sur la confidentialité | CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_0388 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Effectuer un audit pour le contrôle des modifications de configuration | CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration | Manuel, désactivé | 1.1.0 |
Documentation/notification/interdiction automatique des modifications
ID : FedRAMP High CM-3 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Automatiser la demande d’approbation pour les modifications proposées | CMA_C1192 - Automatiser la demande d’approbation pour les modifications proposées | Manuel, désactivé | 1.1.0 |
Automatiser l’implémentation des notifications de modification approuvées | CMA_C1196 - Automatiser l’implémentation des notifications de modification approuvées | Manuel, désactivé | 1.1.0 |
Automatiser le processus de documentation des modifications implémentées | CMA_C1195 - Automatiser le processus de documentation des modifications implémentées | Manuel, désactivé | 1.1.0 |
Automatiser le processus de mise en évidence des propositions de modification non révisées | CMA_C1193 - Automatiser le processus de mise en évidence des propositions de modification non révisées | Manuel, désactivé | 1.1.0 |
Automatiser le processus d’interdiction de l’implémentation de modifications non approuvées | CMA_C1194 - Automatiser le processus d’interdiction d’implémentation de modifications non approuvées | Manuel, désactivé | 1.1.0 |
Automatiser les modifications documentées proposées | CMA_C1191 - Automatiser les modifications documentées proposées | Manuel, désactivé | 1.1.0 |
Tester/valider/documenter les modifications
ID : FedRAMP High CM-3 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
Établir des exigences de gestion de configuration pour les développeurs | CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs | Manuel, désactivé | 1.1.0 |
Effectuer un audit pour le contrôle des modifications de configuration | CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration | Manuel, désactivé | 1.1.0 |
Représentant de la sécurité
ID : FedRAMP High CM-3 (4) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Affecter un représentant de sécurité des informations au contrôle des modifications | CMA_C1198 – Affecter un représentant de sécurité des informations pour modifier le contrôle | Manuel, désactivé | 1.1.0 |
Gestion du chiffrement
ID : FedRAMP High CM-3 (6) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Vérifier que les mécanismes de chiffrement sont dans le cadre de la gestion de la configuration | CMA_C1199 – Vérifier que les mécanismes de chiffrement sont dans le cadre de la gestion de la configuration | Manuel, désactivé | 1.1.0 |
Analyse de l’impact sur la sécurité
ID : FedRAMP High CM-4 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Effectuer une analyse d’impact sur la sécurité | CMA_0057 - Effectuer une analyse d’impact sur la sécurité | Manuel, désactivé | 1.1.0 |
Développer et gérer un standard de gestion des vulnérabilités | CMA_0152 - Développer et gérer un standard de gestion des vulnérabilités | Manuel, désactivé | 1.1.0 |
Établir une stratégie de gestion des risques | CMA_0258 - Établir une stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
Établir des exigences de gestion de configuration pour les développeurs | CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation de l’impact sur la confidentialité | CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_0388 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Effectuer un audit pour le contrôle des modifications de configuration | CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration | Manuel, désactivé | 1.1.0 |
Environnements de test séparés
ID : FedRAMP High CM-4 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Effectuer une analyse d’impact sur la sécurité | CMA_0057 - Effectuer une analyse d’impact sur la sécurité | Manuel, désactivé | 1.1.0 |
Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
Établir des exigences de gestion de configuration pour les développeurs | CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation de l’impact sur la confidentialité | CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité | Manuel, désactivé | 1.1.0 |
Effectuer un audit pour le contrôle des modifications de configuration | CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration | Manuel, désactivé | 1.1.0 |
Restrictions d’accès pour les modifications
ID : FedRAMP High CM-5 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
Application/audit d’accès automatique
ID : FedRAMP High CM-5 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Appliquer et auditer les restrictions d’accès | CMA_C1203 - Appliquer et auditer les restrictions d’accès | Manuel, désactivé | 1.1.0 |
Révision des modifications du système
ID : FedRAMP High CM-5 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Passer en revue les modifications non autorisées | CMA_C1204 - Passer en revue les modifications non autorisées | Manuel, désactivé | 1.1.0 |
Composants signés
ID : FedRAMP High CM-5 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Restreindre l’installation de logiciels et de microprogrammes non autorisés | CMA_C1205 - Restreindre l’installation de logiciels et de microprogrammes non autorisés | Manuel, désactivé | 1.1.0 |
Limiter les privilèges de production/opérationnels
ID : FedRAMP High CM-5 (5) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Limiter les privilèges pour apporter des modifications dans l’environnement de production | CMA_C1206 - Limiter les privilèges pour apporter des modifications dans l’environnement de production | Manuel, désactivé | 1.1.0 |
Passer en revue et réévaluer les privilèges | CMA_C1207 - Passer en revue et réévaluer les privilèges | Manuel, désactivé | 1.1.0 |
Paramètres de configuration
ID : FedRAMP High CM-6 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications App service | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. | AuditIfNotExists, Désactivé | 1.0.0 |
Le débogage à distance doit être désactivé pour les applications App Service | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications | Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. | AuditIfNotExists, Désactivé | 2.0.0 |
L’extension Azure Policy pour Azure Kubernetes Service (AKS) doit être installée et activée sur vos clusters | L’extension Azure Policy pour Azure Kubernetes Service (AKS) étend Gatekeeper v3, webhook de contrôleur d’admission pour Open Policy Agent (OPA), afin d’appliquer des mesures et des protections à grande échelle sur vos clusters de manière centralisée et cohérente. | Audit, Désactivé | 1.0.2 |
Appliquer les paramètres de configuration de sécurité | CMA_0249 – Appliquer les paramètres de configuration de sécurité | Manuel, désactivé | 1.1.0 |
L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications de fonction | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. | AuditIfNotExists, Désactivé | 1.0.0 |
Le débogage à distance doit être désactivé pour les applications de fonctions | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
Les applications de fonctions ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications | Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. | AuditIfNotExists, Désactivé | 2.0.0 |
Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées | Appliquez des limites de ressources processeur et de mémoire au conteneur pour empêcher les attaques d’épuisement des ressources dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 9.3.0 |
Les conteneurs de cluster Kubernetes ne doivent pas partager l’espace de noms de l’ID de processus hôte ou l’espace de noms IPC hôte | Empêche les conteneurs de pod de partager l’espace de noms de l’ID de processus hôte et l’espace de noms IPC hôte dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.2 et du CIS 5.2.3, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.2.0 |
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés | Les conteneurs de clusters Kubernetes doivent utiliser uniquement des profils AppArmor autorisés. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.2.0 |
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées | Limitez les fonctionnalités afin de réduire la surface d’attaque des conteneurs dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.8 et du CIS 5.2.9, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.2.0 |
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées | Utilisez des images provenant de registres approuvés pour réduire le risque d’exposition du cluster Kubernetes aux vulnérabilités inconnues, aux problèmes de sécurité et aux images malveillantes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 9.3.0 |
Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule | Exécutez des conteneurs avec un système de fichiers racine en lecture seule pour le protéger contre les modifications au moment de l’exécution avec des fichiers binaires malveillants ajoutés au chemin d’accès dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.3.0 |
Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés | Limitez les montages de volume HostPath sur le pod aux chemins d’accès hôtes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.2.0 |
Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés | Contrôle les ID d’utilisateur, de groupe principal, de groupe supplémentaire et de groupe de systèmes de fichiers que les pods et les conteneurs peuvent utiliser pour s’exécuter dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.2.0 |
Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés | Restreignez l’accès des pods au réseau hôte et à la plage de ports hôtes autorisés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.4, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.2.0 |
Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés | Limitez l’écoute des services aux ports autorisés pour sécuriser l’accès au cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 8.2.0 |
Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés | Ne pas autoriser pas la création de conteneurs privilégiés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.1, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 9.2.0 |
Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur | N’autorisez pas les conteneurs à s’exécuter avec une élévation des privilèges vers la racine dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.5, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.2.0 |
Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute. | AuditIfNotExists, Désactivé | 2.2.0 |
Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute. | AuditIfNotExists, Désactivé | 2.0.0 |
Gestion/application/vérification centrale automatique
ID : FedRAMP High CM-6 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Appliquer les paramètres de configuration de sécurité | CMA_0249 – Appliquer les paramètres de configuration de sécurité | Manuel, désactivé | 1.1.0 |
Gouverner la conformité des fournisseurs de services cloud | CMA_0290 - Gouverner la conformité des fournisseurs de services cloud | Manuel, désactivé | 1.1.0 |
Visualiser et configurer les données de diagnostic système | CMA_0544 - Visualiser et configurer les données de diagnostic système | Manuel, désactivé | 1.1.0 |
Fonctionnalités essentielles
ID : FedRAMP High CM-7 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
Inventaire des composants du système informatique
ID : FedRAMP High CM-8 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Créer un inventaire des données | CMA_0096 - Créer un inventaire des données | Manuel, désactivé | 1.1.0 |
Conserver les enregistrements de traitement des données personnelles | CMA_0353 - Conserver les enregistrements de traitement des données personnelles | Manuel, désactivé | 1.1.0 |
Mises à jour durant les installations/suppressions
ID : FedRAMP High CM-8 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Créer un inventaire des données | CMA_0096 - Créer un inventaire des données | Manuel, désactivé | 1.1.0 |
Conserver les enregistrements de traitement des données personnelles | CMA_0353 - Conserver les enregistrements de traitement des données personnelles | Manuel, désactivé | 1.1.0 |
Détection automatique de composant non autorisé
ID : FedRAMP High CM-8 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Activer la détection des périphériques réseau | CMA_0220 - Activer la détection des périphériques réseau | Manuel, désactivé | 1.1.0 |
Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | Manuel, désactivé | 1.1.0 |
Informations de responsabilité
ID : FedRAMP High CM-8 (4) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Créer un inventaire des données | CMA_0096 - Créer un inventaire des données | Manuel, désactivé | 1.1.0 |
Établir et tenir à jour un inventaire des ressources | CMA_0266 - Établir et tenir à jour un inventaire des ressources | Manuel, désactivé | 1.1.0 |
Plan de gestion de la configuration
ID : FedRAMP High CM-9 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Créer une protection du plan de configuration | CMA_C1233 - Créer une protection du plan de configuration | Manuel, désactivé | 1.1.0 |
Développer et tenir à jour les configurations de base | CMA_0153 – Développer et tenir à jour les configurations de base | Manuel, désactivé | 1.1.0 |
Développer un plan d’identification des éléments de configuration | CMA_C1231 - Développer un plan d’identification des éléments de configuration | Manuel, désactivé | 1.1.0 |
Développer un plan de gestion des configurations | CMA_C1232 - Développer un plan de gestion des configurations | Manuel, désactivé | 1.1.0 |
Établir et documenter un plan de gestion de la configuration | CMA_0264 – Établir et documenter un plan de gestion de la configuration | Manuel, désactivé | 1.1.0 |
Implémenter un outil de gestion de la configuration automatisée | CMA_0311 – Implémenter un outil de gestion de la configuration automatisée | Manuel, désactivé | 1.1.0 |
Restrictions d’utilisation de logiciels
ID : FedRAMP High CM-10 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Exiger la conformité avec les droits de propriété intellectuelle | CMA_0432 - Exiger la conformité avec les droits de propriété intellectuelle | Manuel, désactivé | 1.1.0 |
Suivre l’utilisation des licences logicielles | CMA_C1235 - Suivre l’utilisation des licences logicielles | Manuel, désactivé | 1.1.0 |
Logiciel open source
ID : FedRAMP High CM-10 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Restreindre l’utilisation de logiciels open source | CMA_C1237 – Restreindre l’utilisation de logiciels open source | Manuel, désactivé | 1.1.0 |
Planification d’urgence
Stratégie et procédures de planification d’urgence
ID : FedRAMP High CP-1 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Examiner et mettre à jour les stratégies et les procédures de planification d’urgence | CMA_C1243 - Examiner et mettre à jour les stratégies et les procédures de planification d’urgence | Manuel, désactivé | 1.1.0 |
Plan d’urgence
ID : FedRAMP High CP-2 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Communiquer les modifications apportées au plan d’urgence | CMA_C1249 - Communiquer les modifications apportées au plan d’urgence | Manuel, désactivé | 1.1.0 |
Coordonner les plans d’urgence avec les plans associés | CMA_0086 - Coordonner les plans d’urgence avec les plans associés | Manuel, désactivé | 1.1.0 |
Développer et documenter un plan de continuité d’activité et de reprise d’activité | CMA_0146 - Développer et documenter un plan de continuité d’activité et de reprise d’activité | Manuel, désactivé | 1.1.0 |
Développer un plan d’urgence | CMA_C1244 - Développer un plan d’urgence | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures de planification d’urgence | CMA_0156 - Développer des stratégies et des procédures de planification d’urgence | Manuel, désactivé | 1.1.0 |
Distribuer des stratégies et des procédures | CMA_0185 - Distribuer des stratégies et des procédures | Manuel, désactivé | 1.1.0 |
Passer en revue le plan d’urgence | CMA_C1247 - Passer en revue le plan d’urgence | Manuel, désactivé | 1.1.0 |
Mettre à jour le plan d’urgence | CMA_C1248 - Mettre à jour le plan d’urgence | Manuel, désactivé | 1.1.0 |
Coordination avec les plans associés
ID : FedRAMP High CP-2 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Coordonner les plans d’urgence avec les plans associés | CMA_0086 - Coordonner les plans d’urgence avec les plans associés | Manuel, désactivé | 1.1.0 |
Planification de la capacité
ID : FedRAMP High CP-2 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Effectuer la planification des capacités | CMA_C1252 - Effectuer la planification des capacités | Manuel, désactivé | 1.1.0 |
Reprise des missions/fonctions métier essentielles
ID : FedRAMP High CP-2 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Planifier la reprise des fonctions métier essentielles | CMA_C1253 - Planifier la reprise des fonctions métier essentielles | Manuel, désactivé | 1.1.0 |
Reprise de toutes les missions/fonctions métier
ID : FedRAMP High CP-2 (4) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Reprendre toutes les fonctions des missions et des métiers | CMA_C1254 - Reprendre toutes les fonctions des missions et des métiers | Manuel, désactivé | 1.1.0 |
Poursuite des missions/fonctions métier essentielles
ID : FedRAMP High CP-2 (5) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Planifier la continuité des fonctions métier essentielles | CMA_C1255 - Planifier la continuité des fonctions métier essentielles | Manuel, désactivé | 1.1.0 |
Identification des ressources critiques
ID : FedRAMP High CP-2 (8) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Effectuer une évaluation de l’impact sur l’activité et l’évaluation de la critique des applications | CMA_0386 - Effectuer une évaluation de l’impact sur l’activité et une évaluation de la criticité des applications | Manuel, désactivé | 1.1.0 |
Formation aux urgences
ID : FedRAMP High CP-3 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Fournir une formation à l’urgence | CMA_0412 - Fournir une formation à l’urgence | Manuel, désactivé | 1.1.0 |
Événements simulés
ID : FedRAMP High CP-3 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Incorporer une formation d’urgence simulée | CMA_C1260 - Incorporer une formation d’urgence simulée | Manuel, désactivé | 1.1.0 |
Test du plan d’urgence
ID : FedRAMP High CP-4 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Lancer des actions correctives du test du plan d’urgence | CMA_C1263 - Lancer des actions correctives du test du plan d’urgence | Manuel, désactivé | 1.1.0 |
Passer en revue les résultats des tests du plan d’urgence | CMA_C1262 - Passer en revue les résultats des tests du plan d’urgence | Manuel, désactivé | 1.1.0 |
Tester le plan de continuité d’activité et de reprise d’activité | CMA_0509 - Tester le plan de continuité d’activité et de reprise d’activité | Manuel, désactivé | 1.1.0 |
Coordination avec les plans associés
ID : FedRAMP High CP-4 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Coordonner les plans d’urgence avec les plans associés | CMA_0086 - Coordonner les plans d’urgence avec les plans associés | Manuel, désactivé | 1.1.0 |
Site de traitement secondaire
ID : FedRAMP High CP-4 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les autres fonctionnalités du site de traitement | CMA_C1266 – Évaluer les autres fonctionnalités du site de traitement | Manuel, désactivé | 1.1.0 |
Tester le plan d’urgence à un autre emplacement de traitement | CMA_C1265 - Tester le plan d’urgence à un autre emplacement de traitement | Manuel, désactivé | 1.1.0 |
Site de stockage secondaire
ID : FedRAMP High CP-6 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Vérifier que les protections du site de stockage alternatif sont équivalentes à celles du site principal | CMA_C1268 - Vérifier que les protections du site de stockage alternatif sont équivalentes à celles du site principal | Manuel, désactivé | 1.1.0 |
Établir un site de stockage alternatif pour stocker et récupérer les informations de sauvegarde | CMA_C1267 - Établir un site de stockage alternatif pour stocker et récupérer les informations de sauvegarde | Manuel, désactivé | 1.1.0 |
La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB | Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL | Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL | Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
Le stockage géoredondant doit être activé pour les comptes de stockage | Utiliser la géoredondance pour créer des applications hautement disponibles | Audit, Désactivé | 1.0.0 |
La sauvegarde géoredondante à long terme doit être activée pour les bases de données Azure SQL | Cette stratégie permet d’effectuer un audit d’une base de données Azure SQL Database si la sauvegarde géoredondante à long terme n’est pas activée. | AuditIfNotExists, Désactivé | 2.0.0 |
Séparation avec le site principal
ID : FedRAMP High CP-6 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Créer des sites de stockage alternatifs et principaux distincts | CMA_C1269 - Créer des sites de stockage alternatifs et principaux distincts | Manuel, désactivé | 1.1.0 |
La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB | Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL | Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL | Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
Le stockage géoredondant doit être activé pour les comptes de stockage | Utiliser la géoredondance pour créer des applications hautement disponibles | Audit, Désactivé | 1.0.0 |
La sauvegarde géoredondante à long terme doit être activée pour les bases de données Azure SQL | Cette stratégie permet d’effectuer un audit d’une base de données Azure SQL Database si la sauvegarde géoredondante à long terme n’est pas activée. | AuditIfNotExists, Désactivé | 2.0.0 |
Objectifs de temps/point de récupération
ID : FedRAMP High CP-6 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Établir un autre site de stockage qui facilite les opérations de récupération | CMA_C1270 – Établir un autre site de stockage qui facilite les opérations de récupération | Manuel, désactivé | 1.1.0 |
Accessibilité
