Activez la mise en service automatique de l’agent de surveillance pour collecter les données de sécurité.

Lorsque « l’agent Log Analytics pour ordinateurs virtuels Azure » est activé, Microsoft Defender pour le cloud met en service Microsoft Monitoring Agent sur tous les ordinateurs virtuels Azure pris en charge existants et sur tous les nouveaux qui sont créés. Microsoft Monitoring Agent recherche diverses configurations et événements liés à la sécurité, tels que les mises à jour système, les vulnérabilités du système d’exploitation, la protection des points de terminaison et fournit des alertes.

Microsoft Defender pour le cloud envoie un e-mail aux propriétaires d’abonnements chaque fois qu’une alerte de gravité élevée est déclenchée pour leur abonnement. Vous devez fournir une adresse e-mail de contact de sécurité comme adresse e-mail supplémentaire.

Microsoft Defender pour le cloud envoie un e-mail au propriétaire de l’abonnement pour l’informer des alertes de sécurité. L’ajout de l’adresse e-mail de votre contact de sécurité au champ « Adresses e-mail supplémentaires » garantit que l’équipe de sécurité de votre organisation est incluse dans ces alertes. Cela permet de s’assurer que les bonnes personnes sont au courant de toute compromission potentielle afin d’atténuer le risque en temps opportun.

Permet l’envoi d’alertes de sécurité par e-mail au propriétaire de l’abonnement ou à un autre contact de sécurité désigné.

L’activation des e-mails d’alerte de sécurité garantit la réception des e-mails d’alerte de sécurité de Microsoft. Cela permet de s’assurer que les bonnes personnes sont au courant de tout problème de sécurité potentiel et sont en mesure d’atténuer le risque.

Activez les e-mails d’alerte de sécurité destinés aux propriétaires d’abonnements.

L’activation des e-mails d’alerte de sécurité pour les propriétaires d’abonnements garantit qu’ils reçoivent des e-mails d’alerte de sécurité de Microsoft. Cela permet de s’assurer qu’ils sont au courant de tout problème de sécurité potentiel et qu’ils peuvent atténuer le risque en temps opportun.

Le service Storage Blob fournit un stockage d’objectifs évolutif et rentable dans le cloud.

La journalisation du stockage s’effectue côté serveur et permet d’enregistrer dans le compte de stockage les détails des demandes réussies et échouées. Ces journaux permettent aux utilisateurs de voir les détails des opérations de lecture, d’écriture et de suppression sur les objets blob. Les entrées de journal des logs de stockage contiennent les informations suivantes sur les demandes individuelles : des informations de minutage telles que l’heure de début, la latence de bout en bout et la latence du serveur, les détails d’authentification, les informations de concurrence et la taille des messages de demande et de réponse.

Les journaux d’analyse du stockage contiennent des informations détaillées sur les demandes réussies et échouées à un service de stockage. Ces informations peuvent être utilisées pour surveiller chaque demande individuelle à un service de stockage afin d’améliorer la sécurité ou les diagnostics. Les demandes sont enregistrées au mieux. La journalisation des analyses de stockage n’est pas activée par défaut pour votre compte de stockage.

Le stockage de table de stockage est un service qui stocke les données NoSQL structurées dans le cloud, fournissant un magasin de clés/attributs avec une conception sans schéma. La journalisation du stockage s’effectue côté serveur et permet d’enregistrer dans le compte de stockage les détails des demandes réussies et échouées. Ces journaux permettent aux utilisateurs d’afficher les détails des opérations de lecture, d’écriture et de suppression sur les tables. Les entrées de journal des logs de stockage contiennent les informations suivantes sur les demandes individuelles : des informations de minutage telles que l’heure de début, la latence de bout en bout et la latence du serveur, les détails d’authentification, les informations de concurrence et la taille des messages de demande et de réponse.

Les journaux d’analyse du stockage contiennent des informations détaillées sur les demandes réussies et échouées à un service de stockage. Ces informations peuvent être utilisées pour surveiller chaque demande individuelle à un service de stockage afin d’améliorer la sécurité ou les diagnostics. Les demandes sont enregistrées au mieux. La journalisation des analyses de stockage n’est pas activée par défaut pour votre compte de stockage.

