Garis besar keamanan Azure untuk Microsoft Azure HDInsight
Garis besar keamanan ini menerapkan panduan dari tolok ukur keamanan cloud Microsoft versi 1.0 ke HDInsight. Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh tolok ukur keamanan cloud Microsoft dan panduan terkait yang berlaku untuk HDInsight.
Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Microsoft Defender untuk Cloud. definisi Azure Policy akan tercantum di bagian Kepatuhan Terhadap Peraturan di halaman portal Microsoft Defender untuk Cloud.
Saat fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan dengan kontrol dan rekomendasi tolok ukur keamanan cloud Microsoft. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.
Catatan
Fitur yang tidak berlaku untuk HDInsight telah dikecualikan. Untuk melihat bagaimana HDInsight sepenuhnya memetakan tolok ukur keamanan cloud Microsoft, lihat file pemetaan garis besar keamanan HDInsight lengkap.
Profil keamanan
Profil keamanan meringkas perilaku berdampak tinggi dari HDInsight, yang dapat mengakibatkan peningkatan pertimbangan keamanan.
| Atribut Perilaku Layanan | Nilai |
|---|---|
| Kategori Produk | Analitik |
| Pelanggan dapat mengakses HOST / OS | Baca Saja |
| Layanan dapat disebarkan ke jaringan virtual pelanggan | True |
| Menyimpan konten pelanggan saat tidak aktif | True |
Keamanan jaringan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Keamanan jaringan.
NS-1: Membangun batas segmentasi jaringan
Fitur
Integrasi Jaringan Virtual
Deskripsi: Layanan mendukung penyebaran ke Virtual Network privat pelanggan (VNet). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Keamanan perimeter di Azure HDInsight dicapai melalui jaringan virtual. Admin perusahaan dapat membuat kluster di dalam jaringan virtual (VNET) dan menggunakan kelompok keamanan jaringan (NSG) untuk membatasi akses ke jaringan virtual.
Panduan Konfigurasi: Sebarkan layanan ke jaringan virtual. Tetapkan IP privat ke sumber daya (jika berlaku) kecuali ada alasan kuat untuk menetapkan IP publik langsung ke sumber daya.
Catatan: Berdasarkan aplikasi dan strategi segmentasi perusahaan Anda, batasi atau izinkan lalu lintas antara sumber daya internal berdasarkan aturan NSG Anda. Untuk aplikasi spesifik yang terdefinisi dengan baik seperti aplikasi tiga tingkat, ini bisa menjadi penolakan secara default yang sangat aman.
Referensi: Merencanakan jaringan virtual untuk Azure HDInsight
Dukungan Kelompok Keamanan Jaringan
Deskripsi: Lalu lintas jaringan layanan menghormati penetapan aturan Kelompok Keamanan Jaringan pada subnetnya. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Keamanan perimeter di Azure HDInsight dicapai melalui jaringan virtual. Admin perusahaan dapat membuat kluster di dalam jaringan virtual (VNET) dan menggunakan kelompok keamanan jaringan (NSG) untuk membatasi akses ke jaringan virtual. Hanya alamat IP yang diizinkan dalam aturan NSG masuk yang dapat berkomunikasi dengan kluster Azure HDInsight. Konfigurasi ini menyediakan keamanan perimeter. Semua kluster yang disebarkan dalam jaringan virtual juga akan memiliki titik akhir privat. Titik akhir tersebut akan diselesaikan menjadi alamat IP privat di dalam Jaringan Virtual. Ini akan menyediakan akses HTTP privat ke gateway kluster.
Berdasarkan aplikasi dan strategi segmentasi perusahaan Anda, batasi atau izinkan lalu lintas antara sumber daya internal menurut aturan NSG Anda. Untuk aplikasi spesifik yang terdefinisi dengan baik seperti aplikasi tiga tingkat, ini bisa menjadi penolakan secara default yang sangat aman.
Port umumnya diperlukan di semua jenis kluster:
22-23 - Akses SSH ke sumber daya kluster
443 - Ambari, WebHCat REST API, HiveServer ODBC, dan JDBC
Panduan Konfigurasi: Gunakan grup keamanan jaringan (NSG) untuk membatasi atau memantau lalu lintas berdasarkan port, protokol, alamat IP sumber, atau alamat IP tujuan. Buat aturan NSG untuk membatasi port terbuka layanan Anda (seperti mencegah port manajemen diakses dari jaringan yang tidak tepercaya). Ketahuilah bahwa secara default, NSG menolak semua lalu lintas masuk tetapi mengizinkan lalu lintas dari jaringan virtual dan Azure Load Balancer.
Referensi: Mengontrol lalu lintas jaringan di Azure HDInsight
NS-2: Mengamankan layanan cloud dengan kontrol jaringan
Fitur
Azure Private Link
Deskripsi: Kemampuan pemfilteran IP asli layanan untuk memfilter lalu lintas jaringan (tidak bingung dengan NSG atau Azure Firewall). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Gunakan Azure Private Link untuk mengaktifkan akses privat ke HDInsight dari jaringan virtual Anda tanpa melintasi internet. Akses privat menambahkan ukuran pertahanan yang mendalam ke autentikasi dan keamanan lalu lintas Azure.