ID : FedRAMP High CP-6 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Identifier et résoudre les problèmes potentiels sur le site de stockage alternatif | CMA_C1271 - Identifier et résoudre les problèmes potentiels sur le site de stockage alternatif | Manuel, désactivé | 1.1.0 |
Site de traitement secondaire
ID : FedRAMP High CP-7 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée | Auditez les machines virtuelles configurées sans reprise d’activité. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
Établir un site de traitement alternatif | CMA_0262 - Établir un site de traitement alternatif | Manuel, désactivé | 1.1.0 |
Séparation avec le site principal
ID : FedRAMP High CP-7 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Établir un site de traitement alternatif | CMA_0262 - Établir un site de traitement alternatif | Manuel, désactivé | 1.1.0 |
Accessibilité
ID : FedRAMP High CP-7 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Établir un site de traitement alternatif | CMA_0262 - Établir un site de traitement alternatif | Manuel, désactivé | 1.1.0 |
Priorité de service
ID : FedRAMP High CP-7 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Établir un site de traitement alternatif | CMA_0262 - Établir un site de traitement alternatif | Manuel, désactivé | 1.1.0 |
Établir les exigences pour les fournisseurs de services Internet | CMA_0278 - Établir les exigences pour les fournisseurs de services Internet | Manuel, désactivé | 1.1.0 |
Préparation à l’utilisation
ID : FedRAMP High CP-7 (4) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Préparer un autre site de traitement à utiliser comme site opérationnel | CMA_C1278 – Préparer un autre site de traitement à utiliser comme site opérationnel | Manuel, désactivé | 1.1.0 |
Clauses de priorité de service
ID : FedRAMP High CP-8 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Établir les exigences pour les fournisseurs de services Internet | CMA_0278 - Établir les exigences pour les fournisseurs de services Internet | Manuel, désactivé | 1.1.0 |
Sauvegarde du système d’information
ID : FedRAMP High CP-9 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
La sauvegarde Azure doit être activée pour les machines virtuelles | Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. | AuditIfNotExists, Désactivé | 3.0.0 |
Effectuer une sauvegarde de la documentation du système d’information | CMA_C1289 - Effectuer une sauvegarde de la documentation du système d’information | Manuel, désactivé | 1.1.0 |
Établir des stratégies et des procédures de sauvegarde | CMA_0268 - Établir des stratégies et des procédures de sauvegarde | Manuel, désactivé | 1.1.0 |
La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB | Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL | Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL | Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
La protection contre la suppression doit être activée pour les coffres de clés | La suppression malveillante d’un coffre de clés peut entraîner une perte définitive des données. Vous pouvez empêcher la perte permanente de données en activant la protection contre la suppression définitive et la suppression réversible. La protection contre la suppression définitive vous protège des attaques internes en appliquant une période de conservation obligatoire pour les coffres de clés supprimés de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne pourra supprimer définitivement vos coffres de clés pendant la période de conservation de la suppression réversible. N’oubliez pas que la suppression réversible est activée par défaut pour les coffres de clés créés après le 1er septembre 2019. | Audit, Refuser, Désactivé | 2.1.0 |
La suppression réversible doit être activée sur les coffres de clés | La suppression d’un coffre de clés sur lequel la suppression réversible n’est pas activée supprime définitivement tous les secrets, toutes les clés et tous les certificats qui y stockés. La suppression accidentelle d’un coffre de clés peut entraîner la perte définitive des données. La suppression réversible vous permet de récupérer un coffre de clés supprimé accidentellement, pendant une période de conservation configurable. | Audit, Refuser, Désactivé | 3.0.0 |
Stockage distinct pour les informations critiques
ID : FedRAMP High CP-9 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Stocker séparément les informations de sauvegarde | CMA_C1293 - Stocker séparément les informations de sauvegarde | Manuel, désactivé | 1.1.0 |
Transfert vers un site de stockage secondaire
ID : FedRAMP High CP-9 (5) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Transférer les informations de sauvegarde vers un autre site de stockage | CMA_C1294 - Transférer les informations de sauvegarde vers un autre site de stockage | Manuel, désactivé | 1.1.0 |
Récupération et la reconstitution du système d’information
ID : FedRAMP High CP-10 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Récupérer et reconstruire des ressources après toute interruption | CMA_C1295 - Récupérer et reconstruire des ressources après toute interruption | Manuel, désactivé | 1.1.1 |
Récupération des transactions
ID : FedRAMP High CP-10 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter une récupération basée sur les transactions | CMA_C1296 - Implémenter une récupération basée sur les transactions | Manuel, désactivé | 1.1.0 |
Récupération dans les délais
ID : FedRAMP High CP-10 (4) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Restaurer les ressources à l’état opérationnel | CMA_C1297 - Restaurer les ressources à l’état opérationnel | Manuel, désactivé | 1.1.1 |
Identification et authentification
Stratégie et procédures d’identification et d’authentification
ID : FedRAMP High IA-1 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification | CMA_C1299 - Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification | Manuel, désactivé | 1.1.0 |
Identification et authentification (Utilisateurs de l’organisation)
ID : FedRAMP High IA-2 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.0.0 |
Les applications App Service doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) | Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth | Audit, Refuser, Désactivé | 1.1.0 |
Appliquer l’unicité de l’utilisateur | CMA_0250 – Appliquer l’unicité de l’utilisateur | Manuel, désactivé | 1.1.0 |
Les applications de fonction doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client | Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric | Audit, Refuser, Désactivé | 1.1.0 |
Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques | CMA_0507 – Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques | Manuel, désactivé | 1.1.0 |
Accès réseau aux comptes privilégiés
ID : FedRAMP High IA-2 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Adopter des mécanismes d’authentification biométrique | CMA_0005 – Adopter des mécanismes d’authentification biométrique | Manuel, désactivé | 1.1.0 |
Accès réseau aux comptes non privilégiés
ID : FedRAMP High IA-2 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Adopter des mécanismes d’authentification biométrique | CMA_0005 – Adopter des mécanismes d’authentification biométrique | Manuel, désactivé | 1.1.0 |
Accès local aux comptes privilégiés
ID : FedRAMP High IA-2 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Adopter des mécanismes d’authentification biométrique | CMA_0005 – Adopter des mécanismes d’authentification biométrique | Manuel, désactivé | 1.1.0 |
Authentification de groupe
ID : FedRAMP High IA-2 (5) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Exiger l’utilisation d’authentificateurs individuels | CMA_C1305 – Exiger l’utilisation d’authentificateurs individuels | Manuel, désactivé | 1.1.0 |
Accès à distance - Appareil séparé
ID : FedRAMP High IA-2 (11) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Adopter des mécanismes d’authentification biométrique | CMA_0005 – Adopter des mécanismes d’authentification biométrique | Manuel, désactivé | 1.1.0 |
Identifier et authentifier les périphériques réseau | CMA_0296 – Identifier et authentifier les périphériques réseau | Manuel, désactivé | 1.1.0 |
Acceptation d’informations d’identification de la vérification d’identité personnelle
ID : FedRAMP High IA-2 (12) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques | CMA_0507 – Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques | Manuel, désactivé | 1.1.0 |
Gestion des identificateurs
ID : FedRAMP High IA-4 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.0.0 |
Les applications App Service doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
Attribuer des identificateurs système | CMA_0018 - Attribuer des identificateurs système | Manuel, désactivé | 1.1.0 |
Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) | Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth | Audit, Refuser, Désactivé | 1.1.0 |
Les applications de fonction doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
Empêcher la réutilisation de l’identificateur pour la période définie | CMA_C1314 - Empêcher la réutilisation de l’identificateur pour la période définie | Manuel, désactivé | 1.1.0 |
Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client | Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric | Audit, Refuser, Désactivé | 1.1.0 |
Identifier l’état utilisateur
ID : FedRAMP High IA-4 (4) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Identifier l’état des utilisateurs individuels | CMA_C1316 - Identifier l’état des utilisateurs individuels | Manuel, désactivé | 1.1.0 |
Gestion des authentificateurs
ID : FedRAMP High IA-5 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
Auditer les machines Linux qui n’ont pas les autorisations de fichier passwd définies sur 0644 | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles n’ont pas les autorisations de fichier de mot de passe définies sur 0644 | AuditIfNotExists, Désactivé | 3.1.0 |
Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne stockent pas les mots de passe à l’aide du chiffrement réversible | AuditIfNotExists, Désactivé | 2.0.0 |
L’authentification auprès des machines Linux doit exiger des clés SSH | Bien que le protocole SSH lui-même offre une connexion chiffrée, l’utilisation de mots de passe avec SSH laisse néanmoins la machine virtuelle vulnérable aux attaques en force brute. L’option la plus sûre pour l’authentification auprès d’une machine virtuelle Linux Azure via SSH est d’utiliser une paire de clés publique-privée, également appelées clés SSH. En savoir plus : https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Désactivé | 3.2.0 |
La période de validité maximale doit être spécifiée pour les certificats | Gérez les exigences en matière de conformité de votre organisation en spécifiant la durée maximale pendant laquelle un certificat peut être valide dans votre coffre de clés. | audit, Audit, refus, Refus, désactivé, Désactivé | 2.2.1 |
Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux | Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Établir des types et des processus d’authentificateur | CMA_0267 - Établir des types et des processus d’authentificateur | Manuel, désactivé | 1.1.0 |
Établir des procédures pour la distribution initiale de l’authentificateur | CMA_0276 - Établir des procédures pour la distribution initiale de l’authentificateur | Manuel, désactivé | 1.1.0 |
Implémenter une formation pour la protection des authentificateurs | CMA_0329 – Implémenter une formation pour la protection des authentificateurs | Manuel, désactivé | 1.1.0 |
Les clés Key Vault doivent avoir une date d’expiration | Les clés de chiffrement doivent avoir une date d’expiration définie et ne pas être permanentes. Les clés valides indéfiniment offrent à un intrus potentiel plus de temps pour compromettre la clé. Il est recommandé de définir les dates d’expiration des clés de chiffrement. | Audit, Refuser, Désactivé | 1.0.2 |
Les secrets Key Vault doivent avoir une date d’expiration | Les secrets doivent avoir une date d’expiration définie et ne pas être permanents. Les secrets valides indéfiniment offrent à un attaquant potentiel plus de temps pour les compromettre. Il est recommandé de définir les dates d’expiration des secrets. | Audit, Refuser, Désactivé | 1.0.2 |
Gérer la durée de vie et la réutilisation de l’authentificateur | CMA_0355 - Gérer la durée de vie et la réutilisation de l’authentificateur | Manuel, désactivé | 1.1.0 |
Gérer les authentificateurs | CMA_C1321 - Gérer les authentificateurs | Manuel, désactivé | 1.1.0 |
Actualiser les authentificateurs | CMA_0425 - Actualiser les authentificateurs | Manuel, désactivé | 1.1.0 |
Réémettre les authentificateurs pour les groupes et les comptes modifiés | CMA_0426 - Réémettre les authentificateurs pour les groupes et les comptes modifiés | Manuel, désactivé | 1.1.0 |
Vérifier l’identité avant de distribuer les authentificateurs | CMA_0538 - Vérifier l’identité avant de distribuer les authentificateurs | Manuel, désactivé | 1.1.0 |
Authentification basée sur un mot de passe
ID : FedRAMP High IA-5 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
Auditer les machines Linux qui n’ont pas les autorisations de fichier passwd définies sur 0644 | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles n’ont pas les autorisations de fichier de mot de passe définies sur 0644 | AuditIfNotExists, Désactivé | 3.1.0 |
Auditer les machines Windows qui autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si les machines Windows autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques. La valeur par défaut pour les mots de passe uniques est 24 | AuditIfNotExists, Désactivé | 2.1.0 |
Auditer les machines Windows dont la durée de vie maximale du mot de passe n’est pas définie sur le nombre de jours spécifié | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si la durée de vie maximale de leur mot de passe n’est pas définie sur le nombre de jours spécifié. La valeur par défaut de la durée de vie maximale du mot de passe est de 70 jours | AuditIfNotExists, Désactivé | 2.1.0 |
Auditer les machines Windows dont la durée de vie minimale du mot de passe n’est pas définie sur le nombre de jours spécifié | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si la durée de vie minimale du mot de passe n’est pas définie sur le nombre de jours spécifié. La valeur par défaut pour la durée de vie minimale du mot de passe est de 1 jour | AuditIfNotExists, Désactivé | 2.1.0 |
Auditer les machines Windows qui n’ont pas le paramètre de complexité de mot de passe activé | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles n’ont pas le paramètre de complexité de mot de passe activé | AuditIfNotExists, Désactivé | 2.0.0 |
Auditer les machines Windows qui ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié. La valeur par défaut pour la longueur minimale du mot de passe est de 14 caractères | AuditIfNotExists, Désactivé | 2.1.0 |
Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne stockent pas les mots de passe à l’aide du chiffrement réversible | AuditIfNotExists, Désactivé | 2.0.0 |
Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux | Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Établir une stratégie de mot de passe | CMA_0256 - Établir une stratégie de mot de passe | Manuel, désactivé | 1.1.0 |
Implémenter des paramètres pour les vérificateurs de secrets mémorisés | CMA_0321 - Implémenter des paramètres pour les vérificateurs de secrets mémorisés | Manuel, désactivé | 1.1.0 |
Protéger les mots de passe avec le chiffrement | CMA_0408 – Protéger les mots de passe avec le chiffrement | Manuel, désactivé | 1.1.0 |
Authentification basée sur une infrastructure à clé publique
ID : FedRAMP High IA-5 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Lier dynamiquement les authentificateurs et les identités | CMA_0035 – Lier dynamiquement les authentificateurs et les identités | Manuel, désactivé | 1.1.0 |
Établir des types et des processus d’authentificateur | CMA_0267 - Établir des types et des processus d’authentificateur | Manuel, désactivé | 1.1.0 |
Établir des paramètres pour la recherche d’authentificateurs et de vérificateurs secrets | CMA_0274 – Établir des paramètres pour la recherche d’authentificateurs et de vérificateurs secrets | Manuel, désactivé | 1.1.0 |
Établir des procédures pour la distribution initiale de l’authentificateur | CMA_0276 - Établir des procédures pour la distribution initiale de l’authentificateur | Manuel, désactivé | 1.1.0 |
Mapper des identités authentifiées à des individus | CMA_0372 - Mapper des identités authentifiées à des individus | Manuel, désactivé | 1.1.0 |
Restreindre l’accès aux clés privées | CMA_0445 – Restreindre l’accès aux clés privées | Manuel, désactivé | 1.1.0 |
Vérifier l’identité avant de distribuer les authentificateurs | CMA_0538 - Vérifier l’identité avant de distribuer les authentificateurs | Manuel, désactivé | 1.1.0 |
Inscription de tiers physiques ou de confiance
ID : FedRAMP High IA-5 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Distribuer des authentificateurs | CMA_0184 – Distribuer des authentificateurs | Manuel, désactivé | 1.1.0 |
Prise en charge automatisée du niveau de sécurité du mot de passe
ID : FedRAMP High IA-5 (4) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Établir une stratégie de mot de passe | CMA_0256 - Établir une stratégie de mot de passe | Manuel, désactivé | 1.1.0 |
Implémenter des paramètres pour les vérificateurs de secrets mémorisés | CMA_0321 - Implémenter des paramètres pour les vérificateurs de secrets mémorisés | Manuel, désactivé | 1.1.0 |
Protection des authentificateurs
ID : FedRAMP High IA-5 (6) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Vérifier que les utilisateurs autorisés protègent les authentificateurs fournis | CMA_C1339 – S’assurer que les utilisateurs autorisés protègent les authentificateurs fournis | Manuel, désactivé | 1.1.0 |
Aucun authentificateur statique non chiffré incorporé
ID : FedRAMP High IA-5 (7) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Vérifier qu’il n’existe aucun authentificateur statique non chiffré | CMA_C1340 - Vérifier qu’il n’existe aucun authentificateur statique non chiffré | Manuel, désactivé | 1.1.0 |
Authentification basée sur les jetons matériels
ID : FedRAMP High IA-5 (11) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Répondre aux exigences de qualité des jetons | CMA_0487 – Répondre aux exigences de qualité des jetons | Manuel, désactivé | 1.1.0 |
Expiration des authentificateurs mis en cache
ID : FedRAMP High IA-5 (13) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Appliquer l’expiration des authentificateurs mis en cache | CMA_C1343 - Appliquer l’expiration des authentificateurs mis en cache | Manuel, désactivé | 1.1.0 |
Commentaires au sujet des authentificateurs
ID : FedRAMP High IA-6 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Masquer les informations de feedback lors du processus d’authentification | CMA_C1344 - Masquer les informations de feedback lors du processus d’authentification | Manuel, désactivé | 1.1.0 |
Authentification du module de chiffrement
ID : FedRAMP High IA-7 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
S’authentifier auprès du module de chiffrement | CMA_0021 – S’authentifier auprès du module de chiffrement | Manuel, désactivé | 1.1.0 |
Identification et authentification (utilisateurs extérieurs à l’organisation)
ID : FedRAMP High IA-8 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Identifier et authentifier les utilisateurs qui ne font pas partie de l’organisation | CMA_C1346 - Identifier et authentifier les utilisateurs qui ne font pas partie de l’organisation | Manuel, désactivé | 1.1.0 |
Acceptation d’informations d’identification de la vérification d’identité personnelle émanant d’autres agences
ID : FedRAMP High IA-8 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Accepter les informations d’identification PIV | CMA_C1347 – Accepter les informations d’identification PIV | Manuel, désactivé | 1.1.0 |
Acceptation d’informations d’identification tierces
ID : FedRAMP High IA-8 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Accepter uniquement les informations d’identification tierces approuvées par FICAM | CMA_C1348 – Accepter uniquement les informations d’identification tierces approuvées par FICAM | Manuel, désactivé | 1.1.0 |
Utilisation de produits approuvés par la FICAM
ID : FedRAMP High IA-8 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Utiliser des ressources approuvées par la FICAM pour accepter des informations d’identification tierces | CMA_C1349 - Utiliser des ressources approuvées par la FICAM pour accepter des informations d’identification tierces | Manuel, désactivé | 1.1.0 |
Utilisation de profils émis par la FICAM
ID : FedRAMP High IA-8 (4) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Se conformer aux profils émis par FICAM | CMA_C1350 – Se conformer aux profils émis par FICAM | Manuel, désactivé | 1.1.0 |
Réponse aux incidents
Stratégie et procédures de réponse aux incidents
ID : FedRAMP High IR-1 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents | CMA_C1352 - Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Formation de réponse aux incidents
ID : FedRAMP High IR-2 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Fournir une formation sur les fuites d’informations | CMA_0413 - Fournir une formation sur les fuites d’informations | Manuel, désactivé | 1.1.0 |
Événements simulés
ID : FedRAMP High IR-2 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Incorporer les événements simulés dans la formation sur la réponse aux incidents | CMA_C1356 – Incorporer les événements simulés dans la formation sur la réponse aux incidents | Manuel, désactivé | 1.1.0 |
Environnements de formation automatisée
ID : FedRAMP High IR-2 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Utiliser un environnement de formation automatisé | CMA_C1357 - Utiliser un environnement de formation automatisé | Manuel, désactivé | 1.1.0 |
Test de réponse aux incidents
ID : FedRAMP High IR-3 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Effectuer des tests de réponse aux incidents | CMA_0060 – Mener des tests de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Établir un programme de sécurité des informations | CMA_0263 - Établir un programme de sécurité des informations | Manuel, désactivé | 1.1.0 |
