Créer une base de référence de machine virtuelle Azure

  • 5 minutes

Azure Policy est un service Azure qui vous permet de créer, d’affecter et de gérer des stratégies. Les stratégies que vous créez appliquent différentes règles et différents effets sur vos ressources, qui restent donc conformes aux normes et aux contrats de niveau de service de votre entreprise. Azure Policy répond à ce besoin en évaluant la conformité de vos ressources aux stratégies affectées. Par exemple, vous pouvez avoir une stratégie qui n'autorise qu'une certaine taille de SKU de machines virtuelles dans votre environnement. Une fois cette stratégie implémentée, la conformité des ressources nouvelles et déjà existantes est évaluée. Avec le bon type de stratégie, vous pouvez rendre les ressources existantes conformes.

Recommandations de sécurité pour machines virtuelles Azure

Les sections suivantes décrivent les recommandations de sécurité des machines virtuelles Azure qui figurent dans CIS Microsoft Azure Foundations Security Benchmark v. 3.0.0. Les étapes de base à effectuer dans le portail Azure sont fournies avec chaque recommandation. Vous devez effectuer ces étapes pour votre propre abonnement et en utilisant vos propres ressources afin de valider chaque recommandation de sécurité. Gardez à l’esprit que les options de Niveau 2 peuvent limiter certaines fonctionnalités ou activités : réfléchissez donc bien aux options de sécurité que vous décidez d’appliquer.

Vérifier que les disques de système d’exploitation sont chiffrés – Niveau 1

Azure Disk Encryption vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise en matière de sécurité et de conformité. Azure Disk Encryption :

  • Utilise la fonctionnalité BitLocker de Windows et la fonctionnalité DM-Crypt de Linux pour fournir le chiffrement de volume des disques de système d’exploitation et des disques de données des machines virtuelles Azure.
  • S’intègre à Azure Key Vault pour faciliter le contrôle et la gestion des clés et secrets de chiffrement des disques.
  • Garantit que l’ensemble des données sur les disques de machine virtuelle sont chiffrées au repos dans le stockage Azure.

Azure Disk Encryption pour les machines virtuelles Windows et Linux est disponible en disponibilité générale dans toutes les régions publiques d'Azure et les régions Azure Gouvernement, pour les machines virtuelles Standard et celles avec le Stockage Premium Azure.

Si vous utilisez Microsoft Defender pour le cloud (recommandé), vous êtes alerté si vous avez des machines virtuelles qui ne sont pas chiffrées. Effectuez les étapes suivantes pour chaque machine virtuelle dans votre abonnement Azure.

  1. Connectez-vous au portail Azure. Recherchez et sélectionnez Machines virtuelles.

  2. Sélectionnez une machine virtuelle.

  3. Dans le menu de gauche, sous Paramètres, sélectionnez Disques.

  4. Sous Disque de système d’exploitation, assurez-vous qu’un type de chiffrement est défini pour le disque de système d’exploitation.

  5. Sous Disques de données, assurez-vous qu’un type de chiffrement est défini pour chaque disque.

  6. Si vous changez des paramètres, sélectionnez Enregistrer dans la barre de menus.

Capture d’écran montrant le volet Disques pour les machines virtuelles avec le type de chiffrement mis en surbrillance.

Vérifiez que vous n’avez installé que des extensions de machine virtuelle approuvées - Niveau 1

Les extensions de machine virtuelle Azure sont de petites applications qui permettent d’effectuer des tâches de configuration et d’automatisation de post-déploiement sur des machines virtuelles Azure. Par exemple, si une machine virtuelle nécessite l’installation d’un logiciel, une protection antivirus, ou doit exécuter un script, vous pouvez utiliser une extension de machine virtuelle. Vous pouvez exécuter une extension de machine virtuelle Azure à l’aide d’Azure CLI, de PowerShell, d’un modèle Azure Resource Manager ou du portail Azure. Vous pouvez regrouper les extensions avec un nouveau déploiement de machine virtuelle ou les exécuter sur tout système existant. Pour utiliser le portail Azure afin de vous assurer que seules les extensions approuvées sont installées sur vos machines virtuelles, suivez les étapes suivantes pour chaque machine virtuelle de votre abonnement Azure.

  1. Connectez-vous au portail Azure. Recherchez et sélectionnez Machines virtuelles.

  2. Sélectionnez une machine virtuelle.

  3. Dans le menu de gauche, sous Paramètres, sélectionnez Extensions + applications.

  4. Dans le volet Extensions + applications, vérifiez que l’utilisation des extensions répertoriées a été approuvée.

Capture d’écran montrant les extensions VM dans le volet Extensions + applications.

Vérifier que les correctifs du système d’exploitation pour les machines virtuelles sont appliqués - Niveau 1

Microsoft Defender for Cloud recherche quotidiennement les mises à jour manquantes du système d’exploitation sur les ordinateurs et machines virtuelles Windows et Linux. Defender pour le cloud récupère une liste des mises à jour de sécurité et des mises à jour critiques disponibles auprès de Windows Update ou Windows Server Update Services (WSUS). Les mises à jour que vous recevez dépendent du service que vous configurez sur l’ordinateur Windows. Defender pour le cloud recherche également les dernières mises à jour dans les systèmes Linux. S’il manque une mise à jour système sur votre machine virtuelle ou votre ordinateur, Defender pour le cloud vous recommande de l’appliquer.

  1. Connectez-vous au portail Azure. Recherchez et sélectionnez Microsoft Defender pour le cloud.

  2. Dans le menu de gauche, sous Général, sélectionnez Recommandations.

  3. Dans Recommandations, vérifiez qu’il n’existe pas de recommandation pour Appliquer les mises à jour système.

Capture d’écran du volet Recommandations Microsoft Defender pour le cloud.

Vérifier qu’une solution de protection du point de terminaison est installée et actuellement exécutée sur les machines virtuelles - Niveau 1

Microsoft Defender pour le cloud surveille l’état de la protection anti-programme malveillant. Il affiche cet état dans le volet Problèmes de protection du point de terminaison. Defender pour le cloud met en évidence les problèmes, comme les menaces détectées et une protection insuffisante, qui rendent vos machines virtuelles et vos ordinateurs vulnérables aux menaces liées aux programmes malveillants. En utilisant les informations de la section Problèmes de protection du point de terminaison, vous pouvez commencer à créer un plan pour résoudre les problèmes identifiés.

Utilisez le même processus que celui décrit dans la recommandation précédente.