Panduan Konfigurasi: Sebarkan titik akhir privat untuk semua sumber daya Azure yang mendukung fitur Private Link, untuk membuat titik akses privat untuk sumber daya.
Catatan: Gunakan Azure Private Link untuk mengaktifkan akses privat ke HDInsight dari jaringan virtual Anda tanpa melintasi internet. Akses privat menambahkan ukuran pertahanan yang mendalam ke autentikasi dan keamanan lalu lintas Azure.
Referensi: Mengaktifkan Private Link pada kluster HDInsight
Menonaktifkan Akses Jaringan Publik
Deskripsi: Layanan mendukung penonaktifan akses jaringan publik baik melalui menggunakan aturan pemfilteran IP ACL tingkat layanan (bukan NSG atau Azure Firewall) atau menggunakan sakelar pengalih 'Nonaktifkan Akses Jaringan Publik'. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Nonaktifkan akses jaringan publik baik menggunakan aturan pemfilteran IP ACL tingkat layanan atau sakelar pengalih untuk akses jaringan publik.
Referensi: Membatasi konektivitas publik di Azure HDInsight
Manajemen identitas
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen identitas.
IM-1: Menggunakan identitas dan sistem autentikasi terpusat
Fitur
Autentikasi Azure AD Diperlukan untuk Akses Sarana Data
Deskripsi: Layanan mendukung penggunaan autentikasi Azure AD untuk akses sarana data. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan Azure Active Directory (Azure AD) sebagai metode autentikasi default untuk mengontrol akses sarana data Anda.
Referensi: Gambaran umum keamanan perusahaan di Azure HDInsight
Metode Autentikasi Lokal untuk Akses Data Plane
Deskripsi: Metode autentikasi lokal yang didukung untuk akses sarana data, seperti nama pengguna dan kata sandi lokal. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Catatan fitur: Saat kluster HDI dibuat, dua akun admin lokal dibuat di bidang data (Apache Ambari). Salah satu yang sesuai dengan pengguna yang kredensialnya diteruskan oleh pembuat kluster. Yang lain dibuat oleh sarana kontrol HDI. Sarana kontrol HDI menggunakan akun ini untuk melakukan panggilan sarana data. Hindari penggunaan metode atau akun autentikasi lokal, metode atau akun ini harus dinonaktifkan sedapat mungkin. Sebagai gantinya, gunakan Azure AD untuk mengautentikasi jika memungkinkan.
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
IM-3: Mengelola identitas aplikasi dengan aman dan otomatis
Fitur
Identitas Terkelola
Deskripsi: Tindakan bidang data mendukung autentikasi menggunakan identitas terkelola. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Perwakilan Layanan
Deskripsi: Data plane mendukung autentikasi menggunakan perwakilan layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
IM-7: Membatasi akses sumber daya berdasarkan kondisi
Fitur
Akses Bersyar untuk Data Plane
Deskripsi: Akses sarana data dapat dikontrol menggunakan Kebijakan Akses Bersyar Azure AD. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Salah | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
IM-8: Membatasi pemaparan info masuk dan rahasia
Fitur
Informasi Masuk Layanan dan Rahasia Mendukung Integrasi dan Penyimpanan di Azure Key Vault
Deskripsi: Data plane mendukung penggunaan asli Azure Key Vault untuk penyimpanan kredensial dan rahasia. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Akses dengan hak istimewa
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Akses istimewa.
PA-1: Memisahkan dan membatasi pengguna dengan hak istimewa tinggi/administratif
Fitur
Akun Admin Lokal
Deskripsi: Layanan memiliki konsep akun administratif lokal. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Catatan fitur: Saat kluster HDI dibuat, dua akun admin lokal dibuat di bidang data (Apache Ambari). Salah satu yang sesuai dengan pengguna yang kredensialnya diteruskan oleh pembuat kluster. Yang lain dibuat oleh sarana kontrol HDI. Sarana kontrol HDI menggunakan akun ini untuk melakukan panggilan sarana data. Hindari penggunaan metode atau akun autentikasi lokal, metode atau akun ini harus dinonaktifkan sedapat mungkin. Sebagai gantinya, gunakan Azure AD untuk mengautentikasi jika memungkinkan.
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
PA-7: Mengikuti prinsip administrasi yang cukup (prinsip hak istimewa paling rendah)
Fitur
Azure RBAC untuk Data Plane
Deskripsi: Azure Role-Based Access Control (Azure RBAC) dapat digunakan untuk mengelola akses ke tindakan sarana data layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Salah | Tidak berlaku | Tidak berlaku |
Catatan fitur: Bidang data hanya mendukung peran berbasis Ambari. ACL berbahan halus dilakukan melalui Ranger.
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
PA-8: Menentukan proses akses untuk dukungan penyedia cloud
Fitur
Customer Lockbox
Deskripsi: Customer Lockbox dapat digunakan untuk akses dukungan Microsoft. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Dalam skenario dukungan di mana Microsoft perlu mengakses data pelanggan, HDInsight mendukung Customer Lockbox. Ini menyediakan antarmuka bagi Anda untuk meninjau permintaan akses data pelanggan dan menyetujui atau menolak permintaan tersebut.
