Detail inisiatif bawaan Kepatuhan Peraturan Benchmark Keamanan Azure

Artikel berikut merinci bagaimana definisi inisiatif bawaan Kepatuhan Azure Policy dipetakan ke domain kepatuhan dan kontrol di Azure Security Benchmark. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat Azure Security Benchmark. Untuk memahami Kepemilikan, lihat definisi kebijakan Azure Policy dan Tanggung jawab bersama di awan.

Pemetaan berikut adalah untuk kontrol Azure Security Benchmark. Gunakan navigasi di sebelah kanan untuk melompat langsung ke domain kepatuhan tertentu. Banyak kontrol diimplementasikan dengan definisi inisiatif Azure Policy. Untuk meninjau definisi inisiatif lengkap, buka Kebijakan di portal Microsoft Azure dan pilih halaman Definisi. Kemudian, temukan dan pilih definisi inisiatif bawaan Azure Security Benchmark Kepatuhan Peraturan.

Penting

Setiap kontrol di bawah ini dikaitkan dengan satu atau beberapa definisi Azure Policy. Kebijakan ini mungkin membantu Anda menilai kepatuhan terhadap kontrol; namun, sering kali tidak ada kecocokan satu-ke-satu atau lengkap antara kontrol dan satu atau beberapa kebijakan. Dengan demikian, Kepatuhan di Azure Policy hanya mengacu pada definisi kebijakan itu sendiri; hal tersebut tidak memastikan Anda sepenuhnya mematuhi semua persyaratan kontrol. Selain itu, standar kepatuhan melibatkan kontrol yang tidak dicakup dalam definisi yang ada di Azure Policy saat ini. Oleh karena itu, kepatuhan dalam Azure Policy hanyalah pandangan parsial dari status kepatuhan Anda secara keseluruhan. Hubungan antara domain kepatuhan, kontrol, dan definisi Azure Policy untuk standar kepatuhan ini dapat berubah seiring waktu. Untuk melihat riwayat perubahan, lihat Riwayat Komit GitHub.

Keamanan Jaringan

Menetapkan batas segmentasi jaringan

ID: Azure Security Benchmark NS-1 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Rekomendasi pengerasan jaringan adaptif harus diterapkan pada komputer virtual yang menghadap internet Azure Security Center menganalisis pola lalu lintas komputer virtual yang dihadapi Internet dan memberikan rekomendasi aturan Grup Keamanan Jaringan yang mengurangi potensi serangan permukaan AuditIfNotExists, Dinonaktifkan 3.0.0
Semua port jaringan harus dibatasi pada grup keamanan jaringan yang terkait dengan komputer virtual Anda Azure Security Center telah mengidentifikasi beberapa aturan masuk grup keamanan jaringan Anda terlalu permisif. Aturan masuk tidak boleh mengizinkan akses dari rentang 'Apa pun' atau 'Internet'. Ini berpotensi memungkinkan penyerang untuk menargetkan sumber daya Anda. AuditIfNotExists, Dinonaktifkan 3.0.0
Komputer virtual yang terhubung ke internet harus dilindungi dengan grup keamanan jaringan Lindungi komputer virtual Anda dari potensi ancaman dengan membatasi akses ke komputer virtual tersebut dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc AuditIfNotExists, Dinonaktifkan 3.0.0
Komputer virtual yang tidak terhubung ke internet harus dilindungi dengan kelompok keamanan jaringan Lindungi komputer virtual non-internet Anda dari potensi ancaman dengan membatasi akses dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc AuditIfNotExists, Dinonaktifkan 3.0.0
Subnet harus dikaitkan dengan Kelompok Keamanan Jaringan Lindungi subnet Anda dari potensi ancaman dengan membatasi aksesnya dengan Network Security Group (NSG). NSG berisi daftar aturan Access Control List (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke subnet Anda. AuditIfNotExists, Dinonaktifkan 3.0.0

Mengamankan layanan cloud dengan kontrol jaringan

ID: Azure Security Benchmark NS-2 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Azure Key Vault harus menonaktifkan akses jaringan publik Nonaktifkan akses jaringan publik untuk brankas kunci Anda agar tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/akvprivatelink. Audit, Tolak, Dinonaktifkan pratinjau-2.0.0
[Pratinjau]: Titik akhir privat harus dikonfigurasi untuk Azure Key Vault Tautan privat menyediakan cara untuk menghubungkan Key Vault ke sumber daya Azure Anda tanpa mengirimkan lalu lintas melalui internet publik. Tautan privat memberikan perlindungan mendalam terhadap penyelundupan data. Audit, Tolak, Dinonaktifkan 1.1.0-pratinjau
[Pratinjau]: Akses publik akun penyimpanan tidak boleh diizinkan Akses baca publik anonim ke container dan blob di Azure Storage adalah cara yang nyaman untuk berbagi data tetapi dapat menimbulkan risiko keamanan. Untuk mencegah pelanggaran data yang disebabkan oleh akses anonim yang tidak diinginkan, Microsoft merekomendasikan untuk mencegah akses publik ke akun penyimpanan kecuali skenario Anda memerlukannya. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 3.1.0-pratinjau
Layanan API Management harus menggunakan jaringan virtual Penyebaran Azure Virtual Network memberikan keamanan yang ditingkatkan, isolasi dan memungkinkan Anda untuk menempatkan layanan API Management Anda di jaringan non-internet routable yang Anda kontrol aksesnya. Jaringan ini kemudian dapat dihubungkan ke jaringan lokal Anda menggunakan berbagai teknologi VPN, yang memungkinkan akses ke layanan backend Anda dalam jaringan dan/atau lokal. Portal pengembang dan gateway API, dapat dikonfigurasi agar dapat diakses baik dari Internet atau hanya dalam jaringan virtual. Audit, Dinonaktifkan 1.0.1
Azure App Configuration harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke instans konfigurasi aplikasi Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Dinonaktifkan 1.0.2
Rentang IP resmi harus ditentukan di Layanan Kube Batasi akses ke API Manajemen Layanan Kube dengan memberikan akses API hanya ke alamat IP dalam rentang tertentu. Disarankan untuk membatasi akses ke rentang IP resmi untuk memastikan bahwa hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses kluster. Audit, Dinonaktifkan 2.0.1
Azure Cache for Redis harus menggunakan tautan privat Titik akhir privat memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke instans Azure Cache for Redis Anda, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Dinonaktifkan 1.0.0
Akun Azure Cosmos DB harus memiliki aturan firewall Aturan firewall harus ditentukan di akun Azure Cosmos DB Anda untuk mencegah lalu lintas dari sumber yang tidak sah. Akun yang memiliki setidaknya satu aturan IP yang ditentukan dengan filter jaringan virtual diaktifkan dianggap sesuai. Akun yang menonaktifkan akses publik juga dianggap patuh. Audit, Tolak, Dinonaktifkan 2.0.0
Domain Azure Event Grid harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke domain Azure Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. Audit, Dinonaktifkan 1.0.2
Topik Azure Event Grid harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke topik Azure Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. Audit, Dinonaktifkan 1.0.2
Ruang kerja Azure Machine Learning harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke ruang kerja Azure Machine Learning, risiko kebocoran data berkurang. Pelajari lebih lanjut tentang tautan privat di: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Tolak, Dinonaktifkan 1.1.0
Layanan Azure SignalR harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke sumber daya Layanan Azure SignalR alih-alih seluruh layanan, Anda akan mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/asrs/privatelink. Audit, Dinonaktifkan 1.0.0
Azure Spring Cloud harus menggunakan injeksi jaringan Instans Azure Spring Cloud harus menggunakan injeksi jaringan virtual untuk tujuan berikut: 1. Pisahkan Azure Spring Cloud dari Internet. 2. Aktifkan Azure Spring Cloud untuk berinteraksi dengan sistem baik di pusat data lokal atau layanan Azure di jaringan virtual lainnya. 3. Berdayakan pelanggan untuk mengontrol komunikasi jaringan masuk dan keluar untuk Azure Spring Cloud. Audit, Dinonaktifkan, Tolak 1.1.0
Akun Azure Cognitive Services harus menonaktifkan akses jaringan publik Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa akun Azure Cognitive Services tidak terbuka di internet publik. Membuat titik akhir pribadi dapat membatasi eksposur akun Azure Cognitive Services. Pelajari selengkapnya di: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Tolak, Dinonaktifkan 2.0.0
Akun Azure Cognitive Services harus membatasi akses jaringan Akses jaringan ke akun Azure Cognitive Services harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun Azure Cognitive Services. Untuk memperbolehkan koneksi dari klien internet atau lokal tertentu, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau rentang alamat IP internet publik. Audit, Tolak, Dinonaktifkan 2.0.0
Registri kontainer tidak boleh mengizinkan akses jaringan yang tidak terbatas Azure container registry secara default menerima koneksi melalui internet dari host di jaringan apa pun. Untuk melindungi registry Anda dari potensi ancaman, izinkan akses hanya dari alamat IP publik atau rentang alamat tertentu. Jika registri Anda tidak memiliki aturan IP/firewall atau jaringan virtual yang dikonfigurasi, registri tersebut akan muncul di sumber daya yang tidak sehat. Pelajari selengkapnya tentang aturan jaringan Container Registry di sini: https://aka.ms/acr/portal/public-network dan di sini https://aka.ms/acr/vnet. Audit, Tolak, Dinonaktifkan 1.1.0
Registri kontainer harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform private link menangani konektivitas antara konsumen dan layanan melalui jaringan Azure backbone.Dengan memetakan titik akhir pribadi ke container registry Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/acr/private-link. Audit, Dinonaktifkan 1.0.1
Koneksi titik akhir pribadi di Azure SQL Database harus diaktifkan Koneksi titik akhir privat menerapkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure SQL Database. Audit, Dinonaktifkan 1.1.0
Titik akhir privat harus diaktifkan untuk server MariaDB Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for MariaDB. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. AuditIfNotExists, Dinonaktifkan 1.0.2
Titik akhir privat harus diaktifkan untuk server MySQL Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for MySQL. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. AuditIfNotExists, Dinonaktifkan 1.0.2
Titik akhir privat harus diaktifkan untuk server PostgreSQL Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for PostgreSQL. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. AuditIfNotExists, Dinonaktifkan 1.0.2
Akses jaringan publik di Azure SQL Database harus dinonaktifkan Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan Azure SQL Database Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Audit, Tolak, Dinonaktifkan 1.1.0
Akses jaringan publik harus dinonaktifkan untuk server MariaDB Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for MariaDB Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini secara ketat menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Audit, Tolak, Dinonaktifkan 2.0.0
Akses jaringan publik harus dinonaktifkan untuk server MySQL Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for MySQL Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini secara ketat menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Audit, Tolak, Dinonaktifkan 2.0.0
Akses jaringan publik harus dinonaktifkan untuk server PostgreSQL Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for PostgreSQL Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menolak semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Audit, Tolak, Dinonaktifkan 2.0.0
Akun penyimpanan harus membatasi akses jaringan Akses jaringan ke akun penyimpanan harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk mengizinkan koneksi dari internet tertentu atau klien lokal, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke rentang alamat IP internet publik Audit, Tolak, Dinonaktifkan 1.1.1
Akun penyimpanan harus membatasi akses jaringan menggunakan aturan jaringan virtual Lindungi akun penyimpanan Anda dari potensi ancaman menggunakan aturan jaringan virtual sebagai metode pilihan alih-alih pemfilteran berbasis IP. Menonaktifkan pemfilteran berbasis IP mencegah IP publik mengakses akun penyimpanan Anda. Audit, Tolak, Dinonaktifkan 1.0.1
Akun penyimpanan harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke akun penyimpanan Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan pribadi di - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Dinonaktifkan 2.0.0
Template Pembuat Gambar VM harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke sumber daya bangunan VM Image Builder Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Dinonaktifkan, Tolak 1.1.0

