Créer une base de référence de machine virtuelle Azure

Effectué

Azure Policy est un service Azure qui vous permet de créer, d’affecter et de gérer des stratégies. Les stratégies que vous créez appliquent différentes règles et différents effets sur vos ressources, qui restent donc conformes aux standards et aux contrats de niveau de service de votre entreprise. Azure Policy répond à ce besoin en évaluant la conformité de vos ressources aux stratégies affectées. Par exemple, vous pouvez avoir d’une stratégie qui n’autorise qu’une certaine taille de référence SKU de machines virtuelles dans votre environnement. Une fois cette stratégie implémentée, la conformité des ressources nouvelles et déjà existantes est évaluée. Avec le bon type de stratégie, les ressources existantes peuvent être mises en conformité.

Recommandations de sécurité pour machines virtuelles Azure

Les sections suivantes décrivent les recommandations Microsoft Defender pour les machines virtuelles Azure qui se trouvent dans CIS Microsoft Azure Foundation Security Benchmark v. 1.3.0. Les étapes de base à effectuer dans le portail Azure sont fournies avec chaque recommandation. Vous devez effectuer ces étapes pour votre propre abonnement et en utilisant vos propres ressources afin de valider chaque recommandation de sécurité. Gardez à l’esprit que les options de Niveau 2 peuvent limiter certaines fonctionnalités ou activités : réfléchissez donc bien aux options de sécurité que vous décidez d’appliquer.

Activer et installer un agent de machine virtuelle pour Microsoft Defender en vue de la collecte de données – Niveau 1

Microsoft Defender pour le cloud vous indique quand une machine virtuelle nécessite un agent de machine virtuelle. L’agent est installé par défaut sur les machines virtuelles déployées depuis la Place de marché Azure. Les données sont nécessaires pour évaluer l’état de la sécurité de la machine virtuelle, pour fournir des recommandations de sécurité et pour émettre des alertes sur les menaces pesant sur l’hôte.

  1. Connectez-vous au portail Azure. Recherchez et sélectionnez Microsoft Defender pour le cloud.

  2. Dans le menu de gauche sous Gérer, sélectionnez Paramètres d’environnement.

  3. Dans le volet Paramètres de l'environnement, sélectionnez votre abonnement.

  4. Dans le menu de gauche, sous Paramètres, sélectionnez Provisionnement automatique.

  5. Pour l’agent de machine virtuelle que vous souhaitez utiliser, sélectionnez Activé. Sélectionnez un espace de travail à utiliser.

  6. Si vous modifiez des paramètres, dans la barre de menus, sélectionnez Enregistrer.

Screenshot that shows the auto provisioning extension pane, with Log Analytics agent for Azure VMs selected.

Vérifier que les disques de système d’exploitation sont chiffrés - Niveau 1

Azure Disk Encryption vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise en matière de sécurité et de conformité. Azure Disk Encryption :

  • Utilise la fonctionnalité BitLocker de Windows et la fonctionnalité DM-Crypt de Linux pour fournir le chiffrement de volume des disques de système d’exploitation et des disques de données des machines virtuelles Azure.
  • S’intègre à Azure Key Vault pour faciliter le contrôle et la gestion des clés et secrets de chiffrement des disques.
  • Garantit que l’ensemble des données sur les disques de machine virtuelle sont chiffrées au repos dans le stockage Azure.

Azure Disk Encryption pour les machines virtuelles Windows et Linux est en disponibilité générale dans toutes les régions publiques Azure et les régions Azure Government, pour les machines virtuelles Standard et les machines virtuelles avec Stockage Premium Azure.

Si vous utilisez Microsoft Defender pour le cloud (recommandé), vous êtes alerté si vous avez des machines virtuelles qui ne sont pas chiffrées. Effectuez les étapes suivantes pour chaque machine virtuelle dans votre abonnement Azure.

  1. Connectez-vous au portail Azure. Recherchez et sélectionnez Machines virtuelles.

  2. Dans le menu de gauche, sous Paramètres, sélectionnez Disques.

  3. Sous Disque de système d’exploitation, assurez-vous qu’un type de chiffrement est défini pour le disque de système d’exploitation.

  4. Sous Disques de données, assurez-vous qu’un type de chiffrement est défini pour chaque disque.

  5. Si vous modifiez des paramètres, dans la barre de menus, sélectionnez Enregistrer.

Screenshot that shows the Disks pane for virtual machines with the encryption type highlighted.

Vérifiez que vous n’avez installé que des extensions de machine virtuelle approuvées - Niveau 1

Les extensions de machine virtuelle Azure sont de petites applications qui permettent d’effectuer des tâches de configuration et d’automatisation de post-déploiement sur des machines virtuelles Azure. Par exemple, si une machine virtuelle nécessite l’installation d’un logiciel, une protection antivirus, ou doit exécuter un script, vous pouvez utiliser une extension de machine virtuelle. Vous pouvez exécuter une extension de machine virtuelle Azure à l’aide d’Azure CLI, de PowerShell, d’un modèle Azure Resource Manager ou du portail Azure. Vous pouvez regrouper les extensions avec un nouveau déploiement de machine virtuelle ou les exécuter sur tout système existant. Pour utiliser le portail Azure afin de vous assurer que seules les extensions approuvées sont installées sur vos machines virtuelles, suivez les étapes suivantes pour chaque machine virtuelle de votre abonnement Azure.

  1. Connectez-vous au portail Azure. Recherchez et sélectionnez Machines virtuelles.

  2. Dans le menu de gauche, sous Paramètres, sélectionnez Extensions + applications.

  3. Dans le volet Extensions + applications, vérifiez que l’utilisation des extensions répertoriées a été approuvée.

Screenshot that shows V M extensions in the Extensions + applications pane.

Vérifier que les correctifs du système d’exploitation pour les machines virtuelles sont appliqués - Niveau 1

Microsoft Defender pour le cloud recherche tous les jours les mises à jour manquantes du système d’exploitation sur les ordinateurs et machines virtuelles Windows et Linux. Defender pour le cloud récupère une liste des mises à jour de sécurité et des mises à jour critiques disponibles auprès de Windows Update ou Windows Server Update Services (WSUS). Les mises à jour que vous recevez dépendent du service que vous configurez sur l’ordinateur Windows. Defender pour le cloud recherche également les dernières mises à jour dans les systèmes Linux. S’il manque une mise à jour système sur votre machine virtuelle ou votre ordinateur, Defender pour le cloud vous recommande de l’appliquer.

  1. Connectez-vous au portail Azure. Recherchez et sélectionnez Microsoft Defender pour le cloud.

  2. Dans le menu de gauche, sous Général, sélectionnez Recommandations.

  3. Dans Recommandations, vérifiez qu’il n’existe pas de recommandation pour Appliquer les mises à jour système.

Screenshot of the Microsoft Defender for Cloud Recommendations pane.

Vérifier qu’une solution de protection du point de terminaison est installée et actuellement exécutée sur les machines virtuelles - Niveau 1

Microsoft Defender pour le cloud surveille l’état de la protection anti-programme malveillant. Il affiche cet état dans le volet Problèmes de protection du point de terminaison. Defender pour le cloud met en évidence les problèmes, comme les menaces détectées et une protection insuffisante, qui rendent vos machines virtuelles et vos ordinateurs vulnérables aux menaces liées aux programmes malveillants. En utilisant les informations de la section Problèmes de protection du point de terminaison, vous pouvez commencer à créer un plan pour résoudre les problèmes identifiés.

Utilisez le même processus que celui décrit dans la recommandation précédente.