Exécuter des attaques de simulation | CMA_0486 – Exécuter des attaques de simulation | Manuel, désactivé | 1.1.0 |
Coordination avec les plans associés
ID : FedRAMP High IR-3 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Effectuer des tests de réponse aux incidents | CMA_0060 – Mener des tests de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Établir un programme de sécurité des informations | CMA_0263 - Établir un programme de sécurité des informations | Manuel, désactivé | 1.1.0 |
Exécuter des attaques de simulation | CMA_0486 – Exécuter des attaques de simulation | Manuel, désactivé | 1.1.0 |
Gestion des incidents
ID : FedRAMP High IR-4 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les événements de sécurité des informations | CMA_0013 - Évaluer les événements de sécurité des informations | Manuel, désactivé | 1.1.0 |
Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
Azure Defender pour Key Vault doit être activé | Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour Resource Manager doit être activé | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour les serveurs SQL sur les machines doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 2.0.1 |
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
Coordonner les plans d’urgence avec les plans associés | CMA_0086 - Coordonner les plans d’urgence avec les plans associés | Manuel, désactivé | 1.1.0 |
Mettez sur pied un plan de réponse en cas d'incident | CMA_0145 – Développer un plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Développer des protections de sécurité | CMA_0161 - Développer des protections de sécurité | Manuel, désactivé | 1.1.0 |
La notification par e-mail pour les alertes à gravité élevée doit être activée | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 1.2.0 |
La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée | Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 2.1.0 |
Activer la protection du réseau | CMA_0238 - Activer la protection réseau | Manuel, désactivé | 1.1.0 |
Éradiquer les informations contaminées | CMA_0253 - Éradiquer les informations contaminées | Manuel, désactivé | 1.1.0 |
Exécuter des actions en réponse à des fuites d’informations | CMA_0281 - Exécuter des actions en réponse à des fuites d’informations | Manuel, désactivé | 1.1.0 |
Implémenter une gestion des incidents | CMA_0318 - Implémenter une gestion des incidents | Manuel, désactivé | 1.1.0 |
Gérer le plan de réponse aux incidents | CMA_0352 - Gérer le plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
Microsoft Defender pour le stockage doit être activé | Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. | AuditIfNotExists, Désactivé | 1.0.0 |
Effectuer une analyse des tendances sur les menaces | CMA_0389 – Effectuer une analyse des tendances sur les menaces | Manuel, désactivé | 1.1.0 |
Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
Visualiser et examiner les utilisateurs restreints | CMA_0545 - Visualiser et examiner les utilisateurs restreints | Manuel, désactivé | 1.1.0 |
Processus de gestion des incidents automatisés
ID : FedRAMP High IR-4 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Mettez sur pied un plan de réponse en cas d'incident | CMA_0145 – Développer un plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Activer la protection du réseau | CMA_0238 - Activer la protection réseau | Manuel, désactivé | 1.1.0 |
Implémenter une gestion des incidents | CMA_0318 - Implémenter une gestion des incidents | Manuel, désactivé | 1.1.0 |
Reconfiguration dynamique
ID : FedRAMP High IR-4 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Inclure la reconfiguration dynamique des ressources déployées par le client | CMA_C1364 – Inclure la reconfiguration dynamique des ressources déployées par le client | Manuel, désactivé | 1.1.0 |
Continuité des opérations
ID : FedRAMP High IR-4 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Identifier les classes d’incidents et d’actions prises | CMA_C1365 - Identifier les classes d’incidents et d’actions effectuées | Manuel, désactivé | 1.1.0 |
Corrélation des informations
ID : FedRAMP High IR-4 (4) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter une gestion des incidents | CMA_0318 - Implémenter une gestion des incidents | Manuel, désactivé | 1.1.0 |
Menaces internes - capacités spécifiques
ID : FedRAMP High IR-4 (6) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter la fonctionnalité de gestion des incidents | CMA_C1367 – Implémenter la fonctionnalité de gestion des incidents | Manuel, désactivé | 1.1.0 |
Corrélation avec des organisations externes
ID : FedRAMP High IR-4 (8) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Coordonner avec des organisations externes pour atteindre une perspective inter-organisations | CMA_C1368 – Coordonner avec des organisations externes pour atteindre la perspective inter-organisations | Manuel, désactivé | 1.1.0 |
Surveillance des incidents
ID : FedRAMP High IR-5 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
Azure Defender pour Key Vault doit être activé | Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour Resource Manager doit être activé | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour les serveurs SQL sur les machines doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 2.0.1 |
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
La notification par e-mail pour les alertes à gravité élevée doit être activée | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 1.2.0 |
La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée | Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 2.1.0 |
Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
Microsoft Defender pour le stockage doit être activé | Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. | AuditIfNotExists, Désactivé | 1.0.0 |
Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
Création de rapports automatisée
ID : FedRAMP High IR-6 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Documenter les opérations de sécurité | CMA_0202 – Documenter les opérations de sécurité | Manuel, désactivé | 1.1.0 |
Assistance sur les réponses aux incidents
ID : FedRAMP High IR-7 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Documenter les opérations de sécurité | CMA_0202 – Documenter les opérations de sécurité | Manuel, désactivé | 1.1.0 |
Prise en charge de l’automatisation pour la disponibilité des informations/support
ID : FedRAMP High IR-7 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Mettez sur pied un plan de réponse en cas d'incident | CMA_0145 – Développer un plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Activer la protection du réseau | CMA_0238 - Activer la protection réseau | Manuel, désactivé | 1.1.0 |
Éradiquer les informations contaminées | CMA_0253 - Éradiquer les informations contaminées | Manuel, désactivé | 1.1.0 |
Exécuter des actions en réponse à des fuites d’informations | CMA_0281 - Exécuter des actions en réponse à des fuites d’informations | Manuel, désactivé | 1.1.0 |
Implémenter une gestion des incidents | CMA_0318 - Implémenter une gestion des incidents | Manuel, désactivé | 1.1.0 |
Effectuer une analyse des tendances sur les menaces | CMA_0389 – Effectuer une analyse des tendances sur les menaces | Manuel, désactivé | 1.1.0 |
Visualiser et examiner les utilisateurs restreints | CMA_0545 - Visualiser et examiner les utilisateurs restreints | Manuel, désactivé | 1.1.0 |
Coordination avec les fournisseurs externes
ID : FedRAMP High IR-7 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Établir une relation entre la fonctionnalité de réponse aux incidents et les fournisseurs externes | CMA_C1376 – Établir une relation entre la fonctionnalité de réponse aux incidents et les fournisseurs externes | Manuel, désactivé | 1.1.0 |
Identifier le personnel de réponse aux incidents | CMA_0301 – Identifier le personnel de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Plan de réponse aux incidents
ID : FedRAMP High IR-8 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les événements de sécurité des informations | CMA_0013 - Évaluer les événements de sécurité des informations | Manuel, désactivé | 1.1.0 |
Mettez sur pied un plan de réponse en cas d'incident | CMA_0145 – Développer un plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Implémenter une gestion des incidents | CMA_0318 - Implémenter une gestion des incidents | Manuel, désactivé | 1.1.0 |
Conserver les enregistrements de divulgation de données | CMA_0351 - Conserver les enregistrements de divulgation de données | Manuel, désactivé | 1.1.0 |
Gérer le plan de réponse aux incidents | CMA_0352 - Gérer le plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Protéger le plan de réponse aux incidents | CMA_0405 - Protéger le plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Réponse aux débordements d’informations
ID : FedRAMP High IR-9 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Alerter le personnel d’un débordement d’informations | CMA_0007 – Alerter le personnel d’un débordement d’informations | Manuel, désactivé | 1.1.0 |
Mettez sur pied un plan de réponse en cas d'incident | CMA_0145 – Développer un plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Éradiquer les informations contaminées | CMA_0253 - Éradiquer les informations contaminées | Manuel, désactivé | 1.1.0 |
Exécuter des actions en réponse à des fuites d’informations | CMA_0281 - Exécuter des actions en réponse à des fuites d’informations | Manuel, désactivé | 1.1.0 |
Identifier les systèmes et composants contaminés | CMA_0300 – Identifier les systèmes et composants contaminés | Manuel, désactivé | 1.1.0 |
Identifier les informations propagées | CMA_0303 – Identifier les informations propagées | Manuel, désactivé | 1.1.0 |
Isoler les débordements d’informations | CMA_0346 – Isoler les débordements d’informations | Manuel, désactivé | 1.1.0 |
Personnel responsable
ID : FedRAMP High IR-9 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Identifier le personnel de réponse aux incidents | CMA_0301 – Identifier le personnel de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Entrainement
ID : FedRAMP High IR-9 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Fournir une formation sur les fuites d’informations | CMA_0413 - Fournir une formation sur les fuites d’informations | Manuel, désactivé | 1.1.0 |
Opérations post-débordements
ID : FedRAMP High IR-9 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des procédures de réponse aux débordements | CMA_0162 - Développer des procédures de réponse aux fuites de données | Manuel, désactivé | 1.1.0 |
Exposition au personnel non autorisé
ID : FedRAMP High IR-9 (4) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des protections de sécurité | CMA_0161 - Développer des protections de sécurité | Manuel, désactivé | 1.1.0 |
Maintenance
Stratégie et procédures de maintenance du système
ID : FedRAMP High MA-1 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes | CMA_C1395 - Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes | Manuel, désactivé | 1.1.0 |
Maintenance contrôlée
ID : FedRAMP High MA-2 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Contrôler les activités de maintenance et de réparation | CMA_0080 - Contrôler les activités de maintenance et de réparation | Manuel, désactivé | 1.1.0 |
Utiliser un mécanisme de nettoyage des médias | CMA_0208 - Utiliser un mécanisme de nettoyage des médias | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Gérer les activités de maintenance et de diagnostic non locales | CMA_0364 - Gérer les activités de maintenance et de diagnostic non locales | Manuel, désactivé | 1.1.0 |
Activités de maintenance automatiques
ID : FedRAMP High MA-2 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Automatiser les activités de maintenance à distance | CMA_C1402 - Automatiser les activités de maintenance à distance | Manuel, désactivé | 1.1.0 |
Produire des enregistrements complets des activités de maintenance à distance | CMA_C1403 - Produire des enregistrements complets des activités de maintenance à distance | Manuel, désactivé | 1.1.0 |
Outils de maintenance
ID : FedRAMP High MA-3 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Contrôler les activités de maintenance et de réparation | CMA_0080 - Contrôler les activités de maintenance et de réparation | Manuel, désactivé | 1.1.0 |
Gérer les activités de maintenance et de diagnostic non locales | CMA_0364 - Gérer les activités de maintenance et de diagnostic non locales | Manuel, désactivé | 1.1.0 |
Inspection des outils
ID : FedRAMP High MA-3 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Contrôler les activités de maintenance et de réparation | CMA_0080 - Contrôler les activités de maintenance et de réparation | Manuel, désactivé | 1.1.0 |
Gérer les activités de maintenance et de diagnostic non locales | CMA_0364 - Gérer les activités de maintenance et de diagnostic non locales | Manuel, désactivé | 1.1.0 |
Inspection des supports
ID : FedRAMP High MA-3 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Contrôler les activités de maintenance et de réparation | CMA_0080 - Contrôler les activités de maintenance et de réparation | Manuel, désactivé | 1.1.0 |
Gérer les activités de maintenance et de diagnostic non locales | CMA_0364 - Gérer les activités de maintenance et de diagnostic non locales | Manuel, désactivé | 1.1.0 |
Empêcher le retrait non autorisé
ID : FedRAMP High MA-3 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Contrôler les activités de maintenance et de réparation | CMA_0080 - Contrôler les activités de maintenance et de réparation | Manuel, désactivé | 1.1.0 |
Utiliser un mécanisme de nettoyage des médias | CMA_0208 - Utiliser un mécanisme de nettoyage des médias | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Gérer les activités de maintenance et de diagnostic non locales | CMA_0364 - Gérer les activités de maintenance et de diagnostic non locales | Manuel, désactivé | 1.1.0 |
Maintenance non locale
ID : FedRAMP High MA-4 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Gérer les activités de maintenance et de diagnostic non locales | CMA_0364 - Gérer les activités de maintenance et de diagnostic non locales | Manuel, désactivé | 1.1.0 |
Documenter la maintenance non locale
ID : FedRAMP High MA-4 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Gérer les activités de maintenance et de diagnostic non locales | CMA_0364 - Gérer les activités de maintenance et de diagnostic non locales | Manuel, désactivé | 1.1.0 |
Sécurité/assainissement comparable
ID : FedRAMP High MA-4 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Effectuer toutes les opérations de maintenance non locales | CMA_C1417 – Effectuer toutes les opérations de maintenance non locales | Manuel, désactivé | 1.1.0 |
Protection par chiffrement
ID : FedRAMP High MA-4 (6) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter des mécanismes de chiffrement | CMA_C1419 – Implémenter des mécanismes de chiffrement | Manuel, désactivé | 1.1.0 |
Personnel en charge de la maintenance
ID : FedRAMP High MA-5 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Désigner du personnel pour surveiller les activités de maintenance non autorisées | CMA_C1422 - Désigner du personnel pour surveiller les activités de maintenance non autorisées | Manuel, désactivé | 1.1.0 |
Tenir à jour la liste du personnel de maintenance à distance autorisé | CMA_C1420 - Tenir à jour la liste du personnel de maintenance à distance autorisé | Manuel, désactivé | 1.1.0 |
Gérer le personnel de maintenance | CMA_C1421 - Gérer le personnel de maintenance | Manuel, désactivé | 1.1.0 |
Individus sans accès approprié
ID : FedRAMP High MA-5 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Utiliser un mécanisme de nettoyage des médias | CMA_0208 - Utiliser un mécanisme de nettoyage des médias | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Maintenance adéquate
ID : FedRAMP High MA-6 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Assurer la maintenance en temps opportun | CMA_C1425 - Assurer la maintenance en temps opportun | Manuel, désactivé | 1.1.0 |
Protection média
Procédures et stratégie de protection des supports
ID : FedRAMP High MP-1 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Passer en revue et mettre à jour les stratégies et les procédures de protection des médias | CMA_C1427 - Passer en revue et mettre à jour les stratégies et les procédures de protection des médias | Manuel, désactivé | 1.1.0 |
Accès aux supports
ID : FedRAMP High MP-2 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Marquage de supports
ID : FedRAMP High MP-3 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Supports de stockage
ID : FedRAMP High MP-4 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Utiliser un mécanisme de nettoyage des médias | CMA_0208 - Utiliser un mécanisme de nettoyage des médias | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Transport de supports
ID : FedRAMP High MP-5 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Gérer le transport des ressources | CMA_0370 - Gérer le transport des ressources | Manuel, désactivé | 1.1.0 |
Protection par chiffrement
ID : FedRAMP High MP-5 (4) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Gérer le transport des ressources | CMA_0370 - Gérer le transport des ressources | Manuel, désactivé | 1.1.0 |
Assainissement des supports
ID : FedRAMP High MP-6 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Utiliser un mécanisme de nettoyage des médias | CMA_0208 - Utiliser un mécanisme de nettoyage des médias | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Examiner/approuver/suivre/documenter/vérifier
ID : FedRAMP High MP-6 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Utiliser un mécanisme de nettoyage des médias | CMA_0208 - Utiliser un mécanisme de nettoyage des médias | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Test de l’équipement
ID : FedRAMP High MP-6 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Utiliser un mécanisme de nettoyage des médias | CMA_0208 - Utiliser un mécanisme de nettoyage des médias | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Utilisation des supports
ID : FedRAMP High MP-7 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Bloque les processus non approuvés et non signés qui s’exécutent par USB | CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB | Manuel, désactivé | 1.1.0 |
Contrôler l’utilisation des périphériques de stockage portables | CMA_0083 - Contrôler l’utilisation des périphériques de stockage portables | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Restreindre l’utilisation des médias | CMA_0450 - Restreindre l’utilisation des médias | Manuel, désactivé | 1.1.0 |
Interdire l’utilisation en absence de propriétaire
ID : FedRAMP High MP-7 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Bloque les processus non approuvés et non signés qui s’exécutent par USB | CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB | Manuel, désactivé | 1.1.0 |
Contrôler l’utilisation des périphériques de stockage portables | CMA_0083 - Contrôler l’utilisation des périphériques de stockage portables | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Restreindre l’utilisation des médias | CMA_0450 - Restreindre l’utilisation des médias | Manuel, désactivé | 1.1.0 |
Protection physique et environnementale
Stratégie et procédures de protection physique et environnementale
ID : FedRAMP High PE-1 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Examiner et mettre à jour les stratégies et procédures physiques et environnementales | CMA_C1446 - Examiner et mettre à jour les stratégies et procédures physiques et environnementales | Manuel, désactivé | 1.1.0 |
Autorisations d’accès physique
ID : FedRAMP High PE-2 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Contrôler l’accès physique | CMA_0081 – Contrôler l’accès physique | Manuel, désactivé | 1.1.0 |
Contrôle d’accès physique
ID : FedRAMP High PE-3 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Contrôler l’accès physique | CMA_0081 – Contrôler l’accès physique | Manuel, désactivé | 1.1.0 |
Définir un processus de gestion des clés physiques | CMA_0115 – Définir un processus de gestion des clés physiques | Manuel, désactivé | 1.1.0 |
Établir et tenir à jour un inventaire des ressources | CMA_0266 - Établir et tenir à jour un inventaire des ressources | Manuel, désactivé | 1.1.0 |
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | Manuel, désactivé | 1.1.0 |
Contrôle d’accès pour les moyens de transmission
ID : FedRAMP High PE-4 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Contrôler l’accès physique | CMA_0081 – Contrôler l’accès physique | Manuel, désactivé | 1.1.0 |
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | Manuel, désactivé | 1.1.0 |
Contrôle d’accès aux périphériques de sortie
ID : FedRAMP High PE-5 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Contrôler l’accès physique | CMA_0081 – Contrôler l’accès physique | Manuel, désactivé | 1.1.0 |
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | Manuel, désactivé | 1.1.0 |
Gérer l’entrée, la sortie, le traitement et le stockage des données | CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données | Manuel, désactivé | 1.1.0 |
Alarmes d’intrusion/équipements de surveillance
ID : FedRAMP High PE-6 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Installer un système d’alarme | CMA_0338 - Installer un système d’alarme | Manuel, désactivé | 1.1.0 |
Gérer un système de caméras de surveillance sécurisé | CMA_0354 - Gérer un système de caméras de surveillance sécurisé | Manuel, désactivé | 1.1.0 |
Enregistrements des accès des visiteurs
ID : FedRAMP High PE-8 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Contrôler l’accès physique | CMA_0081 – Contrôler l’accès physique | Manuel, désactivé | 1.1.0 |
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | Manuel, désactivé | 1.1.0 |
Éclairage de secours
ID : FedRAMP High PE-12 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Utiliser un éclairage d’urgence automatique | CMA_0209 - Utiliser un éclairage d’urgence automatique | Manuel, désactivé | 1.1.0 |