Menyebarkan firewall pada tepi jaringan perusahaan

ID: Azure Security Benchmark NS-3 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Semua lalu lintas Internet harus dirutekan melalui Azure Firewall yang Anda sebarkan Azure Security Center telah mengidentifikasi bahwa beberapa subnet Anda tidak dilindungi dengan firewall generasi berikutnya. Lindungi subnet Anda dari potensi ancaman dengan membatasi akses ke mereka dengan Azure Firewall atau firewall generasi berikutnya yang didukung AuditIfNotExists, Dinonaktifkan 3.0.0-pratinjau
Penerusan IP pada komputer virtual Anda harus dinonaktifkan Mengaktifkan penerusan IP pada NIC komputer virtual memungkinkan komputer menerima lalu lintas yang ditujukan ke tujuan lain. Penerusan IP jarang diperlukan (misalnya, saat menggunakan VM sebagai appliance virtual jaringan), dan oleh karena itu, hal ini harus ditinjau oleh tim keamanan jaringan. AuditIfNotExists, Dinonaktifkan 3.0.0
Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan tepat waktu Kemungkinan akses Just In Time (JIT) jaringan akan dipantau oleh Azure Security Center sebagai rekomendasi AuditIfNotExists, Dinonaktifkan 3.0.0
Port pengelolaan harus ditutup di komputer virtual Anda Port manajemen jarak jauh yang terbuka mengekspos VM Anda ke risiko tinggi dari serangan berbasis internet. Serangan ini mencoba untuk memaksa info masuk guna mendapatkan akses admin ke komputer. AuditIfNotExists, Dinonaktifkan 3.0.0

Menyebarkan perlindungan DDOS

ID: Azure Security Benchmark NS-5 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Standar Azure DDoS Protection harus diaktifkan Standar perlindungan DDoS harus diaktifkan untuk semua jaringan virtual dengan subnet yang merupakan bagian dari gateway aplikasi dengan IP publik. AuditIfNotExists, Dinonaktifkan 3.0.0

Menyearkan firewall aplikasi web

ID: Azure Security Benchmark NS-6 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure Web Application Firewall harus diaktifkan untuk titik masuk Azure Front Door Menyebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. Audit, Tolak, Dinonaktifkan 1.0.2
Web Application Firewall (WAF) harus diaktifkan untuk Azure Application Gateway Menyebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. Audit, Tolak, Dinonaktifkan 2.0.0

Menyederhanakan konfigurasi keamanan jaringan

ID: Azure Security Benchmark NS-7 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Rekomendasi pengerasan jaringan adaptif harus diterapkan pada komputer virtual yang menghadap internet Azure Security Center menganalisis pola lalu lintas komputer virtual yang dihadapi Internet dan memberikan rekomendasi aturan Grup Keamanan Jaringan yang mengurangi potensi serangan permukaan AuditIfNotExists, Dinonaktifkan 3.0.0

Mendeteksi dan menonaktifkan layanan dan protokol yang tidak aman

ID: Azure Security Benchmark NS-8 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Versi TLS terbaru harus digunakan di Aplikasi API Anda Tingkatkan ke versi TLS terbaru AuditIfNotExists, Dinonaktifkan 1.0.0
Versi TLS terbaru harus digunakan di Aplikasi Fungsi Anda Tingkatkan ke versi TLS terbaru AuditIfNotExists, Dinonaktifkan 1.0.0
Versi TLS terbaru harus digunakan di Aplikasi Web Anda Tingkatkan ke versi TLS terbaru AuditIfNotExists, Dinonaktifkan 1.0.0

Memastikan keamanan Sistem Nama Domain (DNS)

ID: Azure Security Benchmark NS-10 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure Defender untuk DNS harus diaktifkan Azure Defender untuk DNS memberikan lapisan perlindungan tambahan untuk sumber daya cloud Anda dengan terus memantau semua kueri DNS dari sumber daya Azure Anda. Azure Defender mengingatkan Anda tentang aktivitas yang mencurigakan di lapisan DNS. Pelajari selengkapnya tentang kemampuan Azure Defender untuk DNS di https://aka.ms/defender-for-dns. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Dinonaktifkan 1.0.0

Manajemen Identitas

Menggunakan identitas terpusat dan sistem autentikasi

ID: Azure Security Benchmark IM-1 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Administrator Azure Active Directory harus disediakan untuk server SQL Penyediaan audit administrator Microsoft Azure Active Directory untuk server SQL Anda agar mengaktifkan autentikasi Microsoft Azure Active Directory. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya AuditIfNotExists, Dinonaktifkan 1.0.0
Akun database Cosmos DB harus menonaktifkan metode autentikasi lokal Menonaktifkan metode autentikasi lokal akan meningkatkan keamanan dengan memastikan bahwa registri kontainer secara eksklusif mewajibkan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. Audit, Tolak, Dinonaktifkan 1.0.0
Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien Audit penggunaan autentikasi klien hanya melalui Azure Active Directory di Service Fabric Audit, Tolak, Dinonaktifkan 1.1.0

Kelola identitas aplikasi dengan aman dan otomatis

ID: Azure Security Benchmark IM-3 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Identitas terkelola harus digunakan di API Apps Anda Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
Identitas terkelola harus digunakan di Aplikasi Fungsi Anda Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
Identitas terkelola harus digunakan di Aplikasi Web Anda Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
Ekstensi Konfigurasi Tamu komputer virtual harus diterapkan dengan identitas terkelola yang ditetapkan sistem Ekstensi Konfigurasi Tamu memerlukan identitas terkelola yang ditetapkan sistem. Komputer virtual Azure dalam cakupan kebijakan ini tidak akan mematuhi kebijakan jika ekstensi Konfigurasi Tamu diinstal tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Pelajari lebih lanjut di https://aka.ms/gcpol AuditIfNotExists, Dinonaktifkan 1.0.1

Menggunakan kontrol autentikasi kuat

ID: Azure Security Benchmark IM-6 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Autentikasi ke mesin Linux harus memerlukan kunci SSH Meskipun SSH sendiri menyediakan koneksi terenkripsi, menggunakan kata sandi dengan SSH masih membuat VM rentan terhadap serangan brute force. Opsi paling aman untuk mengautentikasi ke komputer virtual Linux Azure melalui SSH adalah dengan kunci publik-pribadi, juga dikenal sebagai kunci SSH. Pelajari selengkapnya: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Dinonaktifkan 3.0.0
MFA harus mengaktifkan akun dengan izin menulis pada langganan Anda Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak tulis istimewa untuk mencegah pelanggaran akun atau sumber daya. AuditIfNotExists, Dinonaktifkan 3.0.0
MFA harus diaktifkan pada akun dengan izin pemilik di langganan Anda Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan izin pemilik untuk mencegah pelanggaran akun atau sumber daya. AuditIfNotExists, Dinonaktifkan 3.0.0
MFA harus diaktifkan pada akun dengan izin baca di langganan Anda Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak baca istimewa untuk mencegah pelanggaran akun atau sumber daya. AuditIfNotExists, Dinonaktifkan 3.0.0

Akses dengan Hak Istimewa

Pisahkan dan batasi pengguna dengan hak istimewa tinggi/administratif

ID: Azure Security Benchmark PA-1 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Maksimum 3 pemilik harus ditunjuk untuk langganan Anda Direkomendasikan untuk menetapkan hingga 3 pemilik langganan untuk mengurangi potensi pelanggaran oleh pemilik yang disusupi. AuditIfNotExists, Dinonaktifkan 3.0.0
Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk. AuditIfNotExists, Dinonaktifkan 3.0.0
Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. AuditIfNotExists, Dinonaktifkan 3.0.0
Harus ada lebih dari satu pemilik yang ditetapkan ke langganan Anda Sebaiknya tetapkan lebih dari satu pemilik langganan agar memiliki redundansi akses administrator. AuditIfNotExists, Dinonaktifkan 3.0.0