Panduan Konfigurasi: Dalam skenario dukungan di mana Microsoft perlu mengakses data Anda, gunakan Customer Lockbox untuk meninjau, lalu menyetujui atau menolak setiap permintaan akses data Microsoft.
Referensi: Customer Lockbox untuk Microsoft Azure
Perlindungan data
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Perlindungan data.
DP-1: Menemukan, mengklasifikasikan, dan memberi label data sensitif
Fitur
Penemuan dan Klasifikasi Data Sensitif
Deskripsi: Alat (seperti Azure Purview atau Azure Information Protection) dapat digunakan untuk penemuan dan klasifikasi data dalam layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Gunakan tag pada sumber daya yang terkait dengan penyebaran Azure HDInsight Anda untuk membantu melacak sumber daya Azure yang menyimpan atau memproses informasi sensitif. Mengklasifikasikan dan mengidentifikasi data sensitif menggunakan Microsoft Purview. Gunakan layanan untuk data apa pun yang disimpan dalam database SQL atau akun Azure Storage yang terkait dengan kluster HDInsight Anda.
Untuk platform yang mendasarinya, yang dikelola Microsoft, Microsoft memperlakukan semua konten pelanggan sebagai sensitif. Microsoft berusaha keras untuk menjaga agar tidak terjadi kehilangan dan pemaparan data pelanggan. Untuk memastikan keamanan data pelanggan dalam Azure, Microsoft telah menerapkan dan memelihara serangkaian kontrol dan kemampuan perlindungan data yang kuat.
Panduan Konfigurasi: Gunakan alat seperti Azure Purview, Azure Information Protection, dan Azure SQL Penemuan dan Klasifikasi Data untuk memindai, mengklasifikasikan, dan memberi label data sensitif apa pun yang berada di Azure, lokal, Microsoft 365, atau lokasi lainnya secara terpusat.
Referensi: Perlindungan data pelanggan Azure
DP-2: Memantau anomali dan ancaman yang menargetkan data sensitif
Fitur
Pencegahan Kebocoran/Kehilangan Data
Deskripsi: Layanan mendukung solusi DLP untuk memantau pergerakan data sensitif (dalam konten pelanggan). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Salah | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
DP-3: Mengenkripsi data sensitif saat transit
Fitur
Data dalam Enkripsi Transit
Deskripsi: Layanan mendukung enkripsi dalam transit data untuk bidang data. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Bersama |
Catatan fitur: HDInsight mendukung enkripsi data saat transit dengan TLS v1.2 atau yang lebih tinggi. Mengenkripsi semua informasi sensitif saat transit. Pastikan bahwa setiap klien yang terhubung ke kluster Microsoft Azure HDInsight atau penyimpanan data kluster Anda (Akun Azure Storage atau Azure Data Lake Storage Gen1/Gen2) dapat menegosiasikan TLS 1.2 atau yang lebih tinggi. Sumber daya Microsoft Azure akan menegosiasikan TLS 1.2 secara default.
Untuk melengkapi kontrol akses, lindungi data dalam perjalanan terhadap serangan "di luar band" seperti penangkapan lalu lintas. Gunakan enkripsi untuk memastikan bahwa penyerang tidak dapat dengan mudah membaca atau memodifikasi data.
Untuk manajemen jarak jauh, gunakan SSH (untuk Linux) atau RDP/TLS (untuk Windows) alih-alih protokol yang tidak terenkripsi. Versi dan protokol SSL, TLS, dan SSH yang kedaluwarsa, dan cipher yang lemah harus dinonaktifkan.
Panduan Konfigurasi: Aktifkan transfer aman dalam layanan di mana ada data asli dalam fitur enkripsi transit bawaan. Terapkan HTTPS pada aplikasi dan layanan web apa pun dan pastikan TLS v1.2 atau yang lebih baru digunakan. Versi warisan seperti SSL 3.0, TLS v1.0 harus dinonaktifkan. Untuk manajemen jarak jauh Virtual Machines, gunakan SSH (untuk Linux) atau RDP/TLS (untuk Windows) alih-alih protokol yang tidak terenkripsi.
Catatan: HDInsight mendukung enkripsi data saat transit dengan TLS v1.2 atau yang lebih tinggi. Mengenkripsi semua informasi sensitif saat transit. Pastikan bahwa setiap klien yang terhubung ke kluster Microsoft Azure HDInsight atau penyimpanan data kluster Anda (Akun Azure Storage atau Azure Data Lake Storage Gen1/Gen2) dapat menegosiasikan TLS 1.2 atau yang lebih tinggi. Sumber daya Microsoft Azure akan menegosiasikan TLS 1.2 secara default.
Untuk melengkapi kontrol akses, lindungi data dalam perjalanan terhadap serangan "di luar band" seperti penangkapan lalu lintas. Gunakan enkripsi untuk memastikan bahwa penyerang tidak dapat dengan mudah membaca atau memodifikasi data.
