Rekomendasi keamanan
Artikel ini mencantumkan semua rekomendasi keamanan yang mungkin Anda lihat di Microsoft Defender untuk Cloud. Rekomendasi yang muncul di lingkungan Anda didasarkan pada sumber daya yang Anda lindungi dan pada konfigurasi yang disesuaikan.
Rekomendasi di Defender untuk Cloud didasarkan pada tolok ukur keamanan cloud Microsoft. Tolok ukur keamanan cloud Microsoft adalah serangkaian pedoman yang ditulis Microsoft untuk praktik terbaik keamanan dan kepatuhan. Tolok ukur yang dihormati secara luas ini dibangun berdasarkan kontrol dari Center for Internet Security (CIS) dan National Institute of Standards and Technology (NIST), dengan fokus pada keamanan yang berpusat pada cloud.
Untuk mempelajari tentang tindakan yang dapat Anda ambil sebagai respons terhadap rekomendasi ini, lihat Memulihkan rekomendasi di Defender untuk Cloud.
Skor aman Anda didasarkan pada jumlah rekomendasi keamanan yang Anda selesaikan. Untuk memutuskan rekomendasi mana yang harus diselesaikan terlebih dahulu, lihat tingkat keparahan setiap rekomendasi dan dampak potensialnya pada skor aman Anda.
Tip
Jika deskripsi rekomendasi mengatakan Tidak ada kebijakan terkait, biasanya itu karena rekomendasi tersebut tergantung pada rekomendasi yang berbeda dan kebijakannya .
Misalnya, rekomendasi Kegagalan kesehatan perlindungan titik akhir harus diperbaiki bergantung pada rekomendasi yang memeriksa apakah solusi perlindungan titik akhir bahkan diinstal (Solusi perlindungan titik akhir harus diinstal). Rekomendasi yang mendasarinya memang memiliki kebijakan. Membatasi kebijakan hanya untuk rekomendasi dasar menyederhanakan manajemen kebijakan.
Rekomendasi AppServices
Aplikasi API seharusnya hanya dapat diakses melalui HTTPS
Deskripsi: Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data saat transit dari serangan penyadapan lapisan jaringan. (Kebijakan terkait: Aplikasi API hanya boleh diakses melalui HTTPS).
Tingkat keparahan: Sedang
CORS tidak boleh mengizinkan setiap sumber daya mengakses API Apps
Deskripsi: Berbagi Sumber Daya Lintas Asal (CORS) tidak boleh mengizinkan semua domain mengakses aplikasi API Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi API Anda. (Kebijakan terkait: CORS tidak boleh mengizinkan setiap sumber daya untuk mengakses Aplikasi API Anda).
Tingkat keparahan: Rendah
CORS tidak boleh mengizinkan setiap sumber daya mengakses Aplikasi Fungsi
Deskripsi: Berbagi Sumber Daya Lintas Asal (CORS) tidak boleh mengizinkan semua domain mengakses aplikasi Fungsi Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Fungsi Anda. (Kebijakan terkait: CORS tidak boleh mengizinkan setiap sumber daya untuk mengakses Aplikasi Fungsi Anda).
Tingkat keparahan: Rendah
CORS tidak boleh mengizinkan setiap sumber daya mengakses Aplikasi Web
Deskripsi: Berbagi Sumber Daya Lintas Asal (CORS) tidak boleh mengizinkan semua domain mengakses aplikasi web Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan apl web Anda. (Kebijakan terkait: CORS tidak boleh mengizinkan setiap sumber daya untuk mengakses Aplikasi Web Anda).
Tingkat keparahan: Rendah
Log diagnostik di Azure App Service harus diaktifkan
Deskripsi: Audit yang mengaktifkan log diagnostik pada aplikasi. Ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan penyelidikan jika insiden keamanan terjadi atau jaringan Anda disusupi (Tidak ada kebijakan terkait).
Tingkat keparahan: Sedang
Pastikan aplikasi API memiliki sertifikat klien Masuk Sertifikat Klien yang diatur ke Aktif
Deskripsi: Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi. (Kebijakan terkait: Pastikan aplikasi API memiliki 'Sertifikat Klien (Sertifikat klien masuk)' diatur ke 'Aktif').
Tingkat keparahan: Sedang
FTPS diperlukan di aplikasi API
Deskripsi: Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan (Kebijakan terkait: Hanya FTPS yang harus diperlukan di Aplikasi API Anda).
Tingkat keparahan: Tinggi
FTPS diperlukan di aplikasi fungsi
Deskripsi: Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan (Kebijakan terkait: Hanya FTPS yang harus diperlukan di Aplikasi Fungsi Anda).
Tingkat keparahan: Tinggi
FTPS diperlukan di aplikasi web
Deskripsi: Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan (Kebijakan terkait: FTPS harus diperlukan di Aplikasi Web Anda).
Tingkat keparahan: Tinggi
Aplikasi Fungsi seharusnya hanya dapat diakses melalui HTTPS
Deskripsi: Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data saat transit dari serangan penyadapan lapisan jaringan. (Kebijakan terkait: Aplikasi Fungsi hanya boleh diakses melalui HTTPS).
Tingkat keparahan: Sedang
Aplikasi fungsi harus mengaktifkan Sertifikat Klien (Sertifikat klien masuk)
Deskripsi: Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien dengan sertifikat yang valid yang dapat menjangkau aplikasi. (Kebijakan terkait: Aplikasi fungsi harus mengaktifkan 'Sertifikat Klien (Sertifikat klien masuk)').
Tingkat keparahan: Sedang
Java harus diperbarui ke versi terbaru untuk aplikasi API
Deskripsi: Secara berkala, versi yang lebih baru dirilis untuk Java baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Versi Python terbaru untuk aplikasi API sebaiknya digunakan agar dapat memanfaatkan perbaikan keamanan, jika tersedia, dan/atau fungsionalitas baru dari versi terbaru. (Kebijakan terkait: Pastikan 'Versi Java' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi API).
Tingkat keparahan: Sedang
Identitas terkelola harus digunakan di aplikasi API
Deskripsi: Untuk keamanan autentikasi yang ditingkatkan, gunakan identitas terkelola. Di Azure, identitas terkelola menghilangkan kebutuhan pengembang untuk mengelola informasi masuk dengan memberikan identitas untuk sumber daya Azure di Azure AD dan menggunakannya untuk mendapatkan token Azure Active Directory (Azure AD). (Kebijakan terkait: Identitas terkelola harus digunakan di Aplikasi API Anda).
Tingkat keparahan: Sedang
Identitas terkelola harus digunakan di aplikasi fungsi
Deskripsi: Untuk keamanan autentikasi yang ditingkatkan, gunakan identitas terkelola. Di Azure, identitas terkelola menghilangkan kebutuhan pengembang untuk mengelola informasi masuk dengan memberikan identitas untuk sumber daya Azure di Azure AD dan menggunakannya untuk mendapatkan token Azure Active Directory (Azure AD). (Kebijakan terkait: Identitas terkelola harus digunakan di Aplikasi Fungsi Anda).
Tingkat keparahan: Sedang
Identitas terkelola harus digunakan di aplikasi web
Deskripsi: Untuk keamanan autentikasi yang ditingkatkan, gunakan identitas terkelola. Di Azure, identitas terkelola menghilangkan kebutuhan pengembang untuk mengelola informasi masuk dengan memberikan identitas untuk sumber daya Azure di Azure AD dan menggunakannya untuk mendapatkan token Azure Active Directory (Azure AD). (Kebijakan terkait: Identitas terkelola harus digunakan di Aplikasi Web Anda).
Tingkat keparahan: Sedang
Microsoft Defender untuk App Service harus diaktifkan
Deskripsi: Pertahanan Microsoft untuk App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. Microsoft Defender untuk Azure App Service dapat menemukan serangan pada aplikasi Anda dan mengidentifikasi serangan yang muncul.
Penting: Memperbaiki rekomendasi ini akan menimbulkan biaya untuk melindungi paket App Service Anda. Jika Anda tidak memiliki paket App Service dalam langganan ini, tidak ada biaya yang akan dikenakan. Jika Anda membuat paket App Service apa pun pada langganan ini di masa mendatang, paket tersebut akan secara otomatis dilindungi dan tagihan akan dimulai pada saat itu. Pelajari selanjutnya di Melindungi aplikasi web dan API Anda. (Kebijakan terkait: Azure Defender untuk App Service harus diaktifkan).
Tingkat keparahan: Tinggi
PHP harus diperbarui ke versi terbaru untuk aplikasi API
Deskripsi: Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak PHP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Versi PHP terbaru untuk aplikasi API sebaiknya digunakan agar dapat memanfaatkan perbaikan keamanan, jika tersedia, dan/atau fungsionalitas baru dari versi terbaru. (Kebijakan terkait: Pastikan bahwa 'versi PHP' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi API).
Tingkat keparahan: Sedang
Python harus diperbarui ke versi terbaru untuk aplikasi API
Deskripsi: Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Python baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Versi Python terbaru untuk aplikasi API sebaiknya digunakan agar dapat memanfaatkan perbaikan keamanan, jika tersedia, dan/atau fungsionalitas baru dari versi terbaru. (Kebijakan terkait: Pastikan bahwa 'Versi Python' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi API).
Tingkat keparahan: Sedang
Penelusuran kesalahan jarak jauh harus dinonaktifkan untuk Aplikasi API
Deskripsi: Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi API. Penelusuran kesalahan jarak jauh harus dinonaktifkan. (Kebijakan terkait: Penelusuran kesalahan jarak jauh harus dinonaktifkan untuk API Apps).
Tingkat keparahan: Rendah
Penelusuran kesalahan jarak jauh harus dinonaktifkan untuk Aplikasi Fungsi
Deskripsi: Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi Azure Function. Penelusuran kesalahan jarak jauh harus dinonaktifkan. (Kebijakan terkait: Penelusuran kesalahan jarak jauh harus dinonaktifkan untuk Aplikasi Fungsi).
Tingkat keparahan: Rendah
Debugging jarak jauh harus dimatikan untuk Aplikasi Web
Deskripsi: Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi web. Penelusuran kesalahan jarak jauh saat ini diaktifkan. Jika Anda tidak perlu lagi menggunakan penelusuran kesalahan jarak jauh, maka fitur tersebut harus dimatikan. (Kebijakan terkait: Penelusuran kesalahan jarak jauh harus dinonaktifkan untuk Aplikasi Web).
Tingkat keparahan: Rendah
TLS harus diperbarui ke versi terbaru untuk aplikasi API
Deskripsi: Tingkatkan ke versi TLS terbaru. (Kebijakan terkait: Versi TLS terbaru harus digunakan di Aplikasi API Anda).
Tingkat keparahan: Tinggi
TLS harus diperbarui ke versi terbaru untuk aplikasi fungsi
Deskripsi: Tingkatkan ke versi TLS terbaru. (Kebijakan terkait: Versi TLS terbaru harus digunakan di Aplikasi Fungsi Anda).
Tingkat keparahan: Tinggi
TLS harus diperbarui ke versi terbaru untuk aplikasi web
Deskripsi: Tingkatkan ke versi TLS terbaru. (Kebijakan terkait: Versi TLS terbaru harus digunakan di Aplikasi Web Anda).
Tingkat keparahan: Tinggi
Aplikasi Web hanya boleh diakses melalui HTTPS
Deskripsi: Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data saat transit dari serangan penyadapan lapisan jaringan. (Kebijakan terkait: Aplikasi Web hanya boleh diakses melalui HTTPS).
Tingkat keparahan: Sedang
Aplikasi web harus meminta sertifikat SSL untuk semua permintaan masuk
Deskripsi: Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi. (Kebijakan terkait: Pastikan aplikasi WEB memiliki 'Sertifikat Klien (Sertifikat klien masuk)' diatur ke 'Aktif').
Tingkat keparahan: Sedang
Rekomendasi komputasi
Kontrol aplikasi adaptif untuk menetapkan aplikasi yang aman harus diaktifkan di komputer Anda
Deskripsi: Aktifkan kontrol aplikasi untuk menentukan daftar aplikasi yang diketahui aman yang berjalan di komputer Anda, dan beri tahu Anda saat aplikasi lain berjalan. Hal ini membantu memperkuat komputer Anda terhadap malware. Untuk menyederhanakan proses dalam mengonfigurasi dan memelihara aturan Anda, Defender untuk Cloud menggunakan pembelajaran mesin untuk menganalisis aplikasi yang berjalan di setiap mesin dan menyarankan daftar aplikasi yang dikenal aman. (Kebijakan terkait: Kontrol aplikasi adaptif untuk menentukan aplikasi yang aman harus diaktifkan pada komputer Anda).
Tingkat keparahan: Tinggi
Aturan daftar yang diizinkan pada kebijakan kontrol aplikasi adaptif Anda harus diperbarui
Deskripsi: Pantau perubahan perilaku pada grup komputer yang dikonfigurasi untuk audit dengan kontrol aplikasi adaptif Defender untuk Cloud. Defender untuk Cloud menggunakan pembelajaran mesin untuk menganalisis proses yang berjalan di mesin Anda dan menyarankan daftar aplikasi yang dikenal aman. Hal ini disajikan sebagai aplikasi yang disarankan untuk diizinkan dalam kebijakan kontrol aplikasi adaptif. (Kebijakan terkait: Aturan daftar izin dalam kebijakan kontrol aplikasi adaptif Anda harus diperbarui).
Tingkat keparahan: Tinggi
Autentikasi ke komputer Linux memerlukan kunci SSH
Deskripsi: Meskipun SSH sendiri menyediakan koneksi terenkripsi, menggunakan kata sandi dengan SSH masih membuat VM rentan terhadap serangan brute-force. Opsi paling aman untuk mengautentikasi ke komputer virtual Linux Azure melalui SSH adalah dengan kunci publik-pribadi, juga dikenal sebagai kunci SSH. Pelajari selengkapnya di Langkah mendetail: Membuat dan mengelola kunci SSH untuk autentikasi ke Mesin Virtual Linux di Azure. (Kebijakan terkait: Audit komputer Linux yang tidak menggunakan kunci SSH untuk autentikasi).
Tingkat keparahan: Sedang
Variabel akun Automation harus dienkripsi
Deskripsi: Penting untuk mengaktifkan enkripsi aset variabel akun Automation saat menyimpan data sensitif. (Kebijakan terkait: Variabel akun Automation harus dienkripsi).
Tingkat keparahan: Tinggi
Azure Backup harus diaktifkan untuk komputer virtual
Deskripsi: Lindungi data di komputer virtual Azure Anda dengan Azure Backup. Azure Backup adalah solusi perlindungan data asli Azure yang hemat biaya. Hal ini menciptakan titik pemulihan yang disimpan dalam vault pemulihan geo-redundan Saat memulihkan dari titik pemulihan, Anda dapat memulihkan seluruh komputer virtual atau file tertentu. (Kebijakan terkait: Azure Backup harus diaktifkan untuk Komputer Virtual).
Tingkat keparahan: Rendah
Host kontainer harus dikonfigurasi dengan aman
Deskripsi: Memulihkan kerentanan dalam konfigurasi keamanan pada komputer dengan Docker diinstal untuk melindunginya dari serangan. (Kebijakan terkait: Kerentanan dalam konfigurasi keamanan kontainer harus diperbaiki).
Tingkat keparahan: Tinggi
Log diagnostik di Azure Stream Analytics harus diaktifkan
Deskripsi: Aktifkan log dan pertahankan hingga satu tahun. Hal ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau jaringan Anda disusupi. (Kebijakan terkait: Log diagnostik di Azure Stream Analytics harus diaktifkan).
Tingkat keparahan: Rendah
Log diagnostik di akun Batch harus diaktifkan
Deskripsi: Aktifkan log dan pertahankan hingga satu tahun. Hal ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau jaringan Anda disusupi. (Kebijakan terkait: Log diagnostik di akun Batch harus diaktifkan).
Tingkat keparahan: Rendah
Log diagnostik di Azure Event Hubs harus diaktifkan
Deskripsi: Aktifkan log dan pertahankan hingga satu tahun. Hal ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau jaringan Anda disusupi. (Kebijakan terkait: Log diagnostik di Azure Event Hubs harus diaktifkan).
Tingkat keparahan: Rendah
Log diagnostik di Logic Apps harus diaktifkan
Deskripsi: Untuk memastikan Anda dapat membuat ulang jejak aktivitas untuk tujuan penyelidikan saat insiden keamanan terjadi atau jaringan Anda disusupi, aktifkan pengelogan. Jika log diagnostik Anda tidak dikirim ke ruang kerja Log Analytics, akun Azure Storage, atau Azure Event Hubs, pastikan Anda telah mengonfigurasi pengaturan diagnostik untuk mengirim metrik platform dan log platform ke tujuan yang relevan. Pelajari lebih lanjut di Membuat pengaturan diagnostik untuk mengirim log dan metrik platform ke tujuan yang berbeda. (Kebijakan terkait: Log diagnostik di Logic Apps harus diaktifkan).
Tingkat keparahan: Rendah
Log diagnostik dalam layanan Pencarian harus diaktifkan
Deskripsi: Aktifkan log dan pertahankan hingga satu tahun. Hal ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau jaringan Anda disusupi. (Kebijakan terkait: Log diagnostik dalam layanan Pencarian harus diaktifkan).
Tingkat keparahan: Rendah
Log diagnostik di Bus Layanan harus diaktifkan
Deskripsi: Aktifkan log dan pertahankan hingga satu tahun. Hal ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau jaringan Anda disusupi. (Kebijakan terkait: Log diagnostik di Bus Layanan harus diaktifkan).
Tingkat keparahan: Rendah
Log diagnostik di Virtual Machine Scale Sets harus diaktifkan
Deskripsi: Aktifkan log dan pertahankan hingga satu tahun. Hal ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau jaringan Anda disusupi. (Kebijakan terkait: Log diagnostik di Virtual Machine Scale Sets harus diaktifkan).
Tingkat keparahan: Tinggi
Masalah konfigurasi EDR harus diselesaikan pada komputer virtual
Deskripsi: Untuk melindungi komputer virtual dari ancaman dan kerentanan terbaru, atasi semua masalah konfigurasi yang diidentifikasi dengan solusi Deteksi dan Respons Titik Akhir (EDR) yang diinstal.
Catatan: Saat ini, rekomendasi ini hanya berlaku untuk sumber daya dengan Microsoft Defender untuk Titik Akhir (MDE) diaktifkan.
Tingkat keparahan: Rendah
Solusi EDR harus diinstal pada Komputer Virtual
Deskripsi: Menginstal solusi Deteksi dan Respons Titik Akhir (EDR) pada komputer virtual penting untuk perlindungan terhadap ancaman tingkat lanjut. EDR membantu dalam mencegah, mendeteksi, menyelidiki, dan menanggapi ancaman ini. Pertahanan Microsoft untuk Server dapat digunakan untuk menyebarkan Microsoft Defender untuk Titik Akhir. Jika sumber daya diklasifikasikan sebagai "Tidak Sehat", sumber daya menunjukkan tidak adanya solusi EDR yang didukung. Jika solusi EDR diinstal tetapi tidak dapat ditemukan oleh rekomendasi ini, solusi dapat dikecualikan. Tanpa solusi EDR, komputer virtual berisiko terhadap ancaman tingkat lanjut.