Menghindari akses tetap untuk akun dan izin

ID: Azure Security Benchmark PA-2 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan tepat waktu Kemungkinan akses Just In Time (JIT) jaringan akan dipantau oleh Azure Security Center sebagai rekomendasi AuditIfNotExists, Dinonaktifkan 3.0.0

Tinjau dan rekonsiliasi akses pengguna secara teratur

ID: Azure Security Benchmark PA-4 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Akun yang tidak digunakan lagi harus dihapus dari langganan Anda Akun yang tidak digunakan lagi harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk. AuditIfNotExists, Dinonaktifkan 3.0.0
Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk. AuditIfNotExists, Dinonaktifkan 3.0.0
Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. AuditIfNotExists, Dinonaktifkan 3.0.0
Akun eksternal dengan izin baca harus dihapus dari langganan Anda Akun eksternal dengan hak baca istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. AuditIfNotExists, Dinonaktifkan 3.0.0
Akun eksternal dengan izin menulis harus dihapus dari langganan Anda Akun eksternal dengan hak tulis istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. AuditIfNotExists, Dinonaktifkan 3.0.0

Ikuti prinsip administrasi (setidaknya hak istimewa) secukupnya

ID: Azure Security Benchmark PA-7 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Mengaudit penggunaan aturan RBAC kustom Audit peran bawaan seperti 'Pemilik, Kontributor, Pembaca', sebagai pengganti peran RBAC kustom, yang rawan kesalahan. Penggunaan peran kustom diperlakukan sebagai pengecualian dan memerlukan peninjauan yang ketat serta pemodelan ancaman Audit, Dinonaktifkan 1.0.0
Access Control Berbasis Peran (RBAC) harus digunakan pada Layanan Kubernetes Untuk menyediakan pemfilteran granular pada tindakan yang dapat dilakukan pengguna, gunakan Access Control Berbasis Peran (RBAC) untuk mengelola izin di Kubernetes Service Cluster dan mengonfigurasi kebijakan otorisasi yang relevan. Audit, Dinonaktifkan 1.0.2

Perlindungan Data

Memantau anomali dan ancaman yang menargetkan data sensitif

ID: Azure Security Benchmark DP-2 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure Defender untuk server Azure SQL Database harus diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk database relasional sumber terbuka harus diaktifkan Azure Defender untuk database relasional sumber terbuka mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. Pelajari selengkapnya tentang kemampuan Azure Defender untuk database relasional sumber terbuka di https://aka.ms/AzDforOpenSourceDBsDocu. Penting: Mengaktifkan paket ini akan dikenakan biaya untuk melindungi database relasional sumber terbuka Anda. Pelajari tentang harga di halaman harga Security Center: https://aka.ms/pricing-security-center AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Defender untuk server SQL pada mesin harus diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk Penyimpanan harus diaktifkan Azure Defender for Storage menyediakan deteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. AuditIfNotExists, Dinonaktifkan 1.0.3

Enkripsi data sensitif saat transit

ID: Azure Security Benchmark DP-3 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Aplikasi App Service hanya dapat diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Audit, Dinonaktifkan 2.0.0
Terapkan koneksi SSL harus diaktifkan untuk server database MySQL Azure Database for MySQL mendukung koneksi server Azure Database for MySQL Anda ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda. Audit, Dinonaktifkan 1.0.1
Pemberlakuan koneksi SSL harus diaktifkan untuk server database PostgreSQL Azure Database for PostgreSQL mendukung penyambungan server Azure Database for PostgreSQL ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda. Audit, Dinonaktifkan 1.0.1
hanya FTPS yang diperlukan di API Apps Anda Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
hanya FTPS yang diperlukan di Aplikasi Fungsi Anda Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
FTPS harus diperlukan di Aplikasi Web Anda Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
Aplikasi fungsi seharusnya hanya dapat diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Audit, Dinonaktifkan 2.0.0
Cluster Kubernetes hanya dapat diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Kini kebijakan ini tersedia untuk Kubernetes Service (AKS) dan dalam pratinjau untuk AKS Engine serta Kubernetes dengan dukungan Azure Arc. Untuk info selengkapnya, kunjungi https://aka.ms/kubepolicydoc audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 6.1.0
Versi TLS terbaru harus digunakan di Aplikasi API Anda Tingkatkan ke versi TLS terbaru AuditIfNotExists, Dinonaktifkan 1.0.0
Versi TLS terbaru harus digunakan di Aplikasi Fungsi Anda Tingkatkan ke versi TLS terbaru AuditIfNotExists, Dinonaktifkan 1.0.0
Versi TLS terbaru harus digunakan di Aplikasi Web Anda Tingkatkan ke versi TLS terbaru AuditIfNotExists, Dinonaktifkan 1.0.0
Hanya koneksi aman ke Azure Cache for Redis Anda yang harus diaktifkan Audit memungkinkan hanya koneksi melalui SSL ke Azure Cache for Redis. Penggunaan koneksi aman memastikan autentikasi antara server dan layanan serta melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking Audit, Tolak, Dinonaktifkan 1.0.0
Transfer aman ke akun penyimpanan harus diaktifkan Persyaratan audit Transfer aman di akun penyimpanan Anda. Transfer aman adalah opsi yang memaksa akun penyimpanan Anda untuk menerima permintaan hanya dari koneksi aman (HTTPS). Penggunaan HTTPS memastikan autentikasi antara server dan layanan dan melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking Audit, Tolak, Dinonaktifkan 2.0.0
Server web Windows harus dikonfigurasi untuk menggunakan protokol komunikasi yang aman Untuk melindungi privasi informasi yang dikomunikasikan melalui Internet, server web Anda harus menggunakan versi terbaru dari protokol kriptografi standar industri, Transport Layer Security (TLS). TLS mengamankan komunikasi melalui jaringan dengan menggunakan sertifikat keamanan untuk mengenkripsi koneksi antar komputer. AuditIfNotExists, Dinonaktifkan 4.0.0

Mengaktifkan enkripsi data tidak aktif secara default

ID: Azure Security Benchmark DP-4 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Variabel akun otomatisasi harus dienkripsi Penting untuk mengaktifkan enkripsi aset variabel akun Azure Automation saat menyimpan data sensitif Audit, Tolak, Dinonaktifkan 1.1.0
Kluster Service Fabric harus memiliki properti ClusterProtectionLevel yang disetel ke EncryptAndSign Service Fabric menyediakan tiga tingkat perlindungan (None, Sign, dan EncryptAndSign) untuk komunikasi node-to-node menggunakan sertifikat kluster utama. Atur tingkat perlindungan untuk memastikan bahwa semua pesan node-to-node dienkripsi dan ditandatangani secara digital Audit, Tolak, Dinonaktifkan 1.1.0
Enkripsi Data Transparan di database SQL harus diaktifkan Enkripsi data transparan harus diaktifkan untuk melindungi data-yang-tidak-aktif dan memenuhi persyaratan kepatuhan AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer virtual harus mengenkripsi disk sementara, cache, serta aliran data antara sumber daya Komputasi dan Penyimpanan Secara default, OS dan disk data mesin virtual dienkripsi saat tidak aktif menggunakan kunci yang dikelola platform. Disk sementara, cache data, dan data yang mengalir di antara komputasi dan penyimpanan tidak dienkripsi. Abaikan rekomendasi ini jika: 1. menggunakan enkripsi di host, atau 2. enkripsi sisi server pada Disk Terkelola memenuhi persyaratan keamanan Anda. Pelajari lebih lanjut dalam: Enkripsi sisi server dari Azure Disk Storage: https://aka.ms/disksse, Penawaran enkripsi disk yang berbeda: https://aka.ms/diskencryptioncomparison AuditIfNotExists, Dinonaktifkan 2.0.3

Menggunakan opsi kunci yang dikelola pelanggan dalam enkripsi data tidak aktif saat diperlukan

ID: Azure Security Benchmark DP-5 Kepemilikan: Dibagi

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Akun Azure Cosmos DB harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari Azure Cosmos DB Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/cosmosdb-cmk. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 1.1.0
Ruang kerja Azure Machine Learning harus dienkripsi dengan kunci yang dikelola pelanggan Kelola enkripsi pada data ruang kerja Azure Machine Learning lainnya dengan kunci yang dikelola pelanggan. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan umumnya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/azureml-workspaces-cmk. Audit, Tolak, Dinonaktifkan 1.0.3
Akun Azure Cognitive Services harus mengaktifkan enkripsi data dengan kunci yang dikelola pelanggan Kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan terhadap peraturan. Kunci yang dikelola pelanggan memungkinkan data yang disimpan di Azure Cognitive Services dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. Pelajari lebih lanjut tentang kunci yang dikelola pelanggan di https://go.microsoft.com/fwlink/?linkid=2121321. Audit, Tolak, Dinonaktifkan 2.0.0
Pendaftaran penampung harus dienkripsi dengan kunci yang dikelola pelanggan Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi tidak aktif di seluruh isi disk terkelola Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/acr/CMK. Audit, Tolak, Dinonaktifkan 1.1.2
Server MySQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari server MySQL Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. AuditIfNotExists, Dinonaktifkan 1.0.4
Server PostgreSQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data yang tidak aktif Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari server PostgreSQL Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. AuditIfNotExists, Dinonaktifkan 1.0.4
Instans terkelola SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif Implementasi Enkripsi Data Transparan (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. Audit, Tolak, Dinonaktifkan 2.0.0
Server SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif Implementasi Transparent Data Encryption (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. Audit, Tolak, Dinonaktifkan 2.0.1
Akun penyimpanan harus menggunakan kunci yang dikelola pelanggan untuk enkripsi Amankan akun penyimpanan blob dan file Anda dengan fleksibilitas yang lebih besar menggunakan kunci yang dikelola pelanggan. Saat Anda menentukan kunci yang dikelola pelanggan, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Menggunakan kunci yang dikelola pelanggan memberikan kemampuan tambahan untuk mengontrol rotasi kunci enkripsi kunci atau menghapus data secara kriptografis. Audit, Dinonaktifkan 1.0.3