Le service File d’attente de stockage stocke les messages qui peuvent être lus par tout client ayant accès au compte de stockage. Une file d’attente peut contenir un nombre illimité de messages, chacun pouvant atteindre 64 Ko avec la version 2011-08-18 ou une version plus récente. La journalisation du stockage s’effectue côté serveur et permet d’enregistrer dans le compte de stockage les détails des demandes réussies et échouées. Ces journaux permettent aux utilisateurs d’afficher les détails des opérations de lecture, d’écriture et de suppression par rapport aux files d’attente. Les entrées de journal des logs de stockage contiennent les informations suivantes sur les demandes individuelles : des informations de minutage telles que l’heure de début, la latence de bout en bout et la latence du serveur, les détails d’authentification, les informations de concurrence et la taille des messages de demande et de réponse.

Les journaux d’analyse du stockage contiennent des informations détaillées sur les demandes réussies et échouées à un service de stockage. Ces informations permettent de surveiller une demande individuelle et de diagnostiquer les problèmes d’un service de stockage. Les demandes sont enregistrées au mieux. La journalisation des analyses de stockage n’est pas activée par défaut pour votre compte de stockage.

Activez les analyses de service d’évaluation des vulnérabilités (VA) pour les serveurs SQL critiques et les bases de données SQL correspondantes.

Activer l’évaluation de la vulnérabilité (VA) Analyses périodiques récurrentes des serveurs SQL critiques et des bases de données SQL correspondantes.

Configurez « Envoyer des rapports d’analyse à » avec les ID d’e-mail des propriétaires/parties prenantes de données concernés pour des serveurs SQL critiques.

Activez le paramètre d’évaluation de la vulnérabilité (VA) « Envoyer également des notifications par e-mail aux administrateurs et aux titulaires d’abonnements ».

Utilisez Azure Active Directory Authentication pour l’authentification avec SQL Database afin de gérer les informations d’identification dans un emplacement unique.

TDE avec la prise en charge des clés gérées par le client offre une transparence et un contrôle accrus sur le TDE Protector, une sécurité accrue avec un service externe soutenu par HSM et une promotion de la séparation des tâches. Avec TDE, les données sont chiffrées au repos avec une clé symétrique (appelée clé de chiffrement de la base de données) stockée dans la base de données ou la distribution de l’entrepôt de données. Pour protéger cette clé de chiffrement des données (DEK) dans le passé, seul un certificat géré par Azure SQL Service pouvait être utilisé.

Désormais, avec la prise en charge des clés gérées par le client pour TDE, la DEK peut être protégée par une clé asymétrique stockée dans le coffre-fort à clés. Key Vault est un magasin de clés basé sur le cloud hautement disponible et évolutif qui offre une gestion centralisée des clés, exploite les modules de sécurité matériels (HSM) validés FIPS 140-2 niveau 2 et permet la séparation de la gestion des clés et des données, pour plus de sécurité. En fonction des besoins professionnels ou de la criticité des données/bases de données hébergées sur un serveur SQL, il est recommandé que le protecteur TDE soit chiffré par une clé gérée par le propriétaire des données (clé gérée par le client).

Le paramètre de diagnostic doit être configuré pour consigner les activités appropriées à partir du plan de contrôle/gestion. Un paramètre de diagnostic contrôle la façon dont le journal de diagnostic est exporté. La capture des catégories de paramètres de diagnostic pour les activités du plan de contrôle/gestion appropriées permet une alerte appropriée

Un paramètre de diagnostic contrôle la façon dont le journal de diagnostic est exporté. La capture des catégories de paramètres de diagnostic pour les activités du plan de contrôle/gestion appropriées permet une alerte appropriée.

Activez la journalisation AuditEvent pour les instances de coffre-fort à clé afin de vous assurer que les interactions avec les coffres-forts à clé sont journalisées et disponibles.

La surveillance de la manière et du moment de l’accès aux coffres-forts, et par qui, permet une piste d’audit des interactions avec les informations confidentielles, les clés et les certificats gérés par Azure Keyvault. L’activation de la journalisation pour le coffre-fort à clés enregistre les informations dans un compte de stockage Azure fourni par l’utilisateur. Cela crée automatiquement un nouveau conteneur nommé insights-logs-auditevent pour le compte de stockage spécifié, et ce même compte de stockage peut être utilisé pour collecter les journaux de plusieurs coffres à clé.