Protection incendie
ID : FedRAMP High PE-13 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | Manuel, désactivé | 1.1.0 |
Dispositifs/systèmes de détection
ID : FedRAMP High PE-13 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter une méthodologie de test de pénétration | CMA_0306 – Implémenter une méthodologie de test de pénétration | Manuel, désactivé | 1.1.0 |
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | Manuel, désactivé | 1.1.0 |
Exécuter des attaques de simulation | CMA_0486 – Exécuter des attaques de simulation | Manuel, désactivé | 1.1.0 |
Dispositifs/systèmes d’extinction
ID : FedRAMP High PE-13 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | Manuel, désactivé | 1.1.0 |
Extinction automatique
ID : FedRAMP High PE-13 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | Manuel, désactivé | 1.1.0 |
Contrôles de température et d’humidité
ID : FedRAMP High PE-14 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | Manuel, désactivé | 1.1.0 |
Surveillance à l’aide d’alarmes et de notifications
ID : FedRAMP High PE-14 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | Manuel, désactivé | 1.1.0 |
Installer un système d’alarme | CMA_0338 - Installer un système d’alarme | Manuel, désactivé | 1.1.0 |
Protection contre les dégâts des eaux
ID : FedRAMP High PE-15 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | Manuel, désactivé | 1.1.0 |
Livraison et élimination
ID : FedRAMP High PE-16 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Définir les exigences pour la gestion des ressources | CMA_0125 - Définir les exigences pour la gestion des ressources | Manuel, désactivé | 1.1.0 |
Gérer le transport des ressources | CMA_0370 - Gérer le transport des ressources | Manuel, désactivé | 1.1.0 |
Site de travail de secours
ID : FedRAMP High PE-17 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter des contrôles pour sécuriser d’autres sites de travail | CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail | Manuel, désactivé | 1.1.0 |
Emplacement des composants du système d’information
ID : FedRAMP High PE-18 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | Manuel, désactivé | 1.1.0 |
Planification
Stratégie et procédures de planification de la sécurité
ID : FedRAMP High PL-1 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Passer en revue et mettre à jour les stratégies et les procédures de planification | CMA_C1491 - Passer en revue et mettre à jour les stratégies et les procédures de planification | Manuel, désactivé | 1.1.0 |
Plan de sécurité système
ID : FedRAMP High PL-2 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer et établir un plan de sécurité des systèmes | CMA_0151 - Développer et établir un plan de sécurité des systèmes | Manuel, désactivé | 1.1.0 |
Développer des stratégies et des procédures de sécurité des informations | CMA_0158 -Développer des stratégies et des procédures de sécurité des informations | Manuel, désactivé | 1.1.0 |
Développer un SSP qui répond aux critères | CMA_C1492 - Développer un SSP qui répond aux critères | Manuel, désactivé | 1.1.0 |
Établir un programme de confidentialité | CMA_0257 - Établir un programme de confidentialité | Manuel, désactivé | 1.1.0 |
Établir les exigences de sécurité pour la fabrication d’appareils connectés | CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés | Manuel, désactivé | 1.1.0 |
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | Manuel, désactivé | 1.1.0 |
Planifier/coordonner avec d’autres entités organisationnelles
ID : FedRAMP High PL-2 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer et établir un plan de sécurité des systèmes | CMA_0151 - Développer et établir un plan de sécurité des systèmes | Manuel, désactivé | 1.1.0 |
Établir les exigences de sécurité pour la fabrication d’appareils connectés | CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés | Manuel, désactivé | 1.1.0 |
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | Manuel, désactivé | 1.1.0 |
Règles de comportement
ID : FedRAMP High PL-4 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des stratégies et des procédures d’utilisation acceptables | CMA_0143 - Développer des stratégies et des procédures d’utilisation acceptables | Manuel, désactivé | 1.1.0 |
Développer une stratégie de code de conduite de l’organisation | CMA_0159 - Développer une stratégie de code de conduite de l’organisation | Manuel, désactivé | 1.1.0 |
Documenter l’acceptation des exigences de confidentialité par le personnel | CMA_0193 - Documenter l’acceptation des exigences de confidentialité par le personnel | Manuel, désactivé | 1.1.0 |
Appliquer des règles de comportement et des contrats d’accès | CMA_0248 - Appliquer des règles de comportement et des contrats d’accès | Manuel, désactivé | 1.1.0 |
Interdire les pratiques déloyales | CMA_0396 - Interdire les pratiques déloyales | Manuel, désactivé | 1.1.0 |
Passer en revue et signer les règles de comportement révisées | CMA_0465 - Passer en revue et signer les règles de comportement révisées | Manuel, désactivé | 1.1.0 |
Mettre à jour les stratégies de sécurité des informations | CMA_0518 - Mettre à jour les stratégies de sécurité des informations | Manuel, désactivé | 1.1.0 |
Mettre à jour les règles de comportement et les contrats d’accès | CMA_0521 - Mettre à jour les règles de comportement et les contrats d’accès | Manuel, désactivé | 1.1.0 |
Mettre à jour les règles de comportement et les contrats d’accès tous les 3 ans | CMA_0522 - Mettre à jour les règles de comportement et les contrats d’accès tous les 3 ans | Manuel, désactivé | 1.1.0 |
Restrictions liées aux réseaux sociaux et aux services de réseau
ID : FedRAMP High PL-4 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des stratégies et des procédures d’utilisation acceptables | CMA_0143 - Développer des stratégies et des procédures d’utilisation acceptables | Manuel, désactivé | 1.1.0 |
Architecture de sécurité des informations
ID : FedRAMP High PL-8 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer un concept d’opérations (CONOPS) | CMA_0141 - Développer un concept d’opérations (CONOPS) | Manuel, désactivé | 1.1.0 |
Passer en revue et mettre à jour l’architecture de sécurité des informations | CMA_C1504 - Passer en revue et mettre à jour l’architecture de sécurité des informations | Manuel, désactivé | 1.1.0 |
Sécurité du personnel
Stratégie et procédures de sécurité du personnel
ID : FedRAMP High PS-1 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel | CMA_C1507 - Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel | Manuel, désactivé | 1.1.0 |
Désignation des risques de postes
ID : FedRAMP High PS-2 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Attribuer des désignations de risque | CMA_0016 – Attribuer des désignations de risque | Manuel, désactivé | 1.1.0 |
Sélection du personnel
ID : FedRAMP High PS-3 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Habiliter le personnel ayant accès aux informations classifiées | CMA_0054 - Habiliter le personnel ayant accès aux informations classifiées | Manuel, désactivé | 1.1.0 |
Implémenter le filtrage du personnel | CMA_0322 - Implémenter le filtrage du personnel | Manuel, désactivé | 1.1.0 |
Refiltrer les personnes à une fréquence définie | CMA_C1512 - Refiltrer les personnes à une fréquence définie | Manuel, désactivé | 1.1.0 |
Informations avec mesures de protection spéciales
ID : FedRAMP High PS-3 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Protéger des informations spéciales | CMA_0409 – Protéger des informations spéciales | Manuel, désactivé | 1.1.0 |
Licenciement du personnel
ID : FedRAMP High PS-4 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Mener un entretien de sortie après la fin du contrat de travail | CMA_0058 - Mener un entretien de sortie après la fin du contrat de travail | Manuel, désactivé | 1.1.0 |
Désactiver les authentificateurs lors de l’arrêt | CMA_0169 – Désactiver les authentificateurs lors de l’arrêt | Manuel, désactivé | 1.1.0 |
Notifier après une fin de contrat ou un transfert | CMA_0381 - Notifier après une fin de contrat ou un transfert | Manuel, désactivé | 1.1.0 |
Protéger contre et empêcher le vol de données par des employés sur le départ | CMA_0398 - Protéger contre et empêcher le vol de données par des employés sur le départ | Manuel, désactivé | 1.1.0 |
Conserver les données utilisateur terminées | CMA_0455 – Conserver les données utilisateur terminées | Manuel, désactivé | 1.1.0 |
Notification automatisée
ID : FedRAMP High PS-4 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Automatiser la notification de résiliation des employés | CMA_C1521 – Automatiser la notification de résiliation des employés | Manuel, désactivé | 1.1.0 |
Transfert du personnel
ID : FedRAMP High PS-5 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Lancer des actions de transfert ou de réaffectation | CMA_0333 - Lancer des actions de transfert ou de réaffectation | Manuel, désactivé | 1.1.0 |
Modifier les autorisations d’accès lors du transfert de personnel | CMA_0374 - Modifier les autorisations d’accès lors du transfert de personnel | Manuel, désactivé | 1.1.0 |
Notifier après une fin de contrat ou un transfert | CMA_0381 - Notifier après une fin de contrat ou un transfert | Manuel, désactivé | 1.1.0 |
Réévaluer l’accès lors du transfert de personnel | CMA_0424 - Réévaluer l’accès lors du transfert de personnel | Manuel, désactivé | 1.1.0 |
Accords d’accès
ID : FedRAMP High PS-6 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Documenter les contrats d’accès de l’organisation | CMA_0192 - Documenter les contrats d’accès de l’organisation | Manuel, désactivé | 1.1.0 |
Appliquer des règles de comportement et des contrats d’accès | CMA_0248 - Appliquer des règles de comportement et des contrats d’accès | Manuel, désactivé | 1.1.0 |
Vérifier que les contrats d’accès sont signés ou dénoncés en temps voulu | CMA_C1528 - Vérifier que les contrats d’accès sont signés ou dénoncés en temps voulu | Manuel, désactivé | 1.1.0 |
Exiger des utilisateurs qu’ils signent un contrat d’accès | CMA_0440 - Exiger des utilisateurs qu’ils signent un contrat d’accès | Manuel, désactivé | 1.1.0 |
Mettre à jour les contrats d’accès de l’organisation | CMA_0520 - Mettre à jour les contrats d’accès de l’organisation | Manuel, désactivé | 1.1.0 |
Sécurité du personnel tiers
ID : FedRAMP High PS-7 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Documenter les exigences de sécurité pour le personnel de tiers | CMA_C1531 - Documenter les exigences de sécurité pour le personnel de tiers | Manuel, désactivé | 1.1.0 |
Établir les exigences de sécurité pour le personnel de tiers | CMA_C1529 - Établir les exigences de sécurité pour le personnel de tiers | Manuel, désactivé | 1.1.0 |
Surveiller la conformité des fournisseurs tiers | CMA_C1533 - Surveiller la conformité des fournisseurs tiers | Manuel, désactivé | 1.1.0 |
Exiger une notification de transfert ou de fin de contrat du personnel de tiers | CMA_C1532 - Exiger une notification de transfert ou de fin de contrat du personnel de tiers | Manuel, désactivé | 1.1.0 |
Exiger des fournisseurs tiers qu’ils se conforment aux stratégies et aux procédures de sécurité du personnel | CMA_C1530 - Exiger des fournisseurs tiers qu’ils se conforment aux stratégies et aux procédures de sécurité du personnel | Manuel, désactivé | 1.1.0 |
Sanctions du personnel
ID : FedRAMP High PS-8 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter un processus formel de sanctions | CMA_0317 - Implémenter un processus formel de sanctions | Manuel, désactivé | 1.1.0 |
Notifier le personnel en cas de sanctions | CMA_0380 - Notifier le personnel en cas de sanctions | Manuel, désactivé | 1.1.0 |
Évaluation des risques
Stratégie et procédures d’évaluation des risques
ID : FedRAMP High RA-1 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques | CMA_C1537 - Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques | Manuel, désactivé | 1.1.0 |
Catégorisation de sécurité
ID : FedRAMP High RA-2 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Catégoriser les informations | CMA_0052 - Catégoriser les informations | Manuel, désactivé | 1.1.0 |
Développer des schémas de classification métier | CMA_0155 - Développer des schémas de classification métier | Manuel, désactivé | 1.1.0 |
Vérifier que la catégorisation de sécurité est approuvée | CMA_C1540 - Vérifier que la catégorisation de sécurité est approuvée | Manuel, désactivé | 1.1.0 |
Examiner l’activité et l’analytique de l’étiquette | CMA_0474 – Examiner l’activité et l’analytique de l’étiquette | Manuel, désactivé | 1.1.0 |
Évaluation des risques
ID : FedRAMP High RA-3 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Effectuer une évaluation des risques | CMA_C1543 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques et distribuer ses résultats | CMA_C1544 - Effectuer une évaluation des risques et distribuer ses résultats | Manuel, désactivé | 1.1.0 |
Effectuer l’évaluation des risques et documenter ses résultats | CMA_C1542 - Effectuer l’évaluation des risques et documenter ses résultats | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_0388 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Analyse des vulnérabilités
ID : FedRAMP High RA-5 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. | AuditIfNotExists, Désactivé | 3.0.0 |
Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
Azure Defender pour Key Vault doit être activé | Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour Resource Manager doit être activé | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour les serveurs SQL sur les machines doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 2.0.1 |
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
Microsoft Defender pour le stockage doit être activé | Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. | AuditIfNotExists, Désactivé | 1.0.0 |
Effectuer des analyses de vulnérabilité | CMA_0393 – Effectuer des analyses de vulnérabilité | Manuel, désactivé | 1.1.0 |
Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Les résultats des vulnérabilités des bases de données SQL doivent être résolus | Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. | AuditIfNotExists, Désactivé | 4.1.0 |
Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus | L'évaluation des vulnérabilités SQL analyse votre base de données à la recherche de vulnérabilités de sécurité et expose tout écart par rapport aux meilleures pratiques, tel que les erreurs de configuration, les autorisations excessives et les données sensibles non protégées. La résolution des vulnérabilités détectées peut améliorer considérablement la posture de sécurité de votre base de données. | AuditIfNotExists, Désactivé | 1.0.0 |
Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.1.0 |
L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 1.0.1 |
L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 3.0.0 |
L’évaluation des vulnérabilités doit être activée sur vos espaces de travail Synapse | Découvrez, suivez et corrigez les vulnérabilités potentielles en configurant des analyses récurrentes d’évaluation des vulnérabilités SQL sur vos espaces de travail Synapse. | AuditIfNotExists, Désactivé | 1.0.0 |
Fonctionnalité de l’outil de mise à jour
ID : FedRAMP High RA-5 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Effectuer des analyses de vulnérabilité | CMA_0393 – Effectuer des analyses de vulnérabilité | Manuel, désactivé | 1.1.0 |
Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Mise à jour en fonction de la fréquence/avant une nouvelle analyse/au moment de l’identification
ID : FedRAMP High RA-5 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Effectuer des analyses de vulnérabilité | CMA_0393 – Effectuer des analyses de vulnérabilité | Manuel, désactivé | 1.1.0 |
Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Étendue/profondeur de couverture
ID : FedRAMP High RA-5 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Effectuer des analyses de vulnérabilité | CMA_0393 – Effectuer des analyses de vulnérabilité | Manuel, désactivé | 1.1.0 |
Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Informations pouvant être découvertes
ID : FedRAMP High RA-5 (4) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Prendre des mesures en réponse aux informations du client | CMA_C1554 - Prendre des mesures en réponse aux informations du client | Manuel, désactivé | 1.1.0 |
Accès privilégié
ID : FedRAMP High RA-5 (5) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter un accès privilégié pour l’exécution d’activités d’analyse des vulnérabilités | CMA_C1555 - Implémenter un accès privilégié pour l’exécution d’activités d’analyse des vulnérabilités | Manuel, désactivé | 1.1.0 |
Analyses des tendances automatisées
ID : FedRAMP High RA-5 (6) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Observer et signaler les failles de sécurité | CMA_0384 – Observer et signaler les failles de sécurité | Manuel, désactivé | 1.1.0 |
Effectuer une analyse des tendances sur les menaces | CMA_0389 – Effectuer une analyse des tendances sur les menaces | Manuel, désactivé | 1.1.0 |
Effectuer la modélisation des menaces | CMA_0392 - Effectuer la modélisation de menaces | Manuel, désactivé | 1.1.0 |
Effectuer des analyses de vulnérabilité | CMA_0393 – Effectuer des analyses de vulnérabilité | Manuel, désactivé | 1.1.0 |
Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Examen des journaux d’activité d’audit historiques
ID : FedRAMP High RA-5 (8) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Auditer les fonctions privilégiées | CMA_0019 – Auditer les fonctions privilégiées | Manuel, désactivé | 1.1.0 |
Auditer l’état du compte d’utilisateur | CMA_0020 – Auditer l’état du compte d’utilisateur | Manuel, désactivé | 1.1.0 |
Mettre en corrélation les enregistrements d’audit | CMA_0087 - Mettre en corrélation les enregistrements d’audit | Manuel, désactivé | 1.1.0 |
Déterminer les événements auditables | CMA_0137 – Déterminer les événements auditables | Manuel, désactivé | 1.1.0 |
Établir des exigences pour la révision et la création de rapports d’audit | CMA_0277 - Établir des exigences pour la révision et la création de rapports d’audit | Manuel, désactivé | 1.1.0 |
Intégrer la révision d’audit, l’analyse et la création de rapports | CMA_0339 - Intégrer la révision d’audit, l’analyse et la création de rapports | Manuel, désactivé | 1.1.0 |
Intégrer la sécurité des applications cloud à un SIEM | CMA_0340 - Intégrer la sécurité des applications cloud à un SIEM | Manuel, désactivé | 1.1.0 |
Examiner les journaux d’approvisionnement de compte | CMA_0460 – Examiner les journaux d’approvisionnement de compte | Manuel, désactivé | 1.1.0 |
Passer en revue les affectations d’administrateurs toutes les semaines | CMA_0461 - Passer en revue les affectations d’administrateurs toutes les semaines | Manuel, désactivé | 1.1.0 |
Vérifier les journaux d'audit | CMA_0466 – Examiner les données d’audit | Manuel, désactivé | 1.1.0 |
Passer en revue la vue d’ensemble du rapport des identités cloud | CMA_0468 - Passer en revue la vue d’ensemble du rapport des identités cloud | Manuel, désactivé | 1.1.0 |
Passer en revue les événements accès contrôlé aux dossiers | CMA_0471 - Passer en revue les événements d’accès contrôlé aux dossiers | Manuel, désactivé | 1.1.0 |
Examiner les événements de protection contre l’exploitation | CMA_0472 – Examiner les événements de protection contre l’exploitation | Manuel, désactivé | 1.1.0 |
Examiner l’activité des fichiers et des dossiers | CMA_0473 - Examiner l’activité des fichiers et des dossiers | Manuel, désactivé | 1.1.0 |
Passer en revue les modifications apportées aux groupes de rôles chaque semaine | CMA_0476 - Passer en revue les modifications apportées aux groupes de rôles chaque semaine | Manuel, désactivé | 1.1.0 |
Corrélation des informations d’analyse
ID : FedRAMP High RA-5 (10) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Informations sur l’analyse de corrélation des vulnérabilités | CMA_C1558 - Informations sur l’analyse de corrélation des vulnérabilités | Manuel, désactivé | 1.1.1 |
Acquisition du système et des services
Stratégie et procédures d’acquisition du système et des services
ID : FedRAMP High SA-1 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services | CMA_C1560 - Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services | Manuel, désactivé | 1.1.0 |
Allocation de ressources
ID : FedRAMP High SA-2 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Aligner les objectifs métier et les objectifs de l’informatique | CMA_0008 - Aligner les objectifs métier et les objectifs de l’informatique | Manuel, désactivé | 1.1.0 |
Allouer des ressources pour déterminer les exigences du système d’information | CMA_C1561 - Allouer des ressources pour déterminer les exigences du système d’information | Manuel, désactivé | 1.1.0 |
Établir un élément de ligne discret dans la documentation du budget | CMA_C1563 - Établir un élément de ligne discret dans la documentation du budget | Manuel, désactivé | 1.1.0 |
Établir un programme de confidentialité | CMA_0257 - Établir un programme de confidentialité | Manuel, désactivé | 1.1.0 |
Gouverner l’allocation des ressources | CMA_0293 - Gouverner l’allocation des ressources | Manuel, désactivé | 1.1.0 |
Sécuriser l’engagement de la part de la direction | CMA_0489 - Sécuriser l’engagement de la part de la direction | Manuel, désactivé | 1.1.0 |
Cycle de vie de développement de système
ID : FedRAMP High SA-3 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Définir les rôles et les responsabilités de sécurité des informations | CMA_C1565 - Définir les rôles et les responsabilités de sécurité des informations | Manuel, désactivé | 1.1.0 |
Identifier les utilisateurs dotés de rôles et de responsabilités en matière de sécurité | CMA_C1566 - Identifier les utilisateurs dotés de rôles et de responsabilités en matière de sécurité | Manuel, désactivé | 1.1.1 |
Intégrer le processus de gestion des risques au SDLC | CMA_C1567 - Intégrer le processus de gestion des risques au SDLC | Manuel, désactivé | 1.1.0 |
Processus d’acquisition