Menggunakan proses manajemen kunci yang aman

ID: Azure Security Benchmark DP-6 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Kunci Key Vault harus memiliki tanggal kedaluwarsa Kunci kriptografi harus memiliki tanggal kedaluwarsa yang ditentukan dan tidak permanen. Kunci yang valid selamanya memberikan lebih banyak waktu bagi penyerang potensial untuk menyusupi kunci tersebut. Menetapkan tanggal kedaluwarsa pada kunci kriptografi adalah praktik keamanan yang direkomendasikan. Audit, Tolak, Dinonaktifkan 1.0.2
Rahasia Azure Key Vault harus memiliki tanggal kedaluwarsa Rahasia harus memiliki tanggal kedaluwarsa yang ditentukan dan tidak bersifat permanen. Rahasia yang berlaku selamanya memberi lebih banyak waktu kepada penyerang potensial untuk menyusupinya. Menetapkan tanggal kedaluwarsa pada rahasia adalah praktik keamanan yang direkomendasikan. Audit, Tolak, Dinonaktifkan 1.0.2

Menggunakan proses manajemen sertifikat yang aman

ID: Azure Security Benchmark DP-7 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Sertifikat harus memiliki masa berlaku maksimum yang ditentukan Kelola persyaratan kepatuhan organisasi Anda dengan menentukan durasi masa berlaku sertifikat dalam brankas kunci. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 2.2.0-pratinjau

Memastikan keamanan repositori kunci dan sertifikat

ID: Azure Security Benchmark DP-8 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Azure Key Vault harus menonaktifkan akses jaringan publik Nonaktifkan akses jaringan publik untuk brankas kunci Anda agar tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/akvprivatelink. Audit, Tolak, Dinonaktifkan pratinjau-2.0.0
[Pratinjau]: Titik akhir privat harus dikonfigurasi untuk Azure Key Vault Tautan privat menyediakan cara untuk menghubungkan Key Vault ke sumber daya Azure Anda tanpa mengirimkan lalu lintas melalui internet publik. Tautan privat memberikan perlindungan mendalam terhadap penyelundupan data. Audit, Tolak, Dinonaktifkan 1.1.0-pratinjau
Azure Defender untuk Key Vault harus diaktifkan Azure Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun key vault. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Key Vault harus mengaktifkan perlindungan dari penghapusan menyeluruh Penghapusan brankas kunci yang berbahaya dapat menyebabkan hilangnya data secara permanen. Orang dalam berbahaya di organisasi Anda dapat berpotensi menghapus dan membersihkan brankas kunci. Perlindungan penghapusan menyeluruh melindungi Anda dari serangan orang dalam dengan memberlakukan periode retensi wajib untuk brankas kunci yang dihapus sementara. Tidak ada seorang pun di dalam organisasi Anda atau Microsoft yang dapat membersihkan brankas kunci Anda selama periode penyimpanan penghapusan sementara. Audit, Tolak, Dinonaktifkan 2.0.0
Brankas kunci harus mengaktifkan penghapusan sementara Menghapus brankas kunci tanpa mengaktifkan penghapusan sementara akan menghapus semua rahasia, kunci, dan sertifikat yang disimpan di brankas kunci secara permanen. Penghapusan brankas kunci secara tidak sengaja dapat menyebabkan hilangnya data secara permanen. Penghapusan sementara memungkinkan Anda memulihkan brankas kunci yang terhapus secara tidak sengaja untuk periode retensi yang dapat dikonfigurasi. Audit, Tolak, Dinonaktifkan 2.0.0
Log sumber daya di Key Vault harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda membuat ulang jejak aktivitas yang akan digunakan untuk penyelidikan saat terjadi insiden keamanan atau jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0

Manajemen Aset

Hanya gunakan layanan yang disetujui

ID: Azure Security Benchmark AM-2 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Akun penyimpanan harus dimigrasikan ke sumber daya Azure Resource Manager baru Gunakan Azure Resource Manager baru untuk akun penyimpanan Anda guna memberikan peningkatan keamanan seperti: kontrol akses yang lebih kuat (RBAC), audit yang lebih baik, penyebaran dan tata kelola berbasis Azure Resource Manager, akses ke identitas terkelola, akses ke brankas kunci untuk rahasia, berbasis Azure Active Directory autentikasi dan dukungan untuk tag dan grup sumber daya untuk manajemen keamanan yang lebih mudah Audit, Tolak, Dinonaktifkan 1.0.0
Komputer virtual harus dimigrasikan ke sumber daya Azure Resource Manager baru Gunakan Azure Resource Manager baru untuk komputer virtual Anda untuk memberikan peningkatan keamanan seperti: kontrol akses yang lebih kuat (RBAC), audit yang lebih baik, penerapan dan tata kelola berbasis Azure Resource Manager, akses ke identitas terkelola, akses ke brankas kunci untuk rahasia, berbasis Azure Active Directory autentikasi dan dukungan untuk tag dan grup sumber daya untuk manajemen keamanan yang lebih mudah Audit, Tolak, Dinonaktifkan 1.0.0

Menggunakan hanya aplikasi yang disetujui di mesin virtual

ID: Azure Security Benchmark AM-5 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Kontrol aplikasi adaptif untuk menetapkan aplikasi yang aman harus diaktifkan di komputer Anda Aktifkan kontrol aplikasi untuk menentukan daftar aplikasi yang diketahui aman yang sedang berjalan di komputer Anda, dan aktifkan pemberitahuan ketika aplikasi lain berjalan. Hal ini membantu memperkuat komputer Anda terhadap malware. Untuk menyederhanakan proses konfigurasi dan pemeliharaan aturan Anda, Security Center menggunakan pembelajaran mesin untuk menganalisis aplikasi yang berjalan di setiap komputer dan menyarankan daftar aplikasi yang diketahui aman. AuditIfNotExists, Dinonaktifkan 3.0.0
Aturan daftar yang diizinkan pada kebijakan kontrol aplikasi adaptif Anda harus diperbarui Pantau perubahan perilaku pada grup mesin yang dikonfigurasi untuk diaudit oleh kontrol aplikasi adaptif Security Center. Security Center menggunakan pembelajaran mesin untuk menganalisis proses yang berjalan di mesin Anda dan menyarankan daftar aplikasi yang dikenal aman. Hal ini disajikan sebagai aplikasi yang disarankan untuk diizinkan dalam kebijakan kontrol aplikasi adaptif. AuditIfNotExists, Dinonaktifkan 3.0.0

Pencatatan dan Deteksi Ancaman

Mengaktifkan kemampuan deteksi ancaman

ID: Azure Security Benchmark LT-1 Kepemilikan: Dibagi

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Kluster Kubernetes yang mengaktifkan Azure Arc harus memiliki ekstensi Microsoft Defender untuk Cloud yang diinstal Ekstensi Microsoft Defender untuk Cloud untuk Azure Arc memberikan perlindungan ancaman untuk kluster Kubernetes Anda yang mendukung Arc. Ekstensi ini mengumpulkan data dari simpul dalam kluster dan mengirimkannya ke backend Azure Defender untuk Kube di cloud untuk dianalisis lebih lanjut. Pelajari lebih lanjut di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Dinonaktifkan 5.0.1-pratinjau
[Pratinjau]: Kluster Azure Kubernetes Service harus mengaktifkan profil Defender Microsoft Defender untuk Kontainer menyediakan kemampuan keamanan Kubernetes cloud-native termasuk penguatan lingkungan, perlindungan beban kerja, dan perlindungan run-time. Saat Anda mengaktifkan SecurityProfile.AzureDefender di kluster Azure Kubernetes Service Anda, agen akan disebarkan ke kluster Anda untuk mengumpulkan data peristiwa keamanan. Pelajari selengkapnya tentang Microsoft Defender untuk Kontainer di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks Audit, Dinonaktifkan pratinjau-1.0.2
Azure Defender untuk App Service harus diaktifkan Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk server Azure SQL Database harus diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk DNS harus diaktifkan Azure Defender untuk DNS memberikan lapisan perlindungan tambahan untuk sumber daya cloud Anda dengan terus memantau semua kueri DNS dari sumber daya Azure Anda. Azure Defender mengingatkan Anda tentang aktivitas yang mencurigakan di lapisan DNS. Pelajari selengkapnya tentang kemampuan Azure Defender untuk DNS di https://aka.ms/defender-for-dns. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Defender untuk Key Vault harus diaktifkan Azure Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun key vault. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk database relasional sumber terbuka harus diaktifkan Azure Defender untuk database relasional sumber terbuka mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. Pelajari selengkapnya tentang kemampuan Azure Defender untuk database relasional sumber terbuka di https://aka.ms/AzDforOpenSourceDBsDocu. Penting: Mengaktifkan paket ini akan dikenakan biaya untuk melindungi database relasional sumber terbuka Anda. Pelajari tentang harga di halaman harga Security Center: https://aka.ms/pricing-security-center AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Defender untuk Resource Manager harus diaktifkan Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Defender untuk server harus diaktifkan Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk server SQL pada mesin harus diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak dilindungi Audit server SQL tanpa Advanced Data Security AuditIfNotExists, Dinonaktifkan 2.0.1
Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk Penyimpanan harus diaktifkan Azure Defender for Storage menyediakan deteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. AuditIfNotExists, Dinonaktifkan 1.0.3
Pertahanan Microsoft untuk Kontainer harus diaktifkan Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
Windows Defender Exploit Guard harus diaktifkan di komputer Anda Windows Defender Exploit Guard menggunakan agen Konfigurasi Tamu Azure Policy. Exploit Guard memiliki empat komponen yang dirancang untuk mengunci perangkat dari berbagai vektor serangan dan memblokir perilaku yang biasa digunakan dalam serangan malware sekaligus memungkinkan perusahaan untuk menyeimbangkan risiko keamanan dan persyaratan produktivitas (khusus Windows). AuditIfNotExists, Dinonaktifkan 2.0.0

