Gestion centralisée des stratégies avec Microsoft Defender pour le cloud

  • 10 minutes

La gestion basée sur des stratégies peut simplifier les opérations informatiques et aider à protéger l’organisation en appliquant des stratégies bien conçues. Azure Policy vous permet de définir des exigences pour vos abonnements Azure et de les adapter à votre type de charge de travail ou à la sensibilité de vos données.

Microsoft Defender pour le cloud est entièrement intégré à Azure Policy. Defender pour le cloud peut superviser la conformité des stratégies sur tous vos abonnements en utilisant un ensemble par défaut de stratégies de sécurité. Une stratégie de sécurité définit l’ensemble des contrôles recommandés pour les ressources d’un abonnement ou groupe de ressources spécifique. Ces stratégies de sécurité définissent la configuration souhaitée de vos charges de travail et contribuent à assurer la conformité vis-à-vis des exigences de sécurité réglementaires et de l’entreprise. Ces paramétrages par défaut peuvent être personnalisés et définis pour répondre aux besoins spécifiques de votre organisation.

Voici plusieurs stratégies de sécurité intégrées supervisées par Defender pour le cloud :

  • Le transfert sécurisé vers les comptes de stockage doit être activé.
  • Un administrateur Microsoft Entra pour SQL Server doit être approvisionné.
  • L’authentification du client doit utiliser Microsoft Entra ID.
  • Les journaux de diagnostic doivent être activés dans Key Vault.
  • Les mises à jour système doivent être installées sur vos machines.
  • Auditer le chiffrement d’objet blob manquant pour les comptes de stockage.
  • Le contrôle d’accès réseau juste-à-temps doit être appliqué sur les machines virtuelles.

Par défaut, toutes les stratégies de sécurité sont activées pour chaque abonnement supervisé. Les stratégies de sécurité et les recommandations sont liées les unes aux autres. Si vous activez une stratégie de sécurité, telle qu’une stratégie relative aux vulnérabilités du système d’exploitation, les recommandations correspondant à cette stratégie sont également activées. Dans Defender pour le cloud, vous définissez des stratégies pour vos abonnements ou groupes de ressources Azure en fonction des besoins en sécurité de votre entreprise, et des types d’applications ou de la sensibilité des données contenues dans chaque abonnement.

Par exemple, les ressources utilisées pour le développement ou le test peuvent présenter des exigences de sécurité différentes des ressources qui sont utilisées pour les applications de production. De même, les applications qui utilisent des données réglementées, comme des données personnelles, peuvent nécessiter un niveau de sécurité plus élevé. Les stratégies de sécurité activées dans Microsoft Defender pour le cloud déterminent les recommandations de sécurité et la supervision qui vous aident à identifier les vulnérabilités potentielles et à limiter les menaces.

Les groupes de ressources héritent des stratégies liées à l’abonnement. Toutefois, vous pouvez contrôler les stratégies de sécurité individuellement au niveau du groupe de ressources.

Notes

Pour modifier une stratégie de sécurité au niveau de l’abonnement ou du groupe de ressources, vous devez avoir le rôle de propriétaire ou de collaborateur pour l’abonnement concerné.

Utiliser des stratégies de sécurité

Vous pouvez voir les stratégies de sécurité actives dans les Paramètres d’environnement de Defender pour le cloud.

Après la sélection de votre abonnement, sélectionnez Stratégie de sécurité pour voir les initiatives par défaut ou personnalisées activées sur votre abonnement. Dans ce cas, nous sélectionnons l’initiative par défaut.

Screenshot of the Security policy pane with the default initiative selected.

Sélectionnez l’onglet Paramètres pour voir la liste des paramètres de stratégie avec des menus déroulants. Vous devez peut-être décocher la case Afficher uniquement les paramètres... pour voir une vue non filtrée.

Screenshot that shows the Parameters tab with System updates entered in the search box and the results displayed.

Dans l’image précédente, vous pouvez voir que nous avons recherché les Mises à jour système et que Les mises à jour système doivent être installées sur vos machines est défini sur AuditIfNotExists. Dans cet abonnement, avec la sécurité renforcée désactivée, cela signifie que toutes les machines virtuelles doivent être auditées pour vérifier qu’elles ont reçues les dernières mises à jour de sécurité. Toutes les machines virtuelles qui échouent à cette vérification génèrent un événement d’audit.

Changer les stratégies de conformité

Les propriétaires et les administrateurs de la sécurité peuvent modifier la stratégie de sécurité par défaut pour chacun des groupes d’administration et abonnements Azure affichés en utilisant Defender pour le cloud. Le portail Azure est le moyen le plus simple de changer une stratégie, mais vous pouvez également utiliser une interface de ligne de commande (Azure CLI ou Azure PowerShell) ou l’API REST programmatique.

Examinons quelques-unes des recommandations formulées par Microsoft Defender pour le cloud à propos de vos ressources sur la base de ces définitions de stratégie.