Assurez-vous que les disques non joints d’un abonnement sont chiffrés avec une clé gérée par le client (CMK).

Les disques gérés sont chiffrés par défaut avec des clés gérées par la plateforme.

L’utilisation de clés gérées par le client peut fournir un niveau de sécurité supplémentaire ou répondre aux exigences réglementaires d’une organisation.

Le chiffrement des disques gérés garantit que l’ensemble de leur contenu est totalement irrécupérable sans clé et protège ainsi le volume contre les lectures injustifiées.

Même si le disque n’est attaché à aucun des ordinateurs virtuels, il existe toujours un risque qu’un compte d’utilisateur compromis avec un accès administratif au service d’ordinateur virtuel puisse monter/joindre ces disques de données, ce qui peut entraîner la divulgation et l’altération d’informations sensibles.

Le coffre-fort à clés contient des clés d’objets, des secrets et des certificats. L’indisponibilité accidentelle d’un coffre-fort à clé peut entraîner une perte immédiate de données ou la perte des fonctions de sécurité (authentification, validation, vérification, non-répudiation, etc.) prises en charge par les objets du coffre-fort à clés.

Il est recommandé de rendre le coffre-fort récupérable en activant les fonctions « Ne pas purger » et « Suppression réversible ». Ceci afin d’éviter la perte de données chiffrées, y compris les comptes de stockage, les bases de données SQL et/ou les services dépendants fournis par les objets du coffre-fort à clés (clés, secrets, certificats), etc., comme cela peut se produire en cas de suppression accidentelle par un utilisateur ou d’activité perturbatrice d’un utilisateur malveillant.

Il peut y avoir des scénarios où les utilisateurs exécutent accidentellement la commande delete/purge dans le coffre-fort à clé ou où l’attaquant/l’utilisateur malveillant le fait délibérément pour causer des perturbations. La suppression ou la purge d’un coffre-fort à clé entraîne une perte immédiate de données, car les clés chiffrant les données et les secrets/certificats permettant l’accès/les services deviennent inaccessibles. Il existe 2 propriétés de coffre-fort à clé qui jouent un rôle dans l’indisponibilité permanente d’un coffre à clés.1.enableSoftDelete : la définition de ce paramètre sur vrai pour un coffre-fort à clés garantit que même si le coffre-fort à clés est supprimé, le coffre-fort à clés lui-même ou ses objets restent récupérables pendant les 90 prochains jours. Au cours de cette période de 90 jours, le coffre-fort à clés/les objets peuvent être récupérés ou purgés (suppression définitive). Si aucune action n’est entreprise, après 90 jours, le coffre à clés et ses objets seront purgés.2.enablePurgeProtection :enableSoftDelete garantit uniquement que le coffre-fort à clés n’est pas supprimé définitivement et sera récupérable pendant 90 jours à compter de la date de suppression. Cependant, il est possible que le coffre à clés et/ou ses objets soient accidentellement purgés et ne soient donc pas récupérables. Définir enablePurgeProtection sur « vrai » garantit que le coffre-fort de clés et ses objets ne peuvent pas être purgés. L’activation des deux paramètres sur les coffres-forts à clés garantit que les coffres-forts à clés et leurs objets ne peuvent pas être supprimés/purgés de façon permanente.

Azure Web Apps permet aux sites de s’exécuter à la fois sous HTTP et HTTPS par défaut. Les applications Web sont accessibles à toute personne utilisant des liens HTTP non sécurisés par défaut. Les requêtes HTTP non sécurisées peuvent être restreintes et toutes les requêtes HTTP peuvent être redirigées vers le port HTTPS sécurisé. Il est recommandé d’appliquer le trafic HTTPS uniquement.

L’activation du trafic HTTPS uniquement redirige toutes les demandes HTTP non sécurisées vers les ports HTTPS. HTTPS utilise le protocole TLS/SSL pour fournir une connexion sécurisée, à la fois cryptée et authentifiée. Il est donc important de prendre en charge HTTPS pour des raisons de sécurité.