Mengaktifkan deteksi ancaman untuk identitas dan manajemen akses

ID: Azure Security Benchmark LT-2 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Kluster Kubernetes yang mengaktifkan Azure Arc harus memiliki ekstensi Microsoft Defender untuk Cloud yang diinstal Ekstensi Microsoft Defender untuk Cloud untuk Azure Arc memberikan perlindungan ancaman untuk kluster Kubernetes Anda yang mendukung Arc. Ekstensi ini mengumpulkan data dari simpul dalam kluster dan mengirimkannya ke backend Azure Defender untuk Kube di cloud untuk dianalisis lebih lanjut. Pelajari lebih lanjut di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Dinonaktifkan 5.0.1-pratinjau
[Pratinjau]: Kluster Azure Kubernetes Service harus mengaktifkan profil Defender Microsoft Defender untuk Kontainer menyediakan kemampuan keamanan Kubernetes cloud-native termasuk penguatan lingkungan, perlindungan beban kerja, dan perlindungan run-time. Saat Anda mengaktifkan SecurityProfile.AzureDefender di kluster Azure Kubernetes Service Anda, agen akan disebarkan ke kluster Anda untuk mengumpulkan data peristiwa keamanan. Pelajari selengkapnya tentang Microsoft Defender untuk Kontainer di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks Audit, Dinonaktifkan pratinjau-1.0.2
Azure Defender untuk App Service harus diaktifkan Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk server Azure SQL Database harus diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk DNS harus diaktifkan Azure Defender untuk DNS memberikan lapisan perlindungan tambahan untuk sumber daya cloud Anda dengan terus memantau semua kueri DNS dari sumber daya Azure Anda. Azure Defender mengingatkan Anda tentang aktivitas yang mencurigakan di lapisan DNS. Pelajari selengkapnya tentang kemampuan Azure Defender untuk DNS di https://aka.ms/defender-for-dns. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Defender untuk Key Vault harus diaktifkan Azure Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun key vault. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk database relasional sumber terbuka harus diaktifkan Azure Defender untuk database relasional sumber terbuka mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. Pelajari selengkapnya tentang kemampuan Azure Defender untuk database relasional sumber terbuka di https://aka.ms/AzDforOpenSourceDBsDocu. Penting: Mengaktifkan paket ini akan dikenakan biaya untuk melindungi database relasional sumber terbuka Anda. Pelajari tentang harga di halaman harga Security Center: https://aka.ms/pricing-security-center AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Defender untuk Resource Manager harus diaktifkan Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Defender untuk server harus diaktifkan Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk server SQL pada mesin harus diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak dilindungi Audit server SQL tanpa Advanced Data Security AuditIfNotExists, Dinonaktifkan 2.0.1
Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk Penyimpanan harus diaktifkan Azure Defender for Storage menyediakan deteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. AuditIfNotExists, Dinonaktifkan 1.0.3
Pertahanan Microsoft untuk Kontainer harus diaktifkan Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
Windows Defender Exploit Guard harus diaktifkan di komputer Anda Windows Defender Exploit Guard menggunakan agen Konfigurasi Tamu Azure Policy. Exploit Guard memiliki empat komponen yang dirancang untuk mengunci perangkat dari berbagai vektor serangan dan memblokir perilaku yang biasa digunakan dalam serangan malware sekaligus memungkinkan perusahaan untuk menyeimbangkan risiko keamanan dan persyaratan produktivitas (khusus Windows). AuditIfNotExists, Dinonaktifkan 2.0.0

Mengaktifkan pengelogan untuk investigasi keamanan

ID: Azure Security Benchmark LT-3 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Audit di server SQL harus diaktifkan Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit. AuditIfNotExists, Dinonaktifkan 2.0.0
Log sumber daya di App Services harus diaktifkan Audit yang mengaktifkan log sumber daya di aplikasi. Ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi jika terjadi insiden keamanan atau jaringan Anda disusupi. AuditIfNotExists, Dinonaktifkan 2.0.0
Log sumber daya di Azure Data Lake Store harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Azure Stream Analytics harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di akun Azure Batch harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Data Lake Analytics harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Event Hub harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Azure IoT Hub harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 3.0.1
Log sumber daya di Key Vault harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda membuat ulang jejak aktivitas yang akan digunakan untuk penyelidikan saat terjadi insiden keamanan atau jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Logic Apps harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di layanan Pencarian harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Azure Service Bus harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya dalam Microsoft Azure Virtual Machine Scale Sets harus diaktifkan Sebaiknya aktifkan Log agar jejak aktivitas dapat dibuat kembali saat penyelidikan diperlukan jika terjadi insiden atau penyusupan. AuditIfNotExists, Dinonaktifkan 2.1.0

Mengaktifkan pengelogan jaringan untuk penyelidikan keamanan

ID: Azure Security Benchmark LT-4 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Linux Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. AuditIfNotExists, Dinonaktifkan pratinjau-1.0.2
[Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Windows Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. AuditIfNotExists, Dinonaktifkan pratinjau-1.0.2

Sentralisasi manajemen dan analisis log keamanan

ID: Azure Security Benchmark LT-5 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Ekstensi Analitik Log harus dipasang di mesin linux Azure Arc Kebijakan ini mengaudit mesin Azure Arc Linux jika ekstensi Analitik Log tidak diinstal. AuditIfNotExists, Dinonaktifkan 1.0.1-pratinjau
[Pratinjau]: Ekstensi Analitik Log harus diinstal di mesin Azure Arc Windows Kebijakan ini mengaudit mesin Azure Arc Windows jika ekstensi Analitik Log tidak diinstal. AuditIfNotExists, Dinonaktifkan 1.0.1-pratinjau
Penyediaan otomatis agen Analisis Log harus diaktifkan pada langganan Anda Untuk memantau kerentanan dan ancaman keamanan, Azure Security Center mengumpulkan data dari komputer virtual Azure Anda. Data dikumpulkan oleh agen Log Analytics, sebelumnya dikenal sebagai Microsoft Monitoring Agent (MMA), yang membaca berbagai konfigurasi terkait keamanan dan log peristiwa dari komputer dan menyalin data ke ruang kerja Log Analytics Anda untuk analisis. Sebaiknya aktifkan penyediaan otomatis untuk menerapkan agen secara otomatis ke semua Azure VM yang didukung dan yang baru yang dibuat. AuditIfNotExists, Dinonaktifkan 1.0.1
Mesin Linux harus memasang agen Analitik Log di Azure Arc Mesin tidak sesuai jika agen Analitik Log tidak diinstal di server Linux yang didukung Azure Arc. AuditIfNotExists, Nonaktif 1.1.0
Agen Log Analytics harus dipasang pada komputer virtual Anda untuk pemantauan Azure Security Center Kebijakan ini mengaudit komputer virtual (VM) Windows/Linux apa pun jika agen Analitik Log tidak dipasang yang digunakan Azure Security Center untuk memantau kerentanan dan ancaman keamanan AuditIfNotExists, Dinonaktifkan 1.0.0
Agen Analitik Log harus dipasang pada set skala komputer virtual Anda untuk pemantauan Azure Security Center Security Center mengumpulkan data dari komputer virtual Azure (VM) Anda untuk memantau kerentanan dan ancaman keamanan. AuditIfNotExists, Dinonaktifkan 1.0.0
Mesin Windows harus memasang agen Analitik Log di Azure Arc Mesin tidak sesuai jika agen Analitik Log tidak diinstal di server windows yang didukung Azure Arc. AuditIfNotExists, Dinonaktifkan 2.0.0

Konfigurasikan retensi penyimpanan log

ID: Azure Security Benchmark LT-6 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Server SQL dengan audit ke tujuan akun penyimpanan harus dikonfigurasi dengan retensi 90 hari atau lebih tinggi Untuk tujuan penyelidikan insiden, kami menyarankan pengaturan retensi data untuk audit SQL Server Anda ke tujuan akun penyimpanan setidaknya 90 hari. Konfirmasikan bahwa Anda memenuhi aturan retensi yang diperlukan untuk wilayah tempat Anda beroperasi. Ini terkadang diperlukan untuk memenuhi standar peraturan. AuditIfNotExists, Dinonaktifkan 3.0.0

Respons Insiden

Persiapan - pengaturan pemberitahuan insiden

ID: Azure Security Benchmark IR-2 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Pemberitahuan email untuk pemberitahuan tingkat keparahan tinggi harus diaktifkan Untuk memastikan orang yang relevan di organisasi Anda diberi tahu ketika terdapat potensi pelanggaran keamanan di salah satu langganan Anda, aktifkan pemberitahuan email untuk peringatan tingkat keparahan tinggi di Security Center. AuditIfNotExists, Dinonaktifkan 1.0.1
Pemberitahuan email kepada pemilik langganan untuk lansiran tingkat keparahan tinggi harus diaktifkan Untuk memastikan pemilik langganan Anda diberitahu ketika ada potensi pelanggaran keamanan di langganan mereka, atur pemberitahuan email ke pemilik langganan untuk peringatan tingkat keparahan tinggi di Security Center. AuditIfNotExists, Dinonaktifkan 2.0.0
Langganan harus memiliki alamat email kontak untuk masalah keamanan Untuk memastikan orang yang relevan di organisasi Anda diberi tahu saat ada potensi pelanggaran keamanan di salah satu langganan Anda, atur kontak keamanan untuk menerima pemberitahuan email dari Security Center. AuditIfNotExists, Dinonaktifkan 1.0.1