Tingkat keparahan: Tinggi
Masalah kesehatan perlindungan titik akhir pada virtual machine scale sets harus diselesaikan
Deskripsi: Memulihkan kegagalan kesehatan perlindungan titik akhir pada set skala komputer virtual Anda untuk melindunginya dari ancaman dan kerentanan. (Kebijakan terkait: Solusi perlindungan titik akhir harus diinstal pada set skala komputer virtual).
Tingkat keparahan: Rendah
Perlindungan titik akhir harus diinstal pada virtual machine scale sets
Deskripsi: Instal solusi perlindungan titik akhir pada set skala komputer virtual Anda, untuk melindunginya dari ancaman dan kerentanan. (Kebijakan terkait: Solusi perlindungan titik akhir harus diinstal pada set skala komputer virtual).
Tingkat keparahan: Tinggi
Pemantauan integritas file harus diaktifkan di komputer
Deskripsi: Defender untuk Cloud telah mengidentifikasi mesin yang kehilangan solusi pemantauan integritas file. Untuk memantau perubahan pada file penting, kunci registri, dan lainnya di server Anda, aktifkan pemantauan integritas file. Saat solusi pemantauan integritas file diaktifkan, buat aturan pengumpulan data untuk menentukan file yang akan dipantau. Untuk menentukan aturan, atau lihat file yang diubah pada komputer dengan aturan yang ada, buka halaman manajemen pemantauan integritas file. (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Ekstensi Attestation tamu harus diinstal pada kumpulan skala komputer virtual yang didukung Linux
Deskripsi: Instal ekstensi Pengesahan Tamu pada set skala komputer virtual Linux yang didukung untuk memungkinkan Microsoft Defender untuk Cloud secara proaktif membuktikan dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini hanya berlaku untuk set skala komputer virtual Linux yang diaktifkan peluncuran tepercaya.
Penting: Peluncuran tepercaya memerlukan pembuatan komputer virtual baru. Anda tidak dapat mengaktifkan peluncuran tepercaya pada komputer virtual yang ada dan awalnya dibuat tanpanya. Pelajari selengkapnya tentang Peluncuran tepercaya untuk mesin virtual Azure. (Tidak ada kebijakan terkait)
Tingkat keparahan: Rendah
Ekstensi Pengesahan Tamu harus dipasang pada komputer virtual Linux yang didukung
Deskripsi: Instal ekstensi Pengesahan Tamu pada komputer virtual Linux yang didukung untuk memungkinkan Microsoft Defender untuk Cloud secara proaktif membuktikan dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini hanya berlaku untuk peluncuran tepercaya yang diaktifkan pada komputer virtual Linux.
Penting: Peluncuran tepercaya memerlukan pembuatan komputer virtual baru. Anda tidak dapat mengaktifkan peluncuran tepercaya pada komputer virtual yang ada dan awalnya dibuat tanpanya. Pelajari selengkapnya tentang Peluncuran tepercaya untuk mesin virtual Azure. (Tidak ada kebijakan terkait)
Tingkat keparahan: Rendah
Ekstensi Pengesahan Tamu harus diinstal pada kumpulan skala komputer virtual yang didukung Windows
Deskripsi: Instal ekstensi Pengesahan Tamu pada set skala komputer virtual yang didukung untuk memungkinkan Microsoft Defender untuk Cloud secara proaktif membuktikan dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini hanya berlaku untuk set skala komputer virtual yang diaktifkan peluncuran tepercaya.
Penting: Peluncuran tepercaya memerlukan pembuatan komputer virtual baru. Anda tidak dapat mengaktifkan peluncuran tepercaya pada komputer virtual yang ada dan awalnya dibuat tanpanya. Pelajari selengkapnya tentang Peluncuran tepercaya untuk mesin virtual Azure. (Tidak ada kebijakan terkait)
Tingkat keparahan: Rendah
Ekstensi Pengesahan Tamu harus diinstal pada komputer virtual yang didukung Windows
Deskripsi: Instal ekstensi Pengesahan Tamu pada komputer virtual yang didukung untuk memungkinkan Microsoft Defender untuk Cloud secara proaktif membuktikan dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini hanya berlaku untuk komputer virtual yang diaktifkan peluncuran tepercaya.
Penting: Peluncuran tepercaya memerlukan pembuatan komputer virtual baru. Anda tidak dapat mengaktifkan peluncuran tepercaya pada komputer virtual yang ada dan awalnya dibuat tanpanya. Pelajari selengkapnya tentang Peluncuran tepercaya untuk mesin virtual Azure. (Tidak ada kebijakan terkait)
Tingkat keparahan: Rendah
Ekstensi Konfigurasi Tamu harus diinstal di mesin
Deskripsi: Untuk memastikan konfigurasi aman pengaturan dalam tamu komputer Anda, instal ekstensi Konfigurasi Tamu. Pengaturan tamu yang dipantau ekstensi mencakup konfigurasi sistem operasi, konfigurasi atau keberadaan aplikasi, dan pengaturan lingkungan. Setelah diinstal, kebijakan dalam tamu akan tersedia seperti penjaga Eksploitasi Windows harus diaktifkan. (Kebijakan terkait: Komputer virtual harus memiliki ekstensi Konfigurasi Tamu).
Tingkat keparahan: Sedang
Instal solusi perlindungan titik akhir pada komputer virtual
Deskripsi: Instal solusi perlindungan titik akhir pada komputer virtual Anda, untuk melindunginya dari ancaman dan kerentanan. (Kebijakan terkait: Pantau Perlindungan Titik Akhir yang hilang di Azure Security Center).
Tingkat keparahan: Tinggi
Komputer virtual Linux harus memberlakukan validasi tanda tangan modul kernel
Deskripsi: Untuk membantu mengurangi eksekusi kode berbahaya atau tidak sah dalam mode kernel, terapkan validasi tanda tangan modul kernel pada komputer virtual Linux yang didukung. Validasi tanda tangan modul kernel memastikan bahwa hanya modul kernel tepercaya yang diizinkan untuk dijalankan. Penilaian ini hanya berlaku untuk komputer virtual Linux yang diinstal Azure Monitor Agent. (Tidak ada kebijakan terkait)
Tingkat keparahan: Rendah
Komputer virtual Linux hanya harus menggunakan komponen boot yang ditandatangani dan tepercaya
Deskripsi: Dengan Boot Aman diaktifkan, semua komponen boot OS (boot loader, kernel, driver kernel) harus ditandatangani oleh penerbit tepercaya. Defender untuk Cloud telah mengidentifikasi komponen boot OS yang tidak tepercaya pada satu atau beberapa mesin Linux Anda. Untuk melindungi komputer Anda dari komponen yang berpotensi berbahaya, tambahkan ke daftar izin Anda atau hapus komponen yang diidentifikasi. (Tidak ada kebijakan terkait)
Tingkat keparahan: Rendah
Komputer virtual Linux harus menggunakan Boot Aman
Deskripsi: Untuk melindungi dari penginstalan rootkit berbasis malware dan kit boot, aktifkan Boot Aman pada komputer virtual Linux yang didukung. Boot Aman memastikan bahwa hanya sistem operasi dan driver yang ditandatangani yang diizinkan untuk dijalankan. Penilaian ini hanya berlaku untuk komputer virtual Linux yang diinstal Azure Monitor Agent. (Tidak ada kebijakan terkait)
Tingkat keparahan: Rendah
Agen Analitik Log harus diinstal di mesin yang didukung Azure Arc berbasis Linux
Deskripsi: Defender untuk Cloud menggunakan agen Analitik Log (juga dikenal sebagai OMS) untuk mengumpulkan peristiwa keamanan dari komputer Azure Arc Anda. Untuk menyebarkan agen di semua komputer Azure Arc Anda, ikuti langkah-langkah remediasi. (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Agen Analitik Log harus diinstal pada virtual machine scale sets
Deskripsi: Defender untuk Cloud mengumpulkan data dari komputer virtual (VM) Azure Anda untuk memantau kerentanan dan ancaman keamanan. Data dikumpulkan menggunakan agen Analitik Log, sebelumnya dikenal sebagai Microsoft Monitoring Agent (MMA), yang membaca berbagai konfigurasi terkait keamanan dan log peristiwa dari komputer dan menyalin data ke ruang kerja Anda untuk analisis. Anda juga harus mengikuti prosedur tersebut jika komputer virtual Anda digunakan oleh layanan terkelola Azure seperti Azure Kubernetes Service atau Azure Service Fabric. Anda tidak dapat mengonfigurasi ketentuan otomatis agen untuk Microsoft Azure Virtual Machine Scale Sets. Untuk menyebarkan agen pada Microsoft Azure Virtual Machine Scale Sets (termasuk yang digunakan oleh layanan terkelola Azure seperti Azure Kubernetes Service dan Azure Service Fabric), ikuti prosedur dalam langkah-langkah remediasi. (Kebijakan terkait: Agen Analitik Log harus diinstal pada set skala komputer virtual Anda untuk pemantauan Azure Security Center).
Tingkat keparahan: Tinggi
Agen Analitik Log harus diinstal di mesin virtual
Deskripsi: Defender untuk Cloud mengumpulkan data dari komputer virtual (VM) Azure Anda untuk memantau kerentanan dan ancaman keamanan. Data dikumpulkan menggunakan agen Analitik Log, sebelumnya dikenal sebagai Microsoft Monitoring Agent (MMA), yang membaca berbagai konfigurasi terkait keamanan dan log peristiwa dari komputer dan menyalin data ke ruang kerja Analitik Log Anda untuk analisis. Agen ini juga diperlukan jika Mesin Virtual Anda digunakan oleh layanan terkelola Azure seperti Azure Kubernetes Service atau Azure Service Fabric. Sebaiknya konfigurasikan provisi otomatis untuk menyebarkan agen secara otomatis. Jika memilih untuk tidak menggunakan penyediaan otomatis, terapkan agen secara manual ke komputer virtual Anda menggunakan petunjuk dalam langkah-langkah remediasi. (Kebijakan terkait: Agen Analitik Log harus diinstal pada komputer virtual Anda untuk pemantauan Azure Security Center).
Tingkat keparahan: Tinggi
Agen Analitik Log harus diinstal pada mesin yang didukung Azure Arc berbasis Windows
Deskripsi: Defender untuk Cloud menggunakan agen Analitik Log (juga dikenal sebagai MMA) untuk mengumpulkan peristiwa keamanan dari komputer Azure Arc Anda. Untuk menyebarkan agen di semua komputer Azure Arc Anda, ikuti langkah-langkah remediasi. (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Mesin harus dikonfigurasi dengan aman
Deskripsi: Memulihkan kerentanan dalam konfigurasi keamanan pada komputer Anda untuk melindunginya dari serangan. (Kebijakan terkait: Kerentanan dalam konfigurasi keamanan pada komputer Anda harus diperbaiki).
Tingkat keparahan: Rendah
Komputer harus dimulai ulang untuk menerapkan pembaruan konfigurasi keamanan
Deskripsi: Untuk menerapkan pembaruan konfigurasi keamanan dan melindungi dari kerentanan, mulai ulang komputer Anda. Penilaian ini hanya berlaku untuk komputer virtual Linux yang diinstal Azure Monitor Agent. (Tidak ada kebijakan terkait)
Tingkat keparahan: Rendah
Mesin harus memiliki solusi penilaian kerentanan
Deskripsi: Defender untuk Cloud secara teratur memeriksa komputer anda yang terhubung untuk memastikan mesin tersebut menjalankan alat penilaian kerentanan. Gunakan rekomendasi ini untuk menyebarkan solusi penilaian kerentanan. (Kebijakan terkait: Solusi penilaian kerentanan harus diaktifkan pada komputer virtual Anda).
Tingkat keparahan: Sedang
Mesin harus menyelesaikan temuan kerentanan
Deskripsi: Atasi temuan dari solusi penilaian kerentanan pada komputer virtual Anda. (Kebijakan terkait: Solusi penilaian kerentanan harus diaktifkan pada komputer virtual Anda).
Tingkat keparahan: Rendah
Port pengelolaan komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time
Deskripsi: Defender untuk Cloud telah mengidentifikasi beberapa aturan masuk yang terlalu permisif untuk port manajemen di Grup Keamanan Jaringan Anda. Aktifkan kontrol akses just-in-time untuk melindungi VM Anda dari serangan brute force berbasis internet. Pelajari selengkapnya di Memahami akses Mesin Virtual just-in-time (JIT). (Kebijakan terkait: Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time).
Tingkat keparahan: Tinggi
Microsoft Defender untuk server harus diaktifkan
Deskripsi: Pertahanan Microsoft untuk server memberikan perlindungan ancaman real time untuk beban kerja server Anda dan menghasilkan rekomendasi penguatan serta pemberitahuan tentang aktivitas yang mencurigakan. Anda dapat menggunakan informasi ini untuk meremediasi masalah keamanan dengan cepat dan meningkatkan keamanan server Anda.
Penting: Meremediasi rekomendasi ini akan dikenakan biaya untuk melindungi server Anda. Jika Anda tidak memiliki server apa pun dalam langganan ini, tidak ada biaya yang akan dikenakan. Jika Anda membuat server apa pun pada langganan ini di masa mendatang, server tersebut akan secara otomatis dilindungi dan tagihan akan dimulai pada saat itu. Pelajari selengkapnya di Pengantar Microsoft Defender untuk server. (Kebijakan terkait: Azure Defender untuk server harus diaktifkan).
Tingkat keparahan: Tinggi
Microsoft Defender untuk server harus diaktifkan di ruang kerja
Deskripsi: Pertahanan Microsoft untuk server menghadirkan deteksi ancaman dan pertahanan tingkat lanjut untuk komputer Windows dan Linux Anda. Dengan paket Defender ini diaktifkan di langganan tetapi tidak di ruang kerja, Anda membayar kemampuan penuh Microsoft Defender untuk server tetapi kehilangan beberapa keuntungannya. Saat Anda mengaktifkan Microsoft Defender untuk server di ruang kerja, semua mesin yang melaporkan ke ruang kerja tersebut akan ditagih untuk Microsoft Defender untuk server - bahkan jika mesin berlangganan tanpa mengaktifkan paket Defender. Kecuali Anda juga mengaktifkan Microsoft Defender untuk server pada langganan, mesin tersebut tidak akan dapat memanfaatkan akses Mesin Virtual just-in-time, kontrol aplikasi adaptif, dan deteksi jaringan untuk sumber daya Azure. Pelajari selengkapnya di Pengantar Microsoft Defender untuk server. (Tidak ada kebijakan terkait)
Tingkat keparahan: Sedang
Boot aman harus diaktifkan pada komputer virtual Windows yang didukung
Deskripsi: Aktifkan Boot Aman pada komputer virtual Windows yang didukung untuk mengurangi perubahan berbahaya dan tidak sah pada rantai boot. Setelah diaktifkan, hanya bootloader tepercaya, kernel, dan driver kernel yang akan diizinkan untuk dijalankan. Penilaian ini hanya berlaku untuk komputer virtual Windows yang diaktifkan dengan peluncuran tepercaya.
Penting: Peluncuran tepercaya memerlukan pembuatan komputer virtual baru. Anda tidak dapat mengaktifkan peluncuran tepercaya pada komputer virtual yang ada dan awalnya dibuat tanpanya. Pelajari selengkapnya tentang Peluncuran tepercaya untuk mesin virtual Azure. (Tidak ada kebijakan terkait)
Tingkat keparahan: Rendah
Kluster Service Fabric harus memiliki properti ClusterProtectionLevel yang disetel ke EncryptAndSign
Deskripsi: Service Fabric menyediakan tiga tingkat perlindungan (None, Sign, dan EncryptAndSign) untuk komunikasi node-to-node menggunakan sertifikat kluster utama. Tetapkan tingkat perlindungan untuk memastikan bahwa semua pesan antar node dienkripsi dan ditandatangani secara digital. (Kebijakan terkait: Kluster Service Fabric harus memiliki properti ClusterProtectionLevel yang diatur ke EncryptAndSign).
Tingkat keparahan: Tinggi
Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien
Deskripsi: Lakukan autentikasi Klien hanya melalui Azure Active Directory di Service Fabric (Kebijakan terkait: Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien).
Tingkat keparahan: Tinggi
Pembaruan sistem pada set skala komputer virtual harus diinstal
Deskripsi: Instal keamanan sistem yang hilang dan pembaruan penting untuk mengamankan set skala komputer virtual Windows dan Linux Anda. (Kebijakan terkait: Pembaruan sistem pada set skala komputer virtual harus diinstal).
Tingkat keparahan: Tinggi
Pembaruan sistem harus dipasang di komputer Anda
Deskripsi: Instal keamanan sistem yang hilang dan pembaruan penting untuk mengamankan komputer dan komputer virtual Windows dan Linux Anda (Kebijakan terkait: Pembaruan sistem harus diinstal pada komputer Anda).
Tingkat keparahan: Tinggi
Pembaruan sistem harus diinstal pada komputer Anda (didukung oleh Pusat Pembaruan)
Deskripsi: Komputer Anda kehilangan pembaruan sistem, keamanan, dan kritis. Pembaruan perangkat lunak sering menyertakan patch penting pada lubang keamanan. Lubang semacam itu sering dieksploitasi dalam serangan malware sehingga sangat penting untuk memperbarui perangkat lunak Anda. Untuk menginstal semua tambalan yang luar biasa dan mengamankan komputer Anda, ikuti langkah-langkah remediasi. (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Virtual machine scale sets harus dikonfigurasi dengan aman
Deskripsi: Memulihkan kerentanan dalam konfigurasi keamanan pada set skala komputer virtual Anda untuk melindunginya dari serangan. (Kebijakan terkait: Kerentanan dalam konfigurasi keamanan pada set skala komputer virtual Anda harus diperbaiki).
Tingkat keparahan: Tinggi
Status pengesahan tamu komputer virtual harus dalam keadaan sehat
Deskripsi: Pengesahan tamu dilakukan dengan mengirim log tepercaya (TCGLog) ke server pengesahan. Server menggunakan log ini untuk menentukan apakah komponen boot dapat dipercaya. Penilaian ini dimaksudkan untuk mendeteksi kompromi rantai boot, yang mungkin merupakan hasil dari infeksi bootkit atau rootkit. Penilaian ini hanya berlaku untuk Peluncuran Tepercaya yang diaktifkan pada komputer virtual dengan ekstensi Pengesahan Tamu terinstal. (Tidak ada kebijakan terkait)
Tingkat keparahan: Sedang
Ekstensi Konfigurasi Tamu di komputer virtual harus disebarkan dengan identitas terkelola yang ditetapkan sistem
Deskripsi: Ekstensi Konfigurasi Tamu memerlukan identitas terkelola yang ditetapkan sistem. Komputer virtual Azure dalam cakupan kebijakan ini tidak akan mematuhi kebijakan jika ekstensi Konfigurasi Tamu diinstal tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Pelajari lebih lanjut (Kebijakan terkait: Ekstensi Konfigurasi Tamu harus disebarkan ke komputer virtual Azure dengan identitas terkelola yang ditetapkan sistem).
Tingkat keparahan: Sedang
Komputer virtual harus dimigrasikan ke sumber daya Azure Resource Manager baru
Deskripsi: Komputer Virtual (klasik) tidak digunakan lagi dan VM ini harus dimigrasikan ke Azure Resource Manager. Karena Azure Resource Manager sekarang memiliki kemampuan IaaS penuh dan kemajuan lainnya, kami menghentikan pengelolaan komputer virtual (VM) IaaS melalui Azure Service Manager (ASM) pada 28 Februari 2020. Fungsi ini akan sepenuhnya dihentikan pada 1 Maret 2023.