Untuk manajemen jarak jauh, gunakan SSH (untuk Linux) atau RDP/TLS (untuk Windows) alih-alih protokol yang tidak terenkripsi. Versi dan protokol SSL, TLS, dan SSH yang kedaluwarsa, dan cipher yang lemah harus dinonaktifkan.
Secara default, Microsoft Azure menyediakan enkripsi untuk data saat transit di antara pusat data Microsoft Azure.
DP-4: Mengaktifkan enkripsi data tidak aktif secara default
Fitur
Enkripsi Data tidak Aktif Menggunakan Kunci Platform
Deskripsi: Enkripsi data tidak aktif menggunakan kunci platform didukung, konten pelanggan apa pun saat tidak aktif dienkripsi dengan kunci yang dikelola Microsoft ini. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | Salah | Bersama |
Catatan fitur: Jika menggunakan Azure SQL Database untuk menyimpan metadata Apache Hive dan Apache Oozie, pastikan data SQL selalu tetap dienkripsi. Untuk Akun Azure Storage dan Data Lake Storage (Gen1 atau Gen2), sebaiknya izinkan Microsoft mengelola kunci enkripsi Anda. Namun, Anda memiliki opsi untuk mengelola kunci Anda sendiri.
HDInsight mendukung beberapa jenis enkripsi dalam dua lapisan yang berbeda:
Enkripsi Sisi Server (Server Side Encryption, SSE) - SSE dilakukan oleh layanan penyimpanan. Dalam HDInsight, SSE digunakan untuk mengenkripsi disk OS dan disk data. Hal ini diaktifkan secara default. SSE adalah layanan enkripsi lapisan 1.
Enkripsi di host menggunakan kunci yang dikelola platform - Mirip dengan SSE, jenis enkripsi ini dilakukan oleh layanan penyimpanan. Namun, ini hanya untuk disk sementara dan tidak diaktifkan secara default. Enkripsi di host juga merupakan layanan enkripsi lapisan 1.
Enkripsi saat tidak aktif menggunakan kunci yang dikelola pelanggan - Jenis enkripsi ini dapat digunakan pada data dan disk sementara. Ini tidak diaktifkan secara default dan mengharuskan pelanggan untuk menyediakan kunci mereka sendiri melalui brankas kunci Azure. Enkripsi saat tidak aktif merupakan layanan enkripsi lapisan 2.
Panduan Konfigurasi: Aktifkan enkripsi data tidak aktif menggunakan kunci yang dikelola platform (dikelola Microsoft) di mana tidak dikonfigurasi secara otomatis oleh layanan.
Catatan: Jika menggunakan Azure SQL Database untuk menyimpan metadata Apache Hive dan Apache Oozie, pastikan data SQL selalu tetap dienkripsi. Untuk Akun Azure Storage dan Data Lake Storage (Gen1 atau Gen2), sebaiknya izinkan Microsoft mengelola kunci enkripsi Anda. Namun, Anda memiliki opsi untuk mengelola kunci Anda sendiri.
HDInsight mendukung beberapa jenis enkripsi dalam dua lapisan yang berbeda:
Enkripsi Sisi Server (Server Side Encryption, SSE) - SSE dilakukan oleh layanan penyimpanan. Dalam HDInsight, SSE digunakan untuk mengenkripsi disk OS dan disk data. Hal ini diaktifkan secara default. SSE adalah layanan enkripsi lapisan 1.
Enkripsi di host menggunakan kunci yang dikelola platform - Mirip dengan SSE, jenis enkripsi ini dilakukan oleh layanan penyimpanan. Namun, ini hanya untuk disk sementara dan tidak diaktifkan secara default. Enkripsi di host juga merupakan layanan enkripsi lapisan 1.
Enkripsi saat tidak aktif menggunakan kunci yang dikelola pelanggan - Jenis enkripsi ini dapat digunakan pada data dan disk sementara. Ini tidak diaktifkan secara default dan mengharuskan pelanggan untuk menyediakan kunci mereka sendiri melalui brankas kunci Azure. Enkripsi saat tidak aktif merupakan layanan enkripsi lapisan 2.
Referensi: Enkripsi ganda Azure HDInsight untuk data tidak aktif
DP-5: Menggunakan opsi kunci yang dikelola pelanggan dalam enkripsi data tidak aktif saat diperlukan
Fitur
Enkripsi Data tidak Aktif Menggunakan CMK
Deskripsi: Enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan didukung untuk konten pelanggan yang disimpan oleh layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Bersama |
Catatan fitur: Jika menggunakan Azure SQL Database untuk menyimpan metadata Apache Hive dan Apache Oozie, pastikan data SQL selalu tetap dienkripsi. Untuk Akun Azure Storage dan Data Lake Storage (Gen1 atau Gen2), sebaiknya izinkan Microsoft mengelola kunci enkripsi Anda. Namun, Anda memiliki opsi untuk mengelola kunci Anda sendiri.
HDInsight mendukung beberapa jenis enkripsi dalam dua lapisan yang berbeda:
Enkripsi Sisi Server (Server Side Encryption, SSE) - SSE dilakukan oleh layanan penyimpanan. Dalam HDInsight, SSE digunakan untuk mengenkripsi disk OS dan disk data. Hal ini diaktifkan secara default. SSE adalah layanan enkripsi lapisan 1.
Enkripsi di host menggunakan kunci yang dikelola platform - Mirip dengan SSE, jenis enkripsi ini dilakukan oleh layanan penyimpanan. Namun, ini hanya untuk disk sementara dan tidak diaktifkan secara default. Enkripsi di host juga merupakan layanan enkripsi lapisan 1.
Enkripsi saat tidak aktif menggunakan kunci yang dikelola pelanggan - Jenis enkripsi ini dapat digunakan pada data dan disk sementara. Ini tidak diaktifkan secara default dan mengharuskan pelanggan untuk menyediakan kunci mereka sendiri melalui brankas kunci Azure. Enkripsi saat tidak aktif merupakan layanan enkripsi lapisan 2.
Panduan Konfigurasi: Jika diperlukan untuk kepatuhan terhadap peraturan, tentukan kasus penggunaan dan cakupan layanan di mana enkripsi menggunakan kunci yang dikelola pelanggan diperlukan. Aktifkan dan terapkan enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan untuk layanan tersebut.
Catatan: Jika menggunakan Azure SQL Database untuk menyimpan metadata Apache Hive dan Apache Oozie, pastikan data SQL selalu tetap dienkripsi. Untuk Akun Azure Storage dan Data Lake Storage (Gen1 atau Gen2), sebaiknya izinkan Microsoft mengelola kunci enkripsi Anda. Namun, Anda memiliki opsi untuk mengelola kunci Anda sendiri.
HDInsight mendukung beberapa jenis enkripsi dalam dua lapisan yang berbeda:
Enkripsi Sisi Server (Server Side Encryption, SSE) - SSE dilakukan oleh layanan penyimpanan. Dalam HDInsight, SSE digunakan untuk mengenkripsi disk OS dan disk data. Hal ini diaktifkan secara default. SSE adalah layanan enkripsi lapisan 1.
Enkripsi di host menggunakan kunci yang dikelola platform - Mirip dengan SSE, jenis enkripsi ini dilakukan oleh layanan penyimpanan. Namun, ini hanya untuk disk sementara dan tidak diaktifkan secara default. Enkripsi di host juga merupakan layanan enkripsi lapisan 1.
Enkripsi saat tidak aktif menggunakan kunci yang dikelola pelanggan - Jenis enkripsi ini dapat digunakan pada data dan disk sementara. Ini tidak diaktifkan secara default dan mengharuskan pelanggan untuk menyediakan kunci mereka sendiri melalui brankas kunci Azure. Enkripsi saat tidak aktif merupakan layanan enkripsi lapisan 2.
Referensi: Enkripsi ganda Azure HDInsight untuk data tidak aktif
DP-6: Menggunakan proses manajemen kunci yang aman
Fitur
Manajemen Kunci di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk kunci, rahasia, atau sertifikat pelanggan apa pun. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Bersama |
Catatan fitur: Jika menggunakan Azure SQL Database untuk menyimpan metadata Apache Hive dan Apache Oozie, pastikan data SQL selalu tetap dienkripsi. Untuk Akun Azure Storage dan Data Lake Storage (Gen1 atau Gen2), sebaiknya izinkan Microsoft mengelola kunci enkripsi Anda. Namun, Anda memiliki opsi untuk mengelola kunci Anda sendiri.
HDInsight mendukung beberapa jenis enkripsi dalam dua lapisan yang berbeda:
Enkripsi Sisi Server (Server Side Encryption, SSE) - SSE dilakukan oleh layanan penyimpanan. Dalam HDInsight, SSE digunakan untuk mengenkripsi disk OS dan disk data. Hal ini diaktifkan secara default. SSE adalah layanan enkripsi lapisan 1.
Enkripsi di host menggunakan kunci yang dikelola platform - Mirip dengan SSE, jenis enkripsi ini dilakukan oleh layanan penyimpanan. Namun, ini hanya untuk disk sementara dan tidak diaktifkan secara default. Enkripsi di host juga merupakan layanan enkripsi lapisan 1.
Enkripsi saat tidak aktif menggunakan kunci yang dikelola pelanggan - Jenis enkripsi ini dapat digunakan pada data dan disk sementara. Ini tidak diaktifkan secara default dan mengharuskan pelanggan untuk menyediakan kunci mereka sendiri melalui brankas kunci Azure. Enkripsi saat tidak aktif merupakan layanan enkripsi lapisan 2.
Panduan Konfigurasi: Gunakan Azure Key Vault untuk membuat dan mengontrol siklus hidup kunci enkripsi Anda, termasuk pembuatan kunci, distribusi, dan penyimpanan. Putar dan cabut kunci Anda di Azure Key Vault dan layanan Anda berdasarkan jadwal yang ditentukan atau ketika ada penghentian atau kompromi kunci. Ketika ada kebutuhan untuk menggunakan kunci yang dikelola pelanggan (CMK) dalam beban kerja, layanan, atau tingkat aplikasi, pastikan Anda mengikuti praktik terbaik untuk manajemen kunci: Gunakan hierarki kunci untuk menghasilkan kunci enkripsi data (DEK) terpisah dengan kunci enkripsi kunci (KEK) Anda di brankas kunci Anda. Pastikan kunci terdaftar di Azure Key Vault dan direferensikan melalui ID kunci dari layanan atau aplikasi. Jika Anda perlu membawa kunci Anda sendiri (BYOK) ke layanan (seperti mengimpor kunci yang dilindungi HSM dari HSM lokal Anda ke Azure Key Vault), ikuti panduan yang direkomendasikan untuk melakukan pembuatan kunci awal dan transfer kunci.
Catatan: Jika Anda menggunakan Azure Key Vault dengan penyebaran Azure HDInsight, uji pemulihan kunci yang dikelola pelanggan yang dicadangkan secara berkala.
Referensi: Enkripsi ganda Azure HDInsight untuk data tidak aktif
DP-7: Menggunakan proses manajemen sertifikat yang aman
Fitur
Manajemen Sertifikat di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk sertifikat pelanggan apa pun. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Enkripsi ganda Azure HDInsight untuk data tidak aktif
Manajemen Aset
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen aset.
AM-2: Hanya menggunakan layanan yang disetujui
Fitur
Dukungan Azure Policy
Deskripsi: Konfigurasi layanan dapat dipantau dan diberlakukan melalui Azure Policy. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | Salah | Pelanggan |
Catatan fitur: Gunakan alias Azure Policy di namespace "Microsoft.HDInsight" untuk membuat kebijakan kustom. Konfigurasikan kebijakan untuk mengaudit atau menegakkan konfigurasi jaringan kluster HDInsight Anda.
Jika Anda memiliki langganan Rapid7, Qualys, atau platform pengelolaan kerentanan lainnya, Anda memiliki opsi. Anda dapat menggunakan tindakan skrip untuk menginstal agen penilaian kerentanan di node kluster Azure HDInsight Anda dan mengelola node melalui portal masing-masing.
Dengan Azure HDInsight ESP, Anda dapat menggunakan Apache Ranger untuk membuat dan mengelola kontrol akses berbutir halus dan kebijakan kebingungan data. Anda dapat melakukannya untuk data yang disimpan di: File/Folder/Database/Tabel/Baris/Kolom.
Admin Hadoop dapat mengonfigurasi kontrol akses berbasis peran (RBAC) untuk mengamankan Apache Hive, HBase, Kafka, dan Spark menggunakan plugin tersebut di Apache Ranger.
Panduan Konfigurasi: Gunakan Microsoft Defender untuk Cloud untuk mengonfigurasi Azure Policy untuk mengaudit dan menerapkan konfigurasi sumber daya Azure Anda. Gunakan Azure Monitor untuk membuat peringatan saat ada deviasi konfigurasi yang terdeteksi pada sumber daya. Gunakan efek [tolak] dan [sebarkan jika tidak ada] Azure Policy untuk menerapkan konfigurasi yang aman di seluruh sumber daya Azure.
Referensi: Azure Policy definisi bawaan untuk Azure HDInsight
AM-5: Menggunakan hanya aplikasi yang disetujui di mesin virtual
Fitur
Microsoft Defender untuk Cloud - Kontrol Aplikasi Adaptif
Deskripsi: Layanan dapat membatasi aplikasi pelanggan apa yang berjalan pada komputer virtual menggunakan Kontrol Aplikasi Adaptif di Microsoft Defender untuk Cloud. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Salah | Tidak berlaku | Tidak berlaku |
Catatan fitur: Azure HDInsight tidak mendukung defender secara asli; namun, ia menggunakan ClamAV. Selain itu, saat menggunakan ESP untuk HDInsight, Anda dapat menggunakan beberapa Microsoft Defender untuk kemampuan deteksi ancaman bawaan Cloud. Anda juga dapat mengaktifkan Microsoft Defender untuk mesin virtual Anda yang terkait dengan HDInsight.
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Pengelogan dan Deteksi Ancaman
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pengelogan dan deteksi ancaman.
LT-1: Mengaktifkan kemampuan deteksi ancaman
Fitur
Microsoft Defender untuk Penawaran Layanan / Produk
Deskripsi: Layanan memiliki solusi Microsoft Defender khusus penawaran untuk memantau dan memperingatkan masalah keamanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Salah | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
LT-4: Mengaktifkan pengelogan untuk penyelidikan keamanan
Fitur
Log Sumber Daya Azure
Deskripsi: Layanan menghasilkan log sumber daya yang dapat menyediakan metrik dan pengelogan khusus layanan yang ditingkatkan. Pelanggan dapat mengonfigurasi log sumber daya ini dan mengirimnya ke sink data mereka sendiri seperti akun penyimpanan atau ruang kerja analitik log. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Log aktivitas tersedia secara otomatis. Log berisi semua PUT, POST, dan DELETE, tetapi bukan GET, operasi untuk sumber daya HDInsight Anda kecuali operasi baca (GET). Anda dapat menggunakan log aktivitas untuk menemukan kesalahan saat memecahkan masalah, atau untuk memantau bagaimana pengguna di organisasi Anda memodifikasi sumber daya.
Aktifkan log sumber daya Azure untuk HDInsight. Anda dapat menggunakan Pertahanan Microsoft untuk Cloud dan Azure Policy untuk mengaktifkan log sumber daya dan pengumpulan data log. Log ini dapat menjadi penting untuk menyelidiki insiden keamanan dan melakukan latihan forensik.
HDInsight juga menghasilkan log audit keamanan untuk akun administrasi lokal. Mengaktifkan log audit admin lokal ini.
Panduan Konfigurasi: Aktifkan log sumber daya untuk layanan. Misalnya, Key Vault mendukung log sumber daya tambahan untuk tindakan yang mendapatkan rahasia dari brankas kunci atau dan Azure SQL memiliki log sumber daya yang melacak permintaan ke database. Konten log sumber daya bervariasi menurut jenis layanan dan sumber daya Azure.
Referensi: Mengelola log untuk kluster HDInsight
Manajemen postur dan kerentanan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen postur dan kerentanan.
PV-3: Menetapkan dan membangun konfigurasi yang aman untuk sumber daya komputasi
Fitur
Konfigurasi Status Azure Automation
Deskripsi: Azure Automation Konfigurasi Status dapat digunakan untuk mempertahankan konfigurasi keamanan sistem operasi. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | Salah | Pelanggan |
Catatan fitur: Gambar Sistem Operasi Azure HDInsight dikelola dan dikelola oleh Microsoft. Namun, pelanggan bertanggung jawab untuk menerapkan konfigurasi status tingkat OS untuk gambar tersebut. Templat Microsoft VM yang dikombinasikan dengan Konfigurasi Status Azure Automation dapat membantu memenuhi dan memelihara persyaratan keamanan.
Panduan Konfigurasi: Gunakan konfigurasi status Azure Automation untuk mempertahankan konfigurasi keamanan sistem operasi.
Referensi: ringkasan Konfigurasi Status Azure Automation
Agen Konfigurasi Tamu Azure Policy
Deskripsi: Azure Policy agen konfigurasi tamu dapat diinstal atau disebarkan sebagai ekstensi untuk menghitung sumber daya. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | Salah | Pelanggan |
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
Referensi: Memahami fitur konfigurasi komputer Azure Automanage
Gambar VM Kustom
Deskripsi: Layanan mendukung penggunaan gambar VM yang disediakan pengguna atau gambar bawaan dari marketplace dengan konfigurasi dasar tertentu yang telah diterapkan sebelumnya. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Gambar Kontainer Kustom
Deskripsi: Layanan mendukung penggunaan gambar kontainer yang disediakan pengguna atau gambar bawaan dari marketplace dengan konfigurasi dasar tertentu yang telah diterapkan sebelumnya. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
PV-5: Melakukan penilaian kerentanan
Fitur
Penilaian Kerentanan menggunakan Microsoft Defender
Deskripsi: Layanan dapat dipindai untuk pemindaian kerentanan menggunakan Microsoft Defender untuk Cloud atau kemampuan penilaian kerentanan tersemat layanan Microsoft Defender lainnya (termasuk Microsoft Defender untuk server, registri kontainer, App Service, SQL, dan DNS). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Azure HDInsight tidak mendukung Microsoft Defender untuk penilaian kerentanan secara asli, ia menggunakan ClamAV untuk perlindungan malware. Namun, saat menggunakan ESP untuk HDInsight, Anda dapat menggunakan beberapa kemampuan deteksi ancaman bawaan pada Microsoft Defender untuk Cloud. Anda juga dapat mengaktifkan Microsoft Defender untuk mesin virtual Anda yang terkait dengan HDInsight.
Teruskan log apa pun dari HDInsight ke SIEM Anda yang dapat digunakan untuk menyiapkan deteksi ancaman khusus. Pastikan Anda memantau berbagai jenis aset Azure untuk potensi ancaman dan anomali. Fokus pada mendapatkan peringatan berkualitas tinggi untuk mengurangi positif palsu bagi analis untuk diurutkan. Peringatan dapat bersumber dari data log, agen, atau data lainnya.
Panduan Konfigurasi: Ikuti rekomendasi dari Microsoft Defender untuk Cloud untuk melakukan penilaian kerentanan pada komputer virtual Azure, gambar kontainer, dan server SQL Anda.
Catatan: Azure HDInsight tidak mendukung defender secara asli, ia menggunakan ClamAV. Namun, saat menggunakan ESP untuk HDInsight, Anda dapat menggunakan beberapa kemampuan deteksi ancaman bawaan pada Microsoft Defender untuk Cloud. Anda juga dapat mengaktifkan Microsoft Defender untuk mesin virtual Anda yang terkait dengan HDInsight.
Teruskan log apa pun dari HDInsight ke SIEM Anda yang dapat digunakan untuk menyiapkan deteksi ancaman khusus. Pastikan Anda memantau berbagai jenis aset Azure untuk potensi ancaman dan anomali. Fokus pada mendapatkan peringatan berkualitas tinggi untuk mengurangi positif palsu bagi analis untuk diurutkan. Peringatan dapat bersumber dari data log, agen, atau data lainnya.
PV-6: Secara cepat dan otomatis memulihkan kerentanan
Fitur
Manajemen Pembaruan Azure Automation
Deskripsi: Layanan dapat menggunakan Azure Automation Manajemen Pembaruan untuk menyebarkan patch dan pembaruan secara otomatis. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Bersama |
Catatan fitur: Gambar Ubuntu tersedia untuk pembuatan kluster Azure HDInsight baru dalam waktu tiga bulan setelah diterbitkan. Kluster yang berjalan tidak dikirim secara otomatis. Pelanggan harus menggunakan tindakan skrip atau mekanisme lain untuk melakukan patch pada kluster yang sedang berjalan. Untuk praktik terbaik, Anda dapat menjalankan tindakan skrip ini dan menerapkan pembaruan keamanan yang tepat setelah pembuatan kluster.
Panduan Konfigurasi: Gunakan Azure Automation Manajemen Pembaruan atau solusi pihak ketiga untuk memastikan bahwa pembaruan keamanan terbaru diinstal pada VM Windows dan Linux Anda. Untuk VM Windows, pastikan Windows Update telah difungsikan dan disetel untuk memperbarui secara otomatis.
Catatan: Gambar Ubuntu tersedia untuk pembuatan kluster Azure HDInsight baru dalam waktu tiga bulan setelah diterbitkan. Kluster yang sedang berjalan tidak di-patch secara otomatis. Pelanggan harus menggunakan tindakan skrip atau mekanisme lain untuk melakukan patch pada kluster yang sedang berjalan. Untuk praktik terbaik, Anda dapat menjalankan tindakan skrip ini dan menerapkan pembaruan keamanan yang tepat setelah pembuatan kluster.
Referensi: Gambaran umum Manajemen Pembaruan
Keamanan titik akhir
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Keamanan titik akhir.
ES-1: Menggunakan Deteksi dan Respons Titik Akhir (EDR)
Fitur
Solusi EDR
Deskripsi: Fitur Deteksi dan Respons Titik Akhir (EDR) seperti Azure Defender untuk server dapat disebarkan ke titik akhir. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Catatan fitur: Azure HDInsight tidak mendukung Microsoft Defender untuk Titik Akhir secara asli, ia menggunakan ClamAV untuk perlindungan malware.
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Dapatkah saya menonaktifkan Clamscan pada kluster saya?
ES-2: Gunakan perangkat lunak antimalware modern
Fitur
Solusi Anti-Malware
Deskripsi: Fitur anti-malware seperti antivirus Microsoft Defender, Microsoft Defender untuk Titik Akhir dapat disebarkan pada titik akhir. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Catatan fitur: Azure HDInsight menggunakan ClamAV. Meneruskan log ClamAV ke SIEM terpusat atau sistem deteksi dan peringatan lainnya.
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Keamanan dan Sertifikat
ES-3: Memastikan perangkat lunak anti-malware dan tanda tangan diperbarui
Fitur
Pemantauan Kesehatan Solusi Anti-Malware
Deskripsi: Solusi anti-malware menyediakan pemantauan status kesehatan untuk pembaruan platform, mesin, dan tanda tangan otomatis. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Catatan fitur: Azure HDInsight dilengkapi dengan Clamscan yang telah diinstal sebelumnya dan diaktifkan untuk gambar node kluster. Clamscan akan melakukan pembaruan mesin dan definisi secara otomatis lalu memperbarui tanda tangan anti-malware berdasarkan database tanda tangan virus resmi ClamAV.
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Keamanan dan Sertifikat
Pencadangan dan Pemulihan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pencadangan dan pemulihan.
BR-1: Pastikan pencadangan otomatis secara rutin
Fitur
Pencadangan Azure
Deskripsi: Layanan dapat dicadangkan oleh layanan Azure Backup. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Kemampuan Pencadangan Asli Layanan
Deskripsi: Layanan mendukung kemampuan pencadangan aslinya sendiri (jika tidak menggunakan Azure Backup). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Ekspor HBase dan Replikasi HBase adalah cara umum untuk memungkinkan kelangsungan bisnis antara kluster HDInsight HBase.
Ekspor HBase adalah proses replikasi batch yang menggunakan Utilitas Ekspor HBase untuk mengekspor tabel dari kluster HBase primer ke Azure Data Lake Storage Gen 2 yang mendasarinya. Data yang diekspor kemudian dapat diakses dari kluster HBase sekunder dan diimpor ke dalam tabel yang harus ada lebih awal di sekunder. Sementara HBase Export menawarkan granularitas tingkat tabel, dalam situasi pembaruan inkremental, mesin otomatisasi ekspor mengontrol rentang baris inkremental untuk disertakan dalam setiap proses.
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
Referensi: Menyiapkan pencadangan dan replikasi untuk Apache HBase dan Apache Phoenix di HDInsight
Langkah berikutnya
- Lihat gambaran umum tolok ukur keamanan cloud Microsoft
- Pelajari selengkapnya tentang Garis besar keamanan Azure