Deteksi dan analisis - membuat insiden berdasarkan peringatan berkualitas tinggi

ID: Azure Security Benchmark IR-3 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure Defender untuk App Service harus diaktifkan Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk server Azure SQL Database harus diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk DNS harus diaktifkan Azure Defender untuk DNS memberikan lapisan perlindungan tambahan untuk sumber daya cloud Anda dengan terus memantau semua kueri DNS dari sumber daya Azure Anda. Azure Defender mengingatkan Anda tentang aktivitas yang mencurigakan di lapisan DNS. Pelajari selengkapnya tentang kemampuan Azure Defender untuk DNS di https://aka.ms/defender-for-dns. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Defender untuk Key Vault harus diaktifkan Azure Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun key vault. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk database relasional sumber terbuka harus diaktifkan Azure Defender untuk database relasional sumber terbuka mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. Pelajari selengkapnya tentang kemampuan Azure Defender untuk database relasional sumber terbuka di https://aka.ms/AzDforOpenSourceDBsDocu. Penting: Mengaktifkan paket ini akan dikenakan biaya untuk melindungi database relasional sumber terbuka Anda. Pelajari tentang harga di halaman harga Security Center: https://aka.ms/pricing-security-center AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Defender untuk Resource Manager harus diaktifkan Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Defender untuk server harus diaktifkan Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk server SQL pada mesin harus diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak dilindungi Audit server SQL tanpa Advanced Data Security AuditIfNotExists, Dinonaktifkan 2.0.1
Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk Penyimpanan harus diaktifkan Azure Defender for Storage menyediakan deteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. AuditIfNotExists, Dinonaktifkan 1.0.3
Pertahanan Microsoft untuk Kontainer harus diaktifkan Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. AuditIfNotExists, Dinonaktifkan 1.0.0

Deteksi dan analisis - menyelidiki insiden

ID: Azure Security Benchmark IR-4 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Network Watcher harus diaktifkan Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan ujung ke ujung. Diperlukan untuk memiliki grup sumber daya pengawas jaringan untuk dibuat di setiap wilayah tempat jaringan virtual berada. Pemberitahuan diaktifkan jika grup sumber daya pengawas jaringan tidak tersedia di wilayah tertentu. AuditIfNotExists, Dinonaktifkan 3.0.0

Deteksi dan analisis - prioritaskan insiden

ID: Azure Security Benchmark IR-5 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure Defender untuk App Service harus diaktifkan Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk server Azure SQL Database harus diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk DNS harus diaktifkan Azure Defender untuk DNS memberikan lapisan perlindungan tambahan untuk sumber daya cloud Anda dengan terus memantau semua kueri DNS dari sumber daya Azure Anda. Azure Defender mengingatkan Anda tentang aktivitas yang mencurigakan di lapisan DNS. Pelajari selengkapnya tentang kemampuan Azure Defender untuk DNS di https://aka.ms/defender-for-dns. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Defender untuk Key Vault harus diaktifkan Azure Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun key vault. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk database relasional sumber terbuka harus diaktifkan Azure Defender untuk database relasional sumber terbuka mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. Pelajari selengkapnya tentang kemampuan Azure Defender untuk database relasional sumber terbuka di https://aka.ms/AzDforOpenSourceDBsDocu. Penting: Mengaktifkan paket ini akan dikenakan biaya untuk melindungi database relasional sumber terbuka Anda. Pelajari tentang harga di halaman harga Security Center: https://aka.ms/pricing-security-center AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Defender untuk Resource Manager harus diaktifkan Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Defender untuk server harus diaktifkan Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk server SQL pada mesin harus diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak dilindungi Audit server SQL tanpa Advanced Data Security AuditIfNotExists, Dinonaktifkan 2.0.1
Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk Penyimpanan harus diaktifkan Azure Defender for Storage menyediakan deteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. AuditIfNotExists, Dinonaktifkan 1.0.3
Pertahanan Microsoft untuk Kontainer harus diaktifkan Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. AuditIfNotExists, Dinonaktifkan 1.0.0

Manajemen Postur dan Kerentanan

Mengaudit dan menerapkan konfigurasi yang aman

ID: Azure Security Benchmark PV-2 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Kluster Kubernetes dengan dukungan Azure Arc harus memasang ekstensi Azure Policy Ekstensi Azure Policy untuk Azure Arc menyediakan penerapan dan perlindungan skala besar pada kluster Kubernetes yang didukung Arc Anda secara terpusat dan konsisten. Pelajari lebih lanjut di https://aka.ms/akspolicydoc. AuditIfNotExists, Dinonaktifkan 1.0.0-pratinjau
[Pratinjau]: Kluster Kubernetes harus membuka gerbang penyebaran gambar yang rentan Lindungi kluster Kubernetes dan beban kerja kontainer Anda dari potensi ancaman dengan membatasi penyebaran gambar kontainer dengan komponen perangkat lunak yang rentan. Gunakan pemindaian CI/CD Azure Defender (https://aka.ms/AzureDefenderCICDscanning) dan Azure defender untuk registri kontainer (https://aka.ms/AzureDefenderForContainerRegistries) untuk mengidentifikasi dan menambal kerentanan sebelum penyebaran. Prasyarat evaluasi: Addon Azure Policy dan Profil Azure Defender. Hanya berlaku untuk pelanggan pratinjau pribadi. Audit, Tolak, Dinonaktifkan 1.0.3-pratinjau
Add-on Azure Policy untuk layanan Kube (AKS) harus dipasang dan diaktifkan di kluster Anda Azure Policy Add-on for Kubernetes service (AKS) memperluas Gatekeeper v3, webhook pengontrol penerimaan untuk Open Policy Agent (OPA), untuk menerapkan penegakan dan pengamanan skala besar pada klaster Anda secara terpusat dan konsisten. Audit, Dinonaktifkan 1.0.2
CORS tidak boleh mengizinkan setiap sumber daya mengakses API Apps Anda Cross-Origin Resource Sharing (CORS) seharusnya tidak mengizinkan semua domain mengakses aplikasi API Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi API Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
CORS tidak boleh mengizinkan setiap sumber daya mengakses Aplikasi Fungsi Anda Cross-Origin Resource Sharing (CORS) seharusnya tidak mengizinkan semua domain mengakses aplikasi Fungsi Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Fungsi Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
CORS tidak boleh mengizinkan setiap sumber daya mengakses Aplikasi Web Anda Cross-Origin Resource Sharing (CORS) tidak boleh mengizinkan semua domain mengakses aplikasi web Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan apl web Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
Pastikan aplikasi API memiliki 'Sertifikat Klien (Sertifikat klien masuk)' disetel ke 'Aktif' Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi. Audit, Dinonaktifkan 1.0.0
Pastikan aplikasi WEB mengatur 'Sertifikat Klien (Sertifikat klien masuk)' ke 'Aktif' Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi. Audit, Dinonaktifkan 1.0.0
Aplikasi Fungsi harus mengaktifkan 'Sertifikat Klien (Sertifikat klien masuk)' Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien dengan sertifikat yang valid yang dapat menjangkau aplikasi. Audit, Dinonaktifkan 1.0.1
Batas sumber daya CPU dan memori wadah kluster Kubernetes tidak boleh melebihi batas yang ditentukan Terapkan batas sumber daya CPU dan memori kontainer untuk mencegah serangan kehabisan sumber daya di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk AKS Engine serta Kube berkemampuan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 7.2.0
Wadah klaster Kubernetes tidak boleh berbagi ID proses host atau namespace IPC host Blokir kontainer pod agar tidak membagikan namespace ID proses host dan namespace IPC host di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.2 dan CIS 5.2.3 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk AKS Engine serta Kube berkemampuan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 3.2.0
Kontainer kluster Kube hanya boleh menggunakan profil AppArmor yang diizinkan Container hanya boleh menggunakan profil AppArmor yang diizinkan di kluster Kubernetes. Rekomendasi ini merupakan bagian dari Kebijakan Keamanan Pod yang dimaksudkan untuk meningkatkan keamanan lingkungan Kube. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk AKS Engine serta Kube berkemampuan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 4.2.0
Kontainer kluster Kube hanya boleh menggunakan kemampuan yang diizinkan Batasi kemampuan untuk mengurangi permukaan serangan kontainer di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.8 dan CIS 5.2.9 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk AKS Engine serta Kube berkemampuan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 4.2.0
Kontainer kluster Kube hanya boleh menggunakan gambar yang diizinkan Gunakan gambar dari registry tepercaya untuk mengurangi risiko paparan kluster Kubernetes terhadap kerentanan yang tidak diketahui, masalah keamanan, dan gambar berbahaya. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk AKS Engine serta Kube berkemampuan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 7.1.0
Kontainer kluster Kube harus dijalankan dengan sistem file akar baca saja Jalankan kontainer dengan sistem file root hanya baca untuk melindungi dari perubahan saat run-time dengan binari berbahaya yang ditambahkan ke PATH di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk AKS Engine serta Kube berkemampuan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 4.2.0
Volume hostPath pod kluster Kube hanya boleh menggunakan jalur host yang diizinkan Batasi mount volume HostPath pod ke jalur host yang diizinkan di Cluster Kubernetes. Rekomendasi ini merupakan bagian dari Kebijakan Keamanan Pod yang dimaksudkan untuk meningkatkan keamanan lingkungan Kube. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk AKS Engine serta Kube berkemampuan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 5.0.0
Pod dan kontainer kluster Kube hanya boleh dijalankan dengan ID pengguna dan grup yang disetujui Kontrol ID pengguna, grup utama, grup tambahan, dan grup sistem file yang dapat digunakan pod dan kontainer untuk dijalankan di Cluster Kubernetes. Rekomendasi ini merupakan bagian dari Kebijakan Keamanan Pod yang dimaksudkan untuk meningkatkan keamanan lingkungan Kube. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk AKS Engine serta Kube berkemampuan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 5.0.0
Pod kluster Kube hanya boleh menggunakan jaringan host dan rentang port yang disetujui Batasi akses pod ke jaringan host dan rentang port host yang diizinkan di kluster Kubernetes. Rekomendasi ini adalah bagian dari CIS 5.2.4 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk AKS Engine serta Kube berkemampuan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 4.2.0
Layanan kluster Kube hanya boleh mendengarkan port yang diizinkan Batasi layanan untuk mendengarkan hanya pada port yang diizinkan untuk mengamankan akses ke kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk AKS Engine serta Kube berkemampuan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 6.2.0
Kluster Kube seharusnya tidak mengizinkan kontainer dengan hak istimewa Jangan izinkan pembuatan kontainer yang diistimewakan di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.1 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk AKS Engine serta Kube berkemampuan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 7.2.0
Kluster Kube harus menonaktifkan pemasangan otomatis info masuk API Nonaktifkan pemasangan otomatis info masuk API untuk mencegah sumber daya Pod yang berpotensi disusupi untuk menjalankan perintah API terhadap kluster Kube. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 2.1.0
Kluster Kubernetes tidak boleh mengizinkan eskalasi hak istimewa kontainer Jangan izinkan kontainer berjalan dengan eskalasi hak istimewa untuk melakukan root di kluster Kubernetes. Rekomendasi ini adalah bagian dari CIS 5.2.5 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk AKS Engine serta Kube berkemampuan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 4.2.0
Kluster Kube tidak boleh memberi kemampuan keamanan CAP_SYS_ADMIN Untuk mengurangi permukaan serangan kontainer Anda, batasi kemampuan CAP_SYS_ADMIN Linux. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 3.3.0
Kluster Kube tidak boleh menggunakan namespace layanan default Cegah penggunaan namespace layanan default di kluster Kube untuk melindungi akses tidak sah untuk jenis sumber daya ConfigMap, Pod, Secret, Service, dan ServiceAccount. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 3.0.0
Penelusuran kesalahan jarak jauh harus dimatikan untuk API Apps Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi API. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 1.0.0
Debugging jarak jauh harus dimatikan untuk Aplikasi Fungsi Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi fungsi. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 1.0.0
Debugging jarak jauh harus dimatikan untuk Aplikasi Web Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi web. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 1.0.0