Untuk melihat semua Mesin Virtual klasik yang terpengaruh, pastikan untuk memilih semua langganan Azure Anda di bawah tab 'direktori + langganan'.
Sumber daya dan informasi yang tersedia tentang alat ini & migrasi: Gambaran umum penghentian Komputer virtual (klasik), proses langkah demi langkah untuk migrasi & sumber daya Microsoft yang tersedia.Detail tentang Migrasi ke alat migrasi Azure Resource Manager.Migrasi ke alat migrasi Azure Resource Manager menggunakan PowerShell. (Kebijakan terkait: Komputer virtual harus dimigrasikan ke sumber daya Azure Resource Manager baru).
Tingkat keparahan: Tinggi
Komputer virtual harus mengenkripsi disk sementara, cache, dan aliran data antara sumber daya Compute dan Storage
Deskripsi: Secara default, OS komputer virtual dan disk data dienkripsi saat tidak aktif menggunakan kunci yang dikelola platform; disk sementara dan cache data tidak dienkripsi, dan data tidak dienkripsi saat mengalir antara sumber daya komputasi dan penyimpanan. Untuk perbandingan berbagai teknologi enkripsi disk di Azure, lihat https://aka.ms/diskencryptioncomparison. Gunakan Azure Disk Encryption untuk mengenkripsi semua data ini. Abaikan rekomendasi ini jika:
- Anda menggunakan fitur enkripsi-di-host, atau 2. Enkripsi sisi server pada Disk Terkelola memenuhi persyaratan keamanan Anda. Pelajari selengkapnya di Enkripsi sisi server Penyimpanan Disk Azure. (Kebijakan terkait: Enkripsi disk harus diterapkan pada komputer virtual)
Tingkat keparahan: Tinggi
vTPM harus diaktifkan pada komputer virtual yang didukung
Deskripsi: Aktifkan perangkat TPM virtual pada komputer virtual yang didukung untuk memfasilitasi Boot Terukur dan fitur keamanan OS lainnya yang memerlukan TPM. Setelah diaktifkan, vTPM dapat digunakan untuk mengesahkan integritas boot. Penilaian ini hanya berlaku untuk komputer virtual yang diaktifkan peluncuran tepercaya.
Penting: Peluncuran tepercaya memerlukan pembuatan komputer virtual baru. Anda tidak dapat mengaktifkan peluncuran tepercaya pada komputer virtual yang ada dan awalnya dibuat tanpanya. Pelajari selengkapnya tentang Peluncuran tepercaya untuk mesin virtual Azure. (Tidak ada kebijakan terkait)
Tingkat keparahan: Rendah
Kerentanan dalam konfigurasi keamanan di komputer Linux Anda harus diremediasi (didukung oleh Konfigurasi Tamu)
Deskripsi: Memulihkan kerentanan dalam konfigurasi keamanan pada komputer Linux Anda untuk melindunginya dari serangan. (Kebijakan terkait: Komputer Linux harus memenuhi persyaratan untuk garis besar keamanan Azure).
Tingkat keparahan: Rendah
Kerentanan dalam konfigurasi keamanan pada komputer Windows Anda harus diremediasi (didukung oleh Konfigurasi Tamu)
Deskripsi: Memulihkan kerentanan dalam konfigurasi keamanan pada komputer Windows Anda untuk melindunginya dari serangan. (Tidak ada kebijakan terkait)
Tingkat keparahan: Rendah
Windows Defender Exploit Guard harus diaktifkan pada mesin
Deskripsi: Windows Defender Exploit Guard menggunakan agen Konfigurasi Tamu Azure Policy. Exploit Guard memiliki empat komponen yang dirancang untuk mengunci perangkat dari berbagai vektor serangan dan memblokir perilaku yang biasa digunakan dalam serangan malware sekaligus memungkinkan perusahaan untuk menyeimbangkan risiko keamanan dan persyaratan produktivitas (khusus Windows). (Kebijakan terkait: Mengaudit komputer Windows tempat Windows Defender Exploit Guard tidak diaktifkan).
Tingkat keparahan: Sedang
Server web Windows harus dikonfigurasi untuk menggunakan protokol komunikasi yang aman
Deskripsi: Untuk melindungi privasi informasi yang dikomunikasikan melalui Internet, server web Anda harus menggunakan versi terbaru protokol kriptografi standar industri, Keamanan Lapisan Transportasi (TLS). TLS mengamankan komunikasi melalui jaringan dengan menggunakan sertifikat keamanan untuk mengenkripsi koneksi antar komputer. (Kebijakan terkait: Mengaudit server web Windows yang tidak menggunakan protokol komunikasi yang aman).
Tingkat keparahan: Tinggi
[Pratinjau]: Komputer virtual Linux harus mengaktifkan Azure Disk Encryption atau EncryptionAtHost
Deskripsi: Secara default, OS komputer virtual dan disk data dienkripsi saat tidak aktif menggunakan kunci yang dikelola platform; disk sementara dan cache data tidak dienkripsi, dan data tidak dienkripsi saat mengalir antara sumber daya komputasi dan penyimpanan. Gunakan Azure Disk Encryption atau EncryptionAtHost untuk mengenkripsi semua data ini. Kunjungi https://aka.ms/diskencryptioncomparison untuk membandingkan penawaran enkripsi. Kebijakan ini memerlukan dua prasyarat untuk disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. (Kebijakan terkait: [Pratinjau]: Komputer virtual Linux harus mengaktifkan Azure Disk Encryption atau EncryptionAtHost).
Tingkat keparahan: Tinggi
[Pratinjau]: Komputer virtual Windows harus mengaktifkan Azure Disk Encryption atau EncryptionAtHost
Deskripsi: Secara default, OS komputer virtual dan disk data dienkripsi saat tidak aktif menggunakan kunci yang dikelola platform; disk sementara dan cache data tidak dienkripsi, dan data tidak dienkripsi saat mengalir antara sumber daya komputasi dan penyimpanan. Gunakan Azure Disk Encryption atau EncryptionAtHost untuk mengenkripsi semua data ini. Kunjungi https://aka.ms/diskencryptioncomparison untuk membandingkan penawaran enkripsi. Kebijakan ini memerlukan dua prasyarat untuk disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. (Kebijakan terkait: [Pratinjau]: Komputer virtual Windows harus mengaktifkan Azure Disk Encryption atau EncryptionAtHost).
Tingkat keparahan: Tinggi
Komputer virtual dan set skala komputer virtual harus mengaktifkan enkripsi pada host
Deskripsi: Gunakan enkripsi di host untuk mendapatkan enkripsi end-to-end untuk komputer virtual dan data set skala komputer virtual Anda. Enkripsi di host memungkinkan enkripsi saat tidak digunakan untuk disk sementara dan cache disk OS/data. Disk OS sementara dan tentatif akan dienkripsi dengan kunci yang dikelola platform saat enkripsi di host diaktifkan. Cache disk OS/data dienkripsi saat tidak digunakan dengan kunci yang dikelola pelanggan atau dikelola platform, bergantung pada jenis enkripsi yang dipilih pada disk. Pelajari selengkapnya di Menggunakan portal Azure untuk mengaktifkan enkripsi end-to-end menggunakan enkripsi di host. (Kebijakan terkait: Komputer virtual dan set skala komputer virtual harus mengaktifkan enkripsi di host).
Tingkat keparahan: Sedang
(Pratinjau) Server Azure Stack HCI harus memenuhi persyaratan Secured-core
Deskripsi: Pastikan bahwa semua server Azure Stack HCI memenuhi persyaratan Secured-core. (Kebijakan terkait: Ekstensi Konfigurasi Tamu harus diinstal pada komputer - Microsoft Azure).
Tingkat keparahan: Rendah
(Pratinjau) Server Azure Stack HCI harus memiliki kebijakan kontrol aplikasi yang diberlakukan secara konsisten
Deskripsi: Minimal, terapkan kebijakan dasar Microsoft WDAC dalam mode yang diberlakukan di semua server Azure Stack HCI. Kebijakan Kontrol Aplikasi Pertahanan Windows (WDAC) yang diterapkan harus konsisten di seluruh server dalam kluster yang sama. (Kebijakan terkait: Ekstensi Konfigurasi Tamu harus diinstal pada komputer - Microsoft Azure).
Tingkat keparahan: Tinggi
(Pratinjau) Sistem Azure Stack HCI harus memiliki volume terenkripsi
Deskripsi: Gunakan BitLocker untuk mengenkripsi OS dan volume data pada sistem Azure Stack HCI. (Kebijakan terkait: Ekstensi Konfigurasi Tamu harus diinstal pada komputer - Microsoft Azure).
Tingkat keparahan: Tinggi
(Pratinjau) Jaringan host dan VM harus dilindungi pada sistem Azure Stack HCI
Deskripsi: Lindungi data di jaringan host Azure Stack HCI dan pada koneksi jaringan komputer virtual. (Kebijakan terkait: Ekstensi Konfigurasi Tamu harus diinstal pada komputer - Microsoft Azure).
Tingkat keparahan: Rendah
Rekomendasi kontainer
[Pratinjau] Gambar kontainer di registri Azure harus menyelesaikan temuan kerentanan
Deskripsi: Defender untuk Cloud memindai gambar registri Anda untuk kerentanan (CVE) yang diketahui dan memberikan temuan terperinci untuk setiap gambar yang dipindai. Memindai dan memulihkan kerentanan untuk gambar kontainer dalam registri membantu menjaga rantai pasokan perangkat lunak yang aman dan andal, mengurangi risiko insiden keamanan, dan memastikan kepatuhan terhadap standar industri.
Tingkat keparahan: Tinggi
Jenis: Penilaian Kerentanan
[Pratinjau] Kontainer yang berjalan di Azure harus memiliki temuan kerentanan yang diselesaikan
Deskripsi: Defender untuk Cloud membuat inventaris semua beban kerja kontainer yang saat ini berjalan di kluster Kubernetes Anda dan menyediakan laporan kerentanan untuk beban kerja tersebut dengan mencocokkan gambar yang digunakan dan laporan kerentanan yang dibuat untuk gambar registri. Memindai dan memulihkan kerentanan beban kerja kontainer sangat penting untuk memastikan rantai pasokan perangkat lunak yang kuat dan aman, mengurangi risiko insiden keamanan, dan memastikan kepatuhan terhadap standar industri.
Tingkat keparahan: Tinggi
Jenis: Penilaian Kerentanan
(Aktifkan jika diperlukan) Registri kontainer harus dienkripsi dengan kunci yang dikelola pelanggan (CMK)
Deskripsi: Rekomendasi menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default, tetapi tersedia untuk diaktifkan untuk skenario yang berlaku. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan. Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan. Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi tidak aktif di seluruh isi disk terkelola Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan. Namun, kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. CMK memungkinkan data dienkripsi dengan kunci Azure Key Vault dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut tentang enkripsi CMK di https://aka.ms/acr/CMK. (Kebijakan terkait: Registri kontainer harus dienkripsi dengan kunci yang dikelola pelanggan (CMK)).
Tingkat keparahan: Rendah
Jenis: Sarana kontrol
Kluster Kubernetes yang didukung Azure Arc harus memiliki ekstensi Azure Policy yang diinstal
Deskripsi: Ekstensi Azure Policy untuk Kubernetes memperluas Gatekeeper v3, webhook pengontrol penerimaan untuk Open Policy Agent (OPA), untuk menerapkan penegakan dan perlindungan dalam skala besar pada kluster Anda secara terpusat dan konsisten. (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Jenis: Sarana kontrol
Kluster Kubernetes yang didukung Azure Arc harus menginstal ekstensi Defender
Deskripsi: Ekstensi Defender untuk Azure Arc memberikan perlindungan ancaman untuk kluster Kubernetes yang didukung Arc. Ekstensi ini mengumpulkan data dari semua simpul sarana kontrol (master) dalam kluster dan mengirimkannya ke backend Pertahanan Microsoft untuk Kubernetes di cloud untuk analisis lebih lanjut. (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Jenis: Sarana kontrol
Kluster Azure Kubernetes Service harus mengaktifkan profil Defender
Deskripsi: Pertahanan Microsoft untuk Kontainer menyediakan kemampuan keamanan Kubernetes cloud-native termasuk pengerasan lingkungan, perlindungan beban kerja, dan perlindungan run-time. Saat mengaktifkan profil SecurityProfile.AzureDefender di kluster Azure Kubernetes Service Anda, agen disebarkan ke kluster Anda untuk mengumpulkan data peristiwa keamanan. Pelajari selengkapnya di Pengantar Microsoft Defender untuk Kontainer. (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Jenis: Sarana kontrol
Kluster Azure Kubernetes Service harus menginstal add-on Azure Policy untuk Kubernetes
Deskripsi: Add-on Azure Policy untuk Kubernetes memperluas Gatekeeper v3, webhook pengontrol penerimaan untuk Open Policy Agent (OPA), untuk menerapkan penegakan dan perlindungan dalam skala besar pada kluster Anda secara terpusat dan konsisten. Defender untuk Cloud memerlukan Add-on untuk mengaudit dan menerapkan kemampuan dan kepatuhan keamanan di dalam kluster Anda. Pelajari selengkapnya. Memerlukan Kubernetes v1.14.0 atau yang lebih baru. (Kebijakan terkait: Add-on Azure Policy untuk layanan Kubernetes (AKS) harus diinstal dan diaktifkan pada kluster Anda).
Tingkat keparahan: Tinggi
Jenis: Sarana kontrol
Registri kontainer tidak boleh mengizinkan akses jaringan yang tidak terbatas
Deskripsi: Registri kontainer Azure secara default menerima koneksi melalui internet dari host di jaringan apa pun. Untuk melindungi registry Anda dari potensi ancaman, izinkan akses hanya dari alamat IP publik atau rentang alamat tertentu. Jika registri Anda tidak memiliki aturan IP/firewall atau jaringan virtual yang dikonfigurasi, registri tersebut akan muncul di sumber daya yang tidak sehat. Pelajari selengkapnya tentang aturan jaringan Container Registry di sini: https://aka.ms/acr/portal/public-network dan di sini https://aka.ms/acr/vnet. (Kebijakan terkait: Registri kontainer tidak boleh mengizinkan akses jaringan yang tidak dibatasi).
Tingkat keparahan: Sedang
Jenis: Sarana kontrol
Registri kontainer harus menggunakan tautan privat
Deskripsi: Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke registri kontainer dan bukan ke seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/acr/private-link. (Kebijakan terkait: Registri kontainer harus menggunakan tautan privat).
Tingkat keparahan: Sedang
Jenis: Sarana kontrol
Log diagnostik di layanan Kubernetes harus diaktifkan
Deskripsi: Aktifkan log diagnostik di layanan Kubernetes Anda dan pertahankan hingga satu tahun. Hal ini memungkinkan Anda membuat kembali jejak aktivitas untuk tujuan investigasi saat insiden keamanan terjadi. (Tidak ada kebijakan terkait)
Tingkat keparahan: Rendah
Jenis: Sarana kontrol
Server API Kube harus dikonfigurasi dengan akses terbatas
Deskripsi: Untuk memastikan bahwa hanya aplikasi dari jaringan, komputer, atau subnet yang diizinkan yang dapat mengakses kluster Anda, batasi akses ke server API Kubernetes Anda. Anda dapat membatasi akses dengan menentukan rentang IP resmi, atau dengan menyiapkan server API sebagai kluster privat seperti yang dijelaskan dalam Membuat kluster Azure Kubernetes Service privat. (Kebijakan terkait: Rentang IP resmi harus didefinisikan pada Layanan Kubernetes).
Tingkat keparahan: Tinggi
Jenis: Sarana kontrol
Kontrol Akses Berbasis Peran harus digunakan pada Layanan Kubernetes
Deskripsi: Untuk memberikan pemfilteran terperinci pada tindakan yang dapat dilakukan pengguna, gunakan Kontrol Akses Berbasis Peran (RBAC) untuk mengelola izin di Kluster Layanan Kubernetes dan mengonfigurasi kebijakan otorisasi yang relevan. (Kebijakan terkait: Kontrol Akses Berbasis Peran (RBAC) harus digunakan pada Layanan Kubernetes).
Tingkat keparahan: Tinggi
Jenis: Sarana kontrol
Pertahanan Microsoft untuk Kontainer harus diaktifkan
Deskripsi: Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Kubernetes Azure, hibrid, dan multicloud Anda. Anda dapat menggunakan informasi ini untuk memulihkan masalah keamanan dengan cepat dan meningkatkan keamanan kontainer Anda.
Penting: Memperbaiki rekomendasi ini akan dikenakan biaya untuk melindungi server Anda. Jika Anda tidak memiliki server apa pun dalam langganan ini, tidak ada biaya yang akan dikenakan. Jika Anda membuat kluster Kubernetes pada langganan ini di masa mendatang, kluster tersebut akan secara otomatis dilindungi dan biaya akan dimulai pada saat itu. Pelajari selengkapnya di Pengantar Microsoft Defender untuk Kontainer. (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Jenis: Sarana kontrol
Batas CPU kontainer dan memori harus diberlakukan
Deskripsi: Memberlakukan batas CPU dan memori mencegah serangan kelelahan sumber daya (bentuk penolakan serangan layanan).
Sebaiknya atur batas kontainer untuk memastikan runtime mencegah kontainer menggunakan lebih dari batas sumber daya yang dikonfigurasi.
(Kebijakan terkait: Pastikan batas CPU kontainer dan sumber daya memori tidak melebihi batas yang ditentukan di kluster Kubernetes).
Tingkat keparahan: Sedang
Jenis: Sarana Data Kubernetes
Gambar kontainer harus disebarkan dari registri tepercaya saja
Deskripsi: Gambar yang berjalan pada kluster Kubernetes Anda harus berasal dari registri gambar kontainer yang diketahui dan dipantau. Registri tepercaya mengurangi risiko paparan kluster Anda dengan membatasi potensi pengenalan kerentanan yang tidak diketahui, masalah keamanan, dan gambar berbahaya.
(Kebijakan terkait: Pastikan hanya gambar kontainer yang diizinkan di kluster Kubernetes).
Tingkat keparahan: Tinggi
Jenis: Sarana Data Kubernetes
Kontainer dengan eskalasi hak istimewa harus dihindari
Deskripsi: Kontainer tidak boleh berjalan dengan eskalasi hak istimewa ke root di kluster Kubernetes Anda. Atribut AllowPrivilegeEscalation mengontrol jika suatu proses dapat memperoleh lebih banyak hak istimewa daripada proses induknya. (Kebijakan terkait: Kluster Kubernetes tidak boleh mengizinkan eskalasi hak istimewa kontainer).
Tingkat keparahan: Sedang
Jenis: Sarana data Kubernetes
Kontainer yang berbagi namespace host sensitif harus dihindari
Deskripsi: Untuk melindungi dari eskalasi hak istimewa di luar kontainer, hindari akses pod ke namespace host sensitif (ID proses host dan IPC host) di kluster Kubernetes. (Kebijakan terkait: Kontainer kluster Kubernetes tidak boleh berbagi ID proses host atau namespace IPC host).
Tingkat keparahan: Sedang
Jenis: Sarana data Kubernetes
Kontainer hanya boleh menggunakan profil AppArmor yang diizinkan
Deskripsi: Kontainer yang berjalan pada kluster Kubernetes harus dibatasi hanya untuk profil AppArmor yang diizinkan. ; AppArmor (Application Armor) adalah modul keamanan Linux yang melindungi sistem operasi dan aplikasinya dari ancaman keamanan. Untuk menggunakannya, administrator sistem mengaitkan profil keamanan AppArmor dengan setiap program. (Kebijakan terkait: Kontainer kluster Kubernetes hanya boleh menggunakan profil AppArmor yang diizinkan).
Tingkat keparahan: Tinggi
Jenis: Sarana data Kubernetes
Sistem file akar yang tidak dapat diubah (baca-saja) harus diberlakukan untuk kontainer
Deskripsi: Kontainer harus berjalan dengan sistem file akar baca saja di kluster Kubernetes Anda. Sistem file yang tidak dapat diubah melindungi kontainer dari perubahan pada run-time dengan biner berbahaya ditambahkan ke PATH. (Kebijakan terkait: Kontainer kluster Kubernetes harus berjalan dengan sistem file akar baca saja).
Tingkat keparahan: Sedang
Jenis: Sarana data Kubernetes
Cluster Kubernetes hanya dapat diakses melalui HTTPS
Deskripsi: Penggunaan HTTPS memastikan autentikasi dan melindungi data saat transit dari serangan penyadapan lapisan jaringan. Kemampuan ini saat ini tersedia secara umum untuk Kubernetes Service (AKS), dan dalam pratinjau untuk Kube berkemampuan AKS Engine dan Azure Arc. Untuk informasi lebih lanjut, kunjungi https://aka.ms/kubepolicydoc (Kebijakan terkait: Terapkan ingress HTTPS di kluster Kubernetes).
Tingkat keparahan: Tinggi
Jenis: Sarana Data Kubernetes
Kluster Kube harus menonaktifkan pemasangan otomatis info masuk API
Deskripsi: Nonaktifkan pelepasan otomatis kredensial API untuk mencegah sumber daya Pod yang berpotensi disusupi untuk menjalankan perintah API terhadap kluster Kubernetes. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . (Kebijakan terkait: Kluster Kubernetes harus menonaktifkan peletakan otomatis kredensial API).
Tingkat keparahan: Tinggi
Jenis: Sarana Data Kubernetes
Kluster Kubernetes tidak boleh memberi kemampuan keamanan CAPSYSADMIN
Deskripsi: Untuk mengurangi permukaan serangan kontainer Anda, batasi kemampuan Linux CAP_SYS_ADMIN. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Jenis: Sarana data Kubernetes
Kluster Kube tidak boleh menggunakan namespace layanan default
Deskripsi: Cegah penggunaan namespace default di kluster Kubernetes untuk melindungi dari akses tidak sah untuk jenis sumber daya ConfigMap, Pod, Secret, Service, dan ServiceAccount. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . (Kebijakan terkait: Kluster Kubernetes tidak boleh menggunakan namespace default).
Tingkat keparahan: Rendah
Jenis: Sarana data Kubernetes
Kemampuan Linux dengan hak istimewa paling sedikit harus diberlakukan untuk kontainer
Deskripsi: Untuk mengurangi permukaan serangan kontainer Anda, batasi kemampuan Linux dan berikan hak istimewa tertentu kepada kontainer tanpa memberikan semua hak istimewa pengguna root. Sebaiknya hilangkan semua kemampuan, lalu tambahkan kemampuan yang diperlukan (Kebijakan terkait: Kontainer kluster Kubernetes hanya boleh menggunakan kemampuan yang diizinkan).
Tingkat keparahan: Sedang
Jenis: Sarana data Kubernetes
Kontainer istimewa harus dihindari
Deskripsi: Untuk mencegah akses host yang tidak dibatasi, hindari kontainer istimewa jika memungkinkan.
Kontainer hak istimewa memiliki semua kemampuan akar dari mesin host. Mereka dapat digunakan sebagai titik masuk untuk serangan dan untuk menyebarkan kode berbahaya atau malware ke aplikasi, host, dan jaringan yang disusupi. (Kebijakan terkait: Jangan izinkan kontainer istimewa di kluster Kubernetes).
Tingkat keparahan: Sedang
Jenis: Sarana data Kubernetes
Menjalankan kontainer sebagai pengguna root harus dihindari
Deskripsi: Kontainer tidak boleh berjalan sebagai pengguna root di kluster Kubernetes Anda. Menjalankan proses sebagai pengguna akar di dalam kontainer juga akan menjalankannya sebagai akar di host. Jika ada gangguan, penyerang memiliki akar dalam kontainer dan kesalahan konfigurasi menjadi lebih mudah untuk dieksploitasi. (Kebijakan terkait: Pod dan kontainer kluster Kubernetes hanya boleh berjalan dengan ID pengguna dan grup yang disetujui).
Tingkat keparahan: Tinggi
Jenis: Sarana Data Kubernetes
Layanan harus mendengarkan port yang diizinkan saja
Deskripsi: Untuk mengurangi permukaan serangan kluster Kubernetes Anda, batasi akses ke kluster dengan membatasi akses layanan ke port yang dikonfigurasi. (Kebijakan terkait: Pastikan layanan hanya mendengarkan pada port yang diizinkan di kluster Kubernetes).
Tingkat keparahan: Sedang
Jenis: Sarana data Kubernetes
Penggunaan jaringan host dan port harus dibatasi
Deskripsi: Batasi akses pod ke jaringan host dan rentang port host yang diizinkan dalam kluster Kubernetes. Pod yang dibuat dengan atribut hostNetwork yang diaktifkan akan berbagi ruang jaringan node. Untuk menghindari kontainer yang disusupi dari mengendus lalu lintas jaringan, kami sarankan untuk tidak menempatkan pod di jaringan host. Jika Anda perlu mengekspos port kontainer pada jaringan simpul, dan menggunakan port node Kubernetes Service tidak memenuhi kebutuhan Anda, kemungkinan lain adalah menentukan hostPort untuk kontainer dalam spesifikasi pod. (Kebijakan terkait: Pod kluster Kubernetes hanya boleh menggunakan jaringan host dan rentang port yang disetujui).
Tingkat keparahan: Sedang
Jenis: Sarana data Kubernetes
Penggunaan pemasangan volume HostPath pod harus dibatasi ke daftar yang diketahui untuk membatasi akses simpul dari kontainer yang disusupi
Deskripsi: Sebaiknya batasi pemasangan volume HostPath pod di kluster Kubernetes Anda ke jalur host yang diizinkan yang dikonfigurasi. Jika terdapat gangguan, akses node kontainer dari kontainer harus dibatasi. (Kebijakan terkait: Volume hostPath pod kluster Kubernetes hanya boleh menggunakan jalur host yang diizinkan).
Tingkat keparahan: Sedang
Jenis: Sarana Data Kubernetes
Gambar kontainer registri Azure harus memiliki kerentanan yang diselesaikan (didukung oleh Qualys)
Deskripsi: Penilaian kerentanan gambar kontainer memindai registri Anda untuk kerentanan keamanan dan mengekspos temuan terperinci untuk setiap gambar. Menyelesaikan kerentanan dapat meningkatkan postur keamanan kontainer Anda dengan pesat dan melindunginya dari serangan. (Kebijakan terkait: Kerentanan dalam gambar Azure Container Registry harus diperbaiki).
Tingkat keparahan: Tinggi
Jenis: Penilaian Kerentanan
Gambar kontainer registri Azure harus memiliki kerentanan yang diselesaikan (didukung oleh Pengelolaan Kerentanan Microsoft Defender)
Penting
Rekomendasi ini ada di jalur penghentian. Ini digantikan oleh rekomendasi [[Pratinjau] Gambar kontainer di registri Azure harus memiliki temuan kerentanan yang diselesaikan](#preview-container-images-in-azure-registry-should-have-vulnerability-findings-resolvedhttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkey33422d8f-ab1e-42be-bc9a-38685bb567b9).
Deskripsi: Penilaian kerentanan gambar kontainer memindai registri Anda untuk kerentanan (CVE) yang umum diketahui dan memberikan laporan kerentanan terperinci untuk setiap gambar. Mengatasi kerentanan dapat sangat meningkatkan postur keamanan Anda, memastikan gambar aman digunakan sebelum penyebaran. (Kebijakan terkait: Kerentanan dalam gambar Azure Container Registry harus diperbaiki).
Tingkat keparahan: Tinggi
Jenis: Penilaian Kerentanan
Gambar kontainer yang menjalankan Azure harus memiliki kerentanan yang diselesaikan (didukung oleh Pengelolaan Kerentanan Microsoft Defender)
Penting
Rekomendasi ini ada di jalur penghentian. Kontainer ini sedang digantikan oleh rekomendasi [[Pratinjau] Kontainer yang berjalan di Azure harus memiliki temuan kerentanan yang diselesaikan](#preview-containers-running-in-azure-should-have-vulnerability-findings-resolvedhttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkeye9acaf48-d2cf-45a3-a6e7-3caa2ef769e0).
Deskripsi: Penilaian kerentanan gambar kontainer memindai registri Anda untuk kerentanan (CVE) yang umum diketahui dan memberikan laporan kerentanan terperinci untuk setiap gambar. Rekomendasi ini memberikan visibilitas ke gambar rentan yang saat ini berjalan di kluster Kubernetes Anda. Memulihkan kerentanan dalam gambar kontainer yang saat ini berjalan adalah kunci untuk meningkatkan postur keamanan Anda, secara signifikan mengurangi permukaan serangan untuk beban kerja kontainer Anda.
Tingkat keparahan: Tinggi
Jenis: Penilaian Kerentanan
Rekomendasi Data
(Aktifkan jika diperlukan) Akun Azure Cosmos DB harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif
Deskripsi: Rekomendasi menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default, tetapi tersedia untuk diaktifkan untuk skenario yang berlaku. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan. Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan. Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari Azure Cosmos DB Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan. Namun, kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. CMK memungkinkan data dienkripsi dengan kunci Azure Key Vault dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut tentang enkripsi CMK di https://aka.ms/cosmosdb-cmk. (Kebijakan terkait: Akun Azure Cosmos DB harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif).
Tingkat keparahan: Rendah
(Aktifkan jika diperlukan) Ruang kerja Azure Pembelajaran Mesin harus dienkripsi dengan kunci yang dikelola pelanggan (CMK)
Deskripsi: Rekomendasi menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default, tetapi tersedia untuk diaktifkan untuk skenario yang berlaku. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan. Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan. Kelola enkripsi di seluruh data ruang kerja Azure Machine Learning Anda dengan kunci yang dikelola pelanggan. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi CMK umumnya diperlukan untuk memenuhi standar kepatuhan peraturan. CMK memungkinkan data dienkripsi dengan kunci Azure Key Vault dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut tentang enkripsi CMK di https://aka.ms/azureml-workspaces-cmk. (Kebijakan terkait: Ruang kerja Azure Pembelajaran Mesin harus dienkripsi dengan kunci yang dikelola pelanggan (CMK)).
Tingkat keparahan: Rendah
(Aktifkan jika diperlukan) Akun Cognitive Services harus mengaktifkan enkripsi data dengan kunci yang dikelola pelanggan (CMK)
Deskripsi: Rekomendasi menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default, tetapi tersedia untuk diaktifkan untuk skenario yang berlaku. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan. Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan. Kunci yang dikelola pelanggan (CMK) umumnya dibutuhkan untuk memenuhi standar kepatuhan terhadap peraturan. CMK memungkinkan data yang tersimpan di Cognitive Services terenskripsi dengan kunci Azure Key Vault yang Anda buat dan miliki. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut tentang enkripsi CMK di https://aka.ms/cosmosdb-cmk. (Kebijakan terkait: Akun Cognitive Services harus mengaktifkan enkripsi data dengan kunci yang dikelola pelanggan?(CMK))
Tingkat keparahan: Rendah
(Aktifkan jika diperlukan) Server MySQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif
Deskripsi: Rekomendasi menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default, tetapi tersedia untuk diaktifkan untuk skenario yang berlaku. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan. Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan. Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari server MySQL Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan. Namun, kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. CMK memungkinkan data dienkripsi dengan kunci Azure Key Vault dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. (Kebijakan terkait: Bawa perlindungan data kunci Anda sendiri harus diaktifkan untuk server MySQL).
Tingkat keparahan: Rendah
(Aktifkan jika diperlukan) Server PostgreSQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif
Deskripsi: Rekomendasi menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default, tetapi tersedia untuk diaktifkan untuk skenario yang berlaku. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan. Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan. Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari server PostgreSQL Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan. Namun, kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. CMK memungkinkan data dienkripsi dengan kunci Azure Key Vault dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. (Kebijakan terkait: Bawa perlindungan data kunci Anda sendiri harus diaktifkan untuk server PostgreSQL).
Tingkat keparahan: Rendah
(Aktifkan jika diperlukan) Instans terkelola SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif
Deskripsi: Rekomendasi menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default, tetapi tersedia untuk diaktifkan untuk skenario yang berlaku. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan. Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan. Implementasi Enkripsi Data Transparan (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. (Kebijakan terkait: Instans terkelola SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif).
Tingkat keparahan: Rendah
(Aktifkan jika diperlukan) Server SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif
Deskripsi: Rekomendasi menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default, tetapi tersedia untuk diaktifkan untuk skenario yang berlaku. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan. Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan. Implementasi Transparent Data Encryption (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. (Kebijakan terkait: Server SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif).
Tingkat keparahan: Rendah
(Aktifkan jika diperlukan) Akun penyimpanan harus menggunakan kunci yang dikelola pelanggan (CMK) untuk enkripsi
Deskripsi: Rekomendasi menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default, tetapi tersedia untuk diaktifkan untuk skenario yang berlaku. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan. Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan. Amankan akun penyimpanan Anda dengan fleksibilitas yang lebih besar menggunakan kunci yang dikelola pelanggan (CMK). Saat Anda menentukan CMK, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Menggunakan CMK menyediakan kemampuan tambahan untuk mengontrol rotasi kunci enkripsi utama atau menghapus data secara kriptografis. (Kebijakan terkait: Akun penyimpanan harus menggunakan kunci yang dikelola pelanggan (CMK) untuk enkripsi).
Tingkat keparahan: Rendah
Semua jenis perlindungan ancaman tingkat lanjut harus diaktifkan dalam pengaturan keamanan data tingkat lanjut instans terkelola SQL
Deskripsi: Disarankan untuk mengaktifkan semua jenis perlindungan ancaman tingkat lanjut pada instans terkelola SQL Anda. Mengaktifkan semua jenis melindungi terhadap injeksi SQL, kerentanan database, dan aktivitas anomali lainnya. (Tidak ada kebijakan terkait)
Tingkat keparahan: Sedang
Semua jenis perlindungan ancaman tingkat lanjut harus diaktifkan di pengaturan keamanan data tingkat lanjut server SQL
Deskripsi: Disarankan untuk mengaktifkan semua jenis perlindungan ancaman tingkat lanjut di server SQL Anda. Mengaktifkan semua jenis melindungi terhadap injeksi SQL, kerentanan database, dan aktivitas anomali lainnya. (Tidak ada kebijakan terkait)
Tingkat keparahan: Sedang
Layanan API Management harus menggunakan jaringan virtual
Deskripsi: Penyebaran Azure Virtual Network menyediakan keamanan, isolasi, dan memungkinkan Anda menempatkan layanan API Management di jaringan yang tidak dapat dirutekan internet yang dapat Anda kontrol aksesnya. Jaringan ini kemudian dapat dihubungkan ke jaringan lokal Anda menggunakan berbagai teknologi VPN, yang memungkinkan akses ke layanan backend Anda dalam jaringan dan/atau lokal. Portal pengembang dan API gateway dapat dikonfigurasi untuk dapat diakses baik dari Internet atau hanya di jaringan virtual. (Kebijakan terkait: Layanan API Management harus menggunakan jaringan virtual).
Tingkat keparahan: Sedang
Azure App Configuration harus menggunakan tautan privat
Deskripsi: Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke instans konfigurasi aplikasi Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/appconfig/private-endpoint. (Kebijakan terkait: App Configuration harus menggunakan tautan privat).
Tingkat keparahan: Sedang
Retensi audit untuk server SQL harus diatur ke setidaknya 90 hari
Deskripsi: Mengaudit server SQL yang dikonfigurasi dengan periode retensi audit kurang dari 90 hari. (Kebijakan terkait: Server SQL harus dikonfigurasi dengan retensi audit 90 hari atau lebih tinggi.)
Tingkat keparahan: Rendah
Audit di server SQL harus diaktifkan
Deskripsi: Aktifkan audit di SQL Server Anda untuk melacak aktivitas database di semua database di server dan menyimpannya dalam log audit. (Kebijakan terkait: Audit di server SQL harus diaktifkan).
Tingkat keparahan: Rendah
Provisi otomatis agen Analitik Log harus diaktifkan pada langganan
Deskripsi: Untuk memantau kerentanan dan ancaman keamanan, Microsoft Defender untuk Cloud mengumpulkan data dari komputer virtual Azure Anda. Data dikumpulkan oleh agen Log Analytics, sebelumnya dikenal sebagai Microsoft Monitoring Agent (MMA), yang membaca berbagai konfigurasi terkait keamanan dan log peristiwa dari komputer dan menyalin data ke ruang kerja Log Analytics Anda untuk analisis. Sebaiknya aktifkan penyediaan otomatis untuk menerapkan agen secara otomatis ke semua Azure VM yang didukung dan yang baru yang dibuat. (Kebijakan terkait: Provisi otomatis agen Analitik Log harus diaktifkan pada langganan Anda).
Tingkat keparahan: Rendah
Azure Cache for Redis harus berada dalam jaringan virtual
Deskripsi: Penyebaran Azure Virtual Network (VNet) menyediakan keamanan dan isolasi yang ditingkatkan untuk Azure Cache for Redis Anda, serta subnet, kebijakan kontrol akses, dan fitur lainnya untuk membatasi akses lebih lanjut. Ketika instans Azure Cache for Redis dikonfigurasi dengan VNet, instans tersebut tidak dapat diatasi secara publik dan hanya dapat diakses dari mesin dan aplikasi virtual dalam VNet. (Kebijakan terkait: Azure Cache for Redis harus berada dalam jaringan virtual).
Tingkat keparahan: Sedang
Azure Database for MySQL harus memiliki administrator Azure Active Directory yang disediakan
Deskripsi: Provisikan administrator Microsoft Azure AD untuk Azure Database for MySQL Anda untuk mengaktifkan autentikasi Microsoft Azure ACTIVE Directory. Autentikasi Azure AD memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat pengguna database dan layanan Microsoft lainnya (Kebijakan terkait: Administrator Azure Active Directory harus disediakan untuk server MySQL).
Tingkat keparahan: Sedang
Azure Database for PostgreSQL harus memiliki administrator Azure Active Directory yang disediakan
Deskripsi: Provisikan administrator Microsoft Azure AD untuk Azure Database for PostgreSQL Anda untuk mengaktifkan autentikasi Azure ACTIVE Directory. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya
(Kebijakan terkait: Administrator Azure Active Directory harus disediakan untuk server PostgreSQL).
Tingkat keparahan: Sedang
Akun Azure Cosmos DB harus memiliki aturan firewall
Deskripsi: Aturan firewall harus ditentukan pada akun Azure Cosmos DB Anda untuk mencegah lalu lintas dari sumber yang tidak sah. Akun yang memiliki setidaknya satu aturan IP yang ditentukan dengan filter jaringan virtual diaktifkan dianggap sesuai. Akun yang menonaktifkan akses publik juga dianggap patuh. (Kebijakan terkait: Akun Azure Cosmos DB harus memiliki aturan firewall).
Tingkat keparahan: Sedang
Domain Azure Event Grid harus menggunakan tautan privat
Deskripsi: Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke domain Event Grid, bukan seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. (Kebijakan terkait: Domain Azure Event Grid harus menggunakan tautan privat).
Tingkat keparahan: Sedang
Topik Azure Event Grid harus menggunakan tautan pribadi
Deskripsi: Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke topik Anda, bukan ke seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. (Kebijakan terkait: Topik Azure Event Grid harus menggunakan tautan privat).
Tingkat keparahan: Sedang
Ruang kerja Azure Machine Learning harus menggunakan tautan pribadi
Deskripsi: Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke ruang kerja Azure Machine Learning, bukan seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/azureml-workspaces-privatelink. (Kebijakan terkait: Ruang kerja Azure Pembelajaran Mesin harus menggunakan tautan privat).
Tingkat keparahan: Sedang
Layanan Azure SignalR harus menggunakan tautan pribadi
Deskripsi: Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke sumber daya SignalR Anda daripada seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/asrs/privatelink. (Kebijakan terkait: Azure SignalR Service harus menggunakan tautan privat).
Tingkat keparahan: Sedang
Azure Spring Cloud harus menggunakan injeksi jaringan
Deskripsi: Instans Azure Spring Cloud harus menggunakan injeksi jaringan virtual untuk tujuan berikut: 1. Pisahkan Azure Spring Cloud dari Internet. 2. Aktifkan Azure Spring Cloud untuk berinteraksi dengan sistem baik di pusat data lokal atau layanan Azure di jaringan virtual lainnya. 3. Berdayakan pelanggan untuk mengontrol komunikasi jaringan masuk dan keluar untuk Azure Spring Cloud. (Kebijakan terkait: Azure Spring Cloud harus menggunakan injeksi jaringan).
Tingkat keparahan: Sedang
Server SQL harus memprovisikan administrator Azure Active Directory
Deskripsi: Provisikan administrator Microsoft Azure ACTIVE Directory untuk server SQL Anda untuk mengaktifkan autentikasi Microsoft Azure AD. Autentikasi Azure AD memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat pengguna database dan layanan Microsoft lainnya. (Kebijakan terkait: Administrator Azure Active Directory harus disediakan untuk server SQL).
Tingkat keparahan: Tinggi
Mode autentikasi Ruang Kerja Azure Synapse harus Azure Active Directory Saja
Deskripsi: Mode autentikasi Ruang Kerja Azure Synapse harus berupa Azure Active Directory Hanya Azure Active Directory metode autentikasi yang meningkatkan keamanan dengan memastikan bahwa Ruang Kerja Synapse secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya. (Kebijakan terkait: Ruang Kerja Synapse hanya boleh menggunakan identitas Azure Active Directory untuk autentikasi).
Tingkat keparahan: Sedang
Repositori kode harus memiliki temuan pemindaian kode yang diselesaikan
Deskripsi: Defender untuk DevOps telah menemukan kerentanan dalam repositori kode. Untuk meningkatkan postur keamanan repositori, sangat disarankan untuk meremediasi kerentanan ini. (Tidak ada kebijakan terkait)
Tingkat keparahan: Sedang
Repositori kode harus menyelesaikan temuan pemindaian Dependabot
Deskripsi: Defender untuk DevOps telah menemukan kerentanan dalam repositori kode. Untuk meningkatkan postur keamanan repositori, sangat disarankan untuk meremediasi kerentanan ini. (Tidak ada kebijakan terkait)
Tingkat keparahan: Sedang
Repositori kode harus menyelesaikan temuan pemindaian kode sebagai infrastruktur
Deskripsi: Defender untuk DevOps telah menemukan infrastruktur sebagai masalah konfigurasi keamanan kode di repositori. Masalah yang ditunjukkan di bawah ini telah terdeteksi di file templat. Untuk meningkatkan postur keamanan sumber daya cloud terkait, sangat disarankan untuk meremediasi masalah tersebut. (Tidak ada kebijakan terkait)
Tingkat keparahan: Sedang
Repositori kode harus menyelesaikan temuan pemindaian rahasia
Deskripsi: Defender untuk DevOps telah menemukan rahasia di repositori kode. Hal ini harus segera diremediasi untuk mencegah pelanggaran keamanan. Rahasia yang ditemukan di repositori dapat bocor atau ditemukan oleh musuh, sehingga menyebabkan bahaya pada aplikasi atau layanan. Untuk Azure DevOps, alat CredScan DevOps Microsoft Security hanya memindai build yang telah dikonfigurasi untuk dijalankan. Oleh karena itu, hasil mungkin tidak mencerminkan status lengkap rahasia di repositori Anda. (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Akun Cognitive Services harus mengaktifkan enkripsi data
Deskripsi: Kebijakan ini mengaudit akun Cognitive Services apa pun yang tidak menggunakan enkripsi data. Untuk setiap akun Azure Cognitive Services dengan penyimpanan, harus mengaktifkan enkripsi data dengan kunci yang dikelola pelanggan atau Microsoft. (Kebijakan terkait: Akun Cognitive Services harus mengaktifkan enkripsi data).
Tingkat keparahan: Rendah
Akun Cognitive Services harus menggunakan penyimpanan milik pelanggan atau mengaktifkan enkripsi data
Deskripsi: Kebijakan ini mengaudit akun Cognitive Services apa pun yang tidak menggunakan penyimpanan milik pelanggan atau enkripsi data. Untuk setiap akun Azure Cognitive Services dengan penyimpanan, gunakan penyimpanan milik pelanggan atau aktifkan enkripsi data. (Kebijakan terkait: Akun Cognitive Services harus menggunakan penyimpanan milik pelanggan atau mengaktifkan enkripsi data.)
Tingkat keparahan: Rendah
Log diagnostik di Azure Data Lake Store harus diaktifkan
Deskripsi: Aktifkan log dan pertahankan hingga satu tahun. Hal ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau jaringan Anda disusupi. (Kebijakan terkait: Log diagnostik di Azure Data Lake Store harus diaktifkan).
Tingkat keparahan: Rendah
Log diagnostik di Data Lake Analytics harus diaktifkan
Deskripsi: Aktifkan log dan pertahankan hingga satu tahun. Hal ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau jaringan Anda disusupi. (Kebijakan terkait: Log diagnostik di Data Lake Analytics harus diaktifkan).
Tingkat keparahan: Rendah
Pemberitahuan email untuk lansiran tingkat keparahan tinggi harus diaktifkan
Deskripsi: Untuk memastikan orang yang relevan di organisasi Anda diberi tahu ketika ada potensi pelanggaran keamanan di salah satu langganan Anda, aktifkan pemberitahuan email untuk pemberitahuan tingkat keparahan tinggi di Defender untuk Cloud. (Kebijakan terkait: Pemberitahuan email untuk pemberitahuan tingkat keparahan tinggi harus diaktifkan).
Tingkat keparahan: Rendah
Pemberitahuan email kepada pemilik langganan untuk lansiran tingkat keparahan tinggi harus diaktifkan
Deskripsi: Untuk memastikan pemilik langganan Anda diberi tahu ketika ada potensi pelanggaran keamanan dalam langganan mereka, atur pemberitahuan email ke pemilik langganan untuk pemberitahuan tingkat keparahan tinggi di Defender untuk Cloud. (Kebijakan terkait: Pemberitahuan email kepada pemilik langganan untuk pemberitahuan tingkat keparahan tinggi harus diaktifkan).
Tingkat keparahan: Sedang
Terapkan koneksi SSL harus diaktifkan untuk server database MySQL
Deskripsi: Azure Database for MySQL mendukung menyambungkan server Azure Database for MySQL Anda ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda. (Kebijakan terkait: Terapkan koneksi SSL harus diaktifkan untuk server database MySQL).
Tingkat keparahan: Sedang
Terapkan koneksi SSL harus diaktifkan untuk server database PostgreSQL
Deskripsi: Azure Database for PostgreSQL mendukung menyambungkan server Azure Database for PostgreSQL Anda ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda. (Kebijakan terkait: Terapkan koneksi SSL harus diaktifkan untuk server database PostgreSQL).
Tingkat keparahan: Sedang
Temuan kerentanan pada Aplikasi fungsi harus diselesaikan
Deskripsi: Pemindaian kerentanan runtime untuk fungsi memindai aplikasi fungsi Anda untuk kerentanan keamanan dan mengekspos temuan terperinci. Mengatasi masalah kerentanan dapat meningkatkan postur keamanan kontainer Anda secara signifikan dan melindunginya dari serangan. (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Cadangan geo-redundan harus diaktifkan pada Azure Database for MariaDB
Deskripsi: Azure Database for MariaDB memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan di wilayah di mana server Anda dihosting, tetapi juga direplikasi ke wilayah yang dipasangkan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk cadangan hanya diperbolehkan saat membuat server. (Kebijakan terkait: Pencadangan geo-redundan harus diaktifkan untuk Azure Database for MariaDB).
Tingkat keparahan: Rendah
Pencadangan geo-redundan harus diaktifkan untuk Azure Database for MySQL
Deskripsi: Azure Database for MySQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan di wilayah di mana server Anda dihosting, tetapi juga direplikasi ke wilayah yang dipasangkan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk cadangan hanya diperbolehkan saat membuat server. (Kebijakan terkait: Pencadangan geo-redundan harus diaktifkan untuk Azure Database for MySQL).
Tingkat keparahan: Rendah
Pencadangan geo-redundan harus diaktifkan untuk Azure Database for PostgreSQL
Deskripsi: Azure Database for PostgreSQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan di wilayah di mana server Anda dihosting, tetapi juga direplikasi ke wilayah yang dipasangkan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk cadangan hanya diperbolehkan saat membuat server. (Kebijakan terkait: Pencadangan geo-redundan harus diaktifkan untuk Azure Database for PostgreSQL).
Tingkat keparahan: Rendah
Repositori GitHub harus mengaktifkan pemindaian Kode
Deskripsi: GitHub menggunakan pemindaian kode untuk menganalisis kode untuk menemukan kerentanan dan kesalahan keamanan dalam kode. Pemindaian kode dapat digunakan untuk menemukan, melakukan triase, dan memprioritaskan perbaikan untuk masalah yang ada dalam kode Anda. Pemindaian kode juga mencegah pengembang menyebabkan masalah baru. Pemindaian dapat dijadwalkan untuk hari dan waktu tertentu, atau pemindaian dapat dipicu saat peristiwa tertentu terjadi di repositori, seperti pendorongan. Jika pemindaian kode menemukan potensi kerentanan atau kesalahan dalam kode, GitHub akan menampilkan peringatan di repositori. Kerentanan adalah masalah dalam kode proyek yang dapat dieksploitasi untuk merusak kerahasiaan, integritas, atau ketersediaan proyek. (Tidak ada kebijakan terkait)
Tingkat keparahan: Sedang
Repositori GitHub harus mengaktifkan pemindaian Dependabot
Deskripsi: GitHub mengirimkan pemberitahuan Dependabot saat mendeteksi kerentanan dalam dependensi kode yang memengaruhi repositori. Kerentanan adalah masalah dalam kode proyek yang dapat dieksploitasi untuk merusak kerahasiaan, integritas, atau ketersediaan proyek atau proyek lain yang menggunakan kodenya. Kerentanan bervariasi menurut jenis, tingkat keparahan, dan metode serangan. Saat kode bergantung pada paket yang memiliki kerentanan keamanan, dependensi yang rentan ini dapat menyebabkan berbagai masalah. (Tidak ada kebijakan terkait)
Tingkat keparahan: Sedang
Repositori GitHub harus mengaktifkan pemindaian Rahasia
Deskripsi: GitHub memindai repositori untuk jenis rahasia yang diketahui, untuk mencegah penggunaan rahasia penipuan yang secara tidak sengaja diterapkan ke repositori. Pemindaian rahasia otomatis memindai seluruh riwayat Git Anda di semua cabang yang ada di repositori GitHub untuk menemukan rahasia apa pun. Contoh rahasia adalah token dan kunci privat yang dapat dikeluarkan penyedia layanan untuk autentikasi. Jika rahasia dimasukkan ke dalam repositori, siapa pun yang memiliki akses baca ke repositori dapat menggunakan rahasia untuk mengakses layanan eksternal dengan hak istimewa tersebut. Rahasia harus disimpan di lokasi khusus yang aman di luar repositori untuk proyek. (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Server Microsoft Defender untuk Azure SQL Database harus diaktifkan
Deskripsi: Pertahanan Microsoft untuk SQL adalah paket terpadu yang menyediakan kemampuan keamanan SQL tingkat lanjut. Azure Defender untuk SQL menyertakan fungsionalitas guna memunculkan dan mengurangi potensi kerentanan database, dan mendeteksi aktivitas ganjil yang dapat mengindikasikan ancaman terhadap database Anda, dan menemukan serta mengklasifikasikan data sensitif. Penting: Perlindungan dari paket ini dikenakan biaya seperti yang ditunjukkan pada halaman Paket Defender. Jika Anda tidak memiliki server Azure SQL Database dalam langganan ini, Anda tidak akan dikenakan biaya. Jika nanti Anda membuat server Azure SQL Database pada langganan ini, server tersebut akan otomatis dilindungi dan tagihan akan dimulai. Pelajari tentang detail harga setiap wilayah. Pelajari selengkapnya di Pengantar Microsoft Defender untuk SQL. (Kebijakan terkait: Server Azure Defender untuk Azure SQL Database harus diaktifkan).
Tingkat keparahan: Tinggi
Pertahanan Microsoft untuk DNS harus diaktifkan
Deskripsi: Pertahanan Microsoft untuk DNS menyediakan lapisan perlindungan tambahan untuk sumber daya cloud Anda dengan terus memantau semua kueri DNS dari sumber daya Azure Anda. Defender untuk DNS memberi tahu Anda tentang aktivitas mencurigakan di lapisan DNS. Pelajari selengkapnya di Pengantar Microsoft Defender untuk DNS. Mengaktifkan paket Defender ini akan menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Defender untuk Cloud: harga Defender untuk Cloud. (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Microsoft Defender untuk database hubungan sumber terbuka harus diaktifkan
Deskripsi: Pertahanan Microsoft untuk database relasional sumber terbuka mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. Pelajari selengkapnya di Pengantar Microsoft Defender untuk database hubungan sumber terbuka.
Penting: Mengaktifkan paket ini akan dikenakan biaya untuk melindungi database relasional sumber terbuka Anda. Jika Anda tidak memiliki database hubungan sumber terbuka dalam langganan ini, tidak ada biaya yang akan dikenakan. Jika Anda membuat database hubungan sumber terbuka apa pun pada langganan ini di masa mendatang, database hubungan sumber terbuka tersebut akan secara otomatis dilindungi dan tagihan akan dimulai pada saat itu. (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Microsoft Defender untuk Resource Manager harus diaktifkan
Deskripsi: Microsoft Defender untuk Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Defender untuk Cloud mendeteksi ancaman dan memberi tahu Anda tentang aktivitas mencurigakan. Pelajari selengkapnya di Pengantar Microsoft Defender untuk Resource Manager. Mengaktifkan paket Defender ini akan menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Defender untuk Cloud: harga Defender untuk Cloud. (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Microsoft Defender untuk SQL di komputer harus diaktifkan pada ruang kerja
Deskripsi: Pertahanan Microsoft untuk server menghadirkan deteksi ancaman dan pertahanan tingkat lanjut untuk komputer Windows dan Linux Anda. Dengan paket Defender ini diaktifkan di langganan tetapi tidak di ruang kerja, Anda membayar kemampuan penuh Microsoft Defender untuk server tetapi kehilangan beberapa keuntungannya. Saat Anda mengaktifkan Microsoft Defender untuk server di ruang kerja, semua mesin yang melaporkan ke ruang kerja tersebut akan ditagih untuk Microsoft Defender untuk server - bahkan jika mesin berlangganan tanpa mengaktifkan paket Defender. Kecuali Anda juga mengaktifkan Microsoft Defender untuk server pada langganan, mesin tersebut tidak akan dapat memanfaatkan akses Mesin Virtual just-in-time, kontrol aplikasi adaptif, dan deteksi jaringan untuk sumber daya Azure. Pelajari selengkapnya di Pengantar Microsoft Defender untuk server. (Tidak ada kebijakan terkait)
Tingkat keparahan: Sedang
Microsoft Defender untuk server SQL pada komputer harus diaktifkan
Deskripsi: Pertahanan Microsoft untuk SQL adalah paket terpadu yang menyediakan kemampuan keamanan SQL tingkat lanjut. Azure Defender untuk SQL menyertakan fungsionalitas guna memunculkan dan mengurangi potensi kerentanan database, dan mendeteksi aktivitas ganjil yang dapat mengindikasikan ancaman terhadap database Anda, dan menemukan serta mengklasifikasikan data sensitif.
Penting: Meremediasi rekomendasi ini akan dikenakan biaya untuk melindungi server SQL Anda di komputer. Jika Anda tidak memiliki server SQL apa pun di komputer dalam langganan ini, tidak ada biaya yang akan dikenakan. Jika Anda membuat server SQL apa pun di komputer pada langganan ini di masa mendatang, server tersebut akan secara otomatis dilindungi dan tagihan akan dimulai pada saat itu. Pelajari selengkapnya tentang Microsoft Defender untuk server SQL pada mesin. (Kebijakan terkait: Azure Defender untuk server SQL pada komputer harus diaktifkan).
Tingkat keparahan: Tinggi
Pertahanan Microsoft untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi
Deskripsi: Pertahanan Microsoft untuk SQL adalah paket terpadu yang menyediakan kemampuan keamanan SQL tingkat lanjut. Ini muncul dan mengurangi potensi kerentanan database, dan mendeteksi aktivitas anomali yang dapat menunjukkan ancaman terhadap database Anda. Microsoft Defender untuk SQL ditagih seperti yang ditunjukkan pada detail harga setiap wilayah. (Kebijakan terkait: Keamanan data tingkat lanjut harus diaktifkan di server SQL Anda).
Tingkat keparahan: Tinggi
Microsoft Defender untuk SQL harus diaktifkan untuk SQL Managed Instances yang tidak terlindungi
Deskripsi: Pertahanan Microsoft untuk SQL adalah paket terpadu yang menyediakan kemampuan keamanan SQL tingkat lanjut. Ini muncul dan mengurangi potensi kerentanan database, dan mendeteksi aktivitas anomali yang dapat menunjukkan ancaman terhadap database Anda. Microsoft Defender untuk SQL ditagih seperti yang ditunjukkan pada detail harga setiap wilayah. (Kebijakan terkait: Keamanan data tingkat lanjut harus diaktifkan pada SQL Managed Instance).
Tingkat keparahan: Tinggi
Pertahanan Microsoft untuk Penyimpanan harus diaktifkan
Deskripsi: Pertahanan Microsoft untuk penyimpanan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. Penting: Perlindungan dari paket ini dikenakan biaya seperti yang ditunjukkan pada halaman Paket Defender. Jika Anda tidak memiliki akun Azure Storage dalam langganan ini, Anda tidak akan dikenakan biaya. Jika nanti Anda membuat akun Azure Storage pada langganan ini, akun tersebut akan secara otomatis dilindungi dan tagihan akan dimulai. Pelajari tentang detail harga setiap wilayah. Pelajari lebih lanjut di Pengantar Microsoft Defender untuk Penyimpanan. (Kebijakan terkait: Azure Defender untuk Penyimpanan harus diaktifkan).
Tingkat keparahan: Tinggi
Network Watcher harus diaktifkan
Deskripsi: Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan end-to-end. Alat diagnostik dan visualisasi jaringan yang tersedia dengan Network Watcher membantu Anda memahami, mendiagnosis, dan mendapatkan wawasan ke jaringan Anda di Azure. (Kebijakan terkait: Network Watcher harus diaktifkan).
Tingkat keparahan: Rendah
Koneksi titik akhir pribadi di Azure SQL Database harus diaktifkan
Deskripsi: Koneksi titik akhir privat memberlakukan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure SQL Database. (Kebijakan terkait: Koneksi titik akhir privat di Azure SQL Database harus diaktifkan).
Tingkat keparahan: Sedang
Titik akhir privat harus diaktifkan untuk server MariaDB
Deskripsi: Koneksi titik akhir privat memberlakukan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure Database for MariaDB. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. (Kebijakan terkait: Titik akhir privat harus diaktifkan untuk server MariaDB).
Tingkat keparahan: Sedang
Titik akhir pribadi harus diaktifkan untuk server MySQL
Deskripsi: Koneksi titik akhir privat memberlakukan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure Database for MySQL. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. (Kebijakan terkait: Titik akhir privat harus diaktifkan untuk server MySQL).
Tingkat keparahan: Sedang
Titik akhir pribadi harus diaktifkan untuk server PostgreSQL
Deskripsi: Koneksi titik akhir privat memberlakukan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure Database for PostgreSQL. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. (Kebijakan terkait: Titik akhir privat harus diaktifkan untuk server PostgreSQL).
Tingkat keparahan: Sedang
Akses jaringan publik di Azure SQL Database harus dinonaktifkan
Deskripsi: Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan Azure SQL Database Anda hanya dapat diakses dari titik akhir privat. Konfigurasi ini menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. (Kebijakan terkait: Akses jaringan publik di Azure SQL Database harus dinonaktifkan).
Tingkat keparahan: Sedang
Akses jaringan publik harus dinonaktifkan untuk server MariaDB
Deskripsi: Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for MariaDB Anda hanya dapat diakses dari titik akhir privat. Konfigurasi ini secara ketat menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. (Kebijakan terkait: Akses jaringan publik harus dinonaktifkan untuk server MariaDB).
Tingkat keparahan: Sedang
Akses jaringan publik harus dinonaktifkan untuk server MySQL
Deskripsi: Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for MySQL Anda hanya dapat diakses dari titik akhir privat. Konfigurasi ini secara ketat menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. (Kebijakan terkait: Akses jaringan publik harus dinonaktifkan untuk server MySQL).
Tingkat keparahan: Sedang
Akses jaringan publik harus dinonaktifkan untuk server PostgreSQL
Deskripsi: Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for PostgreSQL Anda hanya dapat diakses dari titik akhir privat. Konfigurasi ini menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menolak semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. (Kebijakan terkait: Akses jaringan publik harus dinonaktifkan untuk server PostgreSQL).
Tingkat keparahan: Sedang
Redis Cache harus mengizinkan akses hanya melalui SSL
Deskripsi: Aktifkan hanya koneksi melalui SSL ke Redis Cache. Penggunaan koneksi aman memastikan autentikasi antara server dan layanan serta melindungi data saat transit dari serangan lapisan jaringan seperti man-in-the-middle, penyadapan, dan sesi-pembajakan. (Kebijakan terkait: Hanya koneksi aman ke Azure Cache for Redis yang harus diaktifkan).
Tingkat keparahan: Tinggi
Database SQL harus memiliki temuan kerentanan yang diselesaikan
Deskripsi: Penilaian Kerentanan SQL memindai database Anda untuk kerentanan keamanan, dan mengekspos penyimpangan dari praktik terbaik seperti kesalahan konfigurasi, izin berlebihan, dan data sensitif yang tidak terlindungi. Menyelesaikan kerentanan yang ditemukan dapat sangat meningkatkan postur keamanan database Anda. Pelajari lebih lanjut (Kebijakan terkait: Kerentanan pada database SQL Anda harus diperbaiki).
Tingkat keparahan: Tinggi
Instans terkelola SQL harus mengonfigurasi penilaian kerentanan
Deskripsi: Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda memulihkan potensi kerentanan database. (Kebijakan terkait: Penilaian kerentanan harus diaktifkan pada SQL Managed Instance).
Tingkat keparahan: Tinggi
SQL Server pada komputer harus mengatasi temuan kerentanan
Deskripsi: Penilaian Kerentanan SQL memindai database Anda untuk kerentanan keamanan, dan mengekspos penyimpangan dari praktik terbaik seperti kesalahan konfigurasi, izin berlebihan, dan data sensitif yang tidak terlindungi. Menyelesaikan kerentanan yang ditemukan dapat sangat meningkatkan postur keamanan database Anda. Pelajari lebih lanjut (Kebijakan terkait: Kerentanan di server SQL Anda di komputer harus diperbaiki).
Tingkat keparahan: Tinggi
Server SQL harus memprovisikan administrator Azure Active Directory
Deskripsi: Provisikan administrator Microsoft Azure ACTIVE Directory untuk server SQL Anda untuk mengaktifkan autentikasi Microsoft Azure AD. Autentikasi Azure AD memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat pengguna database dan layanan Microsoft lainnya. (Kebijakan terkait: Administrator Azure Active Directory harus disediakan untuk server SQL).
Tingkat keparahan: Tinggi
Server SQL harus mengonfigurasi penilaian kerentanan
Deskripsi: Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda memulihkan potensi kerentanan database. (Kebijakan terkait: Penilaian kerentanan harus diaktifkan di server SQL Anda).
Tingkat keparahan: Tinggi
Akun penyimpanan harus menggunakan koneksi tautan privat
Deskripsi: Tautan privat memberlakukan komunikasi yang aman, dengan menyediakan konektivitas privat ke akun penyimpanan (Kebijakan terkait: Akun penyimpanan harus menggunakan koneksi tautan privat).
Tingkat keparahan: Sedang
Akun penyimpanan harus dimigrasikan ke sumber daya Azure Resource Manager baru
Deskripsi: Untuk mendapatkan manfaat dari kemampuan baru di Azure Resource Manager, Anda dapat memigrasikan penyebaran yang ada dari model penyebaran Klasik. Resource Manager memungkinkan peningkatan keamanan seperti: kontrol akses yang lebih kuat (RBAC), audit yang lebih baik, penyebaran dan tata kelola berbasis ARM, akses ke identitas terkelola, akses ke brankas kunci untuk rahasia, autentikasi berbasis Azure AD, dan dukungan untuk tag dan grup sumber daya untuk manajemen keamanan yang lebih mudah. Pelajari lebih lanjut (Kebijakan terkait: Akun penyimpanan harus dimigrasikan ke sumber daya Azure Resource Manager baru).
Tingkat keparahan: Rendah
Akun penyimpanan harus membatasi akses jaringan menggunakan aturan jaringan virtual
Deskripsi: Lindungi akun penyimpanan Anda dari potensi ancaman menggunakan aturan jaringan virtual sebagai metode pilihan alih-alih pemfilteran berbasis IP. Menonaktifkan pemfilteran berbasis IP mencegah IP publik mengakses akun penyimpanan Anda. (Kebijakan terkait: Akun penyimpanan harus membatasi akses jaringan menggunakan aturan jaringan virtual).
Tingkat keparahan: Sedang
Langganan harus memiliki alamat email kontak untuk masalah keamanan
Deskripsi: Untuk memastikan orang yang relevan di organisasi Anda diberi tahu saat ada potensi pelanggaran keamanan di salah satu langganan Anda, atur kontak keamanan untuk menerima pemberitahuan email dari Defender untuk Cloud. (Kebijakan terkait: Langganan harus memiliki alamat email kontak untuk masalah keamanan)
Tingkat keparahan: Rendah
Enkripsi Data Transparan pada database SQL harus diaktifkan
Deskripsi: Aktifkan enkripsi data transparan untuk melindungi data tidak aktif dan memenuhi persyaratan kepatuhan (Kebijakan terkait: Enkripsi Data Transparan pada database SQL harus diaktifkan).
Tingkat keparahan: Rendah
Template Pembuat Gambar VM harus menggunakan tautan pribadi
Deskripsi: Mengaudit templat VM Image Builder yang tidak memiliki jaringan virtual yang dikonfigurasi. Ketika jaringan virtual tidak dikonfigurasi, IP publik dibuat dan digunakan sebagai gantinya, yang mungkin langsung mengekspos sumber daya ke internet dan meningkatkan permukaan serangan potensial. (Kebijakan terkait: Templat VM Image Builder harus menggunakan tautan privat).
Tingkat keparahan: Sedang
Web Application Firewall (WAF) harus diaktifkan untuk Azure Application Gateway
Deskripsi: Sebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Berdasarkan negara/wilayah, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. (Kebijakan terkait: Web Application Firewall (WAF) harus diaktifkan untuk Application Gateway).
Tingkat keparahan: Rendah
Web Application Firewall (WAF) harus diaktifkan untuk layanan Azure Front Door Service
Deskripsi: Sebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Berdasarkan negara/wilayah, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. (Kebijakan terkait: Web Application Firewall (WAF) harus diaktifkan untuk Azure Front Door Service?service)
Tingkat keparahan: Rendah
Azure Cognitive Services harus menggunakan tautan privat
Deskripsi: Azure Private Link memungkinkan Anda menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Cognitive Services, Anda akan mengurangi potensi kebocoran data. Pelajari selengkapnya tentang tautan privat. (Kebijakan terkait: Cognitive Services harus menggunakan tautan privat).
Tingkat keparahan: Sedang
Azure Cosmos DB harus menonaktifkan akses jaringan publik
Deskripsi: Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa akun Cosmos DB Anda tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan akun Cosmos DB Anda. Pelajari selengkapnya. (Kebijakan terkait: Azure Cosmos DB harus menonaktifkan akses jaringan publik).
Tingkat keparahan: Sedang
Akun Cosmos DB harus menggunakan tautan privat
Deskripsi: Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke akun Cosmos DB Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat. (Kebijakan terkait: Akun Cosmos DB harus menggunakan tautan privat).
Tingkat keparahan: Sedang
Azure SQL Database harus menjalankan TLS versi 1.2 atau yang lebih baru
Deskripsi: Mengatur versi TLS ke 1.2 atau yang lebih baru meningkatkan keamanan dengan memastikan Azure SQL Database Anda hanya dapat diakses dari klien menggunakan TLS 1.2 atau yang lebih baru. Menggunakan versi TLS kurang dari 1.2 tidak disarankan karena mereka memiliki kerentanan keamanan yang terdokumentasi dengan baik. (Kebijakan terkait: Azure SQL Database harus menjalankan TLS versi 1.2 atau yang lebih baru).
Tingkat keparahan: Sedang
Azure SQL Managed Instance harus menonaktifkan akses jaringan publik
Deskripsi: Menonaktifkan akses jaringan publik (titik akhir publik) pada Azure SQL Managed Instances meningkatkan keamanan dengan memastikan bahwa mereka hanya dapat diakses dari dalam jaringan virtual mereka atau melalui Titik Akhir Privat. Pelajari selengkapnya tentang akses jaringan publik. (Kebijakan terkait: Azure SQL Managed Instances harus menonaktifkan akses jaringan publik).
Tingkat keparahan: Sedang
Akun penyimpanan harus mencegah akses kunci secara bersama
Deskripsi: Persyaratan audit Azure Active Directory (Azure AD) untuk mengotorisasi permintaan untuk akun penyimpanan Anda. Secara default, permintaan dapat diotorisasi dengan kredensial Azure Active Directory (Azure AD), atau dengan menggunakan kunci akses akun untuk otorisasi Kunci Bersama. Dari kedua jenis otorisasi ini, Azure AD menyediakan keamanan yang unggul dan kemudahan penggunaan melalui Kunci bersama, dan direkomendasikan oleh Microsoft. (Kebijakan terkait: kebijakan)
Tingkat keparahan: Sedang
Rekomendasi identitas dan akses
Maksimum 3 pemilik harus ditunjuk untuk langganan
Deskripsi: Untuk mengurangi potensi pelanggaran oleh akun pemilik yang disusupi, sebaiknya batasi jumlah akun pemilik hingga maksimum 3 (Kebijakan terkait: Maksimal 3 pemilik harus ditunjuk untuk langganan Anda).
Tingkat keparahan: Tinggi
Akun dengan izin pemilik pada sumber daya Azure harus didukung oleh MFA
Deskripsi: Jika Anda hanya menggunakan kata sandi untuk mengautentikasi pengguna, Anda membiarkan vektor serangan terbuka. Pengguna sering menggunakan kata sandi yang lemah atau menggunakannya kembali untuk beberapa layanan. Dengan mengaktifkan autentikasi multifaktor (MFA), Anda memberikan keamanan yang lebih baik untuk akun Anda, sambil tetap memungkinkan pengguna Anda untuk mengautentikasi ke hampir semua aplikasi dengan akses menyeluruh (SSO). Autentikasi multifaktor adalah proses di mana pengguna diminta, selama proses masuk, untuk bentuk identifikasi lain. Misalnya, kode mungkin dikirim ke ponsel mereka, atau mungkin dimintai pemindaian sidik jari. Sebaiknya aktifkan MFA untuk semua akun yang memiliki izin pemilik di sumber daya Azure, untuk mencegah pelanggaran dan serangan. Detail selengkapnya dan pertanyaan umum tersedia di sini: Mengelola penerapan autentikasi multifaktor (MFA) pada langganan Anda (Tidak ada kebijakan terkait).
Tingkat keparahan: Tinggi
Akun dengan izin baca pada sumber daya Azure harus didukung oleh MFA
Deskripsi: Jika Anda hanya menggunakan kata sandi untuk mengautentikasi pengguna, Anda membiarkan vektor serangan terbuka. Pengguna sering menggunakan kata sandi yang lemah atau menggunakannya kembali untuk beberapa layanan. Dengan mengaktifkan autentikasi multifaktor (MFA), Anda memberikan keamanan yang lebih baik untuk akun Anda, sambil tetap memungkinkan pengguna Anda untuk mengautentikasi ke hampir semua aplikasi dengan akses menyeluruh (SSO). Autentikasi multifaktor adalah proses di mana pengguna diminta, selama proses masuk, untuk bentuk identifikasi tambahan. Misalnya, kode mungkin dikirim ke ponsel mereka, atau mungkin dimintai pemindaian sidik jari. Sebaiknya aktifkan MFA untuk semua akun yang memiliki izin baca di sumber daya Azure, untuk mencegah pelanggaran dan serangan. Detail selengkapnya dan tanya jawab umum tersedia di sini. (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Akun dengan izin tulis pada sumber daya Azure harus didukung oleh MFA
Deskripsi: Jika Anda hanya menggunakan kata sandi untuk mengautentikasi pengguna, Anda membiarkan vektor serangan terbuka. Pengguna sering menggunakan kata sandi yang lemah atau menggunakannya kembali untuk beberapa layanan. Dengan mengaktifkan autentikasi multifaktor (MFA), Anda memberikan keamanan yang lebih baik untuk akun Anda, sambil tetap memungkinkan pengguna Anda untuk mengautentikasi ke hampir semua aplikasi dengan akses menyeluruh (SSO). Autentikasi multifaktor adalah proses di mana pengguna diminta, selama proses masuk, untuk bentuk identifikasi tambahan. Misalnya, kode mungkin dikirim ke ponsel mereka, atau mungkin dimintai pemindaian sidik jari. Sebaiknya aktifkan MFA untuk semua akun yang memiliki izin tulis di sumber daya Azure, untuk mencegah pelanggaran dan serangan. Detail selengkapnya dan pertanyaan umum tersedia di sini: Mengelola penerapan autentikasi multifaktor (MFA) pada langganan Anda (Tidak ada kebijakan terkait).
Tingkat keparahan: Tinggi
Akun Azure Cosmos DB harus menggunakan Azure Active Directory sebagai satu-satunya metode autentikasi
Deskripsi: Cara terbaik untuk mengautentikasi ke layanan Azure adalah dengan menggunakan Kontrol Akses Berbasis Peran (RBAC). RBAC memungkinkan Anda mempertahankan prinsip hak istimewa minimum dan mendukung kemampuan untuk mencabut izin sebagai metode respons yang efektif ketika disusupi. Anda dapat mengonfigurasi akun Azure Cosmos DB untuk memberlakukan RBAC sebagai satu-satunya metode autentikasi. Saat penerapan dikonfigurasi, semua metode akses lain akan ditolak (kunci primer/sekunder dan token akses). (Tidak ada kebijakan terkait)
Tingkat keparahan: Sedang
Akun yang diblokir dengan izin pemilik pada sumber daya Azure harus dihapus
Deskripsi: Akun yang telah diblokir agar tidak masuk di Active Directory, harus dihapus dari sumber daya Azure Anda. Akun tersebut dapat menjadi target bagi penyerang yang mencari cara untuk mengakses data Anda tanpa diketahui. (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Akun yang diblokir dengan izin baca dan tulis di sumber daya Azure harus dihapus
Deskripsi: Akun yang telah diblokir agar tidak masuk di Active Directory, harus dihapus dari sumber daya Azure Anda. Akun tersebut dapat menjadi target bagi penyerang yang mencari cara untuk mengakses data Anda tanpa diketahui. (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Akun yang tidak digunakan lagi harus dihapus dari langganan
Deskripsi: Akun pengguna yang telah diblokir agar tidak masuk, harus dihapus dari langganan Anda. Akun tersebut dapat menjadi target bagi penyerang yang mencari cara untuk mengakses data Anda tanpa diketahui. (Kebijakan terkait: Akun yang tidak digunakan lagi harus dihapus dari langganan Anda).
Tingkat keparahan: Tinggi
Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan
Deskripsi: Akun pengguna yang telah diblokir agar tidak masuk, harus dihapus dari langganan Anda. Akun tersebut dapat menjadi target bagi penyerang yang mencari cara untuk mengakses data Anda tanpa diketahui. (Kebijakan terkait: Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda).
Tingkat keparahan: Tinggi
Log diagnostik di Key Vault harus diaktifkan
Deskripsi: Aktifkan log dan pertahankan hingga satu tahun. Hal ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau jaringan Anda disusupi. (Kebijakan terkait: Log diagnostik di Key Vault harus diaktifkan).
Tingkat keparahan: Rendah
Akun eksternal dengan izin pemilik harus dihapus dari langganan
Deskripsi: Akun dengan izin pemilik yang memiliki nama domain berbeda (akun eksternal), harus dihapus dari langganan Anda. Ini mencegah akses yang tidak terpantau. Akun tersebut dapat menjadi target bagi penyerang yang mencari cara untuk mengakses data Anda tanpa diketahui. (Kebijakan terkait: Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda).
Tingkat keparahan: Tinggi
Akun eksternal dengan izin baca harus dihapus dari langganan
Deskripsi: Akun dengan izin baca yang memiliki nama domain berbeda (akun eksternal), harus dihapus dari langganan Anda. Ini mencegah akses yang tidak terpantau. Akun tersebut dapat menjadi target bagi penyerang yang mencari cara untuk mengakses data Anda tanpa diketahui. (Kebijakan terkait: Akun eksternal dengan izin baca harus dihapus dari langganan Anda).
Tingkat keparahan: Tinggi
Akun eksternal dengan izin tulis harus dihapus dari langganan
Deskripsi: Akun dengan izin tulis yang memiliki nama domain berbeda (akun eksternal), harus dihapus dari langganan Anda. Ini mencegah akses yang tidak terpantau. Akun tersebut dapat menjadi target bagi penyerang yang mencari cara untuk mengakses data Anda tanpa diketahui. (Kebijakan terkait: Akun eksternal dengan izin tulis harus dihapus dari langganan Anda).
Tingkat keparahan: Tinggi
Firewall harus diaktifkan pada Key Vault
Deskripsi: Firewall brankas kunci mencegah lalu lintas yang tidak sah mencapai brankas kunci Anda dan memberikan lapisan perlindungan tambahan untuk rahasia Anda. Aktifkan firewall untuk memastikan bahwa hanya lalu lintas dari jaringan yang diizinkan yang dapat mengakses brankas kunci Anda. (Kebijakan terkait: Firewall harus diaktifkan pada Key Vault).
Tingkat keparahan: Sedang
Akun tamu dengan izin pemilik pada sumber daya Azure harus dihapus
Deskripsi: Akun dengan izin pemilik yang telah disediakan di luar penyewa Azure Active Directory (nama domain yang berbeda), harus dihapus dari sumber daya Azure Anda. Akun tamu tidak dikelola ke standar yang sama dengan identitas penyewa perusahaan. Akun tersebut dapat menjadi target bagi penyerang yang mencari cara untuk mengakses data Anda tanpa diketahui. (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Akun tamu dengan izin baca pada sumber daya Azure harus dihapus
Deskripsi: Akun dengan izin baca yang telah disediakan di luar penyewa Azure Active Directory (nama domain yang berbeda), harus dihapus dari sumber daya Azure Anda. Akun tamu tidak dikelola ke standar yang sama dengan identitas penyewa perusahaan. Akun tersebut dapat menjadi target bagi penyerang yang mencari cara untuk mengakses data Anda tanpa diketahui. (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Akun tamu dengan izin tulis pada sumber daya Azure harus dihapus
Deskripsi: Akun dengan izin tulis yang telah disediakan di luar penyewa Azure Active Directory (nama domain yang berbeda), harus dihapus dari sumber daya Azure Anda. Akun tamu tidak dikelola ke standar yang sama dengan identitas penyewa perusahaan. Akun tersebut dapat menjadi target bagi penyerang yang mencari cara untuk mengakses data Anda tanpa diketahui. (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Kunci Azure Key Vault harus memiliki tanggal kedaluwarsa
Deskripsi: Kunci kriptografi harus memiliki tanggal kedaluwarsa yang ditentukan dan tidak permanen. Kunci yang valid selamanya memberikan lebih banyak waktu bagi penyerang potensial untuk menyusupi kunci tersebut. Ini adalah praktik keamanan yang direkomendasikan untuk menetapkan tanggal kedaluwarsa pada kunci kriptografi. (Kebijakan terkait: Kunci Key Vault harus memiliki tanggal kedaluwarsa).
Tingkat keparahan: Tinggi
Rahasia Azure Key Vault harus memiliki tanggal kedaluwarsa
Deskripsi: Rahasia harus memiliki tanggal kedaluwarsa yang ditentukan dan tidak permanen. Rahasia yang berlaku selamanya memberi lebih banyak waktu kepada penyerang potensial untuk menyusupinya. Ini adalah praktik keamanan yang direkomendasikan untuk menetapkan tanggal kedaluwarsa pada rahasia. (Kebijakan terkait: Rahasia Key Vault harus memiliki tanggal kedaluwarsa).
Tingkat keparahan: Tinggi
Azure Key Vault harus mengaktifkan perlindungan dari penghapusan menyeluruh
Deskripsi: Penghapusan berbahaya brankas kunci dapat menyebabkan hilangnya data permanen. Orang dalam berbahaya di organisasi Anda dapat berpotensi menghapus dan membersihkan brankas kunci. Perlindungan penghapusan menyeluruh melindungi Anda dari serangan orang dalam dengan memberlakukan periode retensi wajib untuk brankas kunci yang dihapus sementara. Tidak ada seorang pun di dalam organisasi Anda atau Microsoft yang dapat membersihkan brankas kunci Anda selama periode penyimpanan penghapusan sementara. (Kebijakan terkait: Brankas kunci harus mengaktifkan perlindungan penghapusan menyeluruh).
Tingkat keparahan: Sedang
Brankas kunci harus mengaktifkan penghapusan sementara
Deskripsi: Menghapus brankas kunci tanpa mengaktifkan penghapusan sementara secara permanen menghapus semua rahasia, kunci, dan sertifikat yang disimpan di brankas kunci. Penghapusan brankas kunci secara tidak sengaja dapat menyebabkan hilangnya data secara permanen. Penghapusan sementara memungkinkan Anda memulihkan brankas kunci yang terhapus secara tidak sengaja untuk periode retensi yang dapat dikonfigurasi. (Kebijakan terkait: Brankas kunci harus mengaktifkan penghapusan sementara).
Tingkat keparahan: Tinggi
MFA harus diaktifkan pada akun dengan izin pemilik pada langganan
Deskripsi: Autentikasi multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan izin pemilik untuk mencegah pelanggaran akun atau sumber daya. (Kebijakan terkait: MFA harus diaktifkan pada akun dengan izin pemilik pada langganan Anda).
Tingkat keparahan: Tinggi
MFA harus diaktifkan pada akun dengan izin baca pada langganan
Deskripsi: Autentikasi multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak istimewa baca untuk mencegah pelanggaran akun atau sumber daya. (Kebijakan terkait: MFA harus diaktifkan pada akun dengan izin baca pada langganan Anda).
Tingkat keparahan: Tinggi
MFA harus diaktifkan pada akun dengan izin tulis pada langganan
Deskripsi: Autentikasi multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak istimewa tulis untuk mencegah pelanggaran akun atau sumber daya. (Kebijakan terkait: MFA harus diaktifkan akun dengan izin tulis pada langganan Anda).
Tingkat keparahan: Tinggi
Microsoft Defender untuk Key Vault harus diaktifkan
Deskripsi: Microsoft Defender untuk Cloud menyertakan Pertahanan Microsoft untuk Key Vault, menyediakan lapisan kecerdasan keamanan tambahan. Pertahanan Microsoft untuk Key Vault mendeteksi upaya yang mencurigakan dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun Key Vault. Penting: Perlindungan dari paket ini dikenakan biaya seperti yang ditunjukkan pada halaman Paket Defender. Jika Anda tidak memiliki brankas kunci dalam langganan ini, Anda tidak akan dikenakan biaya. Jika nanti Anda membuat brankas kunci pada langganan ini, brankas kunci tersebut akan secara otomatis dilindungi dan tagihan akan dimulai. Pelajari tentang detail harga setiap wilayah. Pelajari selengkapnya di Pengantar Microsoft Defender untuk Key Vault. (Kebijakan terkait: Azure Defender untuk Key Vault harus diaktifkan).
Tingkat keparahan: Tinggi
Titik akhir privat harus dikonfigurasi untuk Azure Key Vault
Deskripsi: Tautan privat menyediakan cara untuk menyambungkan Key Vault ke sumber daya Azure Anda tanpa mengirim lalu lintas melalui internet publik. Tautan privat memberikan perlindungan mendalam terhadap penyelundupan data. (Kebijakan terkait: Titik akhir privat harus dikonfigurasi untuk Key Vault).
Tingkat keparahan: Sedang
Akses publik akun penyimpanan harus dilarang
Deskripsi: Akses baca publik anonim ke kontainer dan blob di Azure Storage adalah cara mudah untuk berbagi data, tetapi mungkin menimbulkan risiko keamanan. Untuk mencegah pelanggaran data yang disebabkan oleh akses anonim yang tidak diinginkan, Microsoft merekomendasikan untuk mencegah akses publik ke akun penyimpanan kecuali skenario Anda memerlukannya. (Kebijakan terkait: Akses publik akun penyimpanan harus tidak diizinkan).
Tingkat keparahan: Sedang
Harus ada lebih dari satu pemilik yang ditetapkan untuk langganan
Deskripsi: Tentukan lebih dari satu pemilik langganan untuk memiliki redundansi akses administrator. (Kebijakan terkait: Harus ada lebih dari satu pemilik yang ditetapkan ke langganan Anda).
Tingkat keparahan: Tinggi
Masa berlaku sertifikat yang disimpan di Azure Key Vault tidak boleh melebihi 12 bulan
Deskripsi: Pastikan sertifikat Anda tidak memiliki periode validitas yang melebihi 12 bulan. (Kebijakan terkait: Sertifikat harus memiliki periode validitas maksimum yang ditentukan).
Tingkat keparahan: Sedang
Identitas berlebih Azure seharusnya hanya memiliki izin yang diperlukan (Pratinjau)
Deskripsi: Identitas berlebih, atau melalui identitas yang diizinkan, tidak menggunakan banyak izin yang diberikan. Izin ukuran yang tepat secara teratur dari identitas ini untuk mengurangi risiko penyalahgunaan izin, baik yang tidak disengaja atau berbahaya. Tindakan ini mengurangi radius ledakan potensial selama insiden keamanan.
Tingkat keparahan: Sedang
Identitas super di lingkungan Azure Anda harus dihapus (Pratinjau)
Deskripsi: Identitas Super adalah identitas manusia atau beban kerja seperti pengguna, Perwakilan Layanan, dan fungsi tanpa server yang memiliki izin admin dan dapat melakukan tindakan apa pun pada sumber daya apa pun di seluruh infrastruktur. Identitas Super berisiko sangat tinggi, karena penyalahgunaan izin berbahaya atau tidak disengaja dapat mengakibatkan gangguan layanan bencana, penurunan layanan, atau kebocoran data. Identitas Super menimbulkan ancaman besar terhadap infrastruktur cloud. Terlalu banyak identitas super dapat menciptakan risiko yang berlebihan dan meningkatkan radius ledakan selama pelanggaran.
Tingkat keparahan: Sedang
Identitas yang tidak digunakan di lingkungan Azure Anda harus dihapus (Pratinjau)
Deskripsi: Identitas Tidak Aktif adalah identitas yang belum melakukan tindakan apa pun pada sumber daya infrastruktur apa pun dalam 90 hari terakhir. Identitas tidak aktif menimbulkan risiko signifikan bagi organisasi Anda karena dapat digunakan oleh penyerang untuk mendapatkan akses dan menjalankan tugas di lingkungan Anda.
Tingkat keparahan: Sedang
Rekomendasi IoT
Kebijakan Filter IP Default harus Ditolak
Deskripsi: Konfigurasi Filter IP harus memiliki aturan yang ditentukan untuk lalu lintas yang diizinkan dan harus menolak semua lalu lintas lainnya secara default (Tidak ada kebijakan terkait).
Tingkat keparahan: Sedang
Log diagnostik di IoT Hub harus diaktifkan
Deskripsi: Aktifkan log dan pertahankan hingga satu tahun. Hal ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau jaringan Anda disusupi. (Kebijakan terkait: Log diagnostik di IoT Hub harus diaktifkan).
Tingkat keparahan: Rendah
Kredensial Autentikasi Identik
Deskripsi: Kredensial autentikasi identik ke IoT Hub yang digunakan oleh beberapa perangkat. Ini dapat menunjukkan perangkat tidak sah yang menyamar sebagai perangkat yang sah. Ini juga mengekspos risiko peniruan perangkat oleh penyerang (Tidak ada kebijakan terkait).
Tingkat keparahan: Tinggi
Aturan Filter IP rentang IP besar
Deskripsi: Rentang IP sumber aturan Izinkan Filter IP terlalu besar. Aturan yang terlalu permisif dapat mengekspos hub IoT Anda ke intender berbahaya (Tidak ada kebijakan terkait).
Tingkat keparahan: Sedang
Rekomendasi jaringan
Akses ke akun penyimpanan dengan konfigurasi firewall dan jaringan virtual harus dibatasi
Deskripsi: Tinjau pengaturan akses jaringan di pengaturan firewall akun penyimpanan Anda. Sebaiknya konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk memperbolehkan koneksi dari klien internet atau lokal tertentu, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau rentang alamat IP internet publik. (Kebijakan terkait: Akun penyimpanan harus membatasi akses jaringan).
Tingkat keparahan: Rendah
Rekomendasi penguatan jaringan adaptif harus diterapkan di komputer virtual yang memiliki akses internet
Deskripsi: Defender untuk Cloud telah menganalisis pola komunikasi lalu lintas internet dari komputer virtual yang tercantum di bawah ini, dan menentukan bahwa aturan yang ada dalam NSG yang terkait dengannya terlalu permisif, yang mengakibatkan peningkatan potensi permukaan serangan. Ini biasanya terjadi ketika alamat IP ini tidak berkomunikasi secara teratur dengan sumber daya ini. Atau, alamat IP telah ditandai sebagai berbahaya oleh sumber intelijen ancaman Defender untuk Cloud. Pelajari selengkapnya di Meningkatkan postur keamanan jaringan Anda dengan penguatan jaringan adaptif. (Kebijakan terkait: Rekomendasi pengerasan jaringan adaptif harus diterapkan pada komputer virtual yang menghadap internet).
Tingkat keparahan: Tinggi
Semua port jaringan harus dibatasi pada kelompok keamanan jaringan yang terkait dengan komputer virtual Anda
Deskripsi: Defender untuk Cloud telah mengidentifikasi beberapa aturan masuk kelompok keamanan jaringan Anda menjadi terlalu permisif. Aturan masuk tidak boleh mengizinkan akses dari rentang 'Apa pun' atau 'Internet'. Ini berpotensi memungkinkan penyerang untuk menargetkan sumber daya Anda. (Kebijakan terkait: Semua port jaringan harus dibatasi pada kelompok keamanan jaringan yang terkait dengan komputer virtual Anda).
Tingkat keparahan: Tinggi
Standar Azure DDoS Protection harus diaktifkan
Deskripsi: Defender untuk Cloud telah menemukan jaringan virtual dengan sumber daya Application Gateway yang tidak dilindungi oleh layanan perlindungan DDoS. Sumber daya ini berisi IP publik. Aktifkan mitigasi serangan volumetrik dan protokol jaringan. (Kebijakan terkait: Azure DDoS Protection Standard harus diaktifkan).
Tingkat keparahan: Sedang
Komputer virtual yang memiliki akses internet harus dilindungi dengan kelompok keamanan jaringan
Deskripsi: Lindungi VM Anda dari potensi ancaman dengan membatasi akses ke VM tersebut dengan kelompok keamanan jaringan (NSG). NSG berisi daftar aturan Daftar Kontrol Akses (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke VM Anda dari instans lain, baik di dalam ataupun di luar subnet yang sama. Untuk menjaga komputer Anda seaman mungkin, akses VM ke internet harus dibatasi dan NSG harus diaktifkan pada subnet. VM dengan tingkat keparahan 'Tinggi' adalah VM yang terhubung ke internet. (Kebijakan terkait: Komputer virtual yang terhubung ke internet harus dilindungi dengan kelompok keamanan jaringan).
Tingkat keparahan: Tinggi
Penerusan IP pada komputer virtual Anda harus dinonaktifkan
Deskripsi: Defender untuk Cloud telah menemukan bahwa penerusan IP diaktifkan di beberapa komputer virtual Anda. Mengaktifkan penerusan IP pada NIC komputer virtual memungkinkan komputer menerima lalu lintas yang ditujukan ke tujuan lain. Penerusan IP jarang diperlukan (misalnya, saat menggunakan VM sebagai appliance virtual jaringan), dan oleh karena itu, hal ini harus ditinjau oleh tim keamanan jaringan. (Kebijakan terkait: Penerusan IP pada komputer virtual Anda harus dinonaktifkan).
Tingkat keparahan: Sedang
Mesin harus menutup port yang mungkin mengekspos vektor serangan
Deskripsi: Ketentuan penggunaan Azure melarang penggunaan layanan Azure dengan cara yang dapat merusak, menonaktifkan, membebani, atau mengganggu server Microsoft atau jaringan apa pun. Rekomendasi ini mencantumkan port-port terbuka yang perlu ditutup demi keamanan berkelanjutan Anda. Rekomendasi ini juga menggambarkan potensi ancaman terhadap setiap port. (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Port pengelolaan komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time
Deskripsi: Defender untuk Cloud telah mengidentifikasi beberapa aturan masuk yang terlalu permisif untuk port manajemen di Grup Keamanan Jaringan Anda. Aktifkan kontrol akses just-in-time untuk melindungi VM Anda dari serangan brute force berbasis internet. Pelajari selengkapnya di Memahami akses Mesin Virtual just-in-time (JIT). (Kebijakan terkait: Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time).
Tingkat keparahan: Tinggi
Port pengelolaan harus ditutup di komputer virtual Anda
Deskripsi: Buka port manajemen jarak jauh mengekspos VM Anda ke tingkat risiko tinggi dari serangan berbasis Internet. Serangan ini mencoba untuk memaksa info masuk guna mendapatkan akses admin ke komputer. (Kebijakan terkait: Port manajemen harus ditutup pada komputer virtual Anda).
Tingkat keparahan: Sedang
Komputer virtual yang tidak memiliki akses Internet harus dilindungi dengan kelompok keamanan jaringan
Deskripsi: Lindungi komputer virtual anda yang tidak terhubung ke internet dari potensi ancaman dengan membatasi akses ke komputer virtual tersebut dengan kelompok keamanan jaringan (NSG). NSG berisi daftar aturan Daftar Kontrol Akses (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke VM Anda dari instans lain, baik jika berada di subnet yang sama atau tidak. Perlu diketahui bahwa untuk menjaga komputer Anda seaman mungkin, akses VM ke internet harus dibatasi dan NSG harus diaktifkan pada subnet. (Kebijakan terkait: Komputer virtual yang tidak terhubung ke internet harus dilindungi dengan kelompok keamanan jaringan).
Tingkat keparahan: Rendah
Transfer aman ke akun penyimpanan harus diaktifkan
Deskripsi: Transfer aman adalah opsi yang memaksa akun penyimpanan Anda untuk menerima permintaan hanya dari koneksi aman (HTTPS). Penggunaan HTTPS memastikan autentikasi antara server dan layanan serta melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, penyadapan, dan pembajakan sesi. (Kebijakan terkait: Transfer aman ke akun penyimpanan harus diaktifkan).
Tingkat keparahan: Tinggi
Subnet harus dikaitkan dengan grup keamanan jaringan
Deskripsi: Lindungi subnet Anda dari potensi ancaman dengan membatasi akses ke subnet tersebut dengan kelompok keamanan jaringan (NSG). NSG berisi daftar aturan Access Control List (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke subnet Anda. Saat NSG dikaitkan dengan subnet, aturan ACL berlaku untuk semua instans VM dan layanan terintegrasi di subnet tersebut. Namun, aturan tersebut tidak berlaku untuk lalu lintas internal di dalam subnet. Untuk mengamankan sumber daya dalam satu subnet dari serangan sesamanya, aktifkan juga NSG langsung pada sumber daya. Perhatikan bahwa jenis subnet berikut akan dicantumkan sebagai tidak berlaku: GatewaySubnet, AzureFirewallSubnet, AzureBastionSubnet. (Kebijakan terkait: Subnet harus dikaitkan dengan Kelompok Keamanan Jaringan).
Tingkat keparahan: Rendah
Jaringan virtual harus dilindungi oleh Azure Firewall
Deskripsi: Beberapa jaringan virtual Anda tidak dilindungi dengan firewall. Gunakan Azure Firewall untuk membatasi akses ke jaringan virtual Anda dan mencegah potensi ancaman. (Kebijakan terkait: Semua lalu lintas Internet harus dirutekan melalui Azure Firewall yang Anda sebarkan).
Tingkat keparahan: Rendah
Rekomendasi API
Microsoft Defender untuk API harus diaktifkan
Deskripsi & kebijakan terkait: Aktifkan paket Defender for API untuk menemukan dan melindungi sumber daya API dari serangan dan kesalahan konfigurasi keamanan. Pelajari lebih lanjut
Tingkat keparahan: Tinggi
API Api Management Azure harus di-onboard ke Defender untuk API
Deskripsi & kebijakan terkait: Api Onboarding ke Defender for API memerlukan pemanfaatan komputasi dan memori pada layanan Azure API Management. Pantau performa layanan Azure API Management Anda saat onboarding API, dan skalakan sumber daya Azure API Management Anda sesuai kebutuhan.
Tingkat keparahan: Tinggi
Titik akhir API yang tidak digunakan harus dinonaktifkan dan dihapus dari layanan Azure API Management
Deskripsi & kebijakan terkait: Sebagai praktik terbaik keamanan, titik akhir API yang belum menerima lalu lintas selama 30 hari dianggap tidak digunakan, dan harus dihapus dari layanan Azure API Management. Menjaga titik akhir API yang tidak digunakan mungkin menimbulkan risiko keamanan. Ini mungkin API yang seharusnya tidak digunakan lagi dari layanan Azure API Management, tetapi secara tidak sengaja telah dibiarkan aktif. API tersebut biasanya tidak menerima cakupan keamanan terbaru.
Tingkat keparahan: Rendah
Titik akhir API di Azure API Management harus diautentikasi
Deskripsi & kebijakan terkait: Titik akhir API yang diterbitkan dalam Azure API Management harus menerapkan autentikasi untuk membantu meminimalkan risiko keamanan. Mekanisme autentikasi terkadang diimplementasikan dengan tidak benar atau hilang. Ini memungkinkan penyerang untuk mengeksploitasi kelemahan implementasi dan mengakses data. Untuk API yang diterbitkan di Azure API Management, rekomendasi ini menilai autentikasi melalui verifikasi keberadaan kunci langganan Azure API Management untuk API atau produk tempat langganan diperlukan, dan eksekusi kebijakan untuk memvalidasi JWT, sertifikat klien, dan token Microsoft Entra . Jika tidak ada mekanisme autentikasi ini yang dijalankan selama panggilan API, API akan menerima rekomendasi ini.
Tingkat keparahan: Tinggi
Rekomendasi manajemen API
Langganan API Management tidak boleh dilingkup ke semua API
Deskripsi & kebijakan terkait: Langganan API Management harus dilingkupkan ke produk atau API individual alih-alih semua API, yang dapat mengakibatkan paparan data yang berlebihan.
Tingkat keparahan: Sedang
Panggilan API Management ke backend API tidak boleh melewati thumbprint sertifikat atau validasi nama
Deskripsi & kebijakan terkait: API Management harus memvalidasi sertifikat server backend untuk semua panggilan API. Aktifkan thumbprint sertifikat SSL dan validasi nama untuk meningkatkan keamanan API.
Tingkat keparahan: Sedang
Titik akhir manajemen langsung API Management tidak boleh diaktifkan
Deskripsi & kebijakan terkait: REST API manajemen langsung di Azure API Management melewati mekanisme kontrol akses, otorisasi, dan pembatasan berbasis peran Azure Resource Manager, sehingga meningkatkan kerentanan layanan Anda.
Tingkat keparahan: Rendah
API Management API hanya boleh menggunakan protokol terenkripsi
Deskripsi & kebijakan terkait: API harus tersedia hanya melalui protokol terenkripsi, seperti HTTPS atau WSS. Hindari menggunakan protokol yang tidak aman, seperti HTTP atau WS untuk memastikan keamanan data saat transit.
Tingkat keparahan: Tinggi
Nilai bernama rahasia API Management harus disimpan di Azure Key Vault
Deskripsi & kebijakan terkait: Nilai bernama adalah kumpulan pasangan nama dan nilai di setiap layanan API Management. Nilai rahasia dapat disimpan baik sebagai teks terenkripsi dalam API Management (rahasia kustom) atau dengan merujuk rahasia di Azure Key Vault. Referensikan nilai bernama rahasia dari Azure Key Vault untuk meningkatkan keamanan API Management dan rahasia. Azure Key Vault mendukung manajemen akses terperinci dan kebijakan rotasi rahasia.
Tingkat keparahan: Sedang
API Management harus menonaktifkan akses jaringan publik ke titik akhir konfigurasi layanan
Deskripsi & kebijakan terkait: Untuk meningkatkan keamanan layanan API Management, batasi konektivitas ke titik akhir konfigurasi layanan, seperti API manajemen akses langsung, titik akhir manajemen konfigurasi Git, atau titik akhir konfigurasi gateway yang dihost sendiri.
Tingkat keparahan: Sedang
Versi API minimum API Management harus diatur ke 01-12-2019 atau lebih baru
Deskripsi & kebijakan terkait: Untuk mencegah rahasia layanan dibagikan dengan pengguna baca-saja, versi API minimum harus diatur ke 2019-12-01 atau lebih tinggi.
Tingkat keparahan: Sedang
Panggilan API Management ke backend API harus diautentikasi
Deskripsi & kebijakan terkait: Panggilan dari API Management ke backend harus menggunakan beberapa bentuk autentikasi, baik melalui sertifikat atau kredensial. Tidak berlaku untuk backend Service Fabric.
Tingkat keparahan: Sedang
Rekomendasi AI
Log sumber daya di Ruang Kerja azure Pembelajaran Mesin harus diaktifkan (Pratinjau)
Deskripsi & kebijakan terkait: Log sumber daya memungkinkan pembuatan ulang jejak aktivitas untuk digunakan untuk tujuan penyelidikan ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi.
Tingkat keparahan: Sedang
Ruang Kerja Azure Pembelajaran Mesin harus menonaktifkan akses jaringan publik (Pratinjau)
Deskripsi & kebijakan terkait: Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa ruang kerja Pembelajaran Mesin tidak terekspos di internet publik. Anda dapat mengontrol paparan ruang kerja Anda dengan membuat titik akhir privat sebagai gantinya. Untuk informasi selengkapnya, lihat Mengonfigurasi titik akhir privat untuk ruang kerja Azure Pembelajaran Mesin.
Tingkat keparahan: Sedang
Azure Pembelajaran Mesin Computes harus berada di jaringan virtual (Pratinjau)
Deskripsi & kebijakan terkait: Azure Virtual Networks menyediakan keamanan dan isolasi yang ditingkatkan untuk Azure Pembelajaran Mesin Compute Clusters dan Instances Anda, serta subnet, kebijakan kontrol akses, dan fitur lainnya untuk membatasi akses lebih lanjut. Ketika komputasi dikonfigurasi dengan jaringan virtual, komputasi tidak dapat diatasi secara publik dan hanya dapat diakses dari komputer virtual dan aplikasi dalam jaringan virtual.
Tingkat keparahan: Sedang
Azure Pembelajaran Mesin Computes harus menonaktifkan metode autentikasi lokal (Pratinjau)
Deskripsi & kebijakan terkait: Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa komputasi Pembelajaran Mesin memerlukan identitas Azure Active Directory secara eksklusif untuk autentikasi. Untuk informasi selengkapnya, lihat Kontrol Kepatuhan Terhadap Peraturan Azure Policy untuk Azure Pembelajaran Mesin.
Tingkat keparahan: Sedang
Instans komputasi Azure Pembelajaran Mesin harus dibuat ulang untuk mendapatkan pembaruan perangkat lunak terbaru (Pratinjau)
Deskripsi & kebijakan terkait: Pastikan instans komputasi Azure Pembelajaran Mesin berjalan pada sistem operasi terbaru yang tersedia. Keamanan ditingkatkan dan kerentanan berkurang dengan menjalankan dengan patch keamanan terbaru. Untuk informasi selengkapnya, lihat Manajemen kerentanan untuk Azure Pembelajaran Mesin.
Tingkat keparahan: Sedang
Log sumber daya di Ruang Kerja Azure Databricks harus diaktifkan (Pratinjau)
Deskripsi & kebijakan terkait: Log sumber daya memungkinkan pembuatan ulang jejak aktivitas untuk digunakan untuk tujuan penyelidikan ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi.
Tingkat keparahan: Sedang
Ruang Kerja Azure Databricks harus menonaktifkan akses jaringan publik (Pratinjau)
Deskripsi & kebijakan terkait: Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa sumber daya tidak terekspos di internet publik. Anda dapat mengontrol paparan sumber daya Anda dengan membuat titik akhir privat sebagai gantinya. Untuk informasi selengkapnya, lihat Mengaktifkan Azure Private Link.
Tingkat keparahan: Sedang
Kluster Azure Databricks harus menonaktifkan IP publik (Pratinjau)
Deskripsi & kebijakan terkait: Menonaktifkan IP publik kluster di Ruang Kerja Azure Databricks meningkatkan keamanan dengan memastikan bahwa kluster tidak terekspos di internet publik. Untuk informasi selengkapnya, lihat Konektivitas kluster aman.
Tingkat keparahan: Sedang
Ruang Kerja Azure Databricks harus berada di jaringan virtual (Pratinjau)
Deskripsi & kebijakan terkait: Azure Virtual Networks menyediakan keamanan dan isolasi yang ditingkatkan untuk Ruang Kerja Azure Databricks Anda, serta subnet, kebijakan kontrol akses, dan fitur lainnya untuk membatasi akses lebih lanjut. Untuk informasi selengkapnya, lihat Menyebarkan Azure Databricks di jaringan virtual Azure Anda.
Tingkat keparahan: Sedang
Ruang Kerja Azure Databricks harus menggunakan tautan privat (Pratinjau)
Deskripsi & kebijakan terkait: Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke ruang kerja Azure Databricks, Anda dapat mengurangi risiko kebocoran data. Untuk informasi selengkapnya, lihat Membuat ruang kerja dan titik akhir privat di antarmuka pengguna portal Azure.
Tingkat keparahan: Sedang
Sumber daya Azure AI Services harus membatasi akses jaringan
Deskripsi: Dengan membatasi akses jaringan, Anda dapat memastikan bahwa hanya jaringan yang diizinkan yang dapat mengakses layanan. Ini dapat dicapai dengan mengonfigurasi aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses sumber daya layanan Azure AI.
Tingkat keparahan: Sedang
Sumber daya Azure AI Services harus menonaktifkan akses kunci (menonaktifkan autentikasi lokal)
Deskripsi: Akses kunci (autentikasi lokal) disarankan untuk dinonaktifkan untuk keamanan. Azure OpenAI Studio, biasanya digunakan dalam pengembangan/pengujian, memerlukan akses kunci dan tidak akan berfungsi jika akses kunci dinonaktifkan. Setelah menonaktifkan, MICROSOFT Entra ID menjadi satu-satunya metode akses, yang memungkinkan mempertahankan prinsip hak istimewa minimum dan kontrol terperinci. Pelajari selengkapnya.
Tingkat keparahan: Sedang
Rekomendasi yang tidak digunakan lagi
Identitas dengan provisi berlebihan dalam langganan harus diselidiki untuk mengurangi Indeks Kebocoran Izin (PCI)
Deskripsi: Identitas yang disediakan berlebihan dalam langganan harus diselidiki untuk mengurangi Indeks Creep Izin (PCI) dan untuk melindungi infrastruktur Anda. Kurangi PCI dengan menghapus penetapan izin berisiko tinggi yang tidak digunakan. PCI tinggi mencerminkan risiko yang terkait dengan identitas dengan izin yang melebihi penggunaan normal atau yang diperlukan (Tidak ada kebijakan terkait).
Tingkat keparahan: Sedang
Identitas yang disediakan berlebihan dalam akun harus diselidiki untuk mengurangi Indeks Creep Izin (PCI)
Deskripsi: Identitas yang disediakan berlebihan dalam akun harus diselidiki untuk mengurangi Indeks Creep Izin (PCI) dan untuk melindungi infrastruktur Anda. Kurangi PCI dengan menghapus penetapan izin berisiko tinggi yang tidak digunakan. PCI tinggi mencerminkan risiko yang terkait dengan identitas dengan izin yang melebihi penggunaan normal atau yang diperlukan.
Tingkat keparahan: Sedang
Akses ke App Services harus dibatasi
Deskripsi & kebijakan terkait: Batasi akses ke App Services Anda dengan mengubah konfigurasi jaringan, untuk menolak lalu lintas masuk dari rentang yang terlalu luas. (Kebijakan terkait: [Pratinjau]: Akses ke App Services harus dibatasi).
Tingkat keparahan: Tinggi
Aturan NSG untuk aplikasi web di IaaS harus diperkuat
Deskripsi & kebijakan terkait: Memperkuat kelompok keamanan jaringan (NSG) komputer virtual Anda yang menjalankan aplikasi web, dengan aturan NSG yang terlalu permisif sehubungan dengan port aplikasi web. (Kebijakan terkait: Aturan NSG untuk aplikasi web di IaaS harus diperkuat).
Tingkat keparahan: Tinggi
Kebijakan Keamanan Pod untuk mengurangi vektor serangan dengan menghapus hak istimewa aplikasi yang tidak perlu (Pratinjau)
Deskripsi & kebijakan terkait: Tentukan Kebijakan Keamanan Pod untuk mengurangi vektor serangan dengan menghapus hak istimewa aplikasi yang tidak perlu. Disarankan untuk mengonfigurasi kebijakan keamanan Pod sehingga Pod hanya dapat mengakses resource yang diizinkan untuk diakses. (Kebijakan terkait: [Pratinjau]: Kebijakan Keamanan Pod harus ditentukan pada Layanan Kubernetes).
Tingkat keparahan: Sedang
Memasang modul keamanan Azure Security Center untuk IoT untuk mendapatkan visibilitas lebih ke perangkat IoT Anda
Deskripsi & kebijakan terkait: Instal modul keamanan Azure Security Center for IoT untuk mendapatkan lebih banyak visibilitas ke perangkat IoT Anda.
Tingkat keparahan: Rendah
Mesin Anda harus dihidupkan ulang untuk menerapkan pembaruan sistem
Deskripsi & kebijakan terkait: Hidupkan ulang komputer Anda untuk menerapkan pembaruan sistem dan mengamankan komputer dari kerentanan. (Kebijakan terkait: Pembaruan sistem harus diinstal pada komputer Anda).
Tingkat keparahan: Sedang
Agen pemantauan harus dipasang di komputer Anda
Deskripsi & kebijakan terkait: Tindakan ini menginstal agen pemantauan pada komputer virtual yang dipilih. Pilih ruang kerja untuk dilaporkan oleh agen. (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Java harus diperbarui ke versi terbaru untuk aplikasi web
Deskripsi & kebijakan terkait: Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Java baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Versi Java terbaru untuk aplikasi web sebaiknya digunakan agar dapat memeroleh manfaat dari perbaikan keamanan, jika tersedia, dan/atau fungsionalitas baru dari versi terbaru. (Kebijakan terkait: Pastikan bahwa 'Versi Java' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi Web).
Tingkat keparahan: Sedang
Python harus diperbarui ke versi terbaru untuk aplikasi fungsi
Deskripsi & kebijakan terkait: Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Python baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Versi Python terbaru untuk aplikasi fungsi sebaiknya digunakan agar dapat memeroleh manfaat dari perbaikan keamanan, jika tersedia, dan/atau fungsionalitas baru dari versi terbaru. (Kebijakan terkait: Pastikan bahwa 'Versi Python' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi Fungsi).
Tingkat keparahan: Sedang
Python harus diperbarui ke versi terbaru untuk aplikasi web
Deskripsi & kebijakan terkait: Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Python baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Versi Python terbaru untuk aplikasi web sebaiknya digunakan agar dapat memanfaatkan perbaikan keamanan, jika tersedia, dan/atau fungsionalitas baru dari versi terbaru. (Kebijakan terkait: Pastikan bahwa 'Versi Python' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi Web).
Tingkat keparahan: Sedang
Java harus diperbarui ke versi terbaru untuk aplikasi fungsi
Deskripsi & kebijakan terkait: Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Java baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Versi Java terbaru untuk aplikasi fungsi sebaiknya digunakan agar dapat memeroleh manfaat dari perbaikan keamanan, jika tersedia, dan/atau fungsionalitas baru dari versi terbaru. (Kebijakan terkait: Pastikan bahwa 'Versi Java' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi Fungsi).
Tingkat keparahan: Sedang
PHP harus diperbarui ke versi terbaru untuk aplikasi web
Deskripsi & kebijakan terkait: Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak PHP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Versi PHP terbaru untuk aplikasi web sebaiknya digunakan agar dapat memanfaatkan perbaikan keamanan, jika tersedia, dan/atau fungsionalitas baru dari versi terbaru. (Kebijakan terkait: Pastikan 'versi PHP' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi WEB).
Tingkat keparahan: Sedang
Masalah kesehatan perlindungan titik akhir pada mesin harus diselesaikan
Deskripsi: Atasi masalah kesehatan perlindungan titik akhir pada komputer virtual Anda untuk melindunginya dari ancaman dan kerentanan terbaru. Lihat dokumentasi untuk solusi perlindungan titik akhir yang didukung oleh Defender untuk Cloud dan penilaian perlindungan titik akhir. (Tidak ada kebijakan terkait)
Tingkat keparahan: Sedang
Perlindungan titik akhir harus diinstal pada mesin
Deskripsi: Untuk melindungi komputer dari ancaman dan kerentanan, instal solusi perlindungan titik akhir yang didukung. Pelajari selengkapnya tentang cara perlindungan titik akhir untuk mesin dievaluasi di Penilaian perlindungan titik akhir dan rekomendasi di Microsoft Defender untuk Cloud. (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Akses jaringan publik harus dinonaktifkan untuk akun Cognitive Services
Deskripsi: Kebijakan ini mengaudit akun Cognitive Services apa pun di lingkungan Anda dengan akses jaringan publik diaktifkan. Akses jaringan publik harus dinon-fungsikan agar hanya sambungan dari titik akhir privat yang diperbolehkan. (Kebijakan terkait: Akses jaringan publik harus dinonaktifkan untuk akun Cognitive Services).
Tingkat keparahan: Sedang