ID : FedRAMP High SA-4 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Déterminer les obligations des contrats fournisseur | CMA_0140 - Déterminer les obligations des contrats fournisseur | Manuel, désactivé | 1.1.0 |
Documenter les critères d’acceptation des contrats d’acquisition | CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des données personnelles dans les contrats d’acquisition | CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des informations de sécurité dans les contrats d’acquisition | CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences pour l’utilisation des données partagées dans les contrats | CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats | Manuel, désactivé | 1.1.0 |
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter l’environnement du système d’information dans les contrats d’acquisition | CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des données des détenteurs de carte dans les contrats de tiers | CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers | Manuel, désactivé | 1.1.0 |
Propriétés fonctionnelles des contrôles de sécurité
ID : FedRAMP High SA-4 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Obtenir les propriétés fonctionnelles des contrôles de sécurité | CMA_C1575 - Obtenir les propriétés fonctionnelles des contrôles de sécurité | Manuel, désactivé | 1.1.0 |
Informations conception/mise en œuvre pour les contrôles de sécurité
ID : FedRAMP High SA-4 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Obtenir des informations de conception et d’implémentation pour les contrôles de sécurité | CMA_C1576 - Obtenir des informations de conception et d’implémentation pour les contrôles de sécurité | Manuel, désactivé | 1.1.1 |
Plan de surveillance continue
ID : FedRAMP High SA-4 (8) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Obtenir un plan de surveillance continue pour les contrôles de sécurité | CMA_C1577 - Obtenir un plan de surveillance continue pour les contrôles de sécurité | Manuel, désactivé | 1.1.0 |
Fonctions/ports/protocoles/services utilisés
ID : FedRAMP High SA-4 (9) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Exiger du développeur qu’il identifie les ports, protocoles et services SDLC | CMA_C1578 – Exiger du développeur qu’il identifie les ports, protocoles et services SDLC | Manuel, désactivé | 1.1.0 |
Utilisation des produits de vérification d’identité personnelle approuvés
ID : FedRAMP High SA-4 (10) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Utiliser une technologie approuvée par FIPS 201 pour PIV | CMA_C1579 – Utiliser une technologie approuvée par FIPS 201 pour PIV | Manuel, désactivé | 1.1.0 |
Documentation du système d’information
ID : FedRAMP High SA-5 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Distribuer la documentation du système d’information | CMA_C1584 - Distribuer la documentation du système d’information | Manuel, désactivé | 1.1.0 |
Documenter les actions définies par le client | CMA_C1582 - Documenter les actions définies par le client | Manuel, désactivé | 1.1.0 |
Obtenir la documentation sur l’administration | CMA_C1580 - Obtenir la documentation sur l’administration | Manuel, désactivé | 1.1.0 |
Obtenir la documentation sur la fonction de sécurité utilisateur | CMA_C1581 - Obtenir la documentation sur la fonction de sécurité utilisateur | Manuel, désactivé | 1.1.0 |
Protéger la documentation de l’administrateur et de l’utilisateur | CMA_C1583 - Protéger la documentation de l’administrateur et de l’utilisateur | Manuel, désactivé | 1.1.0 |
Services de système d’information externes
ID : FedRAMP High SA-9 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Définir et documenter la supervision du secteur public | CMA_C1587 - Définir et documenter la supervision du secteur public | Manuel, désactivé | 1.1.0 |
Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes | CMA_C1586 - Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes | Manuel, désactivé | 1.1.0 |
Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats | CMA_0469 - Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats | Manuel, désactivé | 1.1.0 |
Faire l’objet d’une révision de sécurité indépendante | CMA_0515 - Faire l’objet d’une révision de sécurité indépendante | Manuel, désactivé | 1.1.0 |
Évaluation des risques/approbations organisationnelles
ID : FedRAMP High SA-9 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les risques dans les relations avec les tiers | CMA_0014 - Évaluer les risques dans les relations avec les tiers | Manuel, désactivé | 1.1.0 |
Obtenir des approbations pour les acquisitions et les acquisitions | CMA_C1590 – Obtenir des approbations pour les acquisitions et les acquisitions | Manuel, désactivé | 1.1.0 |
Identification des fonctions/ports/protocoles/services
ID : FedRAMP High SA-9 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Identifier les fournisseurs de services externes | CMA_C1591 - Identifier les fournisseurs de services externes | Manuel, désactivé | 1.1.0 |
Intérêts cohérents des consommateurs et des fournisseurs
ID : FedRAMP High SA-9 (4) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
S’assurer que les fournisseurs externes répondent de manière cohérente aux intérêts des clients | CMA_C1592 - S’assurer que les fournisseurs externes répondent systématiquement aux intérêts des clients | Manuel, désactivé | 1.1.0 |
Traitement, Stockage et Emplacement du service
ID : FedRAMP High SA-9 (5) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Restreindre l’emplacement du traitement des informations, du stockage et des services | CMA_C1593 – Restreindre l’emplacement du traitement des informations, du stockage et des services | Manuel, désactivé | 1.1.0 |
Gestion de configuration par le développeur
ID : FedRAMP High SA-10 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Résoudre les vulnérabilités de codage | CMA_0003 - Résoudre les vulnérabilités de codage | Manuel, désactivé | 1.1.0 |
Développer et documenter les exigences de sécurité des applications | CMA_0148 - Développer et documenter les exigences de sécurité des applications | Manuel, désactivé | 1.1.0 |
Documenter l’environnement du système d’information dans les contrats d’acquisition | CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Établir un programme de développement de logiciels sécurisés | CMA_0259 - Établir un programme de développement de logiciels sécurisés | Manuel, désactivé | 1.1.0 |
Effectuer des analyses de vulnérabilité | CMA_0393 – Effectuer des analyses de vulnérabilité | Manuel, désactivé | 1.1.0 |
Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Exiger des développeurs qu’ils documentent les modifications approuvées et l’impact potentiel | CMA_C1597 - Exiger des développeurs qu’ils documentent les modifications approuvées et l’impact potentiel | Manuel, désactivé | 1.1.0 |
Exiger des développeurs qu’ils implémentent seulement les modifications approuvées | CMA_C1596 - Exiger des développeurs qu’ils implémentent seulement les modifications approuvées | Manuel, désactivé | 1.1.0 |
Exiger des développeurs qu’ils gèrent l’intégrité des modifications | CMA_C1595 - Exiger des développeurs qu’ils gèrent l’intégrité des modifications | Manuel, désactivé | 1.1.0 |
Vérification de l’intégrité des logiciels/microprogrammes
ID : FedRAMP High SA-10 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Vérifier l’intégrité des logiciels, des microprogrammes et des informations | CMA_0542 – Vérifier l’intégrité des logiciels, des microprogrammes et des informations | Manuel, désactivé | 1.1.0 |
Test et évaluation de la sécurité par le développeur
ID : FedRAMP High SA-11 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Effectuer des analyses de vulnérabilité | CMA_0393 – Effectuer des analyses de vulnérabilité | Manuel, désactivé | 1.1.0 |
Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Exiger des développeurs qu’ils produisent une preuve de l’exécution du plan d’évaluation de la sécurité | CMA_C1602 - Exiger des développeurs qu’ils produisent une preuve de l’exécution du plan d’évaluation de la sécurité | Manuel, désactivé | 1.1.0 |
Protection de la chaîne d’approvisionnement
ID : FedRAMP High SA-12 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les risques dans les relations avec les tiers | CMA_0014 - Évaluer les risques dans les relations avec les tiers | Manuel, désactivé | 1.1.0 |
Définir les exigences pour la fourniture de biens et de services | CMA_0126 - Définir les exigences pour la fourniture de biens et de services | Manuel, désactivé | 1.1.0 |
Déterminer les obligations des contrats fournisseur | CMA_0140 - Déterminer les obligations des contrats fournisseur | Manuel, désactivé | 1.1.0 |
Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement | CMA_0275 - Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement | Manuel, désactivé | 1.1.0 |
Outils, normes et processus de développement
ID : FedRAMP High SA-15 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Passer en revue le processus, les standards et les outils de développement | CMA_C1610 - Passer en revue le processus, les standards et les outils de développement | Manuel, désactivé | 1.1.0 |
Formation fournie par le développeur
ID : FedRAMP High SA-16 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Exiger des développeurs qu’ils fournissent une formation | CMA_C1611 – Exiger des développeurs qu’ils fournissent une formation | Manuel, désactivé | 1.1.0 |
Conception et architecture de sécurité du développeur
ID : FedRAMP High SA-17 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Exiger des développeurs qu’ils créent une architecture de sécurité | CMA_C1612 - Exiger des développeurs qu’ils créent une architecture de sécurité | Manuel, désactivé | 1.1.0 |
Exiger des développeurs qu’ils décrivent des fonctionnalités de sécurité précises | CMA_C1613 - Exiger des développeurs qu’ils décrivent des fonctionnalités de sécurité précises | Manuel, désactivé | 1.1.0 |
Exiger des développeurs qu’ils fournissent une approche unifiée de protection de la sécurité | CMA_C1614 - Exiger des développeurs qu’ils fournissent une approche unifiée de protection de la sécurité | Manuel, désactivé | 1.1.0 |
Protection du système et des communications
Stratégie et procédures de protection du système et des communications
ID : FedRAMP High SC-1 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Examiner et mettre à jour les stratégies et procédures de protection du système et des communications | CMA_C1616 - Examiner et mettre à jour les stratégies et procédures de protection du système et des communications | Manuel, désactivé | 1.1.0 |
Partitionnement d’application
ID : FedRAMP High SC-2 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Autoriser l’accès à distance | CMA_0024 – Autoriser l’accès à distance | Manuel, désactivé | 1.1.0 |
Séparer les fonctionnalités de gestion des utilisateurs et des systèmes d’information | CMA_0493 - Séparer les fonctionnalités de gestion des utilisateurs et des systèmes d’information | Manuel, désactivé | 1.1.0 |
Utiliser des machines dédiées pour les tâches d’administration | CMA_0527 - Utiliser des machines dédiées pour les tâches d’administration | Manuel, désactivé | 1.1.0 |
Isolation des fonctions de sécurité
ID : FedRAMP High SC-3 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
Windows Defender Exploit Guard doit être activé sur vos machines | Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement). | AuditIfNotExists, Désactivé | 2.0.0 |
Protection contre le déni de service
ID : FedRAMP High SC-5 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Azure DDoS Protection doit être activé | La protection DDoS doit être activée pour tous les réseaux virtuels avec un sous-réseau qui fait partie d’une passerelle applicative avec une adresse IP publique. | AuditIfNotExists, Désactivé | 3.0.1 |
Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door | Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. | Audit, Refuser, Désactivé | 1.0.2 |
Développer et documenter un plan de réponse DDoS | CMA_0147 – Développer et documenter un plan de réponse DDoS | Manuel, désactivé | 1.1.0 |
Le transfert IP doit être désactivé sur votre machine virtuelle | L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. | AuditIfNotExists, Désactivé | 3.0.0 |
Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway | Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. | Audit, Refuser, Désactivé | 2.0.0 |
Disponibilité des ressources
ID : FedRAMP High SC-6 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Gouverner l’allocation des ressources | CMA_0293 - Gouverner l’allocation des ressources | Manuel, désactivé | 1.1.0 |
Gérer la disponibilité et la capacité | CMA_0356 – Gérer la disponibilité et la capacité | Manuel, désactivé | 1.1.0 |
Sécuriser l’engagement de la part de la direction | CMA_0489 - Sécuriser l’engagement de la part de la direction | Manuel, désactivé | 1.1.0 |
Protection de la limite
ID : FedRAMP High SC-7 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
[Déconseillé] : Les services Recherche cognitive Azure doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Désactivé | 1.0.1-deprecated |
[Déconseillé] : Cognitive Services doit utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Désactivé | 3.0.1-deprecated |
[Préversion] : L’ensemble du trafic Internet doit transiter par votre Pare-feu Azure déployé | Azure Security Center a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge | AuditIfNotExists, Désactivé | 3.0.0-preview |
[Préversion] : L’accès public au compte de stockage doit être interdit | L’accès en lecture public anonyme aux conteneurs et aux blobs dans Stockage Azure est un moyen pratique de partager des données, mais peut présenter des risques pour la sécurité. Pour éviter les violations de données provoquées par un accès anonyme non souhaité, Microsoft recommande d’empêcher l’accès public à un compte de stockage, sauf si votre scénario l’exige. | audit, Audit, refus, Refus, désactivé, Désactivé | 3.1.0-preview |
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. | AuditIfNotExists, Désactivé | 3.0.0 |
Les services Gestion des API doivent utiliser un réseau virtuel | Le déploiement d’un réseau virtuel Azure offre une sécurité renforcée et une isolation, et vous permet de placer votre service Gestion des API dans un réseau routable non-Internet auquel vous contrôlez l’accès. Ces réseaux peuvent ensuite être connectés à vos réseaux locaux à l’aide de différentes technologies VPN, ce qui permet d’accéder à vos services back-end au sein du réseau et/ou localement. Le portail des développeurs et la passerelle API peuvent être configurés pour être accessibles depuis Internet ou uniquement au sein du réseau virtuel. | Audit, Refuser, Désactivé | 1.0.2 |
App Configuration doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Désactivé | 1.0.2 |
Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes | Limitez l’accès à l’API Gestion des services Kubernetes en n’accordant l’accès à l’API qu’à des adresses IP de plages spécifiques. Nous vous recommandons de limiter l’accès aux plages d’adresses IP autorisées afin d’être sûr que seules les applications des réseaux autorisés puissent accéder au cluster. | Audit, Désactivé | 2.0.1 |
Les ressources Azure AI Services doivent limiter l’accès réseau | En limitant l’accès réseau, vous pouvez vous assurer que seuls les réseaux autorisés peuvent accéder au service. Pour ce faire, configurez des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder au service Azure AI. | Audit, Refuser, Désactivé | 3.2.0 |
API Azure pour FHIR doit utiliser une liaison privée | API Azure pour FHIR doit avoir au moins une connexion de point de terminaison privé approuvée. Les clients d’un réseau virtuel peuvent accéder de façon sécurisée aux ressources qui ont des connexions de point de terminaison privés via des liens privés. Pour plus d’informations, consultez https://aka.ms/fhir-privatelink. | Audit, Désactivé | 1.0.0 |
Azure Cache pour Redis doit utiliser une liaison privée | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Désactivé | 1.0.0 |
Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées | Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Refuser, Désactivé | 1.0.0 |
Les services Recherche cognitive Azure doivent désactiver l’accès réseau public | La désactivation de l’accès au réseau public améliore la sécurité en s’assurant que votre service Recherche cognitive Azure n’est pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre service de recherche. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Refuser, Désactivé | 1.0.0 |
Les comptes Azure Cosmos DB doivent avoir des règles de pare-feu | Les règles de pare-feu doivent être définies dans vos comptes Azure Cosmos DB pour empêcher le trafic provenant de sources non autorisées. Les comptes qui possèdent au moins une règle IP définie avec le filtre de réseau virtuel activé sont considérés comme conformes. Les comptes qui désactivent l’accès public sont également jugés conformes. | Audit, Refuser, Désactivé | 2.1.0 |
Azure Data Factory doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Désactivé | 1.0.0 |
Les domaines Azure Event Grid doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Audit, Désactivé | 1.0.2 |
Les rubriques Azure Event Grid doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Audit, Désactivé | 1.0.2 |
Azure File Sync doit utiliser une liaison privée | La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public. | AuditIfNotExists, Désactivé | 1.0.0 |
Le pare-feu doit être activé pour Azure Key Vault | Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez éventuellement configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Refuser, Désactivé | 3.2.1 |
Les coffres de clés Azure doivent utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
Les espaces de travail Azure Machine Learning doivent utiliser un lien privé | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Désactivé | 1.0.0 |
Les espaces de noms Azure Service Bus doivent utiliser la liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Désactivé | 1.0.0 |
Azure SignalR Service doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink. | Audit, Désactivé | 1.0.0 |
Les espaces de travail Azure Synapse doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Désactivé | 1.0.1 |
Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door | Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. | Audit, Refuser, Désactivé | 1.0.2 |
Le service Azure Web PubSub doit utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service Azure Web PubSub, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/awps/privatelink. | Audit, Désactivé | 1.0.0 |
Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint | Par défaut, les registres de conteneurs Azure acceptent les connexions via Internet à partir d’hôtes situés sur n’importe quel réseau. Pour protéger vos registres des menaces potentielles, autorisez l’accès uniquement à partir de points de terminaison privés, d’adresses ou de plages d’adresses IP publiques spécifiques. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. Découvrez plus en détail les règles réseau de Container Registry ici : https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network et https://aka.ms/acr/vnet. | Audit, Refuser, Désactivé | 2.0.0 |
Les registres de conteneurs doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. | Audit, Désactivé | 1.0.1 |
Les comptes CosmosDB doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Désactivé | 1.0.0 |
Les ressources d’accès au disque doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Désactivé | 1.0.0 |
Les espaces de noms Event Hub doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Désactivé | 1.0.0 |
Implémenter la protection des limites des systèmes | CMA_0328 - Implémenter la protection des limites des systèmes | Manuel, désactivé | 1.1.0 |
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet. | Audit, Désactivé | 1.0.0 |
Le transfert IP doit être désactivé sur votre machine virtuelle | L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. | AuditIfNotExists, Désactivé | 3.0.0 |
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
Les ports de gestion doivent être fermés sur vos machines virtuelles | Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. | AuditIfNotExists, Désactivé | 3.0.0 |
Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. | Audit, Désactivé | 1.1.0 |
Le point de terminaison privé doit être activé pour les serveurs MariaDB | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database for MariaDB privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
Le point de terminaison privé doit être activé pour les serveurs MySQL | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour MySQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
Le point de terminaison privé doit être activé pour les serveurs PostgreSQL | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour PostgreSQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
L’accès au réseau public sur Azure SQL Database doit être désactivé | Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 1.1.0 |
L’accès au réseau public doit être désactivé pour les serveurs MariaDB | Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database for MariaDB n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 2.0.0 |
L’accès au réseau public doit être désactivé pour les serveurs MySQL | Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour MySQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 2.0.0 |
L’accès au réseau public doit être désactivé pour les serveurs PostgreSQL | Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour PostgreSQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 2.0.1 |
Les comptes de stockage doivent limiter l’accès réseau | L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. | Audit, Refuser, Désactivé | 1.1.1 |
Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau | Protégez vos comptes de stockage contre les menaces potentielles en utilisant des règles de réseau virtuel comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les IP publiques d’accéder à vos comptes de stockage. | Audit, Refuser, Désactivé | 1.0.1 |
Les comptes de stockage doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Désactivé | 2.0.0 |
les sous-réseaux doivent être associés à un groupe de sécurité réseau | Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. | AuditIfNotExists, Désactivé | 3.0.0 |
Les modèles VM Image Builder doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos ressources de création VM Image Builder, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Désactivé, Refus | 1.1.0 |
Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway | Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. | Audit, Refuser, Désactivé | 2.0.0 |
Points d’accès
ID : FedRAMP High SC-7 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
[Déconseillé] : Les services Recherche cognitive Azure doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Désactivé | 1.0.1-deprecated |
[Déconseillé] : Cognitive Services doit utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Désactivé | 3.0.1-deprecated |
[Préversion] : L’ensemble du trafic Internet doit transiter par votre Pare-feu Azure déployé | Azure Security Center a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge | AuditIfNotExists, Désactivé | 3.0.0-preview |
[Préversion] : L’accès public au compte de stockage doit être interdit | L’accès en lecture public anonyme aux conteneurs et aux blobs dans Stockage Azure est un moyen pratique de partager des données, mais peut présenter des risques pour la sécurité. Pour éviter les violations de données provoquées par un accès anonyme non souhaité, Microsoft recommande d’empêcher l’accès public à un compte de stockage, sauf si votre scénario l’exige. | audit, Audit, refus, Refus, désactivé, Désactivé | 3.1.0-preview |
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. | AuditIfNotExists, Désactivé | 3.0.0 |
Les services Gestion des API doivent utiliser un réseau virtuel | Le déploiement d’un réseau virtuel Azure offre une sécurité renforcée et une isolation, et vous permet de placer votre service Gestion des API dans un réseau routable non-Internet auquel vous contrôlez l’accès. Ces réseaux peuvent ensuite être connectés à vos réseaux locaux à l’aide de différentes technologies VPN, ce qui permet d’accéder à vos services back-end au sein du réseau et/ou localement. Le portail des développeurs et la passerelle API peuvent être configurés pour être accessibles depuis Internet ou uniquement au sein du réseau virtuel. | Audit, Refuser, Désactivé | 1.0.2 |
App Configuration doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Désactivé | 1.0.2 |
Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes | Limitez l’accès à l’API Gestion des services Kubernetes en n’accordant l’accès à l’API qu’à des adresses IP de plages spécifiques. Nous vous recommandons de limiter l’accès aux plages d’adresses IP autorisées afin d’être sûr que seules les applications des réseaux autorisés puissent accéder au cluster. | Audit, Désactivé | 2.0.1 |
Les ressources Azure AI Services doivent limiter l’accès réseau | En limitant l’accès réseau, vous pouvez vous assurer que seuls les réseaux autorisés peuvent accéder au service. Pour ce faire, configurez des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder au service Azure AI. | Audit, Refuser, Désactivé | 3.2.0 |
API Azure pour FHIR doit utiliser une liaison privée | API Azure pour FHIR doit avoir au moins une connexion de point de terminaison privé approuvée. Les clients d’un réseau virtuel peuvent accéder de façon sécurisée aux ressources qui ont des connexions de point de terminaison privés via des liens privés. Pour plus d’informations, consultez https://aka.ms/fhir-privatelink. | Audit, Désactivé | 1.0.0 |
Azure Cache pour Redis doit utiliser une liaison privée | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Désactivé | 1.0.0 |
Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées | Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Refuser, Désactivé | 1.0.0 |
Les services Recherche cognitive Azure doivent désactiver l’accès réseau public | La désactivation de l’accès au réseau public améliore la sécurité en s’assurant que votre service Recherche cognitive Azure n’est pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre service de recherche. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Refuser, Désactivé | 1.0.0 |
Les comptes Azure Cosmos DB doivent avoir des règles de pare-feu | Les règles de pare-feu doivent être définies dans vos comptes Azure Cosmos DB pour empêcher le trafic provenant de sources non autorisées. Les comptes qui possèdent au moins une règle IP définie avec le filtre de réseau virtuel activé sont considérés comme conformes. Les comptes qui désactivent l’accès public sont également jugés conformes. | Audit, Refuser, Désactivé | 2.1.0 |
Azure Data Factory doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Désactivé | 1.0.0 |
Les domaines Azure Event Grid doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Audit, Désactivé | 1.0.2 |
Les rubriques Azure Event Grid doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Audit, Désactivé | 1.0.2 |
Azure File Sync doit utiliser une liaison privée | La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public. | AuditIfNotExists, Désactivé | 1.0.0 |
Le pare-feu doit être activé pour Azure Key Vault | Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez éventuellement configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Refuser, Désactivé | 3.2.1 |
Les coffres de clés Azure doivent utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
Les espaces de travail Azure Machine Learning doivent utiliser un lien privé | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Désactivé | 1.0.0 |
Les espaces de noms Azure Service Bus doivent utiliser la liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Désactivé | 1.0.0 |
Azure SignalR Service doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink. | Audit, Désactivé | 1.0.0 |
Les espaces de travail Azure Synapse doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Désactivé | 1.0.1 |
Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door | Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. | Audit, Refuser, Désactivé | 1.0.2 |
Le service Azure Web PubSub doit utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service Azure Web PubSub, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/awps/privatelink. | Audit, Désactivé | 1.0.0 |
Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint | Par défaut, les registres de conteneurs Azure acceptent les connexions via Internet à partir d’hôtes situés sur n’importe quel réseau. Pour protéger vos registres des menaces potentielles, autorisez l’accès uniquement à partir de points de terminaison privés, d’adresses ou de plages d’adresses IP publiques spécifiques. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. Découvrez plus en détail les règles réseau de Container Registry ici : https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network et https://aka.ms/acr/vnet. | Audit, Refuser, Désactivé | 2.0.0 |
Les registres de conteneurs doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. | Audit, Désactivé | 1.0.1 |
Les comptes CosmosDB doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Désactivé | 1.0.0 |
Les ressources d’accès au disque doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Désactivé | 1.0.0 |
Les espaces de noms Event Hub doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Désactivé | 1.0.0 |
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet. | Audit, Désactivé | 1.0.0 |
Le transfert IP doit être désactivé sur votre machine virtuelle | L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. | AuditIfNotExists, Désactivé | 3.0.0 |
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
Les ports de gestion doivent être fermés sur vos machines virtuelles | Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. | AuditIfNotExists, Désactivé | 3.0.0 |
Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. | Audit, Désactivé | 1.1.0 |
Le point de terminaison privé doit être activé pour les serveurs MariaDB | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database for MariaDB privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
Le point de terminaison privé doit être activé pour les serveurs MySQL | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour MySQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
Le point de terminaison privé doit être activé pour les serveurs PostgreSQL | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour PostgreSQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
L’accès au réseau public sur Azure SQL Database doit être désactivé | Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 1.1.0 |
L’accès au réseau public doit être désactivé pour les serveurs MariaDB | Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database for MariaDB n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 2.0.0 |
L’accès au réseau public doit être désactivé pour les serveurs MySQL | Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour MySQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 2.0.0 |
L’accès au réseau public doit être désactivé pour les serveurs PostgreSQL | Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour PostgreSQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 2.0.1 |
Les comptes de stockage doivent limiter l’accès réseau | L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. | Audit, Refuser, Désactivé | 1.1.1 |
Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau | Protégez vos comptes de stockage contre les menaces potentielles en utilisant des règles de réseau virtuel comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les IP publiques d’accéder à vos comptes de stockage. | Audit, Refuser, Désactivé | 1.0.1 |
Les comptes de stockage doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Désactivé | 2.0.0 |
les sous-réseaux doivent être associés à un groupe de sécurité réseau | Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. | AuditIfNotExists, Désactivé | 3.0.0 |
Les modèles VM Image Builder doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos ressources de création VM Image Builder, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Désactivé, Refus | 1.1.0 |
Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway | Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. | Audit, Refuser, Désactivé | 2.0.0 |
Services de télécommunications externes
ID : FedRAMP High SC-7 (4) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter une interface managée pour chaque service externe | CMA_C1626 - Implémenter une interface managée pour chaque service externe | Manuel, désactivé | 1.1.0 |
Implémenter la protection des limites des systèmes | CMA_0328 - Implémenter la protection des limites des systèmes | Manuel, désactivé | 1.1.0 |
Sécuriser l’interface pour les systèmes externes | CMA_0491 - Sécuriser l’interface pour les systèmes externes | Manuel, désactivé | 1.1.0 |
Empêcher le tunneling fractionné pour les appareils distants
ID : FedRAMP High SC-7 (7) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Empêcher le tunneling fractionné pour les appareils distants | CMA_C1632 - Empêcher le tunneling fractionné pour les appareils distants | Manuel, désactivé | 1.1.0 |
Acheminer le trafic aux serveurs proxy authentifiés
ID : FedRAMP High SC-7 (8) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Acheminer le trafic via un réseau proxy authentifié | CMA_C1633 - Acheminer le trafic via un réseau proxy authentifié | Manuel, désactivé | 1.1.0 |
Protection basée sur l’hôte
ID : FedRAMP High SC-7 (12) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter la protection des limites des systèmes | CMA_0328 - Implémenter la protection des limites des systèmes | Manuel, désactivé | 1.1.0 |
Isolation des outils de sécurité/mécanismes/composants de support
ID : FedRAMP High SC-7 (13) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Isoler les systèmes SecurID et les systèmes de gestion des incidents de sécurité | CMA_C1636 - Isoler les systèmes SecurID et les systèmes de gestion des incidents de sécurité | Manuel, désactivé | 1.1.0 |
Échec en toute sécurité
ID : FedRAMP High SC-7 (18) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter la protection des limites des systèmes | CMA_0328 - Implémenter la protection des limites des systèmes | Manuel, désactivé | 1.1.0 |
Gérer les transferts entre les composants système actifs et de secours | CMA_0371 - Gérer les transferts entre les composants système actifs et en attente | Manuel, désactivé | 1.1.0 |
Isolation/ségrégation dynamique
ID : FedRAMP High SC-7 (20) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Vérifier que le système est capable d’isoler dynamiquement les ressources | CMA_C1638 – Vérifiez que le système est capable d’isoler dynamiquement les ressources | Manuel, désactivé | 1.1.0 |
Isolation des composants du système informatique
ID : FedRAMP High SC-7 (21) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Utiliser la protection des limites pour isoler les systèmes d’information | CMA_C1639 - Utiliser la protection des limites pour isoler les systèmes d’information | Manuel, désactivé | 1.1.0 |
Confidentialité et intégrité des transmissions
ID : FedRAMP High SC-8 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Les applications App Service doivent être accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 4.0.0 |
Les applications App Service doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.0.0 |
Les applications App Service doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.0.1 |
Les clusters Azure HDInsight doivent utiliser le chiffrement en transit pour chiffrer la communication entre les nœuds de cluster Azure HDInsight | Les données peuvent être falsifiées pendant leur transmission entre les nœuds de cluster Azure HDInsight. L’activation du chiffrement en transit résout les problèmes d’utilisation abusive et de falsification des données pendant leur transmission. | Audit, Refuser, Désactivé | 1.0.0 |
L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL | La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, Désactivé | 1.0.1 |
L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL | Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, Désactivé | 1.0.1 |
Les applications Function App ne doivent être accessibles que via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 5.0.0 |
Les applications de fonction doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.0.0 |
Les applications de fonctions doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.0.1 |
Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS | L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Cette capacité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc | audit, Audit, refus, Refus, désactivé, Désactivé | 8.2.0 |
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées | Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). | Audit, Refuser, Désactivé | 1.0.0 |
Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
Protéger les mots de passe avec le chiffrement | CMA_0408 – Protéger les mots de passe avec le chiffrement | Manuel, désactivé | 1.1.0 |
La sécurisation du transfert vers des comptes de stockage doit être activée | Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) | Audit, Refuser, Désactivé | 2.0.0 |
Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. | AuditIfNotExists, Désactivé | 4.1.1 |
Protection par chiffrement ou autre protection physique
ID : FedRAMP High SC-8 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Les applications App Service doivent être accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 4.0.0 |
Les applications App Service doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.0.0 |
Les applications App Service doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.0.1 |
Les clusters Azure HDInsight doivent utiliser le chiffrement en transit pour chiffrer la communication entre les nœuds de cluster Azure HDInsight | Les données peuvent être falsifiées pendant leur transmission entre les nœuds de cluster Azure HDInsight. L’activation du chiffrement en transit résout les problèmes d’utilisation abusive et de falsification des données pendant leur transmission. | Audit, Refuser, Désactivé | 1.0.0 |
Configurer des stations de travail pour rechercher des certificats numériques | CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques | Manuel, désactivé | 1.1.0 |
L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL | La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, Désactivé | 1.0.1 |
L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL | Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, Désactivé | 1.0.1 |
Les applications Function App ne doivent être accessibles que via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 5.0.0 |
Les applications de fonction doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.0.0 |
Les applications de fonctions doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.0.1 |
Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS | L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Cette capacité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc | audit, Audit, refus, Refus, désactivé, Désactivé | 8.2.0 |
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées | Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). | Audit, Refuser, Désactivé | 1.0.0 |
La sécurisation du transfert vers des comptes de stockage doit être activée | Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) | Audit, Refuser, Désactivé | 2.0.0 |
Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. | AuditIfNotExists, Désactivé | 4.1.1 |
Déconnexion réseau
ID : FedRAMP High SC-10 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Réauthentifier ou mettre fin à une session utilisateur | CMA_0421 - Réauthentifier ou mettre fin à une session utilisateur | Manuel, désactivé | 1.1.0 |
Établissement et gestion de clés de chiffrement
ID : FedRAMP High SC-12 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
[Préversion] : les coffres Azure Recovery Services doivent utiliser des clés gérées par le client pour chiffrer les données de sauvegarde | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos données de sauvegarde. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/AB-CmkEncryption. | Audit, Refuser, Désactivé | 1.0.0-preview |
[Préversion] : Les données du service d’approvisionnement d’appareils IoT Hub doivent être chiffrées à l’aide de clés gérées par le client (CMK) | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre service d’approvisionnement d’appareils IoT Hub. Les données sont automatiquement chiffrées au repos avec des clés gérées par le service, mais des clés gérées par le client (CMK) sont généralement requises pour répondre aux normes de conformité réglementaire. Les CMK permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Pour en savoir plus sur le chiffrement par clés gérées par le client, consultez https://aka.ms/dps/CMK. | Audit, Refuser, Désactivé | 1.0.0-preview |
Les ressources Azure AI Services doivent chiffrer les données au repos avec une clé gérée par le client (CMK) | L’utilisation de clés gérées par le client pour chiffrer les données au repos offre un meilleur contrôle sur le cycle de vie des clés, notamment la rotation et la gestion. Cela est particulièrement pertinent pour les organisations ayant des exigences de conformité associées. Cela n’est pas évalué par défaut et doit être appliqué uniquement en cas d’exigences de stratégie restrictives ou de conformité. Si cette option n’est pas activée, les données sont chiffrées à l’aide de clés gérées par la plateforme. Pour implémenter cela, mettez à jour le paramètre « Effet » dans la stratégie de sécurité pour l’étendue applicable. | Audit, Refuser, Désactivé | 2.2.0 |
API Azure pour FHIR doit utiliser une clé gérée par le client pour chiffrer les données au repos | Utilisez une clé gérée par le client pour contrôler le chiffrement au repos des données stockées dans API Azure pour FHIR lorsqu’il s’agit d’une exigence réglementaire ou de conformité. Les clés gérées par le client fournissent également un double chiffrement en ajoutant une deuxième couche de chiffrement en plus du chiffrement par défaut effectué avec les clés gérées par le service. | audit, Audit, désactivé, Désactivé | 1.1.0 |
Les comptes Azure Automation doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos comptes Azure Automation. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/automation-cmk. | Audit, Refuser, Désactivé | 1.0.0 |
Le compte Azure Batch doit utiliser des clés gérées par le client pour chiffrer les données | Utilisez des clés gérées par le client pour gérer le chiffrement au repos des données de votre compte Batch. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/Batch-CMK. | Audit, Refuser, Désactivé | 1.0.1 |
Le groupe de conteneurs Azure Container Instances doit utiliser une clé gérée par le client pour le chiffrement | Sécurisez vos conteneurs avec plus de flexibilité à l’aide de clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. | Audit, Désactivé, Refus | 1.0.0 |
Les comptes Azure Cosmos DB doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre compte Azure Cosmos DB. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/cosmosdb-cmk. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
Les travaux Azure Data Box doivent utiliser une clé gérée par le client pour chiffrer le mot de passe de déverrouillage de l’appareil | Utilisez une clé gérée par le client pour contrôler le chiffrement du mot de passe de déverrouillage de l’appareil pour Azure Data Box. Les clés gérées par le client permettent également de gérer l’accès au mot de passe de déverrouillage de l’appareil par le service Data Box afin de préparer l’appareil et de copier des données de manière automatisée. Les données situées sur l’appareil lui-même sont déjà chiffrées au repos par un chiffrement Advanced Encryption Standard 256 bits, et le mot de passe de déverrouillage de l’appareil est chiffré par défaut avec une clé gérée par Microsoft. | Audit, Refuser, Désactivé | 1.0.0 |
Le chiffrement au repos Azure Data Explorer doit utiliser une clé gérée par le client | Le fait d’activer le chiffrement au repos à l’aide d’une clé gérée par le client dans votre cluster Azure Data Explorer vous offre un contrôle supplémentaire sur cette clé. Cette fonctionnalité est souvent utilisée par les clients qui ont des exigences particulières au niveau de la conformité. Par ailleurs, elle nécessite un coffre de clés pour la gestion des clés. | Audit, Refuser, Désactivé | 1.0.0 |
Les fabriques de données Azure doivent être chiffrées avec une clé gérée par le client | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre instance Azure Data Factory. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/adf-cmk. | Audit, Refuser, Désactivé | 1.0.1 |
Les clusters Azure HDInsight doivent utiliser les clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos clusters Azure HDInsight. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/hdi.cmk. | Audit, Refuser, Désactivé | 1.0.1 |
Les clusters Azure HDInsight doivent utiliser le chiffrement sur l’hôte pour chiffrer les données au repos | Le fait d’activer le chiffrement sur l’hôte vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque vous activez le chiffrement sur l'hôte, les données stockées sur l'hôte de machine virtuelle sont chiffrées au repos et les flux sont chiffrés dans le service de stockage. | Audit, Refuser, Désactivé | 1.0.0 |
Les espaces de travail Azure Machine Learning doivent être chiffrés au moyen d’une clé gérée par le client | Gérez le chiffrement au repos des données de votre espace de travail Azure Machine Learning à l’aide de clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/azureml-workspaces-cmk. | Audit, Refuser, Désactivé | 1.1.0 |
Les clusters de journaux Azure Monitor doivent être chiffrés avec une clé gérée par le client | Créez un cluster de journaux Azure Monitor avec un chiffrement au moyen de clés gérées par le client. Par défaut, les données des journaux sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre à la conformité réglementaire. La clé gérée par le client dans Azure Monitor vous donne davantage de contrôle sur l’accès à vos données ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
Les travaux de Azure Stream Analytics doivent utiliser des clés gérées par le client pour chiffrer les données | Utilisez des clés gérées par le client pour stocker de manière sécurisée les ressources de métadonnées et de données privées de vos travaux Stream Analytics dans votre compte de stockage. Cela vous permet de contrôler totalement la manière dont vos données Stream Analytics sont chiffrées. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
Les espaces de travail Azure Synapse doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour contrôler le chiffrement au repos des données stockées dans des espaces de travail Azure synapse. Les clés gérées par le client fournissent un double chiffrement en ajoutant une deuxième couche de chiffrement en plus du chiffrement par défaut avec les clés gérées par le service. | Audit, Refuser, Désactivé | 1.0.0 |
Bot Service doit être chiffré avec une clé gérée par le client | Azure Bot Service chiffre automatiquement votre ressource pour protéger vos données et satisfaire aux engagements de sécurité et de conformité de l’organisation. Par défaut, les clés de chiffrement gérées par Microsoft sont utilisées. Pour une plus grande flexibilité dans la gestion des clés ou le contrôle de l’accès à votre abonnement, sélectionnez des clés gérées par le client, option également appelée Bring Your Own Key (BYOK). En savoir plus sur le chiffrement Azure Bot Service : https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
Les disques de système d’exploitation et de données dans les clusters Azure Kubernetes Service doivent être chiffrés par des clés gérées par le client | Le chiffrement des disques de système d’exploitation et de données à l’aide de clés gérées par le client offre davantage de contrôle et de flexibilité dans la gestion des clés. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. | Audit, Refuser, Désactivé | 1.0.1 |
Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client | Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos registres. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/acr/CMK. | Audit, Refuser, Désactivé | 1.1.2 |
Définir un processus de gestion des clés physiques | CMA_0115 – Définir un processus de gestion des clés physiques | Manuel, désactivé | 1.1.0 |
Définir l’utilisation du chiffrement | CMA_0120 – Définir l’utilisation du chiffrement | Manuel, désactivé | 1.1.0 |
Définir les exigences organisationnelles pour la gestion des clés de chiffrement | CMA_0123 – Définir les exigences organisationnelles pour la gestion des clés de chiffrement | Manuel, désactivé | 1.1.0 |
Déterminer les exigences d’assertion | CMA_0136 – Déterminer les exigences d’assertion | Manuel, désactivé | 1.1.0 |
Les espaces de noms Event Hub doivent utiliser une clé gérée par le client pour le chiffrement | Azure Event Hubs prend en charge le chiffrement des données au repos à l’aide de clés gérées par Microsoft (par défaut) ou de clés gérées par le client. Si vous choisissez de chiffrer les données à l’aide de clés gérées par le client, vous pouvez attribuer, faire pivoter, désactiver et révoquer l’accès aux clés utilisées par Event Hub pour chiffrer les données dans votre espace de noms. Notez qu’Event Hub ne prend en charge que le chiffrement avec des clés gérées par le client pour les espaces de noms dans les clusters dédiés. | Audit, Désactivé | 1.0.0 |
Les comptes HPC Cache doivent utiliser une clé gérée par le client pour le chiffrement | Gérez le chiffrement au repos d’Azure HPC Cache avec des clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. | Audit, Désactivé, Refus | 2.0.0 |
Émettre des certificats de clé publique | CMA_0347 – Émettre des certificats de clé publique | Manuel, désactivé | 1.1.0 |
L’environnement de service d’intégration Logic Apps doit être chiffré avec des clés gérées par le client | Effectuez des déploiements dans un environnement de service d’intégration pour gérer le chiffrement au repos des données Logic Apps avec des clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. | Audit, Refuser, Désactivé | 1.0.0 |
Gérer les clés de chiffrement symétriques | CMA_0367 – Gérer les clés de chiffrement symétriques | Manuel, désactivé | 1.1.0 |
Les disques managés doivent être doublement chiffrés avec des clés gérées par la plateforme et des clés gérées par le client | Les clients sensibles haute sécurité qui sont concernés par les risques associés à un algorithme de chiffrement particulier, une implémentation ou une clé compromise, peuvent choisir une couche supplémentaire de chiffrement à l’aide d’un algorithme/mode de chiffrement différent au niveau de la couche d’infrastructure à l’aide de clés de chiffrement gérées par la plateforme. Les jeux de chiffrement de disque sont requis pour utiliser le chiffrement double. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-doubleEncryption. | Audit, Refuser, Désactivé | 1.0.0 |
Les serveurs MySQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos serveurs MySQL. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. | AuditIfNotExists, Désactivé | 1.0.4 |
Les disques de système d’exploitation et de données doivent être chiffrés avec une clé gérée par le client | Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos disques managés. Par défaut, les données sont chiffrées au repos avec des clés gérées par la plateforme. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-cmk. | Audit, Refuser, Désactivé | 3.0.0 |
Les serveurs PostgreSQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos serveurs PostgreSQL. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. | AuditIfNotExists, Désactivé | 1.0.4 |
Restreindre l’accès aux clés privées | CMA_0445 – Restreindre l’accès aux clés privées | Manuel, désactivé | 1.1.0 |
Les requêtes enregistrées dans Azure Monitor doivent être enregistrées dans le compte de stockage du client pour le chiffrement des journaux | Liez le compte de stockage à un espace de travail Log Analytics pour protéger les requêtes enregistrées avec le chiffrement du compte de stockage. Les clés gérées par le client sont généralement nécessaires pour respecter la conformité réglementaire et pour mieux contrôler l’accès à vos requêtes enregistrées dans Azure Monitor. Pour plus d’informations, consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
Les espaces de noms Service Bus Premium doivent utiliser une clé gérée par le client pour le chiffrement | Azure Service Bus prend en charge le chiffrement des données au repos à l’aide de clés gérées par Microsoft (par défaut) ou de clés gérées par le client. Si vous choisissez de chiffrer les données à l’aide de clés gérées par le client, vous pouvez attribuer, faire pivoter, désactiver et révoquer l’accès aux clés utilisées par Service Bus pour chiffrer les données dans votre espace de noms. Notez que Service Bus ne prend en charge que le chiffrement avec des clés gérées par le client pour les espaces de noms premium. | Audit, Désactivé | 1.0.0 |
Les instances managées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. | Audit, Refuser, Désactivé | 2.0.0 |
Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. | Audit, Refuser, Désactivé | 2.0.1 |
Les étendues de chiffrement des comptes de stockage doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos des étendues de chiffrement des comptes de stockage. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Découvrez-en plus sur les étendues de chiffrement des comptes de stockage à l’adresse https://aka.ms/encryption-scopes-overview. | Audit, Refuser, Désactivé | 1.0.0 |
Les comptes de stockage doivent utiliser une clé gérée par le client pour le chiffrement | Sécurisez votre compte de stockage blob et fichier avec une plus grande flexibilité en utilisant des clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. | Audit, Désactivé | 1.0.3 |
Disponibilité
ID : FedRAMP High SC-12 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Maintenir la disponibilité des informations | CMA_C1644 – Maintenir la disponibilité des informations | Manuel, désactivé | 1.1.0 |
Clés symétriques
ID : FedRAMP High SC-12 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Produire, contrôler et distribuer des clés de chiffrement symétriques | CMA_C1645 – Produire, contrôler et distribuer des clés de chiffrement symétriques | Manuel, désactivé | 1.1.0 |
Clés asymétriques
ID : FedRAMP High SC-12 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Produire, contrôler et distribuer des clés de chiffrement asymétriques | CMA_C1646 - Produire, contrôler et distribuer des clés de chiffrement asymétriques | Manuel, désactivé | 1.1.0 |
Protection par chiffrement
ID : FedRAMP High SC-13 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Définir l’utilisation du chiffrement | CMA_0120 – Définir l’utilisation du chiffrement | Manuel, désactivé | 1.1.0 |
Appareils informatiques collaboratifs
ID : FedRAMP High SC-15 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Notifier explicitement l’utilisation d’appareils informatiques collaboratifs | CMA_C1649 - Notifier explicitement l’utilisation d’appareils informatiques collaboratifs | Manuel, désactivé | 1.1.1 |
Interdire l’activation à distance d’appareils informatiques collaboratifs | CMA_C1648 - Interdire l’activation à distance d’appareils informatiques collaboratifs | Manuel, désactivé | 1.1.0 |
Certificats d’infrastructure de clé publique
ID : FedRAMP High SC-17 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Émettre des certificats de clé publique | CMA_0347 – Émettre des certificats de clé publique | Manuel, désactivé | 1.1.0 |
Code mobile
ID : FedRAMP High SC-18 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Autoriser, surveiller et contrôler l’utilisation des technologies de code mobile | CMA_C1653 - Autoriser, surveiller et contrôler l’utilisation des technologies de code mobile | Manuel, désactivé | 1.1.0 |
Définir des technologies de code mobile acceptables et inacceptables | CMA_C1651 - Définir des technologies de code mobile acceptables et inacceptables | Manuel, désactivé | 1.1.0 |
Établir des restrictions d’utilisation pour les technologies de code mobile | CMA_C1652 – Établir des restrictions d’utilisation pour les technologies de code mobile | Manuel, désactivé | 1.1.0 |
Protocole voix sur IP (VoIP)
ID : FedRAMP High SC-19 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Autoriser, surveiller et contrôler la VoIP | CMA_0025 - Autoriser, surveiller et contrôler la VoIP | Manuel, désactivé | 1.1.0 |
Établir des restrictions d’utilisation VoIP | CMA_0280 – Établir des restrictions d’utilisation de la VoIP | Manuel, désactivé | 1.1.0 |
Service sécurisé de résolution de nom / d’adresse (source faisant autorité)
ID : FedRAMP High SC-20 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter un service d’adresse/nom à tolérance de panne | CMA_0305 - Implémenter un service de nom/adresse à tolérance de panne | Manuel, désactivé | 1.1.0 |
Fournir des services sécurisés de résolution de noms et d’adresses | CMA_0416 - Fournir des services sécurisés de résolution de noms et d’adresses | Manuel, désactivé | 1.1.0 |
Service sécurisé de résolution de nom / d’adresse (outil de résolution récursif ou de mise en cache)
ID : FedRAMP High SC-21 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter un service d’adresse/nom à tolérance de panne | CMA_0305 - Implémenter un service de nom/adresse à tolérance de panne | Manuel, désactivé | 1.1.0 |
Vérifier l’intégrité des logiciels, des microprogrammes et des informations | CMA_0542 – Vérifier l’intégrité des logiciels, des microprogrammes et des informations | Manuel, désactivé | 1.1.0 |
Architecture et provisionnement du service de résolution de nom / d’adresse
ID : FedRAMP High SC-22 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter un service d’adresse/nom à tolérance de panne | CMA_0305 - Implémenter un service de nom/adresse à tolérance de panne | Manuel, désactivé | 1.1.0 |
Authenticité de session
ID : FedRAMP High SC-23 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Configurer des stations de travail pour rechercher des certificats numériques | CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques | Manuel, désactivé | 1.1.0 |
Appliquer des identificateurs de session uniques aléatoires | CMA_0247 – Appliquer des identificateurs de session uniques aléatoires | Manuel, désactivé | 1.1.0 |
Invalider les identificateurs de session lors de la déconnexion
ID : FedRAMP High SC-23 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Invalider les identificateurs de session lors de la déconnexion | CMA_C1661 - Invalider les identificateurs de session lors de la déconnexion | Manuel, désactivé | 1.1.0 |
Échec en état connu
ID : FedRAMP High SC-24 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Vérifier que le système d’informations échoue dans un état connu | CMA_C1662 - Vérifier que le système d’informations échoue dans un état connu | Manuel, désactivé | 1.1.0 |
Protection des informations au repos
ID : FedRAMP High SC-28 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
App Service Environment doit avoir le chiffrement interne activé | Affecter la valeur true à InternalEncryption permet de chiffrer le fichier d’échange, les disques des Workers et le trafic réseau interne entre les front-ends et les Workers dans App Service Environment. Pour plus d’informations, reportez-vous à https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Désactivé | 1.0.1 |
Les variables de compte Automation doivent être chiffrées | Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles | Audit, Refuser, Désactivé | 1.1.0 |
Les travaux Azure Data Box doivent activer le chiffrement double pour les données au repos sur l’appareil | Activez une deuxième couche de chiffrement basé sur un logiciel pour les données au repos sur l’appareil. L’appareil est déjà protégé par un chiffrement Advanced Encryption Standard 256 bits pour les données au repos. Cette option ajoute une deuxième couche de chiffrement des données. | Audit, Refuser, Désactivé | 1.0.0 |
Les clusters de journaux Azure Monitor doivent être créés avec le chiffrement d’infrastructure activé (chiffrement double) | Pour que le chiffrement des données sécurisées soit activé au niveau du service et de l’infrastructure avec deux algorithmes de chiffrement différents et deux clés différentes, utilisez un cluster Azure Monitor dédié. Cette option est activée par défaut quand elle est prise en charge dans la région ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
Les appareils Azure Stack Edge doivent utiliser le chiffrement double | Pour sécuriser les données au repos sur l’appareil, vérifiez qu’elles sont chiffrées doublement, que l’accès aux données est contrôlé et une fois que l’appareil est désactivé, que les données sont effacées de façon sécurisée des disques de données. Le chiffrement double correspond à l’utilisation de deux couches de chiffrement : Chiffrement BitLocker XTS-AES 256 bits sur les volumes de données et chiffrement intégré des disques durs. Pour plus d’informations, consultez la documentation de présentation de la sécurité de l’appareil Azure Stack Edge. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
Le chiffrement de disque doit être activé dans Azure Data Explorer | Le fait d’activer le chiffrement de disque vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. | Audit, Refuser, Désactivé | 2.0.0 |
Le chiffrement double doit être activé dans Azure Data Explorer | Le fait d’activer le chiffrement double vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque le chiffrement double est activé, les données d’un compte de stockage sont chiffrées deux fois : une fois au niveau du service et une fois au niveau de l’infrastructure, avec deux algorithmes de chiffrement différents et deux clés différentes. | Audit, Refuser, Désactivé | 2.0.0 |
Établir une procédure de gestion des fuites de données | CMA_0255 – Établir une procédure de gestion des fuites de données | Manuel, désactivé | 1.1.0 |
Le chiffrement d’infrastructure doit être activé sur les serveurs Azure Database pour MySQL | Activez le chiffrement d’infrastructure pour les serveurs Azure Database pour MySQL garantir une sécurité renforcée des données. Lorsque le chiffrement de l’infrastructure est activé, les données au repos sont chiffrées deux fois à l’aide des clés gérées par Microsoft conformes FIPS 140-2. | Audit, Refuser, Désactivé | 1.0.0 |
Le chiffrement d’infrastructure doit être activé sur les serveurs Azure Database pour PostgreSQL | Activez le chiffrement d’infrastructure pour les serveurs Azure Database pour PostgreSQL garantir une sécurité renforcée des données. Lorsque le chiffrement de l’infrastructure est activé, les données au repos sont chiffrées deux fois à l’aide des clés gérées par Microsoft conformes FIPS 140-2 | Audit, Refuser, Désactivé | 1.0.0 |
Protéger des informations spéciales | CMA_0409 – Protéger des informations spéciales | Manuel, désactivé | 1.1.0 |
La propriété ClusterProtectionLevel doit être définie sur EncryptAndSign pour les clusters Service Fabric | Service Fabric fournit trois niveaux de protection (None, Sign et EncryptAndSign) pour la communication nœud à nœud à l’aide d’un certificat de cluster principal. Définissez le niveau de protection pour vous assurer que tous les messages de nœud à nœud sont chiffrés et signés numériquement | Audit, Refuser, Désactivé | 1.1.0 |
Les comptes de stockage doivent avoir le chiffrement d’infrastructure activé | Activez le chiffrement d’infrastructure pour garantir une sécurité renforcée des données. Quand le chiffrement d’infrastructure est activé, les données d’un compte de stockage sont chiffrées deux fois. | Audit, Refuser, Désactivé | 1.0.0 |
Les disques temporaires et le cache pour les pools de nœuds d’agent dans les clusters Azure Kubernetes Service doivent être chiffrés sur l’hôte | Pour améliorer la sécurité des données, les données stockées sur l’hôte de machine virtuelle de vos machines virtuelles de nœuds Azure Kubernetes Service doivent être chiffrées au repos. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. | Audit, Refuser, Désactivé | 1.0.1 |
Transparent Data Encryption sur les bases de données SQL doit être activé | Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises | AuditIfNotExists, Désactivé | 2.0.0 |
Les machines virtuelles et les groupes de machines virtuelles identiques doivent avoir le chiffrement sur l’hôte activé | Utilisez le chiffrement sur l’hôte pour obtenir un chiffrement de bout en bout pour vos données de machine virtuelle et de groupes de machines virtuelles identiques. Le chiffrement sur l’hôte permet le chiffrement au repos pour votre disque temporaire et les caches du système d’exploitation/disque de données. Les disques de système d’exploitation temporaires et éphémères sont chiffrés avec des clés gérées par la plateforme lorsque le chiffrement sur l’hôte est activé. Les caches du système d’exploitation et du disque de données sont chiffrés au repos avec des clés gérées par le client ou par la plateforme, selon le type de chiffrement sélectionné sur le disque. Pour en savoir plus, rendez-vous sur https://aka.ms/vm-hbe. | Audit, Refuser, Désactivé | 1.0.0 |
Protection par chiffrement
ID : FedRAMP High SC-28 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
App Service Environment doit avoir le chiffrement interne activé | Affecter la valeur true à InternalEncryption permet de chiffrer le fichier d’échange, les disques des Workers et le trafic réseau interne entre les front-ends et les Workers dans App Service Environment. Pour plus d’informations, reportez-vous à https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Désactivé | 1.0.1 |
Les variables de compte Automation doivent être chiffrées | Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles | Audit, Refuser, Désactivé | 1.1.0 |
Les travaux Azure Data Box doivent activer le chiffrement double pour les données au repos sur l’appareil | Activez une deuxième couche de chiffrement basé sur un logiciel pour les données au repos sur l’appareil. L’appareil est déjà protégé par un chiffrement Advanced Encryption Standard 256 bits pour les données au repos. Cette option ajoute une deuxième couche de chiffrement des données. | Audit, Refuser, Désactivé | 1.0.0 |
Les clusters de journaux Azure Monitor doivent être créés avec le chiffrement d’infrastructure activé (chiffrement double) | Pour que le chiffrement des données sécurisées soit activé au niveau du service et de l’infrastructure avec deux algorithmes de chiffrement différents et deux clés différentes, utilisez un cluster Azure Monitor dédié. Cette option est activée par défaut quand elle est prise en charge dans la région ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
Les appareils Azure Stack Edge doivent utiliser le chiffrement double | Pour sécuriser les données au repos sur l’appareil, vérifiez qu’elles sont chiffrées doublement, que l’accès aux données est contrôlé et une fois que l’appareil est désactivé, que les données sont effacées de façon sécurisée des disques de données. Le chiffrement double correspond à l’utilisation de deux couches de chiffrement : Chiffrement BitLocker XTS-AES 256 bits sur les volumes de données et chiffrement intégré des disques durs. Pour plus d’informations, consultez la documentation de présentation de la sécurité de l’appareil Azure Stack Edge. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
Le chiffrement de disque doit être activé dans Azure Data Explorer | Le fait d’activer le chiffrement de disque vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. | Audit, Refuser, Désactivé | 2.0.0 |
Le chiffrement double doit être activé dans Azure Data Explorer | Le fait d’activer le chiffrement double vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque le chiffrement double est activé, les données d’un compte de stockage sont chiffrées deux fois : une fois au niveau du service et une fois au niveau de l’infrastructure, avec deux algorithmes de chiffrement différents et deux clés différentes. | Audit, Refuser, Désactivé | 2.0.0 |
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Le chiffrement d’infrastructure doit être activé sur les serveurs Azure Database pour MySQL | Activez le chiffrement d’infrastructure pour les serveurs Azure Database pour MySQL garantir une sécurité renforcée des données. Lorsque le chiffrement de l’infrastructure est activé, les données au repos sont chiffrées deux fois à l’aide des clés gérées par Microsoft conformes FIPS 140-2. | Audit, Refuser, Désactivé | 1.0.0 |
Le chiffrement d’infrastructure doit être activé sur les serveurs Azure Database pour PostgreSQL | Activez le chiffrement d’infrastructure pour les serveurs Azure Database pour PostgreSQL garantir une sécurité renforcée des données. Lorsque le chiffrement de l’infrastructure est activé, les données au repos sont chiffrées deux fois à l’aide des clés gérées par Microsoft conformes FIPS 140-2 | Audit, Refuser, Désactivé | 1.0.0 |
Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
La propriété ClusterProtectionLevel doit être définie sur EncryptAndSign pour les clusters Service Fabric | Service Fabric fournit trois niveaux de protection (None, Sign et EncryptAndSign) pour la communication nœud à nœud à l’aide d’un certificat de cluster principal. Définissez le niveau de protection pour vous assurer que tous les messages de nœud à nœud sont chiffrés et signés numériquement | Audit, Refuser, Désactivé | 1.1.0 |
Les comptes de stockage doivent avoir le chiffrement d’infrastructure activé | Activez le chiffrement d’infrastructure pour garantir une sécurité renforcée des données. Quand le chiffrement d’infrastructure est activé, les données d’un compte de stockage sont chiffrées deux fois. | Audit, Refuser, Désactivé | 1.0.0 |
Les disques temporaires et le cache pour les pools de nœuds d’agent dans les clusters Azure Kubernetes Service doivent être chiffrés sur l’hôte | Pour améliorer la sécurité des données, les données stockées sur l’hôte de machine virtuelle de vos machines virtuelles de nœuds Azure Kubernetes Service doivent être chiffrées au repos. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. | Audit, Refuser, Désactivé | 1.0.1 |
Transparent Data Encryption sur les bases de données SQL doit être activé | Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises | AuditIfNotExists, Désactivé | 2.0.0 |
Les machines virtuelles et les groupes de machines virtuelles identiques doivent avoir le chiffrement sur l’hôte activé | Utilisez le chiffrement sur l’hôte pour obtenir un chiffrement de bout en bout pour vos données de machine virtuelle et de groupes de machines virtuelles identiques. Le chiffrement sur l’hôte permet le chiffrement au repos pour votre disque temporaire et les caches du système d’exploitation/disque de données. Les disques de système d’exploitation temporaires et éphémères sont chiffrés avec des clés gérées par la plateforme lorsque le chiffrement sur l’hôte est activé. Les caches du système d’exploitation et du disque de données sont chiffrés au repos avec des clés gérées par le client ou par la plateforme, selon le type de chiffrement sélectionné sur le disque. Pour en savoir plus, rendez-vous sur https://aka.ms/vm-hbe. | Audit, Refuser, Désactivé | 1.0.0 |
Isolation des processus
ID : FedRAMP High SC-39 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Gérer des domaines d’exécution distincts pour l’exécution de processus | CMA_C1665 - Gérer des domaines d’exécution distincts pour les processus en cours d’exécution | Manuel, désactivé | 1.1.0 |
Intégrité du système et des informations
Stratégie et procédures relatives à l’intégrité du système et des informations
ID : FedRAMP High SI-1 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations | CMA_C1667 - Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations | Manuel, désactivé | 1.1.0 |
Correction des défauts
ID : FedRAMP High SI-2 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. | AuditIfNotExists, Désactivé | 3.0.0 |
Les applications App Service doivent utiliser la dernière « version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 4.0.0 |
Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
Azure Defender pour Key Vault doit être activé | Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour Resource Manager doit être activé | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour les serveurs SQL sur les machines doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
Les applications de fonctions doivent utiliser la dernière « version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 4.0.0 |
Incorporer la correction des défauts dans la gestion de configuration | CMA_C1671 - Incorporer la correction des défauts dans la gestion de configuration | Manuel, désactivé | 1.1.0 |
Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes | Mettez à niveau votre cluster Kubernetes Services vers une version ultérieure de Kubernetes pour le protéger des vulnérabilités connues de votre version Kubernetes actuelle. La vulnérabilité CVE-2019-9946 a été corrigée dans Kubernetes versions 1.11.9+, 1.12.7+, 1.13.5+ et 1.14.0+ | Audit, Désactivé | 1.0.2 |
Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
Microsoft Defender pour le stockage doit être activé | Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. | AuditIfNotExists, Désactivé | 1.0.0 |
Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Les résultats des vulnérabilités des bases de données SQL doivent être résolus | Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. | AuditIfNotExists, Désactivé | 4.1.0 |
Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.1.0 |
État de la correction automatisée des défauts
ID : FedRAMP High SI-2 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Automatiser la correction des défauts | CMA_0027 – Automatiser la correction des défauts | Manuel, désactivé | 1.1.0 |
Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Délai de correction des défauts/évaluation des actions correctives
ID : FedRAMP High SI-2 (3) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Établir des points de référence pour la correction des failles | CMA_C1675 - Établir des points de référence pour la correction des failles | Manuel, désactivé | 1.1.0 |
Mesurer le temps entre l’identification des failles et la correction des failles | CMA_C1674 - Mesurer le temps entre l’identification des failles et la correction des failles | Manuel, désactivé | 1.1.0 |
Protection contre les codes malveillants
ID : FedRAMP High SI-3 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
Bloque les processus non approuvés et non signés qui s’exécutent par USB | CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB | Manuel, désactivé | 1.1.0 |
Gérer les passerelles | CMA_0363 – Gérer les passerelles | Manuel, désactivé | 1.1.0 |
Effectuer une analyse des tendances sur les menaces | CMA_0389 – Effectuer une analyse des tendances sur les menaces | Manuel, désactivé | 1.1.0 |
Effectuer des analyses de vulnérabilité | CMA_0393 – Effectuer des analyses de vulnérabilité | Manuel, désactivé | 1.1.0 |
Examiner le rapport hebdomadaire sur les détections de programmes malveillants | CMA_0475 – Examiner le rapport hebdomadaire sur les détections de programmes malveillants | Manuel, désactivé | 1.1.0 |
Passer en revue l’état de la protection contre les menaces chaque semaine | CMA_0479 – Passer en revue l’état de la protection contre les menaces chaque semaine | Manuel, désactivé | 1.1.0 |
Mettre à jour les définitions de l’antivirus | CMA_0517 – Mettre à jour les définitions de l’antivirus | Manuel, désactivé | 1.1.0 |
Windows Defender Exploit Guard doit être activé sur vos machines | Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement). | AuditIfNotExists, Désactivé | 2.0.0 |
Gestion centralisée
ID : FedRAMP High SI-3 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
Bloque les processus non approuvés et non signés qui s’exécutent par USB | CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB | Manuel, désactivé | 1.1.0 |
Gérer les passerelles | CMA_0363 – Gérer les passerelles | Manuel, désactivé | 1.1.0 |
Effectuer une analyse des tendances sur les menaces | CMA_0389 – Effectuer une analyse des tendances sur les menaces | Manuel, désactivé | 1.1.0 |
Effectuer des analyses de vulnérabilité | CMA_0393 – Effectuer des analyses de vulnérabilité | Manuel, désactivé | 1.1.0 |
Examiner le rapport hebdomadaire sur les détections de programmes malveillants | CMA_0475 – Examiner le rapport hebdomadaire sur les détections de programmes malveillants | Manuel, désactivé | 1.1.0 |
Mettre à jour les définitions de l’antivirus | CMA_0517 – Mettre à jour les définitions de l’antivirus | Manuel, désactivé | 1.1.0 |
Windows Defender Exploit Guard doit être activé sur vos machines | Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement). | AuditIfNotExists, Désactivé | 2.0.0 |
Mises à jour automatiques
ID : FedRAMP High SI-3 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Bloque les processus non approuvés et non signés qui s’exécutent par USB | CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB | Manuel, désactivé | 1.1.0 |
Gérer les passerelles | CMA_0363 – Gérer les passerelles | Manuel, désactivé | 1.1.0 |
Effectuer une analyse des tendances sur les menaces | CMA_0389 – Effectuer une analyse des tendances sur les menaces | Manuel, désactivé | 1.1.0 |
Effectuer des analyses de vulnérabilité | CMA_0393 – Effectuer des analyses de vulnérabilité | Manuel, désactivé | 1.1.0 |
Examiner le rapport hebdomadaire sur les détections de programmes malveillants | CMA_0475 – Examiner le rapport hebdomadaire sur les détections de programmes malveillants | Manuel, désactivé | 1.1.0 |
Mettre à jour les définitions de l’antivirus | CMA_0517 – Mettre à jour les définitions de l’antivirus | Manuel, désactivé | 1.1.0 |
Détection de codes non basée sur la signature
ID : FedRAMP High SI-3 (7) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Bloque les processus non approuvés et non signés qui s’exécutent par USB | CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB | Manuel, désactivé | 1.1.0 |
Gérer les passerelles | CMA_0363 – Gérer les passerelles | Manuel, désactivé | 1.1.0 |
Effectuer une analyse des tendances sur les menaces | CMA_0389 – Effectuer une analyse des tendances sur les menaces | Manuel, désactivé | 1.1.0 |
Effectuer des analyses de vulnérabilité | CMA_0393 – Effectuer des analyses de vulnérabilité | Manuel, désactivé | 1.1.0 |
Examiner le rapport hebdomadaire sur les détections de programmes malveillants | CMA_0475 – Examiner le rapport hebdomadaire sur les détections de programmes malveillants | Manuel, désactivé | 1.1.0 |
Mettre à jour les définitions de l’antivirus | CMA_0517 – Mettre à jour les définitions de l’antivirus | Manuel, désactivé | 1.1.0 |
Surveillance du système d’information
ID : FedRAMP High SI-4 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
[Préversion] : L’ensemble du trafic Internet doit transiter par votre Pare-feu Azure déployé | Azure Security Center a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge | AuditIfNotExists, Désactivé | 3.0.0-preview |
[Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc | L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Désactivé | 6.0.0-preview |
[Préversion] : l’extension Log Analytics doit être installée sur vos machines Linux Azure Arc | Cette stratégie audite les machines Linux Azure Arc si l’extension Log Analytics n’est pas installée. | AuditIfNotExists, Désactivé | 1.0.1-preview |
[Préversion] : l’extension Log Analytics doit être installée sur vos machines Windows Azure Arc | Cette stratégie audite les machines Windows Azure Arc si l’extension Log Analytics n’est pas installée. | AuditIfNotExists, Désactivé | 1.0.1-preview |
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
Azure Defender pour Key Vault doit être activé | Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour Resource Manager doit être activé | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
Azure Defender pour les serveurs SQL sur les machines doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 2.0.1 |
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
L’extension Guest Configuration doit être installée sur vos machines | Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.3 |
Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
Microsoft Defender pour le stockage doit être activé | Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. | AuditIfNotExists, Désactivé | 1.0.0 |
Network Watcher doit être activé | Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. | AuditIfNotExists, Désactivé | 3.0.0 |
Obtenir un avis juridique pour la supervision des activités du système | CMA_C1688 - Obtenir un avis juridique pour la supervision des activités du système | Manuel, désactivé | 1.1.0 |
Effectuer une analyse des tendances sur les menaces | CMA_0389 – Effectuer une analyse des tendances sur les menaces | Manuel, désactivé | 1.1.0 |
Fournir des informations de supervision selon les besoins | CMA_C1689 - Fournir des informations de supervision selon les besoins | Manuel, désactivé | 1.1.0 |
L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol | AuditIfNotExists, Désactivé | 1.0.1 |
Outils automatisés pour l’analyse en temps réel
ID : FedRAMP High SI-4 (2) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Documenter les opérations de sécurité | CMA_0202 – Documenter les opérations de sécurité | Manuel, désactivé | 1.1.0 |
Activer les capteurs pour la solution de sécurité de point de terminaison | CMA_0514 – Activer les capteurs pour la solution de sécurité de point de terminaison | Manuel, désactivé | 1.1.0 |
Trafic des communications entrantes et sortantes
ID : FedRAMP High SI-4 (4) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Autoriser, surveiller et contrôler la VoIP | CMA_0025 - Autoriser, surveiller et contrôler la VoIP | Manuel, désactivé | 1.1.0 |
Implémenter la protection des limites des systèmes | CMA_0328 - Implémenter la protection des limites des systèmes | Manuel, désactivé | 1.1.0 |
Gérer les passerelles | CMA_0363 – Gérer les passerelles | Manuel, désactivé | 1.1.0 |
Router le trafic via des points d’accès réseau gérés | CMA_0484 - Router le trafic via des points d’accès réseau gérés | Manuel, désactivé | 1.1.0 |
Alertes générées par le système
ID : FedRAMP High SI-4 (5) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Alerter le personnel d’un débordement d’informations | CMA_0007 – Alerter le personnel d’un débordement d’informations | Manuel, désactivé | 1.1.0 |
Mettez sur pied un plan de réponse en cas d'incident | CMA_0145 – Développer un plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | Manuel, désactivé | 1.1.0 |
Détection sans fil des intrusions
ID : FedRAMP High SI-4 (14) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Contrôles de sécurité d’accès sans fil du document | CMA_C1695 – Contrôles de sécurité d’accès sans fil du document | Manuel, désactivé | 1.1.0 |
Services réseau non autorisés
ID : FedRAMP High SI-4 (22) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Détecter les services réseau qui n’ont pas été autorisés ou approuvés | CMA_C1700 – Détecter les services réseau qui n’ont pas été autorisés ou approuvés | Manuel, désactivé | 1.1.0 |
Indicateurs de compromission
ID : FedRAMP High SI-4 (24) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Découvrir tous les indicateurs de compromission | CMA_C1702 - Découvrir tous les indicateurs de compromission | Manuel, désactivé | 1.1.0 |
Alertes de sécurité, conseils et directives
ID : FedRAMP High SI-5 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Diffuser les alertes de sécurité au personnel | CMA_C1705 - Diffuser les alertes de sécurité au personnel | Manuel, désactivé | 1.1.0 |
Établir un programme de renouvellement sur les menaces | CMA_0260 - Établir un programme de renseignement sur les menaces | Manuel, désactivé | 1.1.0 |
Générer des alertes de sécurité internes | CMA_C1704 - Générer des alertes de sécurité internes | Manuel, désactivé | 1.1.0 |
Implémenter des directives de sécurité | CMA_C1706 - Implémenter des directives de sécurité | Manuel, désactivé | 1.1.0 |
Alertes et conseils automatisés
ID : FedRAMP High SI-5 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Utiliser des mécanismes automatisés pour les alertes de sécurité | CMA_C1707 - Utiliser des mécanismes automatisés pour les alertes de sécurité | Manuel, désactivé | 1.1.0 |
Vérification de la fonction de sécurité
ID : FedRAMP High SI-6 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Créer des actions alternatives pour les anomalies identifiées | CMA_C1711 - Créer des actions alternatives pour les anomalies identifiées | Manuel, désactivé | 1.1.0 |
Avertir le personnel de l’échec des tests de vérification de sécurité | CMA_C1710 – Avertir le personnel de l’échec des tests de vérification de sécurité | Manuel, désactivé | 1.1.0 |
Effectuer la vérification de la fonction de sécurité à une fréquence définie | CMA_C1709 – Effectuer la vérification de la fonction de sécurité à une fréquence définie | Manuel, désactivé | 1.1.0 |
Vérifier les fonctions de sécurité | CMA_C1708 – Vérifier les fonctions de sécurité | Manuel, désactivé | 1.1.0 |
Intégrité des informations, des microprogrammes et des logiciels
ID : FedRAMP High SI-7 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Vérifier l’intégrité des logiciels, des microprogrammes et des informations | CMA_0542 – Vérifier l’intégrité des logiciels, des microprogrammes et des informations | Manuel, désactivé | 1.1.0 |
Vérifications de l’intégrité
ID : FedRAMP High SI-7 (1) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Vérifier l’intégrité des logiciels, des microprogrammes et des informations | CMA_0542 – Vérifier l’intégrité des logiciels, des microprogrammes et des informations | Manuel, désactivé | 1.1.0 |
Visualiser et configurer les données de diagnostic système | CMA_0544 - Visualiser et configurer les données de diagnostic système | Manuel, désactivé | 1.1.0 |
Réponse automatique en cas de violation de l’intégrité
ID : FedRAMP High SI-7 (5) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Utiliser l’arrêt/redémarrage automatique lorsque des violations sont détectées | CMA_C1715 – Utiliser l’arrêt/redémarrage automatique lorsque des violations sont détectées | Manuel, désactivé | 1.1.0 |
Code binaire ou exécutable sur la machine
ID : FedRAMP High SI-7 (14) Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Interdire le code binaire/exécutable de l’ordinateur | CMA_C1717 – Interdire le code binaire/exécutable de l’ordinateur | Manuel, désactivé | 1.1.0 |
Validation des entrées d’informations
ID : FedRAMP High SI-10 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Effectuer la validation des entrées d’informations | CMA_C1723 - Effectuer la validation des entrées d’informations | Manuel, désactivé | 1.1.0 |
Gestion des erreurs
ID : FedRAMP High SI-11 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Générer des messages d’erreur | CMA_C1724 - Générer des messages d’erreur | Manuel, désactivé | 1.1.0 |
Afficher les messages d’erreur | CMA_C1725 - Afficher les messages d’erreur | Manuel, désactivé | 1.1.0 |
Conservation et gestion des informations
ID : FedRAMP High SI-12 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Contrôler l’accès physique | CMA_0081 – Contrôler l’accès physique | Manuel, désactivé | 1.1.0 |
Gérer l’entrée, la sortie, le traitement et le stockage des données | CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données | Manuel, désactivé | 1.1.0 |
Examiner l’activité et l’analytique de l’étiquette | CMA_0474 – Examiner l’activité et l’analytique de l’étiquette | Manuel, désactivé | 1.1.0 |
Protection de la mémoire
ID : FedRAMP High SI-16 Propriété : Partagée
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
Windows Defender Exploit Guard doit être activé sur vos machines | Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement). | AuditIfNotExists, Désactivé | 2.0.0 |
Étapes suivantes
Autres articles sur Azure Policy :
- Présentation de la Conformité réglementaire.
- Voir la structure de la définition d’initiative.
- Passez en revue d’autres exemples de la page Exemples Azure Policy.
- Consultez la page Compréhension des effets de Policy.
- Découvrez comment corriger des ressources non conformes.