Mengaudit dan menerapkan konfigurasi yang aman untuk sumber daya komputasi

ID: Azure Security Benchmark PV-4 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Ekstensi Pengesahan Tamu harus diinstal di mesin virtual Linux yang didukung Pasang ekstensi Pengesahan Tamu pada komputer virtual Linux yang didukung untuk memungkinkan Azure Security Center secara proaktif mengesahkan dan memantau integritas boot. Setelah diinstal, integritas boot akan dibuktikan melalui Pengesahan Jarak Jauh. Penilaian ini hanya berlaku untuk komputer virtual Linux yang diaktifkan peluncuran tepercaya. AuditIfNotExists, Dinonaktifkan 5.0.0-pratinjau
[Pratinjau]: Ekstensi Pengesahan Tamu harus diinstal di set skala mesin virtual Linux yang didukun Pasang ekstensi Pengesahan Tamu pada set skala komputer virtual Linux yang didukung untuk memungkinkan Azure Security Center secara proaktif mengesahkan dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini hanya berlaku untuk set skala komputer virtual Linux yang diaktifkan peluncuran tepercaya. AuditIfNotExists, Dinonaktifkan 4.0.0-pratinjau
[Pratinjau]: Ekstensi Pengesahan Tamu harus diinstal di mesin virtual Windows yang didukung Pasang ekstensi Pengesahan Tamu pada komputer virtual yang didukung untuk memungkinkan Azure Security Center secara proaktif mengesahkan dan memantau integritas boot. Setelah diinstal, integritas boot akan dibuktikan melalui Pengesahan Jarak Jauh. Penilaian ini hanya berlaku untuk komputer virtual yang diaktifkan peluncuran tepercaya. AuditIfNotExists, Dinonaktifkan 3.0.0-pratinjau
[Pratinjau]: Ekstensi Pengesahan Tamu harus diinstal di set skala mesin virtual Windows yang didukung Pasang ekstensi Pengesahan Tamu pada set skala komputer virtual yang didukung untuk memungkinkan Azure Security Center secara proaktif mengesahkan dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini hanya berlaku untuk set skala komputer virtual yang diaktifkan peluncuran tepercaya. AuditIfNotExists, Dinonaktifkan pratinjau-2.0.0
[Pratinjau]: Boot Aman harus diaktifkan pada mesin virtual Windows yang didukung Aktifkan Boot Aman pada komputer virtual Windows yang didukung untuk mengurangi perubahan berbahaya dan tidak sah pada rantai boot. Setelah diaktifkan, hanya bootloader tepercaya, kernel dan driver kernel yang akan diizinkan untuk dijalankan. Penilaian ini hanya berlaku untuk komputer virtual Windows yang diaktifkan dengan peluncuran tepercaya. Audit, Dinonaktifkan 3.0.0-pratinjau
[Pratinjau]: vTPM harus diaktifkan pada mesin virtual yang didukung Aktifkan perangkat TPM virtual pada komputer virtual yang didukung untuk memfasilitasi Boot Terukur dan fitur keamanan OS lainnya yang memerlukan TPM. Setelah diaktifkan, vTPM dapat digunakan untuk mengesahkan integritas boot. Penilaian ini hanya berlaku untuk komputer virtual yang diaktifkan peluncuran tepercaya. Audit, Dinonaktifkan pratinjau-2.0.0
Ekstensi Konfigurasi Tamu harus dipasang di mesin Anda Untuk memastikan konfigurasi yang aman dari pengaturan in-guest mesin Anda, instal ekstensi Guest Configuration. Pengaturan tamu yang dipantau ekstensi mencakup konfigurasi sistem operasi, konfigurasi atau keberadaan aplikasi, dan pengaturan lingkungan. Setelah diinstal, kebijakan tamu akan tersedia seperti 'Windows Exploit guard harus diaktifkan'. Pelajari lebih lanjut di https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 1.0.2
Mesin Linux harus memenuhi persyaratan untuk dasar keamanan komputasi Azure Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika mesin tidak dikonfigurasi dengan benar untuk salah satu rekomendasi di dasar keamanan komputasi Azure. AuditIfNotExists, Dinonaktifkan 2.0.0
Ekstensi Konfigurasi Tamu komputer virtual harus diterapkan dengan identitas terkelola yang ditetapkan sistem Ekstensi Konfigurasi Tamu memerlukan identitas terkelola yang ditetapkan sistem. Komputer virtual Azure dalam cakupan kebijakan ini tidak akan mematuhi kebijakan jika ekstensi Konfigurasi Tamu diinstal tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Pelajari lebih lanjut di https://aka.ms/gcpol AuditIfNotExists, Dinonaktifkan 1.0.1
Mesin Windows harus memenuhi persyaratan dasar keamanan komputasi Azure Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika mesin tidak dikonfigurasi dengan benar untuk salah satu rekomendasi di dasar keamanan komputasi Azure. AuditIfNotExists, Dinonaktifkan 2.0.0

Melakukan penilaian kerentanan

ID: Azure Security Benchmark PV-5 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Solusi penilaian kerentanan harus diaktifkan pada komputer virtual Anda Mengaudit komputer virtual untuk mendeteksi apakah mereka menjalankan solusi penilaian kerentanan yang didukung. Komponen inti dari setiap risiko cyber dan program keamanan adalah identifikasi dan analisis kerentanan. Tingkat harga standar Azure Security Center mencakup pemindaian kerentanan untuk komputer virtual Anda tanpa biaya tambahan. Selain itu, Pusat Keamanan dapat secara otomatis menyebarkan alat ini untuk Anda. AuditIfNotExists, Dinonaktifkan 3.0.0
Penilaian kerentanan harus diaktifkan di SQL Managed Instance Audit setiap Instans Terkelola SQL yang tidak mengaktifkan pemindaian penilaian kerentanan berulang. Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda meremediasi kerentanan database potensial. AuditIfNotExists, Dinonaktifkan 1.0.1
Penilaian kerentanan harus diaktifkan di server SQL Anda Audit server Azure SQL yang tidak mengaktifkan pemindaian penilaian kerentanan berulang. Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda meremediasi kerentanan database potensial. AuditIfNotExists, Dinonaktifkan 2.0.0

Secara cepat dan otomatis memulihkan kerentanan

ID: Azure Security Benchmark PV-6 Kepemilikan: Dibagi

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Gambar registri kontainer harus memiliki temuan kerentanan yang telah diselesaikan Penilaian kerentanan citra kontainer memindai registri Anda dari kerentanan keamanan dan memaparkan temuan terperinci untuk setiap citra. Menyelesaikan kerentanan dapat meningkatkan postur keamanan kontainer Anda dengan pesat dan melindunginya dari serangan. AuditIfNotExists, Dinonaktifkan 2.0.1
Pastikan 'versi Java' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi API Secara berkala, versi yang lebih baru dirilis untuk Java baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Python terbaru untuk aplikasi API disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux. AuditIfNotExists, Dinonaktifkan 2.0.0
Pastikan 'Versi Java' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi Fungsi Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Java baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Java terbaru untuk aplikasi Fungsi disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux. AuditIfNotExists, Dinonaktifkan 2.0.0
Pastikan 'Versi Java' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi Web Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Java baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Java terbaru untuk aplikasi web disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux. AuditIfNotExists, Dinonaktifkan 2.0.0
Pastikan 'versi PHP' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi API Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak PHP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi PHP terbaru untuk aplikasi API disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux. AuditIfNotExists, Dinonaktifkan 2.1.0
Pastikan 'versi PHP' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi WEB Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak PHP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi PHP terbaru untuk aplikasi web disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux. AuditIfNotExists, Dinonaktifkan 2.2.0
Pastikan 'Versi Python' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi API Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Python baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Python terbaru untuk aplikasi API disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux. AuditIfNotExists, Dinonaktifkan 3.0.0
Pastikan 'versi Python' adalah yang terbaru, jika digunakan sebagai bagian dari Aplikasi fungsi Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Python baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Python terbaru untuk aplikasi Fungsi disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux. AuditIfNotExists, Dinonaktifkan 3.0.0
Pastikan 'versi Python' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi Web Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Python baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Python terbaru untuk aplikasi web disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux. AuditIfNotExists, Dinonaktifkan 3.0.0
Gambar kontainer yang sedang berjalan harus memiliki temuan kerentanan yang telah diselesaikan Penilaian kerentanan gambar kontainer memindai gambar kontainer yang berjalan di kluster Kubernetes Anda untuk kerentanan keamanan dan memperlihatkan temuan mendetail untuk setiap gambar. Menyelesaikan kerentanan dapat meningkatkan postur keamanan kontainer Anda dengan pesat dan melindunginya dari serangan. AuditIfNotExists, Dinonaktifkan 1.0.1
Database SQL harus memiliki temuan kerentanan yang diselesaikan Pantau hasil pemindaian penilaian kerentanan dan rekomendasi tentang cara memulihkan kerentanan basis data. AuditIfNotExists, Dinonaktifkan 4.0.0
Server SQL pada komputer harus memiliki temuan kerentanan yang diselesaikan Penilaian kerentanan SQL memindai database Anda untuk mengetahui kerentanan keamanan, dan mengekspos setiap penyimpangan dari praktik terbaik seperti kesalahan konfigurasi, izin yang berlebihan, dan data sensitif yang tidak dilindungi. Menyelesaikan kerentanan yang ditemukan dapat sangat meningkatkan postur keamanan database Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
Pembaruan sistem pada set skala komputer virtual harus dipasang Audit apakah ada pembaruan keamanan sistem yang hilang dan pembaruan penting yang harus diinstal untuk memastikan bahwa set skala komputer virtual Windows dan Linux Anda aman. AuditIfNotExists, Dinonaktifkan 3.0.0
Pembaruan sistem harus dipasang di komputer Anda Pembaruan sistem keamanan yang hilang di server Anda akan dipantau oleh Azure Security Center sebagai rekomendasi AuditIfNotExists, Dinonaktifkan 4.0.0
Kerentanan dalam konfigurasi keamanan kontainer harus diperbaiki Audit kerentanan dalam konfigurasi keamanan pada mesin dengan Docker diinstal dan ditampilkan sebagai rekomendasi di Security Center. AuditIfNotExists, Dinonaktifkan 3.0.0
Kerentanan dalam konfigurasi keamanan pada mesin Anda harus diperbaiki Server yang tidak memenuhi baseline yang dikonfigurasi akan dipantau oleh Azure Security Center sebagai rekomendasi AuditIfNotExists, Dinonaktifkan 3.0.0
Kerentanan dalam konfigurasi keamanan pada set skala komputer virtual Anda harus diperbaiki Audit kerentanan OS pada set skala komputer virtual Anda untuk melindunginya dari serangan. AuditIfNotExists, Dinonaktifkan 3.0.0

Keamanan Titik Akhir

Gunakan Deteksi dan Respons Titik Akhir (EDR)

ID: Azure Security Benchmark ES-1 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure Defender untuk server harus diaktifkan Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3

Menggunakan perangkat lunak anti-malware modern

ID: Azure Security Benchmark ES-2 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Masalah kesehatan perlindungan titik akhir harus diselesaikan pada komputer Anda Mengatasi masalah kesehatan perlindungan titik akhir pada komputer virtual Anda untuk melindungi mereka dari ancaman dan kerentanan terbaru. Solusi perlindungan titik akhir yang didukung Azure Security Center didokumentasikan di sini - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Penilaian perlindungan titik akhir didokumentasikan di sini - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Dinonaktifkan 1.0.0
Perlindungan titik akhir harus diinstal pada komputer Anda Untuk melindungi komputer Anda dari ancaman dan kerentanan, instal solusi perlindungan titik akhir yang didukung. AuditIfNotExists, Dinonaktifkan 1.0.0
Solusi perlindungan titik akhir harus dipasang pada set skala komputer virtual Audit keberadaan dan kesehatan solusi perlindungan titik akhir pada set skala komputer virtual Anda, untuk melindunginya dari ancaman dan kerentanan. AuditIfNotExists, Dinonaktifkan 3.0.0
Memantau Perlindungan Titik Akhir yang tidak ada di Azure Security Center Server tanpa agen Perlindungan Titik Akhir yang diinstal akan dipantau oleh Azure Security Center sebagai rekomendasi AuditIfNotExists, Dinonaktifkan 3.0.0
Windows Defender Exploit Guard harus diaktifkan di komputer Anda Windows Defender Exploit Guard menggunakan agen Konfigurasi Tamu Azure Policy. Exploit Guard memiliki empat komponen yang dirancang untuk mengunci perangkat dari berbagai vektor serangan dan memblokir perilaku yang biasa digunakan dalam serangan malware sekaligus memungkinkan perusahaan untuk menyeimbangkan risiko keamanan dan persyaratan produktivitas (khusus Windows). AuditIfNotExists, Dinonaktifkan 2.0.0

Pastikan perangkat lunak anti-malware dan tanda tangan diperbarui

ID: Azure Security Benchmark ES-3 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Masalah kesehatan perlindungan titik akhir harus diselesaikan pada komputer Anda Mengatasi masalah kesehatan perlindungan titik akhir pada komputer virtual Anda untuk melindungi mereka dari ancaman dan kerentanan terbaru. Solusi perlindungan titik akhir yang didukung Azure Security Center didokumentasikan di sini - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Penilaian perlindungan titik akhir didokumentasikan di sini - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Dinonaktifkan 1.0.0

Microsoft Azure Backup dan Pemulihan

Pastikan pencadangan otomatis reguler

ID: Azure Security Benchmark BR-1 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure Backup harus diaktifkan untuk Virtual Machines Pastikan perlindungan Virtual Machines Azure Anda dengan mengaktifkan Azure Backup. Azure Backup adalah solusi perlindungan data yang aman dan hemat biaya untuk Azure. AuditIfNotExists, Dinonaktifkan 3.0.0
Cadangan geo-redundan harus diaktifkan pada Azure Database for MariaDB Azure Database for MariaDB memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. Audit, Dinonaktifkan 1.0.1
Cadangan geo-redundan harus diaktifkan untuk Azure Database for MySQL Azure Database for MySQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. Audit, Dinonaktifkan 1.0.1
Cadangan geo-redundan harus diaktifkan untuk Azure Database for PostgreSQL Azure Database for PostgreSQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. Audit, Dinonaktifkan 1.0.1

Melindungi data cadangan dan pemulihan

ID: Azure Security Benchmark BR-2 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure Backup harus diaktifkan untuk Virtual Machines Pastikan perlindungan Virtual Machines Azure Anda dengan mengaktifkan Azure Backup. Azure Backup adalah solusi perlindungan data yang aman dan hemat biaya untuk Azure. AuditIfNotExists, Dinonaktifkan 3.0.0
Cadangan geo-redundan harus diaktifkan pada Azure Database for MariaDB Azure Database for MariaDB memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. Audit, Dinonaktifkan 1.0.1
Cadangan geo-redundan harus diaktifkan untuk Azure Database for MySQL Azure Database for MySQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. Audit, Dinonaktifkan 1.0.1
Cadangan geo-redundan harus diaktifkan untuk Azure Database for PostgreSQL Azure Database for PostgreSQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. Audit, Dinonaktifkan 1.0.1

Keamanan Azure DevOps

Menerapkan keamanan beban kerja di seluruh siklus hidup DevOps

ID: Azure Security Benchmark DS-6 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Gambar registri kontainer harus memiliki temuan kerentanan yang telah diselesaikan Penilaian kerentanan citra kontainer memindai registri Anda dari kerentanan keamanan dan memaparkan temuan terperinci untuk setiap citra. Menyelesaikan kerentanan dapat meningkatkan postur keamanan kontainer Anda dengan pesat dan melindunginya dari serangan. AuditIfNotExists, Dinonaktifkan 2.0.1
Gambar kontainer yang sedang berjalan harus memiliki temuan kerentanan yang telah diselesaikan Penilaian kerentanan gambar kontainer memindai gambar kontainer yang berjalan di kluster Kubernetes Anda untuk kerentanan keamanan dan memperlihatkan temuan mendetail untuk setiap gambar. Menyelesaikan kerentanan dapat meningkatkan postur keamanan kontainer Anda dengan pesat dan melindunginya dari serangan. AuditIfNotExists, Dinonaktifkan 1.0.1
Kerentanan dalam konfigurasi keamanan kontainer harus diperbaiki Audit kerentanan dalam konfigurasi keamanan pada mesin dengan Docker diinstal dan ditampilkan sebagai rekomendasi di Security Center. AuditIfNotExists, Dinonaktifkan 3.0.0

Langkah berikutnya

Artikel tambahan tentang Azure Policy: