Definisi kebijakan bawaan Azure Policy

Halaman ini adalah indeks definisi kebijakan bawaan Azure Policy.

Nama setiap tautan bawaan ke definisi kebijakan di portal Microsoft Azure. Gunakan tautan di kolom Sumber untuk melihat sumber di repo GitHub Azure Policy. Bawaan dikelompokkan menurut properti kategori dalam metadata. Untuk melompat ke kategori tertentu, gunakan menu di sisi kanan halaman. Jika tidak, gunakan Ctrl-F untuk menggunakan fitur pencarian browser Anda.

API untuk FHIR

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure API untuk FHIR harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif Gunakan kunci yang dikelola pelanggan untuk mengontrol enkripsi di seluruh data yang disimpan di Azure API untuk FHIR jika ini merupakan persyaratan peraturan atau kepatuhan. Kunci yang dikelola pelanggan juga memberikan enkripsi ganda dengan menambahkan enkripsi lapisan kedua di atas enkripsi default yang dilakukan dengan kunci yang dikelola layanan. audit, dinonaktifkan 1.0.1
Azure API untuk FHIR harus menggunakan tautan pribadi Azure API untuk FHIR harus memiliki setidaknya satu koneksi endpoint pribadi yang disetujui. Klien dalam jaringan virtual dapat dengan aman mengakses sumber daya yang memiliki koneksi titik akhir pribadi melalui tautan pribadi. Untuk informasi lebih lanjut, kunjungi: https://aka.ms/fhir-privatelink. Audit, Dinonaktifkan 1.0.0
CORS tidak boleh mengizinkan setiap domain mengakses API Anda untuk FHIR Cross-Origin Resource Sharing (CORS) seharusnya tidak mengizinkan semua domain mengakses API Anda untuk FHIR. Untuk melindungi API Anda untuk FHIR, hapus akses untuk semua domain dan tentukan secara eksplisit domain yang diizinkan untuk terhubung. audit, dinonaktifkan 1.0.0

API Management

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Layanan API Management harus menggunakan SKU yang mendukung jaringan virtual Dengan SKU API Management yang didukung, menerapkan layanan ke jaringan virtual membuka fitur jaringan dan keamanan Manajemen API tingkat lanjut yang memberi Anda kontrol lebih besar atas konfigurasi keamanan jaringan Anda. Pelajari lebih lanjut di: https://aka.ms/apimvnet. Audit, Tolak, Dinonaktifkan 1.0.0
Layanan API Management harus menonaktifkan akses jaringan publik Untuk meningkatkan keamanan layanan API Management, pastikan titik akhir tidak diekspos ke internet publik. Beberapa titik akhir publik diekspos oleh layanan API Management untuk mendukung skenario pengguna, misalnya akses langsung ke API Management, mengelola konfigurasi menggunakan Git, konfigurasi gateway yang dihosting sendiri. Jika salah satu fitur tersebut tidak digunakan, titik akhir terkait harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 1.0.0
Layanan API Management harus menggunakan jaringan virtual Penyebaran Azure Virtual Network memberikan keamanan yang ditingkatkan, isolasi dan memungkinkan Anda untuk menempatkan layanan API Management Anda di jaringan non-internet routable yang Anda kontrol aksesnya. Jaringan ini kemudian dapat dihubungkan ke jaringan lokal Anda menggunakan berbagai teknologi VPN, yang memungkinkan akses ke layanan backend Anda dalam jaringan dan/atau lokal. Portal pengembang dan gateway API, dapat dikonfigurasi agar dapat diakses baik dari Internet atau hanya dalam jaringan virtual. Audit, Dinonaktifkan 1.0.1
Konfigurasikan layanan API Management untuk menonaktifkan akses jaringan publik Untuk meningkatkan keamanan layanan API Management, nonaktifkan titik akhir publik. Beberapa titik akhir publik diekspos oleh layanan API Management untuk mendukung skenario pengguna, misalnya akses langsung ke API Management, mengelola konfigurasi menggunakan Git, konfigurasi gateway yang dihosting sendiri. Jika salah satu fitur tersebut tidak digunakan, titik akhir terkait harus dinonaktifkan. DeployIfNotExists, Dinonaktifkan 1.0.0

Konfigurasi Aplikasi

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure App Configuration harus menonaktifkan akses jaringan publik Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa sumber daya tidak terekspos di internet publik. Anda dapat membatasi paparan sumber daya Anda dengan membuat titik akhir privat sebagai gantinya. Pelajari lebih lanjut di: https://aka.ms/appconfig/private-endpoint. Audit, Tolak, Dinonaktifkan 1.0.0
Azure App Configuration harus menggunakan kunci yang dikelola pelanggan Kunci yang dikelola pelanggan memberikan perlindungan data yang ditingkatkan dengan memungkinkan Anda mengelola kunci enkripsi. Ini sering diperlukan untuk memenuhi persyaratan kepatuhan. Audit, Tolak, Dinonaktifkan 1.1.0
Azure App Configuration harus menggunakan SKY yang mendukung tautan privat Saat menggunakan SKU yang didukung, Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke instans konfigurasi aplikasi Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari lebih lanjut di: https://aka.ms/appconfig/private-endpoint. Audit, Tolak, Dinonaktifkan 1.0.0
Azure App Configuration harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke instans konfigurasi aplikasi Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari lebih lanjut di: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Dinonaktifkan 1.0.2
Penyimpanan Azure App Configuration harus menonaktifkan metode autentikasi lokal Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa penyimpanan Azure App Configuration mewajibkan identitas Microsoft Azure Active Directory khusus untuk autentikasi. Pelajari selengkapnya di: https://go.microsoft.com/fwlink/?linkid=2161954. Audit, Tolak, Dinonaktifkan 1.0.0
Mengonfigurasi penyimpanan Azure App Configuration untuk menonaktifkan metode autentikasi lokal Nonaktifkan metode autentikasi lokal sehingga penyimpanan Azure App Configuration Anda mewajibkan identitas Microsoft Azure Active Directory khusus untuk autentikasi. Pelajari selengkapnya di: https://go.microsoft.com/fwlink/?linkid=2161954. Ubah, Non-fungsikan 1.0.0
Mengonfigurasi Azure App Configuration untuk menonaktifkan akses jaringan publik Nonaktifkan akses jaringan publik untuk Azure App Configuration sehingga tidak dapat diakses melalui internet publik. Konfigurasi ini membantu melindungi mereka dari risiko kebocoran data. Anda dapat membatasi paparan sumber daya Anda dengan membuat titik akhir privat sebagai gantinya. Pelajari lebih lanjut di: https://aka.ms/appconfig/private-endpoint. Ubah, Non-fungsikan 1.0.0
Mengonfigurasikan zona DNS privat untuk titik akhir privat yang tersambung ke App Configuration Gunakan zona DNS privat untuk mengambil alih resolusi DNS untuk titik akhir privat. Zona DNS privat bisa ditautkan ke jaringan virtual Anda untuk mengatasi instans konfigurasi aplikasi. Pelajari lebih lanjut di: https://aka.ms/appconfig/private-endpoint. DeployIfNotExists, Dinonaktifkan 1.0.0
Konfigurasi titik akhir privat untuk Azure App Configuration Titik akhir privat memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke instans konfigurasi aplikasi Anda, risiko kebocoran data berkurang. Pelajari lebih lanjut di: https://aka.ms/appconfig/private-endpoint. DeployIfNotExists, Dinonaktifkan 1.0.0

Platform Aplikasi

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Audit instans Azure Spring Cloud di mana pelacakan terdistribusi tidak diaktifkan Alat pelacakan terdistribusi di Azure Spring Cloud memungkinkan penelusuran kesalahan dan pemantauan interkoneksi kompleks antar layanan mikro dalam aplikasi. Alat penelusuran terdistribusi harus diaktifkan dan dalam status sehat. Audit, Dinonaktifkan 1.0.0-pratinjau
Azure Spring Cloud harus menggunakan injeksi jaringan Instans Azure Spring Cloud harus menggunakan injeksi jaringan virtual untuk tujuan berikut: 1. Pisahkan Azure Spring Cloud dari Internet. 2. Aktifkan Azure Spring Cloud untuk berinteraksi dengan sistem baik di pusat data lokal atau layanan Azure di jaringan virtual lainnya. 3. Berdayakan pelanggan untuk mengontrol komunikasi jaringan masuk dan keluar untuk Azure Spring Cloud. Audit, Dinonaktifkan, Tolak 1.0.0

App Service

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Aplikasi API seharusnya hanya dapat diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Audit, Dinonaktifkan 1.0.0
Aplikasi API harus menggunakan file bersama Azure untuk direktori kontennya Direktori konten aplikasi API harus terletak di berbagi file Azure. Informasi akun penyimpanan untuk berbagi file harus disediakan sebelum aktivitas penerbitan apa pun. Untuk mempelajari lebih lanjut tentang menggunakan Azure Files untuk menghosting konten layanan aplikasi, lihat https://go.microsoft.com/fwlink/?linkid=2151594. Audit, Dinonaktifkan 1.0.0
Aplikasi App Service harus dimasukkan ke jaringan virtual Memasukkan Aplikasi App Service di jaringan virtual membuka kunci keamanan dan jaringan App Service tingkat lanjut serta memberi Anda kontrol yang lebih besar atas konfigurasi keamanan jaringan. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. Audit, Tolak, Dinonaktifkan 1.0.0
Aplikasi App Service harus mengaktifkan lalu lintas non-RFC 1918 keluar ke Azure Virtual Network Secara default, jika seseorang menggunakan integrasi Azure Virtual Network (VNET) regional, aplikasi hanya merutekan lalu lintas RFC1918 ke jaringan virtual masing-masing. Menggunakan API untuk mengatur 'vnetRouteAllEnabled' ke true memungkinkan semua lalu lintas keluar ke Azure Virtual Network. Pengaturan ini memungkinkan fitur seperti grup keamanan jaringan dan rute yang ditentukan pengguna untuk digunakan untuk semua lalu lintas keluar dari aplikasi Azure App Service. AuditIfNotExists, Dinonaktifkan 1.0.0
Aplikasi App Service harus menggunakan SKU yang mendukung tautan privat Saat menggunakan SKU yang didukung, Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP yang publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir privat ke aplikasi, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/private-link. Audit, Tolak, Dinonaktifkan 1.0.0
Aplikasi Lingkungan App Service tidak boleh dijangkau melalui internet publik Untuk memastikan aplikasi yang diterapkan di Lingkungan Layanan Aplikasi tidak dapat diakses melalui internet publik, seseorang harus menggunakan App Service Lingkungan dengan alamat IP di jaringan virtual. Untuk mengatur alamat IP menjadi IP jaringan virtual, Lingkungan App Service harus digunakan dengan penyeimbang muatan internal. Audit, Tolak, Dinonaktifkan 1.0.0
Lingkungan App Service harus dikonfigurasi dengan suite TLS Cipher terkuat Dua suite cipher paling minim dan terkuat yang diperlukan agar Lingkungan App Service berfungsi dengan benar adalah: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 dan TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Audit, Dinonaktifkan 1.0.0
Lingkungan App Service harus tersedia dalam versi terbaru Hanya izinkan Lingkungan App Service versi 2 atau versi 3. Versi lama Lingkungan App Service memerlukan manajemen manual sumber daya Azure dan memiliki batasan penskalaan yang lebih besar. Audit, Tolak, Dinonaktifkan 1.0.0
Lingkungan App Service harus menonaktifkan TLS 1.0 dan 1.1 TLS 1.0 dan 1.1 adalah protokol yang sudah kedaluwarsa yang tidak mendukung algoritme kriptografi modern. Menonaktifkan lalu lintas TLS 1.0 dan 1.1 masuk membantu mengamankan aplikasi di Lingkungan App Service. Audit, Tolak, Dinonaktifkan 2.0.0
Lingkungan App Service harus mengaktifkan enkripsi internal Mengatur InternalEncryption ke true mengenkripsi pagefile, disk pekerja, dan lalu lintas jaringan internal antara ujung depan dan pekerja di Lingkungan App Service. Untuk mempelajari lebih lanjut, lihat https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Audit, Dinonaktifkan 1.0.0
App Service harus menonaktifkan metode autentikasi lokal untuk penyebaran FTP Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa App Service secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari lebih lanjut di: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, Dinonaktifkan 1.0.0
App Service harus menonaktifkan metode autentikasi lokal untuk penyebaran SCM site Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa App Service secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari lebih lanjut di: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, Dinonaktifkan 1.0.0
App Service harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir privat ke App Service, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/private-link. AuditIfNotExists, Dinonaktifkan 1.0.0
Slot App Service harus menonaktifkan metode autentikasi lokal untuk penyebaran FTP Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa slot App Service secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari lebih lanjut di: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, Dinonaktifkan 1.0.0
Slot App Service harus menonaktifkan metode autentikasi lokal untuk penyebaran SCM site Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa slot App Service secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari lebih lanjut di: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, Dinonaktifkan 1.0.0
App Services harus menonaktifkan akses jaringan publik Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa App Service tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi tereksposnya App Service. Pelajari lebih lanjut di: https://aka.ms/app-service-private-endpoint. AuditIfNotExists, Dinonaktifkan 1.0.0
Autentikasi harus diaktifkan pada aplikasi API Anda Autentikasi Azure App Service adalah fitur yang dapat mencegah permintaan HTTP anonim mencapai aplikasi API, atau mengautentikasi permintaan yang memiliki token sebelum mencapai aplikasi API AuditIfNotExists, Dinonaktifkan 1.0.0
Autentikasi harus diaktifkan pada aplikasi Fungsi Anda Autentikasi Azure App Service adalah fitur yang dapat mencegah permintaan HTTP anonim mencapai aplikasi Fungsi, atau mengautentikasi permintaan yang memiliki token sebelum mencapai aplikasi Fungsi AuditIfNotExists, Dinonaktifkan 1.0.0
Autentikasi harus diaktifkan di aplikasi web Anda Autentikasi Azure App Service adalah fitur yang dapat mencegah permintaan HTTP anonim mencapai aplikasi web, atau mengautentikasi permintaan yang memiliki token sebelum mencapai aplikasi web AuditIfNotExists, Dinonaktifkan 1.0.0
Konfigurasikan slot App Service untuk menonaktifkan autentikasi lokal untuk penyebaran FTP. Nonaktifkan metode autentikasi lokal untuk penyebaran FTP, sehingga akun slot App Services Anda secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari lebih lanjut di: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, Dinonaktifkan 1.0.0
Konfigurasikan slot App Service untuk menonaktifkan autentikasi lokal untuk SCM site. Nonaktifkan metode autentikasi lokal untuk SCM site, sehingga akun slot App Services Anda secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari lebih lanjut di: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, Dinonaktifkan 1.0.0
Konfigurasikan App Service untuk menonaktifkan autentikasi lokal untuk SCM site. Nonaktifkan metode autentikasi lokal sehingga akun App Services Anda secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari lebih lanjut di: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, Dinonaktifkan 1.0.0
Konfigurasikan App Service untuk menonaktifkan autentikasi lokal di penyebaran FTP. Nonaktifkan metode autentikasi lokal untuk penyebaran FTP, sehingga akun App Services Anda secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari lebih lanjut di: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, Dinonaktifkan 1.0.0
Konfigurasikan App Services untuk menonaktifkan akses jaringan publik Nonaktifkan akses jaringan publik untuk App Services Anda agar tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari lebih lanjut di: https://aka.ms/app-service-private-endpoint. DeployIfNotExists, Dinonaktifkan 1.0.0
Konfigurasi App Services untuk menggunakan zona DNS privat Gunakan zona DNS privat untuk mengambil alih resolusi DNS untuk titik akhir privat. Zona DNS pribadi menautkan jaringan virtual ke App Service. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. DeployIfNotExists, Dinonaktifkan 1.0.0
CORS tidak boleh mengizinkan setiap sumber daya mengakses API Apps Anda Cross-Origin Resource Sharing (CORS) seharusnya tidak mengizinkan semua domain mengakses aplikasi API Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi API Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
CORS tidak boleh mengizinkan setiap sumber daya mengakses Aplikasi Fungsi Anda Cross-Origin Resource Sharing (CORS) seharusnya tidak mengizinkan semua domain mengakses aplikasi Fungsi Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Fungsi Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
CORS tidak boleh mengizinkan setiap sumber daya mengakses Aplikasi Web Anda Cross-Origin Resource Sharing (CORS) tidak boleh mengizinkan semua domain mengakses aplikasi web Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan apl web Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
Log diagnostik di App Services harus diaktifkan Pengaktifan audit log diagnostik pada aplikasi. Ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk tujuan investigasi jika terjadi insiden keamanan atau jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 2.0.0
Pastikan aplikasi API memiliki 'Sertifikat Klien (Sertifikat klien masuk)' disetel ke 'Aktif' Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi. Audit, Dinonaktifkan 1.0.0
Pastikan ‘Versi HTTP’ adalah yang terbaru, jika digunakan untuk menjalankan aplikasi API Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux. AuditIfNotExists, Dinonaktifkan 2.0.0
Pastikan 'Versi HTTP' adalah yang terbaru, jika digunakan untuk menjalankan aplikasi Fungsi Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux. AuditIfNotExists, Dinonaktifkan 2.0.0
Pastikan 'Versi HTTP' adalah yang terbaru, jika digunakan untuk menjalankan aplikasi Web Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux. AuditIfNotExists, Dinonaktifkan 2.0.0
Pastikan 'versi Java' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi API Secara berkala, versi yang lebih baru dirilis untuk Java baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Python terbaru untuk aplikasi API disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux. AuditIfNotExists, Dinonaktifkan 2.0.0
Pastikan 'Versi Java' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi Fungsi Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Java baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Java terbaru untuk aplikasi Fungsi disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux. AuditIfNotExists, Dinonaktifkan 2.0.0
Pastikan 'Versi Java' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi Web Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Java baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Java terbaru untuk aplikasi web disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux. AuditIfNotExists, Dinonaktifkan 2.0.0
Pastikan 'versi PHP' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi API Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak PHP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi PHP terbaru untuk aplikasi API disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux. AuditIfNotExists, Dinonaktifkan 2.1.0
Pastikan 'versi PHP' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi WEB Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak PHP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi PHP terbaru untuk aplikasi web disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux. AuditIfNotExists, Dinonaktifkan 2.1.0
Pastikan 'Versi Python' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi API Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Python baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Python terbaru untuk aplikasi API disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux. AuditIfNotExists, Dinonaktifkan 3.0.0
Pastikan 'Versi Python' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi Fungsi Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Python baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Python terbaru untuk aplikasi Fungsi disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux. AuditIfNotExists, Dinonaktifkan 3.0.0
Pastikan 'Versi Python' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi Web Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Python baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Python terbaru untuk aplikasi web disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux. AuditIfNotExists, Dinonaktifkan 3.0.0
Pastikan aplikasi WEB mengatur 'Sertifikat Klien (Sertifikat klien masuk)' ke 'Aktif' Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi. Audit, Dinonaktifkan 1.0.0
FTPS hanya diwajibkan di Aplikasi API Anda Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
hanya FTPS yang diperlukan di Aplikasi Fungsi Anda Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
FTPS harus diperlukan di Aplikasi Web Anda Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
Aplikasi Fungsi seharusnya hanya dapat diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Audit, Dinonaktifkan 1.0.0
Aplikasi Fungsi harus mengaktifkan 'Sertifikat Klien (Sertifikat klien masuk)' Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien dengan sertifikat yang valid yang dapat menjangkau aplikasi. Audit, Dinonaktifkan 1.0.1
Aplikasi Fungsi harus menggunakan file bersama Azure untuk direktori kontennya Direktori konten aplikasi fungsi harus terletak di berbagi file Azure. Informasi akun penyimpanan untuk berbagi file harus disediakan sebelum aktivitas penerbitan apa pun. Untuk mempelajari lebih lanjut tentang menggunakan Azure Files untuk menghosting konten layanan aplikasi, lihat https://go.microsoft.com/fwlink/?linkid=2151594. Audit, Dinonaktifkan 1.0.0
Versi TLS terbaru harus digunakan di API Apps Anda Tingkatkan ke versi TLS terbaru AuditIfNotExists, Dinonaktifkan 1.0.0
Versi TLS terbaru harus digunakan di Aplikasi Fungsi Anda Tingkatkan ke versi TLS terbaru AuditIfNotExists, Dinonaktifkan 1.0.0
Versi TLS terbaru harus digunakan di Aplikasi Web Anda Tingkatkan ke versi TLS terbaru AuditIfNotExists, Dinonaktifkan 1.0.0
Identitas terkelola harus digunakan di API Apps Anda Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
Identitas terkelola harus digunakan di Aplikasi Fungsi Anda Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
Identitas terkelola harus digunakan di Aplikasi Web Anda Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
Penelusuran kesalahan jarak jauh harus dimatikan untuk API Apps Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi API. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 1.0.0
Penelusuran kesalahan jarak jauh harus dinonaktifkan untuk Function Apps Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi fungsi. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 1.0.0
Penelusuran kesalahan jarak jauh harus dinonaktifkan untuk Web Applications Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi web. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 1.0.0
Log sumber daya di App Services harus diaktifkan Audit yang mengaktifkan log sumber daya di aplikasi. Ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi jika terjadi insiden keamanan atau jaringan Anda disusupi. AuditIfNotExists, Dinonaktifkan 1.0.0
Aplikasi Web hanya boleh diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Audit, Dinonaktifkan 1.0.0
Aplikasi web harus menggunakan file bersama Azure untuk direktori kontennya Direktori konten aplikasi web harus terletak di berbagi file Azure. Informasi akun penyimpanan untuk berbagi file harus disediakan sebelum aktivitas penerbitan apa pun. Untuk mempelajari lebih lanjut tentang menggunakan Azure Files untuk menghosting konten layanan aplikasi, lihat https://go.microsoft.com/fwlink/?linkid=2151594. Audit, Dinonaktifkan 1.0.0

Pengesahan

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Penyedia Azure Attestation harus menggunakan titik akhir pribadi Titik akhir pribadi menyediakan cara untuk menghubungkan penyedia Azure Attestation ke sumber daya Azure Anda tanpa mengirimkan lalu lintas melalui internet publik. Dengan mencegah akses publik, titik akhir pribadi membantu melindungi dari akses anonim yang tidak diinginkan. AuditIfNotExists, Dinonaktifkan 1.0.0

Automanage

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Konfigurasikan komputer virtual untuk diorientasikan ke Azure Automanage Azure Automanage mendaftarkan, mengonfigurasi, dan memantau komputer virtual dengan praktik terbaik seperti yang ditentukan dalam Microsoft Cloud Adoption Framework untuk Azure. Gunakan kebijakan ini untuk menerapkan Automanage ke lingkup yang Anda pilih. DeployIfNotExists, Dinonaktifkan 4.1.0

Automation

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Variabel akun Automation harus dienkripsi Penting untuk mengaktifkan enkripsi aset variabel akun Azure Automation saat menyimpan data sensitif Audit, Tolak, Dinonaktifkan 1.1.0
Akun Automation harus menonakftikan akses jaringan publik Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa sumber daya tidak terekspos di internet publik. Anda dapat membatasi paparan sumber daya akun Automation Anda dengan membuat titik akhir privat sebagai gantinya. Pelajari selengkapnya di: https://docs.microsoft.com/azure/automation/how-to/private-link-security. Audit, Tolak, Dinonaktifkan 1.0.0
Akun Azure Automation harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi tidak aktif pada Akun Azure Automation Anda. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan umumnya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. Pelajari lebih lanjut di [https://aka.ms/automation-cmk](../../../../articles/automation/automation-secure-asset-encryption.md#:~:text=Secure assets in Azure Automation include credentials, certificates, connections,,Using Microsoft-managed keys). Audit, Tolak, Dinonaktifkan 1.0.0
Konfigurasikan aku Azure Automation untuk menonaktifkan akses jaringan publik Nonaktifkan akses jaringan publik untuk akun Azure Automation agar tidak dapat diakses melalui internet publik. Konfigurasi ini membantu melindungi akun dari risiko kebocoran data. Anda dapat membatasi paparan sumber daya akun Azure Automation Anda dengan membuat titik akhir pribadi sebagai gantinya. Pelajari selengkapnya di: https://aka.ms/privateendpoints. Ubah, Non-fungsikan 1.0.0
Mengonfigurasikan akun Azure Automation dengan zona DNS privat Gunakan zona DNS privat untuk mengambil alih resolusi DNS untuk titik akhir privat. Anda memerlukan zona DNS privat yang dikonfigurasi dengan benar untuk tersambung ke akun Azure Automation melalui Azure Private Link. Pelajari lebih lanjut di: https://aka.ms/privatednszone. DeployIfNotExists, Dinonaktifkan 1.0.0
Konfigurasikan koneksi titik akhir privat pada akun Azure Automation Koneksi titik akhir pribadi memungkinkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke akun Azure Automation tanpa memerlukan alamat IP publik di sumber atau tujuan. Pelajari selengkapnya tentang titik akhir pribadi di Azure Automation di https://docs.microsoft.com/azure/automation/how-to/private-link-security. DeployIfNotExists, Dinonaktifkan 1.0.0
Koneksi titik akhir pribadi pada Akun Azure Automation harus diaktifkan Koneksi titik akhir pribadi memungkinkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke akun Automation tanpa memerlukan alamat IP publik di sumber atau tujuan. Pelajari selengkapnya tentang titik akhir pribadi di Azure Automation di https://docs.microsoft.com/azure/automation/how-to/private-link-security AuditIfNotExists, Dinonaktifkan 1.0.0

Azure Active Directory

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Domain terkelola Azure Active Directory Domain Services harus menggunakan mode TLS 1.2 saja Gunakan mode TLS 1.2 saja untuk domain terkelola Anda. Secara default, Azure Active Directory Domain Services memungkinkan penggunaan sandi seperti NTLM v1 dan TLS v1. Cipher ini mungkin diperlukan untuk beberapa aplikasi warisan, tetapi dianggap lemah dan dapat dinonaktifkan jika Anda tidak membutuhkannya. Saat mode TLS 1.2 saja diaktifkan, setiap klien yang membuat permintaan yang tidak menggunakan TLS 1.2 akan gagal. Pelajari lebih lanjut di https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain. Audit, Tolak, Dinonaktifkan 1.1.0

Azure Data Explorer

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Enkripsi Azure Data Explorer saat tidak aktif harus menggunakan kunci yang dikelola pelanggan Mengaktifkan enkripsi saat tidak aktif menggunakan kunci yang dikelola pelanggan di kluster Azure Data Explorer Anda memberikan kontrol tambahan atas kunci yang digunakan oleh enkripsi saat tidak aktif. Fitur ini seringkali berlaku untuk pelanggan dengan persyaratan kepatuhan khusus dan memerlukan Gudang Kunci untuk mengelola kunci. Audit, Tolak, Dinonaktifkan 1.0.0
Enkripsi disk harus diaktifkan di Azure Data Explorer Mengaktifkan enkripsi disk membantu melindungi dan mengamankan data Anda untuk memenuhi komitmen keamanan dan kepatuhan organisasi Anda. Audit, Tolak, Dinonaktifkan 2.0.0
Enkripsi ganda harus diaktifkan di Azure Data Explorer Mengaktifkan enkripsi ganda membantu melindungi dan mengamankan data Anda untuk memenuhi komitmen keamanan dan kepatuhan organisasi Anda. Ketika enkripsi ganda telah diaktifkan, data di akun penyimpanan dienkripsi dua kali, sekali di tingkat layanan dan sekali di tingkat infrastruktur, menggunakan dua algoritme enkripsi yang berbeda dan dua kunci yang berbeda. Audit, Tolak, Dinonaktifkan 2.0.0
Injeksi jaringan virtual harus diaktifkan untuk Azure Data Explorer Mengamankan perimeter jaringan dengan injeksi jaringan virtual yang memungkinkan Anda menerapkan aturan kelompok keamanan jaringan, menyambungkan secara lokal, dan mengamankan sumber koneksi data dengan titik akhir layanan. Audit, Tolak, Dinonaktifkan 1.0.0

Azure Edge Hardware Center

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Perangkat Azure Edge Hardware Center harus mengaktifkan dukungan enkripsi ganda Pastikan bahwa perangkat yang dipesan dari Azure Edge Hardware Center memiliki dukungan enkripsi ganda yang diaktifkan, untuk mengamankan data tidak aktif di perangkat. Opsi ini menambahkan enkripsi data lapis kedua. Audit, Tolak, Dinonaktifkan 1.0.0

Azure Stack Edge

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Perangkat Azure Stack Edge harus menggunakan enkripsi ganda Untuk mengamankan data saat tidak aktif pada perangkat, pastikan data dienkripsi ganda, akses ke data dikontrol, dan setelah perangkat dinonaktifkan, data dihapus dengan aman dari disk data. Enkripsi ganda adalah penggunaan dua lapis enkripsi: enkripsi BitLocker XTS-AES 256-bit pada volume data dan enkripsi bawaan pada hard drive. Pelajari selengkapnya pada dokumentasi gambaran keamanan untuk perangkat Stack Edge tertentu. audit, tolak, dinonaktifkan 1.0.0

Cadangan

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure Backup harus diaktifkan untuk Virtual Machines Pastikan perlindungan Virtual Machines Azure Anda dengan mengaktifkan Azure Backup. Azure Backup adalah solusi perlindungan data yang aman dan hemat biaya untuk Azure. AuditIfNotExists, Dinonaktifkan 2.0.0
[Pratinjau]: vault Azure Recovery Services harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data cadangan Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi di sisa data cadangan Anda. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci tersebut biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. Pelajari lebih lanjut di https://aka.ms/AB-CmkEncryption. Audit, Tolak, Dinonaktifkan 1.0.0-pratinjau
[Pratinjau]: Brankas Azure Recovery Services harus menggunakan tautan privat untuk pencadangan Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke vault Azure Recovery Services, risiko kebocoran data berkurang. Pelajari lebih lanjut tentang tautan privat di: https://aka.ms/AB-PrivateEndpoints. Audit, Dinonaktifkan pratinjau-2.0.0
Konfigurasikan pencadangan pada komputer virtual dengan tag yang ditentukan ke brankas layanan pemulihan baru dengan kebijakan default Menerapkan cadangan untuk semua komputer virtual dengan menyebarkan brankas layanan pemulihan di lokasi dan grup sumber daya yang sama dengan komputer virtual. Tindakan ini berguna ketika tim aplikasi yang berbeda di organisasi Anda dialokasikan grup sumber daya terpisah dan perlu mengelola cadangan dan pemulihannya sendiri. Anda dapat secara opsional menyertakan komputer virtual yang berisi tag tertentu untuk mengontrol cakupan tugas. Lihat https://aka.ms/AzureVMAppCentricBackupIncludeTag. deployIfNotExists, auditIfNotExists, dinonaktifkan 3.0.0
Konfigurasikan pencadangan pada komputer virtual dengan tag yang ditentukan ke brankas layanan pemulihan yang ada di lokasi yang sama Menerapkan pencadangan untuk semua komputer virtual dengan mencadangkannya ke brankas layanan pemulihan pusat yang ada di lokasi dan langganan yang sama dengan komputer virtual. Tindakan ini berguna ketika ada tim pusat di organisasi Anda yang mengelola cadangan untuk semua sumber daya dalam langganan. Anda dapat secara opsional menyertakan komputer virtual yang berisi tag tertentu untuk mengontrol cakupan tugas. Lihat https://aka.ms/AzureVMCentralBackupIncludeTag. deployIfNotExists, auditIfNotExists, dinonaktifkan 3.0.0
Konfigurasikan pencadangan pada komputer virtual tanpa tag yang ditentukan ke brankas layanan pemulihan baru dengan kebijakan default Menerapkan cadangan untuk semua komputer virtual dengan menyebarkan brankas layanan pemulihan di lokasi dan grup sumber daya yang sama dengan komputer virtual. Tindakan ini berguna ketika tim aplikasi yang berbeda di organisasi Anda dialokasikan grup sumber daya terpisah dan perlu mengelola cadangan dan pemulihannya sendiri. Anda secara opsional dapat mengecualikan komputer virtual yang berisi tag tertentu untuk mengontrol cakupan tugas. Lihat https://aka.ms/AzureVMAppCentricBackupExcludeTag. deployIfNotExists, auditIfNotExists, dinonaktifkan 3.0.0
Konfigurasikan cadangan pada komputer virtual tanpa tag yang ditentukan ke brankas layanan pemulihan yang ada di lokasi yang sama Menerapkan pencadangan untuk semua komputer virtual dengan mencadangkannya ke brankas layanan pemulihan pusat yang ada di lokasi dan langganan yang sama dengan komputer virtual. Tindakan ini berguna ketika ada tim pusat di organisasi Anda yang mengelola cadangan untuk semua sumber daya dalam langganan. Anda secara opsional dapat mengecualikan komputer virtual yang berisi tag tertentu untuk mengontrol cakupan tugas. Lihat https://aka.ms/AzureVMCentralBackupExcludeTag. deployIfNotExists, auditIfNotExists, dinonaktifkan 3.0.0
[Pratinjau]: Mengonfigurasi brankas Layanan Pemulihan untuk menggunakan zona DNS privat untuk pencadangan Gunakan zona DNS privat untuk mengambil alih resolusi DNS untuk titik akhir privat. Zona DNS privat ditautkan ke jaringan virtual Anda untuk diselesaikan ke vault Recovery Services. Pelajari lebih lanjut di: https://aka.ms/AB-PrivateEndpoints. DeployIfNotExists, Dinonaktifkan 1.0.1-preview
Sebarkan Pengaturan Diagnostik untuk Vault Layanan Pemulihan ke ruang kerja Analitik Log untuk kategori sumber daya tertentu. Sebarkan Pengaturan Diagnostik untuk Vault Layanan Pemulihan untuk melakukan stream ke ruang kerja Analitik Log untuk kategori sumber daya tertentu. Jika salah satu kategori spesifik Sumber Daya tidak diaktifkan, pengaturan diagnostik baru dibuat. deployIfNotExists 1.0.2

Batch

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Akun Azure Batch harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari data akun Batch Anda. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. Pelajari lebih lanjut di https://aka.ms/Batch-CMK. Audit, Tolak, Dinonaktifkan 1.0.1
Kumpulan Azure Batch harus mengaktifkan enkripsi disk Mengaktifkan enkripsi disk Azure Batch memastikan bahwa data selalu dienkripsi saat diam di node komputasi Azure Batch Anda. Pelajari selengkapnya tentang enkripsi disk dalam Batch di https://docs.microsoft.com/azure/batch/disk-encryption. Audit, Dinonaktifkan, Tolak 1.0.0
Akun batch harus menonaktifkan metode autentikasi lokal Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa akun Batch memerlukan identitas Azure Active Directory secara eksklusif untuk autentikasi. Pelajari lebih lanjut di: https://aka.ms/batch/auth. Audit, Tolak, Dinonaktifkan 1.0.0
Konfigurasikan akun Batch untuk menonaktifkan autentikasi lokal Nonaktifkan metode autentikasi lokasi sehingga akun Batch Anda memerlukan identitas Azure Active Directory secara eksklusif untuk autentikasi. Pelajari lebih lanjut di: https://aka.ms/batch/auth. Ubah, Non-fungsikan 1.0.0
Mengonfigurasi akun Batch dengan titik akhir privat Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke akun Batch, Anda dapat mengurangi risiko kebocoran data. Pelajari lebih lanjut tentang tautan privat di: https://docs.microsoft.com/azure/batch/private-connectivity. DeployIfNotExists, Dinonaktifkan 1.0.0
Sebarkan - Mengonfigurasikan zona DNS privat untuk titik akhir privat yang tersambung ke akun Batch Data DNS privat mengizinkan koneksi privat ke titik akhir privat. Koneksi titik akhir privat memungkinkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke akun Batch tanpa memerlukan alamat IP publik di sumber atau tujuan. Untuk mengetahui informasi selengkapnya tentang titik akhir privat dan zona DNS di Batch, lihat https://docs.microsoft.com/azure/batch/private-connectivity. DeployIfNotExists, Dinonaktifkan 1.0.0
Aturan pemberitahuan metrik harus dikonfigurasi pada akun Batch Konfigurasi audit aturan pemberitahuan metrik pada akun Batch untuk mengaktifkan metrik yang diperlukan AuditIfNotExists, Dinonaktifkan 1.0.0
Koneksi titik akhir privat pada akun Batch harus diaktifkan Koneksi titik akhir privat memungkinkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke akun Batch tanpa memerlukan alamat IP publik di sumber atau tujuan. Pelajari lebih lanjut tentang titik akhir privat pada Batch di https://docs.microsoft.com/azure/batch/private-connectivity. AuditIfNotExists, Dinonaktifkan 1.0.0
Akses jaringan publik harus dinonaktifkan untuk akun Batch Menonaktifkan akses jaringan publik pada akun Batch akan meningkatkan keamanan dengan memastikan bahwa akun Batch Anda hanya dapat diakses dari titik akhir privat. Pelajari lebih lanjut tentang menonaktifkan akses jaringan publik di https://docs.microsoft.com/azure/batch/private-connectivity. Audit, Tolak, Dinonaktifkan 1.0.0
Log sumber daya di akun Batch harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0

Layanan Bot

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Titik akhir Bot Service harus berupa URI HTTPS yang valid Data dapat diubah selama transmisi. Protokol ada yang menyediakan enkripsi untuk mengatasi masalah penyalahgunaan dan pengubahan. Untuk memastikan bot Anda hanya berkomunikasi melalui saluran terenkripsi, atur titik akhir ke URI HTTPS yang valid. Hal ini memastikan protokol HTTPS digunakan untuk mengenkripsi data Anda saat transit dan juga sering kali merupakan persyaratan untuk mematuhi standar peraturan atau industri. Silakan kunjungi: https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines. audit, tolak, dinonaktifkan 1.0.1
Bot Service harus dienkripsi dengan kunci yang dikelola pelanggan Azure Bot Service secara otomatis mengenkripsi sumber daya Anda untuk melindungi data Anda dan memenuhi komitmen keamanan dan kepatuhan organisasi. Secara default, kunci enkripsi yang dikelola Microsoft digunakan. Untuk fleksibilitas yang lebih besar dalam mengelola kunci atau mengontrol akses ke langganan Anda, pilih kunci yang dikelola pelanggan, juga dikenal sebagai bawa kunci Anda sendiri (BYOK). Pelajari selengkapnya tentang enkripsi Azure Bot Service: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. audit, tolak, dinonaktifkan 1.0.0
Bot Service harus mengaktifkan mode terisolasi Bot harus diatur ke mode 'hanya terisolasi'. Pengaturan ini mengonfigurasi saluran Bot Service yang mengharuskan lalu lintas melalui internet publik dinonaktifkan. audit, tolak, dinonaktifkan 1.0.0
Bot Service harus menonaktifkan metode autentikasi lokal Menonaktifkan metode autentikasi lokal akan meningkatkan keamanan dengan memastikan bahwa bot menggunakan AAD secara eksklusif untuk autentikasi. Audit, Tolak, Dinonaktifkan 1.0.0
Sumber daya BotService harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Tautan Pribadi menangani konektivitas antara konsumen dan layanan melalui jaringan tulang punggung Azure. Dengan memetakan titik akhir privat ke sumber daya BotService Anda, risiko kebocoran data berkurang. Audit, Dinonaktifkan 1.0.0
Mengonfigurasikan sumber daya BotService untuk menggunakan zona DNS privat Gunakan zona DNS privat untuk mengambil alih resolusi DNS untuk titik akhir privat. Zona DNS privat tertaut ke jaringan virtual Anda untuk diselesaikan ke sumber daya yang terkait BotService. Pelajari lebih lanjut di: https://aka.ms/privatednszone. DeployIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasi sumber daya BotService dengan titik akhir privat Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke sumber daya BotService, Anda dapat mengurangi risiko kebocoran data. DeployIfNotExists, Dinonaktifkan 1.0.0

Cache

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure Cache for Redis harus menonaktifkan akses jaringan umum Menonaktifkan akses jaringan umum meningkatkan keamanan dengan memastikan bahwa Azure Cache for Redis tidak terekspose di internet umum. Anda dapat membatasi paparan Azure Cache for Redis Anda dengan membuat titik akhir privat sebagai gantinya. Pelajari selengkapnya di: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. Audit, Tolak, Dinonaktifkan 1.0.0
Azure Cache for Redis harus berada dalam jaringan virtual Penyebaran Azure Virtual Network menyediakan peningkatan keamanan dan isolasi pada Azure Cache for Redis Anda, serta subnet, kebijakan kontrol akses, dan fitur lain untuk membatasi akses lebih lanjut. Ketika instans Azure Cache for Redis dikonfigurasi dengan jaringan virtual, ini tidak dapat diakses secara umum dan hanya bisa diakses dari mesin virtual dan aplikasi dalam jaringan virtual. Audit, Tolak, Dinonaktifkan 1.0.3
Azure Cache for Redis harus menggunakan tautan privat Titik akhir privat memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP umum di sumber atau tujuan. Dengan memetakan titik akhir privat ke instans Azure Cache for Redis Anda, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasikan Azure Cache for Redis untuk menonaktifkan akses jaringan umum Nonaktifkan akses jaringan umum untuk sumber daya Azure Cache for Redis sehingga tidak dapat diakses melalui internet umum. Ini membantu melindungi cache dari risiko kebocoran data. Ubah, Non-fungsikan 1.0.0
Mengonfigurasi Azure Cache for Redis menggunakan zona DNS privat Gunakan zona DNS privat untuk mengambil alih resolusi DNS untuk titik akhir privat. Zona DNS privat dapat ditautkan ke jaringan virtual Anda untuk mengatasi Azure Cache for Redis. Pelajari lebih lanjut di: https://aka.ms/privatednszone. DeployIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasi Azure Cache for Redis dengan titik akhir privat Titik akhir privat memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke sumber daya Azure Cache for Redis, Anda dapat mengurangi risiko kebocoran data. Pelajari lebih lanjut di: https://aka.ms/redis/privateendpoint. DeployIfNotExists, Dinonaktifkan 1.0.0
Hanya koneksi aman ke Azure Cache for Redis yang harus diaktifkan Audit memungkinkan hanya koneksi melalui SSL ke Azure Cache for Redis. Penggunaan koneksi aman memastikan autentikasi antara server dan layanan serta melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking Audit, Tolak, Dinonaktifkan 1.0.0

Cognitive Services

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Akun Azure Cognitive Services harus menonaktifkan akses jaringan publik Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa akun Azure Cognitive Services tidak terbuka di internet publik. Membuat titik akhir pribadi dapat membatasi eksposur akun Azure Cognitive Services. Pelajari lebih lanjut di: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Tolak, Dinonaktifkan 2.0.0
Akun Azure Cognitive Services harus mengaktifkan enkripsi data dengan kunci yang dikelola pelanggan Kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan terhadap peraturan. Kunci yang dikelola pelanggan memungkinkan data yang disimpan di Azure Cognitive Services dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. Pelajari lebih lanjut tentang kunci yang dikelola pelanggan di https://go.microsoft.com/fwlink/?linkid=2121321. Audit, Tolak, Dinonaktifkan 2.0.0
Akun Azure Cognitive Services harus menonaktifkan metode autentikasi lokal Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa akun Azure Cognitive Services memerlukan identitas Azure Active Directory khusus untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/cs/auth. Audit, Tolak, Dinonaktifkan 1.0.0
Akun Azure Cognitive Services harus membatasi akses jaringan Akses jaringan ke akun Azure Cognitive Services harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun Azure Cognitive Services. Untuk memperbolehkan koneksi dari klien internet atau lokal tertentu, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau rentang alamat IP internet publik. Audit, Tolak, Dinonaktifkan 2.0.0
Akun Azure Cognitive Services harus menggunakan identitas terkelola Menetapkan identitas terkelola ke akun Cognitive Service Anda membantu memastikan autentikasi yang aman. Identitas ini digunakan oleh akun layanan Cognitive ini untuk berkomunikasi dengan layanan Azure lainnya, seperti Azure Key Vault, dengan cara yang aman tanpa Anda harus mengelola informasi masuk apa pun. Audit, Tolak, Non-fungsikan 1.0.0
Akun Azure Cognitive Services harus menggunakan penyimpanan milik pelanggan Gunakan penyimpanan milik pelanggan untuk mengontrol data yang tersimpan saat posisi tidak aktif di Azure Cognitive Services. Untuk mempelajari selengkapnya tentang penyimpanan milik pelanggan, kunjungi https://aka.ms/cogsvc-cmk. Audit, Tolak, Non-fungsikan 2.0.0
Azure Cognitive Services harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Cognitive Services, Anda akan mengurangi potensi kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Dinonaktifkan 2.0.0
Mengonfigurasi akun Azure Cognitive Services untuk menonaktifkan metode autentikasi lokal Nonaktifkan metode autentikasi lokal sehingga akun Azure Cognitive Services Anda memerlukan identitas Azure Active Directory khusus untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/cs/auth. Ubah, Non-fungsikan 1.0.0
Konfigurasikan akun Azure Cognitive Services untuk menonaktifkan akses jaringan publik Nonaktifkan akses jaringan publik pada sumber daya Azure Cognitive Services Anda agar tidak dapat diakses melalui internet publik. Cara ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://go.microsoft.com/fwlink/?linkid=2129800. Non-fungsikan, Ubah 2.0.0
Mengonfigurasikan akun Cognitive Services untuk menggunakan zona DNS privat Gunakan zona DNS privat untuk mengambil alih resolusi DNS untuk titik akhir privat. Zona DNS privat ditautkan ke jaringan virtual Anda untuk diselesaikan ke akun Cognitive Services. Pelajari lebih lanjut di: https://go.microsoft.com/fwlink/?linkid=2110097. DeployIfNotExists, Dinonaktifkan 1.0.0
Konfigurasikan akun Azure Cognitive Services dengan titik akhir privat Titik akhir privat menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Dengan memetakan titik akhir privat ke Azure Cognitive Services, Anda akan mengurangi potensi kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://go.microsoft.com/fwlink/?linkid=2129800. DeployIfNotExists, Dinonaktifkan 2.0.0

Compute

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
SKU ukuran komputer virtual yang diizinkan Kebijakan ini memungkinkan Anda menentukan satu set SKU ukuran komputer virtual yang dapat disebarkan oleh organisasi Anda. Tolak 1.0.1
Komputer virtual audit tanpa konfigurasi pemulihan bencana Mengaudit komputer virtual yang tidak memiliki konfigurasi pemulihan bencana. Untuk mempelajari penemuan bencana lebih lanjut, buka https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Audit VM yang tidak menggunakan disk terkelola Kebijakan ini mengaudit VM yang tidak menggunakan disk terkelola audit 1.0.0
Konfigurasikan pemulihan bencana pada komputer virtual dengan mengaktifkan replikasi Komputer virtual tanpa konfigurasi pemulihan bencana rentan terhadap penghentian dan gangguan lainnya. Jika belum mengonfigurasi pemulihan bencana, komputer virtual akan mengonfigurasinya dengan mengaktifkan replikasi menggunakan konfigurasi yang diatur sebelumnya untuk memudahkan kelangsungan bisnis. Untuk mempelajari penemuan bencana lebih lanjut, buka https://aka.ms/asr-doc. DeployIfNotExists, Dinonaktifkan 1.2.0
Konfigurasikan sumber daya akses disk untuk menggunakan zona DNS privat Gunakan zona DNS privat untuk mengambil alih resolusi DNS untuk titik akhir privat. Zona DNS privat menautkan ke jaringan virtual Anda untuk mengatasi ke disk terkelola. Pelajari lebih lanjut di: https://aka.ms/disksprivatelinksdoc. DeployIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasi sumber daya akses disk dengan titik akhir privat Titik akhir privat menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke sumber daya akses disk, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/disksprivatelinksdoc. DeployIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasi disk terkelola untuk menonaktifkan akses jaringan publik Menonaktifkan akses jaringan publik untuk sumber daya disk terkelola Anda sehingga tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari lebih lanjut di: https://aka.ms/disksprivatelinksdoc. Ubah, Dinonaktifkan 1.0.0
Sebarkan ekstensi Microsoft IaaSAntimalware default untuk Server Windows Kebijakan ini menyebarkan ekstensi Microsoft IaaSAntimalware dengan konfigurasi default saat VM tidak dikonfigurasi dengan ekstensi antimalware. deployIfNotExists 1.0.0
Sumber daya akses disk harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke diskAccesses, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Dinonaktifkan 1.0.0
Disk terkelola harus dienkripsi ganda dengan kunci yang dikelola platform dan kunci yang dikelola pelanggan Pelanggan sensitif keamanan tinggi yang memiliki kekhawatiran atas risiko terkait algoritma enkripsi, implementasi, atau kunci tertentu yang disusupi dapat memilih lapisan enkripsi tambahan menggunakan algoritma/mode enkripsi yang berbeda pada lapisan infrastruktur menggunakan kunci enkripsi yang dikelola platform. Set enkripsi disk diperlukan untuk menggunakan enkripsi ganda. Pelajari lebih lanjut di https://aka.ms/disks-doubleEncryption. Audit, Tolak, Dinonaktifkan 1.0.0
Disk terkelola harus menonaktifkan akses jaringan publik Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa disk terkelola tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi tereksposnya disk terkelola. Pelajari lebih lanjut di: https://aka.ms/disksprivatelinksdoc. Audit, Dinonaktifkan 1.0.0
Disk terkelola harus menggunakan set enkripsi disk tertentu untuk enkripsi kunci yang dikelola pelanggan Mewajibkan set enkripsi disk tertentu untuk digunakan dengan disk terkelola memberi Anda kontrol atas kunci yang digunakan untuk enkripsi saat tidak digunakan. Anda dapat memilih set terenkripsi yang diizinkan dan set yang ditolak saat dikaitkan ke disk. Pelajari lebih lanjut di https://aka.ms/disks-cmk. Audit, Tolak, Dinonaktifkan 2.0.0
Microsoft Antimalware untuk Azure harus dikonfigurasi untuk memperbarui tanda tangan proteksi secara otomatis Kebijakan ini mengaudit komputer virtual Windows apa pun yang tidak dikonfigurasi dengan pembaruan otomatis tanda tangan perlindungan Microsoft Antimalware. AuditIfNotExists, Dinonaktifkan 1.0.0
Ekstensi Microsoft IaaSAntimalware harus disebarkan di server Windows Kebijakan ini mengaudit VM server Windows apa pun tanpa ekstensi Microsoft IaaSAntimalware yang diterapkan. AuditIfNotExists, Dinonaktifkan 1.0.0
Hanya ekstensi VM yang disetujui yang dapat diinstal Kebijakan ini mengatur ekstensi komputer virtual yang tidak disetujui. Audit, Tolak, Dinonaktifkan 1.0.0
Disk data dan OS harus dienkripsi dengan kunci yang dikelola pelanggan Menggunakan kunci yang dikelola pelanggan untuk mengelola enkripsi di seluruh konten disk terkelola Anda. Secara default, data dienkripsi saat tidak digunakan dengan kunci yang dikelola platform, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/disks-cmk. Audit, Tolak, Dinonaktifkan 2.0.0
Wajibkan patching citra OS otomatis pada Virtual Machine Scale Sets Kebijakan ini memberlakukan pengaktifkan citra OS otomatis pada Virtual Machine Scale Sets untuk menjaga Komputer Virtual tetap aman dengan menerapkan patch keamanan terbaru dengan aman setiap bulan. tolak 1.0.0
Log sumber daya dalam Virtual Machine Scale Sets harus diaktifkan Sebaiknya aktifkan Log agar jejak aktivitas dapat dibuat kembali saat penyelidikan diperlukan jika terjadi insiden atau penyusupan. AuditIfNotExists, Dinonaktifkan 2.0.1
Disk yang tidak terikat harus dienkripsi Kebijakan ini mengaudit semua disk yang tidak terpasang tanpa mengaktifkan enkripsi. Audit, Dinonaktifkan 1.0.0
Komputer virtual dan set skala komputer virtual harus mengaktifkan enkripsi pada host Menggunakan enkripsi di host guna mendapatkan enkripsi end-to-end untuk komputer virtual dan data set skala komputer virtual. Enkripsi di host memungkinkan enkripsi saat tidak digunakan untuk disk sementara dan cache disk OS/data. Disk OS sementara dan tentatif akan dienkripsi dengan kunci yang dikelola platform saat enkripsi di host diaktifkan. Cache disk OS/data dienkripsi saat tidak digunakan dengan kunci yang dikelola pelanggan atau dikelola platform, bergantung pada jenis enkripsi yang dipilih pada disk. Pelajari lebih lanjut di https://aka.ms/vm-hbe. Audit, Tolak, Dinonaktifkan 1.0.0
Komputer virtual harus dimigrasikan ke sumber daya Azure Resource Manager baru Gunakan Azure Resource Manager baru untuk komputer virtual Anda untuk memberikan peningkatan keamanan seperti: kontrol akses yang lebih kuat (RBAC), audit yang lebih baik, penerapan dan tata kelola berbasis Azure Resource Manager, akses ke identitas terkelola, akses ke brankas kunci untuk rahasia, berbasis Azure Active Directory autentikasi dan dukungan untuk tag dan grup sumber daya untuk manajemen keamanan yang lebih mudah Audit, Tolak, Dinonaktifkan 1.0.0

Instans Kontainer

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Grup kontainer Azure Container Instance harus disebarkan ke jaringan virtual Komunikasi aman antara kontainer Anda dengan Azure Virtual Network. Saat Anda menentukan jaringan virtual, sumber daya dalam jaringan virtual dapat berkomunikasi secara aman dan privat dengan satu sama lain. Audit, Dinonaktifkan, Tolak 1.0.0
Grup kontainer Azure Container Instance harus menggunakan kunci yang dikelola pelanggan untuk enkripsi Mengamankan kontainer Anda dengan fleksibilitas yang lebih besar menggunakan kunci yang dikelola pelanggan. Saat Anda menentukan kunci yang dikelola pelanggan, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Menggunakan kunci yang dikelola pelanggan menyediakan kemampuan tambahan untuk mengontrol rotasi kunci enkripsi utama atau menghapus data secara kriptografis. Audit, Dinonaktifkan, Tolak 1.0.0

Container Registry

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Konfigurasikan registri kontainer untuk menonaktifkan autentikasi lokal. Nonaktifkan autentikasi lokal sehingga registri kontainer Anda secara eksklusif mewajibkan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya tentang hal ini di: https://aka.ms/acr/authentication. Ubah, Non-fungsikan 1.0.0
Mengonfigurasi Container registry untuk menonaktifkan akses jaringan publik Nonaktifkan akses jaringan publik untuk sumber daya Container Registry Anda sehingga tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di https://aka.ms/acr/portal/public-network dan https://aka.ms/acr/private-link. Ubah, Dinonaktifkan 1.0.0
Mengonfigurasi Container registry untuk menggunakan zona DNS pribadi Gunakan zona DNS privat untuk mengambil alih resolusi DNS untuk titik akhir privat. Zona DNS pribadi tertaut ke jaringan virtual Anda untuk diatasi ke Container Registry Anda. Pelajari selengkapnya di: https://aka.ms/privatednszone dan https://aka.ms/acr/private-link. DeployIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasi Container registry dengan titik akhir pribadi Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir pribadi ke sumber daya container registry premium Anda, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints dan https://aka.ms/acr/private-link. DeployIfNotExists, Dinonaktifkan 1.0.0
Registri kontainer harus dienkripsi dengan kunci yang dikelola pelanggan Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi di seluruh konten registri Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. Pelajari lebih lanjut di https://aka.ms/acr/CMK. Audit, Tolak, Dinonaktifkan 1.1.2
Fitur ekspor di registri kontainer harus telah dinonaktifkan Menonaktifkan fitur ekspor meningkatkan keamanan dengan memastikan bahwa data dalam registri diakses hanya melalui dataplane ('docker pull'). Data tidak dapat dipindahkan dari registri melalui 'acr import' atau melalui 'acr transfer'. Untuk menonaktifkan ekspor, akses jaringan publik harus dinonaktifkan. Pelajari lebih lanjut di: https://aka.ms/acr/export-policy. Audit, Tolak, Dinonaktifkan 1.0.0
Registri kontainer harus menonaktifkan metode autentikasi lokal. Menonaktifkan metode autentikasi lokal akan meningkatkan keamanan dengan memastikan bahwa registri kontainer secara eksklusif mewajibkan identitas Azure Active Directory untuk autentikasi. Pelajari lebih lanjut di: https://aka.ms/acr/authentication. Audit, Tolak, Dinonaktifkan 1.0.0
Container registry harus memiliki SKU yang mendukung Private Link Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke container registry Anda alih-alih seluruh layanan, risiko kebocoran data berkurang. Pelajari lebih lanjut di: https://aka.ms/acr/private-link. Audit, Tolak, Dinonaktifkan 1.0.0
Registri kontainer tidak boleh mengizinkan akses jaringan yang tidak terbatas Azure container registry secara default menerima koneksi melalui internet dari host di jaringan apa pun. Untuk melindungi registry Anda dari potensi ancaman, izinkan akses hanya dari alamat IP publik atau rentang alamat tertentu. Jika registri Anda tidak memiliki aturan IP/firewall atau jaringan virtual yang dikonfigurasi, registri akan muncul di sumber daya yang tidak sehat. Pelajari selengkapnya tentang aturan jaringan Container Registry di sini: https://aka.ms/acr/portal/public-network dan di sini https://aka.ms/acr/vnet. Audit, Tolak, Dinonaktifkan 1.1.0
Registri kontainer harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform private link menangani konektivitas antara konsumen dan layanan melalui jaringan Azure backbone.Dengan memetakan titik akhir pribadi ke container registry Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari lebih lanjut di: https://aka.ms/acr/private-link. Audit, Dinonaktifkan 1.0.1
Akses jaringan publik harus dinonaktifkan untuk Container registry Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa container registry tidak terekspos di internet publik. Membuat titik akhir pribadi dapat membatasi paparan sumber daya container registry. Pelajari selengkapnya di: https://aka.ms/acr/portal/public-network dan https://aka.ms/acr/private-link. Audit, Tolak, Dinonaktifkan 1.0.0

Cosmos DB

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Akun Azure Cosmos DB harus memiliki aturan firewall Aturan firewall harus ditentukan di akun Azure Cosmos DB Anda untuk mencegah lalu lintas dari sumber yang tidak sah. Akun yang memiliki setidaknya satu aturan IP yang ditentukan dengan filter jaringan virtual diaktifkan dianggap sesuai. Akun yang menonaktifkan akses publik juga dianggap patuh. Audit, Tolak, Dinonaktifkan 2.0.0
Akun Azure Cosmos DB harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari Azure Cosmos DB Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. Pelajari lebih lanjut di https://aka.ms/cosmosdb-cmk. audit, tolak, dinonaktifkan 1.0.2
Lokasi yang diizinkan Azure Cosmos DB Kebijakan ini memungkinkan Anda membatasi lokasi yang dapat ditentukan oleh organisasi Anda saat menyebarkan sumber daya Azure Cosmos DB. Gunakan untuk menerapkan persyaratan kepatuhan geografis Anda. [parameters('policyEffect')] 1.0.0
Akses tulis metadata berbasis kunci Azure Cosmos DB harus dinonaktifkan Kebijakan ini memungkinkan Anda memastikan semua akun Azure Cosmos DB menonaktifkan akses tulis metadata berbasis kunci. tambah 1.0.0
Azure Cosmos DB harus menonaktifkan akses jaringan publik Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa akun CosmosDB Anda tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan akun CosmosDB Anda. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. Audit, Tolak, Dinonaktifkan 1.0.0
Throughput Azure Cosmos DB harus dibatasi Kebijakan ini memungkinkan Anda membatasi throughput maksimum yang dapat ditentukan organisasi saat membuat database dan kontainer Azure Cosmos DB melalui penyedia sumber daya. Ini memblokir pembuatan sumber daya skala otomatis. audit, tolak, dinonaktifkan 1.0.0
Mengonfigurasi akun database Cosmos DB untuk menonaktifkan autentikasi lokal Nonaktifkan metode autentikasi lokal sehingga akun Azure Cognitive Services Anda secara eksklusif mewajibkan identitas Azure Active Directory untuk autentikasi. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. Ubah, Non-fungsikan 1.0.0
Konfigurasikan akun CosmosDB untuk menonaktifkan akses jaringan publik Nonaktifkan akses jaringan publik untuk sumber daya CosmosDB Anda sehingga tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. Ubah, Non-fungsikan 1.0.0
Mengonfigurasikan akun CosmosDB untuk menggunakan zona DNS privat Gunakan zona DNS privat untuk mengambil alih resolusi DNS untuk titik akhir privat. Zona DNS privat ditautkan ke jaringan virtual Anda untuk diselesaikan ke akun CosmosDB. Pelajari lebih lanjut di: https://aka.ms/privatednszone. DeployIfNotExists, Dinonaktifkan 1.0.0
Konfigurasikan akun CosmosDB dengan titik akhir privat Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke akun CosmosDB Anda, risiko kebocoran data dapat berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. DeployIfNotExists, Dinonaktifkan 1.0.0
Akun database Cosmos DB harus menonaktifkan metode autentikasi lokal Menonaktifkan metode autentikasi lokal akan meningkatkan keamanan dengan memastikan bahwa registri kontainer secara eksklusif mewajibkan identitas Azure Active Directory untuk autentikasi. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. Audit, Tolak, Dinonaktifkan 1.0.0
Akun CosmosDB harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir privat ke akun CosmosDB Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Dinonaktifkan 1.0.0
Menyebarkan Perlindungan Ancaman Tingkat Lanjut untuk Akun Cosmos DB Kebijakan ini mengaktifkan Perlindungan Ancaman Lanjutan di seluruh akun Cosmos DB. DeployIfNotExists, Dinonaktifkan 1.0.0

Penyedia Kustom

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Menyebarkan asosiasi untuk penyedia kustom Menyebarkan sumber daya asosiasi yang mengaitkan jenis sumber daya yang dipilih ke penyedia kustom yang ditentukan. Penyebaran kebijakan ini tidak mendukung jenis sumber daya berlapis. deployIfNotExists 1.0.0

Data Box

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Pekerjaan Azure Data Box seharusnya mengaktifkan enkripsi ganda untuk data tidak aktif di perangkat Aktifkan enkripsi berbasis perangkat lunak lapisan kedua untuk data tidak aktif di perangkat. Perangkat sudah dilindungi melalui Standar Enkripsi Lanjutan enkripsi 256-bit untuk data saat tidak aktif. Opsi ini menambahkan enkripsi data lapis kedua. Audit, Tolak, Dinonaktifkan 1.0.0
Pekerjaan Azure Data Box harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi kata sandi pembuka kunci perangkat Gunakan kunci yang dikelola pelanggan untuk mengontrol enkripsi kata sandi buka kunci perangkat untuk Azure Data Box. Kunci yang dikelola pelanggan juga membantu mengelola akses ke kata sandi buka kunci perangkat oleh layanan Azure Data Box untuk menyiapkan perangkat dan menyalin data secara otomatis. Data pada perangkat itu sendiri sudah dienkripsi saat istirahat dengan enkripsi Standar Enkripsi Lanjutan 256-bit, dan kata sandi pembuka kunci perangkat dienkripsi secara default dengan kunci yang dikelola Microsoft. Audit, Tolak, Dinonaktifkan 1.0.0

Data Factory

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure Data Factory harus dienkripsi dengan kunci yang dikelola pelanggan Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi di seluruh Azure Data Factory Anda. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci tersebut biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. Pelajari lebih lanjut di https://aka.ms/adf-cmk. Audit, Tolak, Dinonaktifkan 1.0.1
[Pratinjau]: Jumlah inti runtime integrasi Azure Data Factory harus memiliki batas Untuk mengelola sumber daya dan biaya, batasi jumlah inti untuk runtime integrasi. Audit, Tolak, Nonaktifkan 1.0.0-preview
[Pratinjau]: Tipe sumber daya layanan tertaut Azure Data Factory harus dalam daftar yang diizinkan Tentukan daftar yang diizinkan untuk tipe layanan tertaut Azure Data Factory. Membatasi jenis sumber daya yang diizinkan memungkinkan kontrol atas batas pemindahan data. Misalnya, batasi cakupan untuk hanya mengizinkan penyimpanan blob dengan Data Lake Storage Gen1 dan Gen2 untuk analitik atau cakupan untuk hanya mengizinkan akses SQL dan Kusto untuk kueri real-time. Audit, Tolak, Nonaktifkan 1.0.0-preview
[Pratinjau]: Layanan tertaut Azure Data Factory harus menggunakan Key Vault untuk menyimpan rahasia Untuk memastikan rahasia (seperti string koneksi) dikelola dengan aman, pengguna harus memberikan rahasia menggunakan Azure Key Vault, alih-alih menentukannya secara sejajar di layanan yang ditautkan. Audit, Tolak, Nonaktifkan 1.0.0-preview
[Pratinjau]: Layanan yang ditautkan Azure Data Factory harus menggunakan autentikasi identitas terkelola yang ditetapkan sistem bila didukung Menggunakan identitas terkelola yang ditetapkan sistem saat berkomunikasi dengan penyimpanan data melalui layanan tertaut menghindari penggunaan kredensial yang kurang aman seperti kata sandi atau string koneksi. Audit, Tolak, Nonaktifkan 1.0.0-preview
[Pratinjau]: Azure Data Factory harus menggunakan repositori Git untuk kontrol sumber Aktifkan kontrol sumber di pabrik data, untuk mendapatkan kemampuan seperti pelacakan perubahan, kolaborasi, integrasi berkelanjutan, dan penyebaran. Audit, Tolak, Nonaktifkan 1.0.0-pratinjau
Azure Data Factory harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Data Factory, risiko kebocoran data berkurang. Pelajari lebih lanjut tentang tautan privat di: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasi Azure Data Factory untuk menonaktifkan akses jaringan publik Nonaktifkan akses jaringan publik untuk Azure Data Factory Anda agar tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. Ubah, Non-fungsikan 1.0.0
Mengonfigurasikan zona DNS privat untuk titik akhir privat yang tersambung ke Azure Data Factory Data DNS privat mengizinkan koneksi privat ke titik akhir privat. Koneksi titik akhir privat memungkinkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure Data Factory tanpa perlu alamat IP publik di sumber atau tujuan. Untuk mengetahui informasi selengkapnya tentang titik akhir privat dan zona DNS di Azure Data Factory, lihat https://docs.microsoft.com/azure/data-factory/data-factory-private-link. DeployIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasi titik akhir privat untuk Azure Data Factory Titik akhir privat menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke Azure Data Factory, Anda dapat mengurangi risiko kebocoran data. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. DeployIfNotExists, Dinonaktifkan 1.0.0
Akses jaringan publik di Azure Data Factory harus dinonaktifkan Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan Azure Data Factory hanya dapat diakses dari titik akhir privat. Audit, Tolak, Nonaktifkan 1.0.0
Runtime integrasi SSIS di Azure Data Factory harus digabungkan ke jaringan virtual Penyebaran Azure Virtual Network meningkatkan keamanan dan isolasi untuk runtime integrasi SSIS Anda di Azure Data Factory, termasuk subnet, kebijakan kontrol akses, dan fitur lainnya untuk membatasi akses lebih lanjut. Audit, Tolak, Nonaktifkan 2.0.0

Data Lake

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Memerlukan enkripsi pada akun Azure Data Lake Storage Kebijakan ini memastikan enkripsi diaktifkan di semua akun Data Lake Store tolak 1.0.0
Log sumber daya di Azure Data Lake Store harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Data Lake Analytics harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0

Event Grid

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Domain Azure Event Grid harus mengaktifkan akses jaringan publik Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa sumber daya tidak terekspos di internet publik. Anda dapat membatasi paparan sumber daya Anda dengan membuat titik akhir privat sebagai gantinya. Pelajari lebih lanjut di: https://aka.ms/privateendpoints. Audit, Tolak, Dinonaktifkan 1.0.0
Domain Azure Event Grid harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Tautan Pribadi menangani konektivitas antara konsumen dan layanan melalui jaringan tulang punggung Azure. Dengan memetakan titik akhir pribadi ke domain Azure Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari lebih lanjut di: https://aka.ms/privateendpoints. Audit, Dinonaktifkan 1.0.2
Topik Azure Event Grid harus menonaktifkan akses jaringan publik Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa sumber daya tidak terekspos di internet publik. Anda dapat membatasi paparan sumber daya Anda dengan membuat titik akhir privat sebagai gantinya. Pelajari lebih lanjut di: https://aka.ms/privateendpoints. Audit, Tolak, Dinonaktifkan 1.0.0
Topik Azure Event Grid harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Tautan Pribadi menangani konektivitas antara konsumen dan layanan melalui jaringan tulang punggung Azure. Dengan memetakan titik akhir pribadi ke topik Azure Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari lebih lanjut di: https://aka.ms/privateendpoints. Audit, Dinonaktifkan 1.0.2
Sebarkan - Konfigurasikan domain Azure Event Grid untuk menggunakan zona DNS privat Gunakan zona DNS privat untuk mengambil alih resolusi DNS untuk titik akhir privat. Pelajari lebih lanjut di: https://aka.ms/privatednszone. deployIfNotExists, Dinonaktifkan 1.0.0
Sebarkan - Konfigurasikan domain Azure Event Grid dengan titik akhir privat Titik akhir privat memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke sumber daya Anda, titik akhir tersebut akan dilindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. DeployIfNotExists, Dinonaktifkan 1.0.0
Sebarkan - Mengonfigurasikan topik Azure Event Grid untuk menggunakan zona DNS privat Gunakan zona DNS privat untuk mengambil alih resolusi DNS untuk titik akhir privat. Pelajari lebih lanjut di: https://aka.ms/privatednszone. deployIfNotExists, Dinonaktifkan 1.0.0
Sebarkan - Konfigurasikan topik Azure Event Grid dengan titik akhir privat Titik akhir privat memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke sumber daya Anda, titik akhir tersebut akan dilindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. DeployIfNotExists, Dinonaktifkan 1.0.0
Ubah - Konfigurasikan domain Azure Event Grid untuk menonaktifkan akses jaringan publik Nonaktifkan akses jaringan publik untuk sumber daya Azure Event Grid sehingga tidak dapat diakses melalui internet publik. Tindakan ini akan membantu melindungi mereka dari risiko kebocoran data. Anda dapat membatasi paparan sumber daya Anda dengan membuat titik akhir privat sebagai gantinya. Pelajari lebih lanjut di: https://aka.ms/privateendpoints. Ubah, Non-fungsikan 1.0.0
Ubah - Konfigurasikan topik Azure Event Grid untuk menonaktifkan akses jaringan publik Nonaktifkan akses jaringan publik untuk sumber daya Azure Event Grid sehingga tidak dapat diakses melalui internet publik. Tindakan ini akan membantu melindungi mereka dari risiko kebocoran data. Anda dapat membatasi paparan sumber daya Anda dengan membuat titik akhir privat sebagai gantinya. Pelajari lebih lanjut di: https://aka.ms/privateendpoints. Ubah, Non-fungsikan 1.0.0

Pusat Aktivitas

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Semua aturan otorisasi kecuali RootManageSharedAccessKey harus dihapus dari namespace layanan Pusat Aktivitas Klien Pusat Aktivitas tidak boleh menggunakan kebijakan akses tingkat namespace layanan yang menyediakan akses ke semua antrean dan topik pada namespace layanan. Untuk menyelaraskan dengan model izin keamanan terendah, Anda harus membuat kebijakan akses di tingkat entitas untuk antrean dan topik untuk menyediakan akses hanya ke entitas tertentu Audit, Tolak, Dinonaktifkan 1.0.1
Aturan otorisasi pada instans Pusat Aktivitas harus ditentukan Keberadaan audit pada aturan otorisasi pada entitas Pusat Aktivitas untuk memberikan akses izin terendah AuditIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasikan namespace layanan Event Hub untuk menggunakan zona DNS privat Gunakan zona DNS privat untuk mengambil alih resolusi DNS untuk titik akhir privat. Zona DNS privat ditautkan ke jaringan virtual Anda untuk mengatasi ke namespace layanan Event Hub. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/event-hubs/private-link-service. DeployIfNotExists, Dinonaktifkan 1.0.0
Konfigurasikan namespace layanan Pusat Aktivitas dengan titik akhir privat Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Dengan memetakan titik akhir privat ke namespace layanan Pusat Aktivitas, Anda dapat mengurangi risiko kebocoran data. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/event-hubs/private-link-service. DeployIfNotExists, Dinonaktifkan 1.0.0
Namespace Event Hub harus mengaktifkan enkripsi ganda Mengaktifkan enkripsi ganda membantu melindungi dan mengamankan data Anda untuk memenuhi komitmen keamanan dan kepatuhan organisasi Anda. Ketika enkripsi ganda telah diaktifkan, data di akun penyimpanan dienkripsi dua kali, sekali di tingkat layanan dan sekali di tingkat infrastruktur, menggunakan dua algoritme enkripsi yang berbeda dan dua kunci yang berbeda. Audit, Tolak, Dinonaktifkan 1.0.0
Namespace Event Hub harus menggunakan kunci yang dikelola pelanggan untuk enkripsi Pusat Aktivitas mendukung opsi enkripsi data tidak aktif dengan kunci yang dikelola Microsoft (default) atau kunci yang dikelola pelanggan. Memilih untuk mengenkripsi data menggunakan kunci yang dikelola pelanggan memungkinkan Anda untuk menetapkan, memutar, menonaktifkan, dan mencabut akses ke kunci yang akan digunakan Pusat Aktivitas untuk mengenkripsi data di namespace layanan Anda. Harap diingat bahwa Pusat Aktivitas hanya mendukung enkripsi dengan kunci yang dikelola pelanggan untuk namespace layanan di kluster khusus. Audit, Dinonaktifkan 1.0.0
Namespace layanan Pusat Aktivitas harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke namespace layanan Pusat Aktivitas, risiko kebocoran data berkurang. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Dinonaktifkan 1.0.0
Log sumber daya di Event Hub harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0

Umum

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Lokasi yang diizinkan Kebijakan ini memungkinkan Anda membatasi lokasi yang dapat ditentukan oleh organisasi Anda saat menggunakan sumber daya. Gunakan untuk menerapkan persyaratan kepatuhan geografis Anda. Tidak termasuk grup sumber daya, Microsoft.AzureActiveDirectory/b2cDirectories, dan sumber daya yang menggunakan wilayah 'global'. tolak 1.0.0
Lokasi yang diizinkan untuk grup sumber daya Kebijakan ini memungkinkan Anda membatasi lokasi tempat organisasi Anda dapat membuat sumber daya. Gunakan untuk menerapkan persyaratan kepatuhan geografis Anda. tolak 1.0.0
Jenis sumber daya yang diizinkan Kebijakan ini memungkinkan Anda menentukan jenis sumber daya yang dapat disebarkan oleh organisasi Anda. Hanya jenis sumber daya yang mendukung 'tag' dan 'lokasi' yang akan terpengaruh oleh kebijakan ini. Untuk membatasi semua sumber daya, silakan salin kebijakan ini dan ubah 'mode' menjadi 'Semua'. tolak 1.0.0
Lokasi sumber daya audit cocok dengan lokasi grup sumber daya Audit bahwa lokasi sumber daya cocok dengan lokasi grup sumber dayanya audit 2.0.0
Audit penggunaan aturan RBAC kustom Audit peran bawaan seperti 'Pemilik, Kontributor, Pembaca', sebagai pengganti peran RBAC kustom, yang rawan kesalahan. Penggunaan peran kustom diperlakukan sebagai pengecualian dan memerlukan peninjauan yang ketat serta pemodelan ancaman Audit, Dinonaktifkan 1.0.0
Peran pemilik langganan kustom tidak boleh ada Kebijakan ini memastikan bahwa tidak ada peran pemilik langganan kustom. Audit, Dinonaktifkan 2.0.0
Jenis sumber daya yang tidak diizinkan Batasi jenis sumber daya mana yang dapat disebarkan di lingkungan Anda. Membatasi jenis sumber daya dapat mengurangi kompleksitas dan permukaan serangan lingkungan Anda sekaligus membantu mengelola biaya. Hasil kepatuhan hanya ditampilkan untuk sumber daya yang tidak patuh. Audit, Tolak, Dinonaktifkan 2.0.0

Konfigurasi Tamu

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. ubah 1.0.0
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. ubah 1.0.0
Audit komputer Linux yang memungkinkan koneksi jarak jauh dari akun tanpa kata sandi Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Linux mengizinkan koneksi jarak jauh dari akun tanpa kata sandi AuditIfNotExists, Dinonaktifkan 1.0.0
Audit mesin Linux yang tidak memiliki izin file passwd diatur ke 0644 Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Linux izin file kata sandinya tidak diatur ke 0644 AuditIfNotExists, Dinonaktifkan 1.0.0
Audit mesin Linux yang tidak memiliki aplikasi yang ditentukan terpasang Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Komputer tidak sesuai jika sumber daya Chef InSpec menunjukkan bahwa satu atau beberapa paket yang disediakan oleh parameter tidak terpasang. auditIfNotExists 3.0.0
Mengaudit komputer Linux yang memiliki akun tanpa kata sandi Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Linux memiliki akun tanpa kata sandi AuditIfNotExists, Dinonaktifkan 1.0.0
Audit komputer Linux yang memiliki aplikasi yang ditentukan terpasang Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Komputer tidak sesuai jika sumber daya Chef InSpec menunjukkan bahwa satu atau beberapa paket yang disediakan oleh parameter terpasang. auditIfNotExists 3.0.0
Audit mesin Windows yang tidak memiliki anggota tertentu di grup Administrator Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Komputer tidak sesuai jika grup Admin lokal tidak berisi satu atau beberapa anggota yang tercantum dalam parameter kebijakan. auditIfNotExists 1.0.0
Audit konektivitas jaringan komputer Windows Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Komputer tidak sesuai jika status koneksi jaringan ke port IP dan TCP tidak cocok dengan parameter kebijakan. auditIfNotExists 1.0.0
Audit komputer Windows yang konfigurasi DSC-nya tidak patuh Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Komputer tidak sesuai jika perintah Windows PowerShell Get-DSCConfigurationStatus menampilkan bahwa konfigurasi DSC untuk komputer tidak sesuai. auditIfNotExists 1.0.0
Mengaudit komputer Windows tempat agen Analitik Log tidak tersambung seperti yang diharapkan Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Mesin tidak sesuai jika agen tidak diinstal, atau jika diinstal tetapi objek COM AgentConfigManager.MgmtSvcCfg mengembalikan bahwa itu terdaftar ke ruang kerja selain ID yang ditentukan dalam parameter kebijakan. auditIfNotExists 1.0.0
Audit komputer Windows yang layanan yang ditentukannya tidak terpasang dan 'Berjalan' Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Komputer tidak sesuai jika hasil perintah Windows PowerShell Get-Service tidak menyertakan nama layanan dengan status pencocokan seperti yang ditentukan oleh parameter kebijakan. auditIfNotExists 1.0.0
Audit komputer Windows yang Konsol Serial Windows-nya tidak diaktifkan Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Komputer tidak sesuai jika komputer tidak memiliki perangkat lunak Konsol Serial yang terpasang atau jika nomor port EMS atau tingkat baud tidak dikonfigurasi dengan nilai yang sama dengan parameter kebijakan. auditIfNotExists 1.0.0
Mengaudit komputer Windows yang mengizinkan penggunaan kembali 24 kata sandi sebelumnya Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows mengizinkan penggunaan kembali 24 kata sandi sebelumnya AuditIfNotExists, Dinonaktifkan 1.0.0
Audit komputer Windows yang tidak bergabung ke domain yang ditentukan Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Komputer tidak sesuai jika nilai properti Domain di kelas WMI win32_computersystem tidak cocok dengan nilai dalam parameter kebijakan. auditIfNotExists 1.0.0
Audit komputer Windows yang tidak diatur ke zona waktu yang ditentukan Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Komputer tidak sesuai jika nilai properti StandardName di kelas WMI Win32_TimeZone tidak cocok dengan zona waktu yang dipilih untuk parameter kebijakan. auditIfNotExists 1.0.0
Audit komputer Windows yang berisi sertifikat yang kedaluwarsa dalam jumlah hari yang ditentukan Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Komputer tidak sesuai jika sertifikat di penyimpanan tertentu memiliki tanggal kedaluwarsa di luar rentang untuk jumlah hari yang ditentukan sebagai parameter. Kebijakan ini juga menyediakan opsi untuk hanya memeriksa sertifikat tertentu atau mengecualikan sertifikat tertentu, dan apakah akan melaporkan sertifikat yang kedaluwarsa. auditIfNotExists 1.0.0
Mengaudit komputer Windows yang tidak berisi sertifikat yang ditentukan dalam Trusted Root Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Komputer tidak sesuai jika penyimpanan sertifikat Trusted Root komputer (Cert:\LocalMachine\Root) tidak berisi satu atau beberapa sertifikat yang dicantumkan oleh parameter kebijakan. auditIfNotExists 1.0.1
Mengaudit komputer Windows yang tidak memiliki usia kata sandi maksimal 70 hari Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows tidak memiliki usia kata sandi maksimum 70 hari AuditIfNotExists, Dinonaktifkan 1.0.0
Audit komputer Windows yang tidak memiliki usia kata sandi minimum 1 hari Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows tidak memiliki usia kata sandi minimum 1 hari AuditIfNotExists, Dinonaktifkan 1.0.0
Audit komputer Windows dengan setelan kompleksitas kata sandi tidak diaktifkan Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows tidak memiliki setelan kompleksitas kata sandi yang diaktifkan AuditIfNotExists, Dinonaktifkan 1.0.0
Audit komputer Windows yang tidak memiliki kebijakan eksekusi Windows PowerShell yang ditentukan Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Komputer tidak sesuai jika perintah Windows PowerShell Get-ExecutionPolicy menampilkan nilai selain yang dipilih dalam parameter kebijakan. AuditIfNotExists, Dinonaktifkan 1.0.0
Audit komputer Windows yang tidak memasang modul Windows PowerShell yang ditentukan Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Komputer tidak sesuai jika modul tidak tersedia di lokasi yang ditentukan oleh variabel lingkungan PSModulePath. AuditIfNotExists, Dinonaktifkan 2.0.0
Mengaudit komputer Windows yang tidak membatasi panjang kata sandi minimum hingga 14 karakter Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows tidak membatasi panjang kata sandi minimal hingga 14 karakter AuditIfNotExists, Dinonaktifkan 1.0.0
Mengaudit komputer Windows yang tidak menyimpan kata sandi menggunakan enkripsi yang dapat dibalik Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows tidak menyimpan kata sandi menggunakan enkripsi yang dapat dibatalkan AuditIfNotExists, Dinonaktifkan 1.0.0
Audit komputer Windows yang tidak memasang aplikasi yang ditentukan Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Komputer tidak sesuai jika nama aplikasi tidak ditemukan di salah satu jalur registri berikut: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. auditIfNotExists 1.0.0
Mengaudit komputer Windows yang memiliki akun tambahan dalam grup Admin Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Mesin tidak sesuai jika grup administrator lokal berisi anggota yang tidak tercantum dalam parameter kebijakan. auditIfNotExists 1.0.0
Audit komputer Windows yang tidak dihidupkan ulang dalam jumlah hari yang ditentukan Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Komputer tidak sesuai jika properti WMI LastBootUpTime di kelas Win32_Operatingsystem berada di luar rentang hari yang disediakan oleh parameter kebijakan. auditIfNotExists 1.0.0
Audit komputer Windows yang memasang aplikasi yang ditentukan Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Komputer tidak sesuai jika nama aplikasi ditemukan di salah satu jalur registri berikut: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. auditIfNotExists 1.0.0
Mengaudit komputer Windows yang memiliki anggota yang ditentukan dalam grup Admin Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Komputer tidak sesuai jika grup Admin lokal berisi satu atau beberapa anggota yang tercantum dalam parameter kebijakan. auditIfNotExists 1.0.0
Audit komputer virtual Windows dengan reboot yang tertunda Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Komputer tidak sesuai jika komputer menunda reboot karena salah satu alasan berikut: layanan berbasis komponen, Pembaruan Windows, ganti nama file tertunda, ganti nama komputer tertunda, reboot pengelola konfigurasi tertunda. Setiap deteksi memiliki jalur registri yang unik. auditIfNotExists 1.0.0
Autentikasi ke komputer Linux memerlukan kunci SSH Meskipun SSH sendiri menyediakan koneksi terenkripsi, menggunakan kata sandi dengan SSH masih membuat VM rentan terhadap serangan brute force. Opsi paling aman untuk mengautentikasi ke komputer virtual Azure Linux melalui SSH adalah dengan pasangan kunci publik-swasta, juga dikenal sebagai kunci SSH. Pelajari lebih lanjut: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Dinonaktifkan 2.0.1
Mengkonfigurasikan zona waktu pada komputer Windows. Kebijakan ini membuat penugasan Konfigurasi Tamu untuk mengatur zona waktu tertentu pada komputer virtual Windows. deployIfNotExists 1.1.0
Sebarkan ekstensi Konfigurasi Tamu Linux untuk mengaktifkan penugasan Konfigurasi Tamu di komputer virtual Linux Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Linux ke komputer virtual Linux yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Linux adalah prasyarat untuk semua penugasan Konfigurasi Tamu Linux dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Linux. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. deployIfNotExists 1.0.1
Sebarkan ekstensi Konfigurasi Tamu Windows untuk mengaktifkan penugasan Konfigurasi Tamu di VM Windows Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Windows ke komputer virtual Windows yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Windows adalah prasyarat untuk semua penugasan Konfigurasi Tamu Windows dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Windows. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. deployIfNotExists 1.0.1
]Pratinjau: Komputer Linux harus mematuhi persyaratan untuk garis besar keamanan komputasi Azure[ Mengharuskan prasyarat disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Mesin tidak sesuai jika mesin tidak dikonfigurasi dengan benar untuk salah satu rekomendasi di dasar keamanan komputasi Azure. AuditIfNotExists, Dinonaktifkan 1.1.1-pratinjau
Komputer Linux hanya boleh memiliki akun lokal yang diizinkan Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Mengelola akun pengguna menggunakan Azure Active Directory adalah praktik terbaik untuk manajemen identitas. Mengurangi akun komputer lokal membantu mencegah penyebaran identitas terkelola di luar sistem pusat. Komputer tidak sesuai syarat jika ada akun pengguna lokal yang diaktifkan dan tidak tercantum dalam parameter kebijakan. AuditIfNotExists, Dinonaktifkan 1.0.0
Titik akhir privat untuk penugasan Konfigurasi Tamu harus diaktifkan Koneksi titik akhir privat memberlakukan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Konfigurasi Tamu untuk komputer virtual. Komputer virtual akan tidak sesuai kecuali mereka memiliki tag, 'EnablePrivateNetworkGC'. Tag ini memberlakukan komunikasi yang aman melalui konektivitas privat ke Konfigurasi Tamu untuk Komputer Virtual. Konektivitas privat membatasi akses ke lalu lintas yang hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk dalam Azure. Audit, Tolak, Nonaktifkan 1.0.0
Windows Defender Exploit Guard harus diaktifkan di komputer Anda Windows Defender Exploit Guard menggunakan agen Konfigurasi Tamu Azure Policy. Exploit Guard memiliki empat komponen yang dirancang untuk mengunci perangkat dari berbagai vektor serangan dan memblokir perilaku yang biasa digunakan dalam serangan malware sekaligus memungkinkan perusahaan untuk menyeimbangkan risiko keamanan dan persyaratan produktivitas (khusus Windows). AuditIfNotExists, Dinonaktifkan 1.1.1
Komputer Windows harus memenuhi persyaratan untuk 'Template Administratif - Panel Kontrol' Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Template Administratif - Panel Kontrol' untuk personalisasi input dan pencegahan pengaktifan layar penguncian. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer Windows harus memenuhi persyaratan 'Template Administratif - MSS (Warisan)' Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Template Administratif - MSS (Warisan)' untuk proses masuk otomatis, pengaman layar, perilaku jaringan, DLL aman, dan log peristiwa. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer Windows harus memenuhi persyaratan untuk 'Templat Administratif - Jaringan' Mesin Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Template Administratif - Jaringan' untuk login tamu, koneksi simultan, jembatan jaringan, ICS, dan resolusi nama multicast. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer Windows harus memenuhi persyaratan 'Template Administratif - Sistem' Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Template Administratif - Sistem' untuk pengaturan yang mengontrol pengalaman administratif dan Bantuan Jarak Jauh. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer Windows harus memenuhi persyaratan untuk 'Opsi Keamanan - Akun' Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Opsi Keamanan - Akun' untuk membatasi penggunaan akun lokal dari kata sandi kosong dan status akun tamu. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer Windows harus memenuhi persyaratan untuk 'Opsi Keamanan- Audit' Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Opsi Keamanan - Audit' untuk memaksa subkategori kebijakan audit dan mematikan jika tidak dapat mencatat audit keamanan. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer Windows harus memenuhi persyaratan 'Opsi Keamanan - Perangkat' Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Opsi Keamanan - Perangkat' untuk melepas tambatan tanpa masuk, memasang driver cetak, dan memformat/mengeluarkan media. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer Windows harus memenuhi persyaratan 'Opsi Keamanan - Masuk Interaktif' Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori ‘Opsi Keamanan - Masuk Interaktif’ untuk menampilkan nama pengguna terakhir dan mewajibkan ctrl-alt-del. Kebijakan ini mewajibkan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer Windows harus memenuhi persyaratan 'Opsi Keamanan - Klien Jaringan Microsoft' Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Opsi Keamanan - Klien Jaringan Microsoft' untuk klien/server jaringan Microsoft dan SMB v1. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 2.0.0
Mesin Windows harus memenuhi persyaratan untuk 'Opsi Keamanan - Server Jaringan Microsoft' Mesin Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Opsi Keamanan - Server Jaringan Microsoft' untuk menonaktifkan server SMB v1. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer Windows harus memenuhi persyaratan untuk 'Opsi Keamanan: Akses Jaringan' Mesin Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Opsi Keamanan - Akses Jaringan' untuk menyertakan akses bagi pengguna anonim, akun lokal, dan akses jarak jauh ke registri. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer Windows harus memenuhi persyaratan untuk 'Opsi Keamanan: Keamanan Jaringan' Mesin Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Opsi Keamanan - Keamanan Jaringan' untuk menyertakan perilaku Sistem Lokal, PKU2U, Manajer LAN, klien LDAP, dan NTLM SSP. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer Windows harus memenuhi persyaratan untuk 'Opsi Keamanan: Konsol pemulihan' Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Opsi Keamanan - Konsol pemulihan' untuk memungkinkan penyalinan floppy dan akses ke semua drive dan folder. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer Windows harus memenuhi persyaratan 'Opsi Keamanan - Matikan' Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Opsi Keamanan - Matikan' untuk memungkinkan mati tanpa masuk dan membersihkan file halaman memori virtual. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer Windows harus memenuhi persyaratan 'Opsi Keamanan - Objek sistem' Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Opsi Keamanan - Objek sistem' untuk ketidakpekaan huruf besar/kecil untuk subsistem non-Windows dan izin objek sistem internal. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer Windows harus memenuhi persyaratan 'Opsi Keamanan - Pengaturan sistem' Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Opsi Keamanan - Pengaturan sistem' untuk aturan sertifikat pada file yang dapat dieksekusi untuk subsistem opsional dan SRP. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer Windows harus memenuhi persyaratan untuk 'Opsi Keamanan: Kontrol Akun Pengguna' Mesin Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Opsi Keamanan - Kontrol Akun Pengguna' untuk mode untuk admin, perilaku prompt elevasi, dan virtualisasi file dan kegagalan penulisan registri. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer Windows harus memenuhi persyaratan untuk 'Pengaturan Keamanan: Kebijakan Akun' Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Pengaturan Keamanan - Kebijakan Akun' untuk riwayat sandi, usia, panjang, kompleksitas, dan penyimpanan sandi menggunakan enkripsi yang dapat dibatalkan. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer Windows harus memenuhi persyaratan 'Kebijakan Audit Sistem - Masuk Akun' Komputer Windows harus memiliki setelan Kebijakan Grup yang ditentukan dalam kategori 'Kebijakan Audit Sistem - Masuk Akun' untuk mengaudit validasi kredensial dan peristiwa masuk akun lainnya. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer Windows harus memenuhi persyaratan 'Kebijakan Audit Sistem - Pengelolaan Akun' Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Kebijakan Audit Sistem - Pengelolaan Akun' untuk mengaudit aplikasi, keamanan, dan pengelolaan grup pengguna, dan peristiwa pengelolaan lainnya. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer Windows harus memenuhi persyaratan untuk 'Kebijakan Audit Sistem - Pelacakan Terperinci' Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Kebijakan Audit Sistem - Pelacakan Terperinci' untuk mengaudit DPAPI, pembuatan/penghentian proses, peristiwa RPC, dan aktivitas PNP. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer Windows harus memenuhi persyaratan 'Kebijakan Audit Sistem - Masuk-Keluar' Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Kebijakan Audit Sistem - Masuk-Keluar' untuk mengaudit IPSec, kebijakan jaringan, klaim, penguncian akun, keanggotaan grup, dan peristiwa masuk/keluar. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer Windows harus memenuhi persyaratan 'Kebijakan Audit Sistem - Akses Objek' Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Kebijakan Audit Sistem - Akses Objek' untuk pengauditan file, registri, SAM, penyimpanan, pemfilteran, kernel, dan jenis sistem lainnya. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer Windows harus memenuhi persyaratan untuk 'Kebijakan Audit Sistem: Perubahan Kebijakan' Mesin Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Kebijakan Audit Sistem - Perubahan Kebijakan' untuk mengaudit perubahan kebijakan audit sistem. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer Windows harus memenuhi persyaratan 'Kebijakan Audit Sistem: Penggunaan Hak Istimewa' Mesin Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Kebijakan Audit Sistem - Penggunaan Hak Istimewa' untuk mengaudit penggunaan hak istimewa yang tidak sensitif dan lainnya. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer Windows harus memenuhi persyaratan 'Kebijakan Audit Sistem - Sistem' Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Kebijakan Audit Sistem - Sistem' untuk mengaudit driver IPsec, integritas sistem, ekstensi sistem, perubahan status, dan peristiwa sistem lainnya. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer Windows harus memenuhi persyaratan untuk 'Penugasan Hak Pengguna' Mesin Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Penetapan Hak Pengguna' untuk mengizinkan masuk secara lokal, RDP, akses dari jaringan, dan banyak aktivitas pengguna lainnya. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer Windows harus memenuhi persyaratan 'Komponen Windows' Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Komponen Windows' untuk autentikasi dasar, lalu lintas tidak terenkripsi, akun Microsoft, telemetri, Cortana, dan perilaku Windows lainnya. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer Windows harus memenuhi persyaratan untuk 'Properti Windows Firewall' Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Properti Windows Firewall' untuk status firewall, koneksi, pengelolaan aturan, dan pemberitahuan. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 2.0.0
[Pratinjau]: Komputer Windows harus mematuhi persyaratan untuk garis besar keamanan komputasi Azure Mengharuskan prasyarat disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Mesin tidak sesuai jika mesin tidak dikonfigurasi dengan benar untuk salah satu rekomendasi di dasar keamanan komputasi Azure. AuditIfNotExists, Dinonaktifkan 1.0.1-pratinjau
Komputer Windows hanya boleh memiliki akun lokal yang diizinkan Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, buka https://aka.ms/gcpol. Definisi ini tidak didukung di Windows Server 2012 atau 2012 R2. Mengelola akun pengguna menggunakan Azure Active Directory adalah praktik terbaik untuk manajemen identitas. Mengurangi akun komputer lokal membantu mencegah penyebaran identitas terkelola di luar sistem pusat. Komputer tidak sesuai syarat jika ada akun pengguna lokal yang diaktifkan dan tidak tercantum dalam parameter kebijakan. AuditIfNotExists, Dinonaktifkan 1.0.0
Server web Windows harus dikonfigurasi untuk menggunakan protokol komunikasi yang aman Untuk melindungi privasi informasi yang dikomunikasikan melalui Internet, server web Anda harus menggunakan versi terbaru dari protokol kriptografi standar industri, Transport Layer Security (TLS). TLS mengamankan komunikasi melalui jaringan dengan menggunakan sertifikat keamanan untuk mengenkripsi koneksi antar komputer. AuditIfNotExists, Dinonaktifkan 3.0.0

HDInsight

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Kluster Azure HDInsight harus dimasukkan ke jaringan virtual Memasukkan kluster Azure HDInsight di jaringan virtual membuka fitur keamanan dan jaringan HDInsight tingkat lanjut serta memberi Anda kontrol atas konfigurasi keamanan jaringan. Audit, Dinonaktifkan, Tolak 1.0.0
Kluster Azure HDInsight harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi tidak aktif kluster Azure HDInsight Anda. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan umumnya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. Pelajari lebih lanjut di https://aka.ms/hdi.cmk. Audit, Tolak, Dinonaktifkan 1.0.1
Kluster Azure HDInsight harus menggunakan enkripsi di host untuk mengenkripsi data tidak aktif Mengaktifkan enkripsi di host membantu melindungi dan menjaga data Anda untuk memenuhi komitmen keamanan dan kepatuhan organisasi. Saat Anda mengaktifkan enkripsi di host, data yang disimpan di host VM dienkripsi saat tidak aktif dan mengalirkan enkripsi ke layanan Microsoft Azure Storage. Audit, Tolak, Dinonaktifkan 1.0.0
Kluster Azure HDInsight harus menggunakan enkripsi pada transit untuk mengenkripsi komunikasi antar node kluster Microsoft Azure HDInsight Data dapat diubah selama transmisi antar node kluster Microsoft Azure HDInsight. Mengaktifkan enkripsi pada transit mengatasi masalah penyalahgunaan dan pengubahan selama transmisi ini. Audit, Tolak, Dinonaktifkan 1.0.0

API Healthcare

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
CORS tidak boleh mengizinkan setiap domain mengakses API Anda untuk FHIR Cross-Origin Resource Sharing (CORS) seharusnya tidak mengizinkan semua domain mengakses API Anda untuk FHIR. Untuk melindungi Layanan FHIR, hapus akses untuk semua domain dan tentukan secara eksplisit domain yang diizinkan untuk tersambung. audit, dinonaktifkan 1.0.0

Internet of Things

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure App Service harus menonaktifkan metode autentikasi lokal untuk penyebaran FTP Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa Azure SignalR Service secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari lebih lanjut di: https://aka.ms/iothubdisablelocalauth. Audit, Tolak, Dinonaktifkan 1.0.0
[Pratinjau]: Azure IoT Hub harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif Enkripsi data tidak aktif di Azure IoT Hub dengan kunci yang dikelola pelanggan menambahkan enkripsi lapisan kedua di atas kunci yang dikelola layanan default, memungkinkan kontrol pelanggan atas kunci, kebijakan rotasi kustom, dan kemampuan untuk mengelola akses ke data melalui kontrol akses kunci. Kunci yang dikelola pelanggan harus dikonfigurasi selama pembuatan Azure IoT Hub. Untuk informasi selengkapnya tentang cara mengonfigurasi kunci yang dikelola pelanggan, lihat https://aka.ms/iotcmk. Audit, Tolak, Dinonaktifkan 1.0.0-pratinjau
Mengonfigurasi Azure IoT Hub untuk menonaktifkan autentikasi lokal Nonaktifkan metode autentikasi lokal agar akun Azure Automation Anda secara eksklusif mewajibkan identitas Azure Active Directory untuk autentikasi. Pelajari lebih lanjut di: https://aka.ms/iothubdisablelocalauth. Ubah, Non-fungsikan 1.0.0
Mengonfigurasikan instans provisi perangkat IoT Hub untuk menggunakan zona DNS privat Gunakan zona DNS privat untuk mengambil alih resolusi DNS untuk titik akhir privat. Zona DNS privat tertaut ke jaringan virtual Anda untuk diselesaikan ke instans layanan provisi perangkat Azure IoT Hub. Pelajari lebih lanjut di: https://aka.ms/iotdpsvnet. DeployIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasi instans layanan provisi perangkat Azure IoT Hub untuk menonaktifkan akses jaringan publik Nonaktifkan akses jaringan publik untuk instans provisi perangkat Azure IoT Hub Anda sehingga tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari lebih lanjut di: https://aka.ms/iotdpsvnet. Ubah, Non-fungsikan 1.0.0
Mengonfigurasi instans layanan provisi perangkat Azure IoT Hub dengan titik akhir privat Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke layanan provisi perangkat Azure IoT Hub, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/iotdpsvnet. DeployIfNotExists, Dinonaktifkan 1.0.0
Menyebarkan - Mengonfigurasi Azure IoT Hubs untuk menggunakan zona DNS privat DNS Privat Azure menyediakan layanan DNS aman yang andal untuk mengelola dan mengatasi nama domain dalam jaringan virtual tanpa perlu menambahkan solusi DNS kustom. Anda dapat menggunakan zona DNS privat untuk mengambil alih resolusi DNS dengan menggunakan nama domain kustom Anda sendiri untuk titik akhir privat. Kebijakan ini menyebarkan Zona DNS privat untuk titik akhir privat Azure IoT Hub. deployIfNotExists, dinonaktifkan 1.0.0
Menyebarkan - Mengonfigurasi Azure IoT Hubs dengan titik akhir privat Titik akhir privat adalah alamat IP privat yang dialokasikan di dalam jaringan virtual milik pelanggan melalui sumber daya Azure yang dapat dijangkau. Kebijakan ini menyebarkan titik akhir privat untuk Azure IoT Hub Anda untuk memungkinkan layanan di dalam jaringan virtual Anda mencapai Azure IoT Hub tanpa mengharuskan lalu lintas dikirim ke titik akhir publik Azure IoT Hub. DeployIfNotExists, Dinonaktifkan 1.0.0
[Pratinjau]: Data layanan provisi perangkat Azure IoT Hub harus dienkripsi menggunakan kunci yang dikelola pelanggan (CMK) Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi di seluruh layanan provisi perangkat Azure IoT Hub Anda. Data dienkripsi secara otomatis saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan (CMK) biasanya diperlukan untuk memenuhi standar kepatuhan terhadap peraturan. CMK memungkinkan data dienkripsi dengan kunci Azure Key Vault dibuat dan dimiliki oleh Anda. Pelajari selengkapnya tentang enkripsi CMK di https://aka.ms/dps/CMK. Audit, Tolak, Dinonaktifkan 1.0.0-pratinjau
Instans layanan provisi perangkat Azure IoT Hub harus menonaktifkan akses jaringan publik Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa instans layanan provisi perangkat Azure IoT Hub tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan instans provisi perangkat Azure IoT Hub. Pelajari lebih lanjut di: https://aka.ms/iotdpsvnet. Audit, Tolak, Dinonaktifkan 1.0.0
Instans layanan provisi perangkat Azure IoT Hub harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke layanan provisi perangkat Azure IoT Hub, risiko kebocoran data berkurang. Pelajari lebih lanjut tautan privat di: https://aka.ms/iotdpsvnet. Audit, Dinonaktifkan 1.0.0
Mengubah - Mengonfigurasi Azure IoT Hub untuk menonaktifkan akses jaringan publik Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan Azure IoT Hub Anda hanya dapat diakses dari titik akhir privat. Kebijakan ini menonaktifkan akses jaringan publik pada sumber daya Azure IoT Hub. Ubah, Dinonaktifkan 1.0.0
Titik akhir privat harus diaktifkan untuk Azure IoT Hub Koneksi titik akhir privat menerapkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure IoT Hub. Konfigurasikan koneksi titik akhir privat untuk mengaktifkan akses ke lalu lintas yang hanya datang dari jaringan yang dikenal dan mencegah akses dari semua alamat IP lainnya, termasuk dalam Azure. Audit, Dinonaktifkan 1.0.0
Akses jaringan publik di Azure IoT Hub harus dinonaktifkan Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan Azure IoT Hub Anda hanya dapat diakses dari titik akhir privat. Audit, Tolak, Dinonaktifkan 1.0.0
Log sumber daya di Azure IoT Hub harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 3.0.1

Key Vault

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Azure Key Vault Managed HSM harus menonaktifkan akses jaringan publik Nonaktifkan akses jaringan publik untuk Azure Key Vault Managed HSM Anda sehingga tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. Audit, Tolak, Dinonaktifkan 1.0.0-pratinjau
Azure Key Vault Managed HSM harus mengaktifkan perlindungan penghapusan secara menyeluruh Penghapusan berbahaya dari Azure Key Vault Managed HSM dapat menyebabkan hilangnya data permanen. Orang dalam jahat di organisasi Anda dapat berpotensi menghapus dan membersihkan Azure Key Vault Managed HSM. Perlindungan penghapusan melindungi Anda dari serangan orang dalam dengan memberlakukan periode retensi wajib untuk penghapusan sementara Azure Key Vault Managed HSM. Tidak ada seorang pun di dalam organisasi Anda atau Microsoft yang dapat membersihkan Azure Key Vault Managed HSM Anda selama periode penyimpanan penghapusan sementara. Audit, Tolak, Dinonaktifkan 1.0.0
[Pratinjau]: Azure Key Vault Managed HSM harus menggunakan tautan pribadi Tautan pribadi menyediakan cara untuk menghubungkan Azure Key Vault Managed HSM ke sumber daya Azure Anda tanpa mengirimkan lalu lintas melalui internet publik. Tautan privat memberikan perlindungan mendalam terhadap penyelundupan data. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link Audit, Dinonaktifkan 1.0.0-pratinjau
[Pratinjau ]: Azure Key Vault harus menonaktifkan akses jaringan publik Nonaktifkan akses jaringan publik untuk brankas kunci Anda agar tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari lebih lanjut di: https://aka.ms/akvprivatelink. Audit, Tolak, Dinonaktifkan pratinjau-2.0.0
[Pratinjau ]: Azure Key Vault harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir privat ke brankas kunci, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/akvprivatelink. Audit, Tolak, Dinonaktifkan pratinjau-1.0.0
Sertifikat harus diterbitkan oleh otoritas sertifikat terintegrasi yang ditetapkan Kelola persyaratan kepatuhan organisasi Anda dengan menentukan otoritas sertifikat terintegrasi Azure yang dapat menerbitkan sertifikat di brankas kunci, seperti Digicert atau GlobalSign. audit, tolak, non-fungsikan 2.0.1
Sertifikat harus diterbitkan oleh otoritas sertifikat non-terintegrasi yang ditetapkan Kelola persyaratan kepatuhan organisasi Anda dengan menetapkan otoritas sertifikat internal atau kustom yang dapat menerbitkan sertifikat di brankas kunci. audit, tolak, non-fungsikan 2.0.1
Sertifikat harus memiliki pemicu tindakan seumur hidup yang ditetapkan Kelola persyaratan kepatuhan organisasi Anda dengan menentukan apakah tindakan seumur hidup sertifikat dipicu pada persentase tertentu dari masa pakainya atau pada jumlah hari tertentu sebelum kedaluwarsa. audit, tolak, non-fungsikan 2.0.1
[Pratinjau]: Sertifikat harus memiliki masa berlaku maksimum yang ditentukan Kelola persyaratan kepatuhan organisasi Anda dengan menentukan durasi masa berlaku sertifikat dalam brankas kunci. audit, tolak, dinonaktifkan pratinjau-2.1.0
Sertifikat tidak boleh kedaluwarsa dalam jumlah hari yang ditetapkan Kelola sertifikat yang akan kedaluwarsa dalam jumlah hari yang ditetapkan agar organisasi Anda memiliki cukup waktu untuk merotasi sertifikat sebelum kedaluwarsa. audit, tolak, non-fungsikan 2.0.1
Sertifikat harus menggunakan jenis kunci yang diizinkan Kelola persyaratan kepatuhan organisasi Anda dengan membatasi jenis kunci yang diizinkan untuk sertifikat. audit, tolak, non-fungsikan 2.0.1
Sertifikat yang menggunakan kriptografi kurva elips harus memiliki nama kurva yang diizinkan Kelola nama kurva elips yang diperbolehkan untuk Sertifikat ECC yang disimpan dalam brankas kunci. Informasi selengkapnya dapat ditemukan di https://aka.ms/akvpolicy. audit, tolak, non-fungsikan 2.0.1
Sertifikat yang menggunakan kriptografi RSA harus memiliki ukuran kunci minimum yang ditentukan Kelola persyaratan kepatuhan organisasi Anda dengan menetapkan ukuran kunci minimum untuk sertifikat RSA yang disimpan di brankas kunci Anda. audit, tolak, dinonaktifkan 2.0.1
[Pratinjau]: Mengonfigurasi Azure Key Vault Managed HSM untuk menonaktifkan akses jaringan publik Nonaktifkan akses jaringan publik untuk Azure Key Vault Managed HSM Anda sehingga tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. Ubah, Non-fungsikan pratinjau-1.0.0
[Pratinjau]: Konfigurasikan Azure Key Vault Managed HSM dengan titik akhir privat Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Dengan memetakan titik akhir privat ke Azure Key Vault Managed HSM, Anda dapat mengurangi risiko kebocoran data. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. DeployIfNotExists, Dinonaktifkan 1.0.0-pratinjau
[Pratinjau]: Mengonfigurasi Azure Key Vault untuk menggunakan zona DNS privat Gunakan zona DNS privat untuk mengambil alih resolusi DNS untuk titik akhir privat. Zona DNS privat menautkan ke jaringan virtual Anda untuk mengatasi brankas kunci. Pelajari lebih lanjut di: https://aka.ms/akvprivatelink. DeployIfNotExists, Dinonaktifkan 1.0.0-pratinjau
[Pratinjau ]: Mengonfigurasi Azure Key Vault dengan titik akhir privat Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Dengan memetakan titik akhir privat ke brankas kunci, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/akvprivatelink. DeployIfNotExists, Dinonaktifkan 1.0.0-pratinjau
[Pratinjau ]: Mengonfigurasi brankas kunci untuk menonaktifkan akses jaringan publik Nonaktifkan akses jaringan publik untuk brankas kunci Anda agar tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari lebih lanjut di: https://aka.ms/akvprivatelink. Ubah, Non-fungsikan pratinjau-1.0.0
Sebarkan - Konfigurasikan pengaturan diagnostik untuk Azure Key Vault ke ruang kerja Log Analytics Menyebarkan pengaturan diagnostik pada Azure Key Vault untuk mengalirkan log sumber daya ke ruang kerja Log Analytics saat Key Vault yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. DeployIfNotExists, Dinonaktifkan 1.0.1
Sebarkan - Konfigurasikan pengaturan diagnostik ke Hub Peristiwa untuk diaktifkan di HSM Terkelola Azure Key Vault Menyebarkan pengaturan diagnostik pada HSM Terkelola Azure Key Vault untuk mengalirkan ke Hub Peristiwa regional saat HSM Terkelola Azure Key Vault yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. DeployIfNotExists, Dinonaktifkan 1.0.0
Sebarkan Pengaturan Diagnostik untuk Key Vault ke Pusat Aktivitas Menyebarkan pengaturan diagnostik pada Key Vault untuk mengalirkan ke Hub Peristiwa regional saat Key Vault yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. deployIfNotExists 2.0.0
Kunci Key Vault harus memiliki tanggal kedaluwarsa Kunci kriptografi harus memiliki tanggal kedaluwarsa yang ditentukan dan tidak permanen. Kunci yang valid selamanya memberikan lebih banyak waktu bagi penyerang potensial untuk menyusupi kunci tersebut. Menetapkan tanggal kedaluwarsa pada kunci kriptografi adalah praktik keamanan yang direkomendasikan. Audit, Tolak, Dinonaktifkan 1.0.2
Rahasia Azure Key Vault harus memiliki tanggal kedaluwarsa Rahasia harus memiliki tanggal kedaluwarsa yang ditentukan dan tidak bersifat permanen. Rahasia yang berlaku selamanya memberi lebih banyak waktu kepada penyerang potensial untuk menyusupinya. Menetapkan tanggal kedaluwarsa pada rahasia adalah praktik keamanan yang direkomendasikan. Audit, Tolak, Dinonaktifkan 1.0.2
Azure Key Vault harus mengaktifkan perlindungan dari penghapusan menyeluruh Penghapusan brankas kunci yang berbahaya dapat menyebabkan hilangnya data secara permanen. Orang dalam berbahaya di organisasi Anda dapat berpotensi menghapus dan membersihkan brankas kunci. Perlindungan penghapusan menyeluruh melindungi Anda dari serangan orang dalam dengan memberlakukan periode retensi wajib untuk brankas kunci yang dihapus sementara. Tidak ada seorang pun di dalam organisasi Anda atau Microsoft yang dapat membersihkan brankas kunci Anda selama periode penyimpanan penghapusan sementara. Audit, Tolak, Dinonaktifkan 2.0.0
Brankas kunci harus mengaktifkan penghapusan sementara Menghapus brankas kunci tanpa mengaktifkan penghapusan sementara akan menghapus semua rahasia, kunci, dan sertifikat yang disimpan di brankas kunci secara permanen. Penghapusan brankas kunci secara tidak sengaja dapat menyebabkan hilangnya data secara permanen. Penghapusan sementara memungkinkan Anda memulihkan brankas kunci yang terhapus secara tidak sengaja untuk periode retensi yang dapat dikonfigurasi. Audit, Tolak, Dinonaktifkan 2.0.0
Kunci harus didukung oleh modul keamanan perangkat keras (HSM) HSM adalah modul keamanan perangkat keras yang menyimpan kunci. HSM menyediakan lapisan perlindungan fisik untuk kunci kriptografi. Kunci kriptografi tidak dapat meninggalkan HSM fisik yang memberikan tingkat keamanan yang lebih besar daripada kunci perangkat lunak. Audit, Tolak, Dinonaktifkan 1.0.1
Kunci harus berupa RSA atau EC jenis kriptografi yang ditentukan Beberapa aplikasi memerlukan penggunaan kunci yang didukung oleh jenis kriptografi tertentu. Terapkan jenis kunci kriptografi tertentu, RSA atau EC, di lingkungan Anda. Audit, Tolak, Dinonaktifkan 1.0.1
Kunci harus memiliki lebih dari jumlah hari sebelum kedaluwarsa yang ditentukan Jika kunci terlalu dekat dengan kedaluwarsa, penundaan organisasi untuk memutar kunci dapat mengakibatkan ketidaktersediaan. Kunci harus diputar pada jumlah hari yang ditentukan sebelum kedaluwarsa untuk memberikan waktu yang cukup untuk bereaksi terhadap kegagalan. Audit, Tolak, Dinonaktifkan 1.0.1
Kunci harus memiliki periode validitas maksimum yang ditentukan Kelola persyaratan kepatuhan organisasi Anda dengan menentukan jumlah waktu maksimum dalam hari kunci berstatus valid dalam brankas kunci Anda. Audit, Tolak, Dinonaktifkan 1.0.1
Kunci tidak boleh aktif lebih lama dari jumlah hari yang ditentukan Tentukan jumlah hari untuk kunci harus aktif. Kunci yang digunakan untuk jangka waktu yang lama meningkatkan kemungkinan penyerang dapat menyusupi kunci. Sebagai praktik keamanan yang baik, pastikan kunci Anda tidak aktif lebih dari dua tahun. Audit, Tolak, Dinonaktifkan 1.0.1
Kunci yang menggunakan kriptografi kurva eliptik harus memiliki nama kurva yang ditentukan Kunci yang didukung oleh kriptografi kurva elips dapat memiliki nama kurva yang berbeda. Beberapa aplikasi hanya kompatibel dengan kunci kurva elips tertentu. Terapkan jenis kunci kurva elips yang diizinkan untuk dibuat di lingkungan Anda. Audit, Tolak, Dinonaktifkan 1.0.1
Kunci yang menggunakan kriptografi RSA harus memiliki ukuran kunci minimum yang ditentukan Atur ukuran kunci minimum yang diperbolehkan untuk digunakan dengan brankas kunci Anda. Penggunaan kunci RSA dengan ukuran kunci kecil bukanlah praktik yang aman dan tidak memenuhi banyak persyaratan sertifikasi industri. Audit, Tolak, Dinonaktifkan 1.0.1
[Pratinjau]: Titik akhir privat harus dikonfigurasi untuk Azure Key Vault Tautan privat menyediakan cara untuk menghubungkan Key Vault ke sumber daya Azure Anda tanpa mengirimkan lalu lintas melalui internet publik. Tautan privat memberikan perlindungan mendalam terhadap penyelundupan data. Audit, Tolak, Dinonaktifkan pratinjau-1.1.0
Log sumber daya di HSM Terkelola Azure Key Vault harus diaktifkan Untuk membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi, Anda mungkin ingin mengaudit dengan mengaktifkan log sumber daya pada HSM Terkelola. Silakan ikuti instruksi di sini: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. AuditIfNotExists, Dinonaktifkan 1.0.0
Log sumber daya di Key Vault harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda membuat ulang jejak aktivitas yang akan digunakan untuk penyelidikan saat terjadi insiden keamanan atau jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Rahasia harus memiliki jenis konten yang ditetapkan Tag tipe konten membantu mengidentifikasi apakah rahasia adalah kata sandi, string koneksi, dll. Rahasia yang berbeda memiliki persyaratan rotasi yang berbeda. Tag jenis konten harus diatur pada rahasia. Audit, Tolak, Dinonaktifkan 1.0.1
Rahasia harus memiliki lebih dari jumlah hari sebelum kedaluwarsa yang ditentukan Jika rahasia terlalu dekat dengan kedaluwarsa, penundaan organisasi untuk memutar rahasia dapat mengakibatkan ketidaktersediaan. Rahasia harus diputar pada jumlah hari yang ditentukan sebelum kedaluwarsa untuk memberikan waktu yang cukup untuk bereaksi terhadap kegagalan. Audit, Tolak, Dinonaktifkan 1.0.1
Rahasia harus memiliki periode validitas maksimum yang ditentukan Kelola persyaratan kepatuhan organisasi Anda dengan menentukan jumlah waktu maksimum dalam hari rahasia berstatus valid dalam brankas kunci Anda. Audit, Tolak, Dinonaktifkan 1.0.1
Rahasia tidak boleh aktif lebih lama dari jumlah hari yang ditentukan Jika rahasia Anda telah dibuat dengan tanggal aktivasi yang ditetapkan di masa mendatang, Anda harus memastikan bahwa rahasia Anda tidak aktif lebih lama dari durasi yang ditentukan. Audit, Tolak, Dinonaktifkan 1.0.1

Kubernetes

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Kluster Kube yang didukung Azure Arc harus memasang ekstensi Azure Defender Ekstensi Azure Defender untuk Azure Arc memberikan perlindungan ancaman bagi kluster Kube yang didukung Arc. Ekstensi tersebut mengumpulkan data dari simpul dalam kluster dan mengirimkannya ke backend Azure Defender untuk Kube di cloud untuk dianalisis lebih lanjut. Pelajari lebih lanjut di https://docs.microsoft.com/azure/security-center/defender-for-kubernetes-azure-arc. AuditIfNotExists, Dinonaktifkan 3.0.0-pratinjau
[Pratinjau]: Kluster Azure Kubernetes Service harus mengaktifkan profil Azure Defender Azure Defender untuk Kube menyediakan kemampuan keamanan Kube cloud asli, termasuk pengerasan lingkungan, perlindungan beban kerja, dan perlindungan run-time.
Saat Anda mengaktifkan SecurityProfile.AzureDefender di kluster Azure Kubernetes Service Anda, agen akan disebarkan ke kluster Anda untuk mengumpulkan data peristiwa keamanan.
Pelajari lebih lanjut Azure Defender untuk Kube di https://docs.microsoft.com/azure/security-center/defender-for-kubernetes-introduction
Audit, Dinonaktifkan 1.0.0-pratinjau
Kluster Azure Kubernetes Service harus menonaktifkan metode autentikasi lokal Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa Kluster Azure Kubernetes Service harus secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari lebih lanjut di: https://aka.ms/aks-disable-local-accounts. Audit, Tolak, Dinonaktifkan 1.0.0
Kluster Privat Azure Kubernetes Service harus diaktifkan Aktifkan fitur kluster privat untuk kluster Azure Kubernetes Service untuk memastikan lalu lintas jaringan antara server API dan kumpulan simpul tetap berada di jaringan privat saja. Ini adalah persyaratan umum dalam banyak standar kepatuhan peraturan dan industri. Audit, Tolak, Dinonaktifkan 1.0.0
Add-on Azure Policy untuk layanan Kube (AKS) harus dipasang dan diaktifkan di kluster Anda Azure Policy Add-on for Kubernetes service (AKS) memperluas Gatekeeper v3, webhook pengontrol penerimaan untuk Open Policy Agent (OPA), untuk menerapkan penegakan dan pengamanan skala besar pada klaster Anda secara terpusat dan konsisten. Audit, Dinonaktifkan 1.0.2
Sistem operasi dan disk data di kluster Azure Kubernetes Service harus dienkripsi dengan kunci yang dikelola pelanggan Mengenkripsi OS dan disk data menggunakan kunci yang dikelola pelanggan memberikan lebih banyak kontrol dan fleksibilitas yang lebih besar dalam manajemen kunci. Ini adalah persyaratan umum dalam banyak standar kepatuhan peraturan dan industri. Audit, Tolak, Dinonaktifkan 1.0.0
[pratinjau]: Mengonfigurasi kluster Kubernetes yang didukung Azure Arc untuk memasang ekstensi Azure Defender Ekstensi Azure Defender untuk Azure Arc memberikan perlindungan ancaman bagi kluster Kube yang didukung Arc. Ekstensi ini mengumpulkan data dari simpul dalam kluster dan mengirimkannya ke backend Azure Defender untuk Kube di cloud untuk dianalisis lebih lanjut. Pelajari lebih lanjut di https://docs.microsoft.com/azure/security-center/defender-for-kubernetes-azure-arc. DeployIfNotExists, Dinonaktifkan pratinjau-2.0.0
[Pratinjau]: Konfigurasikan kluster Azure Kubernetes Service untuk mengaktifkan profil Azure Defender Azure Defender untuk Kube menyediakan kemampuan keamanan Kube cloud asli, termasuk pengerasan lingkungan, perlindungan beban kerja, dan perlindungan run-time.
Saat Anda mengaktifkan SecurityProfile.AzureDefender di kluster Azure Kubernetes Service Anda, agen akan disebarkan ke kluster Anda untuk mengumpulkan data peristiwa keamanan.
Pelajari lebih lanjut Azure Defender untuk Kube: https://docs.microsoft.com/azure/security-center/defender-for-kubernetes-introduction.
DeployIfNotExists, Dinonaktifkan 1.0.0-pratinjau
Konfigurasikan kluster Kube dengan konfigurasi GitOps yang ditentukan menggunakan rahasia HTTPS Sebarkan 'sourceControlConfiguration' ke kluster Kube untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori git yang ditentukan. Definisi ini memerlukan pengguna HTTPS dan rahasia kunci yang tersimpan di Key Vault. Untuk mengetahui instruksinya, kunjungi https://aka.ms/K8sGitOpsPolicy. deployIfNotExists, auditIfNotExists, dinonaktifkan 1.0.0
Konfigurasikan kluster Kubernetes dengan konfigurasi GitOps yang ditentukan tanpa rahasia Sebarkan 'sourceControlConfiguration' ke kluster Kube untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori git yang ditentukan. Definisi ini tidak memerlukan rahasia. Untuk mengetahui instruksinya, kunjungi https://aka.ms/K8sGitOpsPolicy. deployIfNotExists, auditIfNotExists, dinonaktifkan 1.0.0
Konfigurasikan kluster Kube dengan konfigurasi GitOps yang ditentukan menggunakan rahasia SSH Sebarkan 'sourceControlConfiguration' ke kluster Kube untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori git yang ditentukan. Definisi ini memerlukan rahasia kunci privat SSH di Key Vault. Untuk mengetahui instruksinya, kunjungi https://aka.ms/K8sGitOpsPolicy. deployIfNotExists, auditIfNotExists, dinonaktifkan 1.0.0
Sebarkan - Mengonfigurasi pengaturan diagnostik untuk Azure Kubernetes Service ke ruang kerja Analitik Log Menyebarkan pengaturan diagnostik Azure Kubernetes Service untuk mengalirkan log sumber daya ke ruang kerja Analitik Log. DeployIfNotExists, Dinonaktifkan 1.0.0
Menyebarkan Add-on Azure Policy ke kluster Azure Kubernetes Service Gunakan Add-on Azure Policy untuk mengelola dan melaporkan status kepatuhan kluster Azure Kubernetes Service (AKS) Anda. Untuk informasi selengkapnya, lihat https://aka.ms/akspolicydoc . deployIfNotExists 2.0.0
Batas sumber daya memori dan CPU kontainer kluster Kube tidak boleh melebihi batas yang ditetapkan Terapkan batas sumber daya CPU dan memori kontainer untuk mencegah serangan kehabisan sumber daya di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk AKS Engine serta Kube berkemampuan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . audit, tolak, dinonaktifkan 7.0.0
Wadah klaster Kubernetes tidak boleh berbagi ID proses host atau namespace IPC host Blokir kontainer pod agar tidak membagikan namespace ID proses host dan namespace IPC host di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.2 dan CIS 5.2.3 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk AKS Engine serta Kube berkemampuan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . audit, tolak, dinonaktifkan 3.0.1
Kontainer kluster Kube tidak boleh menggunakan antarmuka sysctl terlarang Kontainer tidak boleh menggunakan antarmuka sysctl terlarang dalam kluster Kube. Rekomendasi ini merupakan bagian dari Kebijakan Keamanan Pod yang dimaksudkan untuk meningkatkan keamanan lingkungan Kube. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes yang mengaktifkan AKS Engine dan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . audit, tolak, dinonaktifkan 4.0.1
Container kluster Kubernetes hanya boleh mendengarkan pada port yang diizinkan Batasi kontainer untuk mendengarkan hanya pada port yang diizinkan untuk mengamankan akses ke kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk AKS Engine serta Kube berkemampuan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . audit, tolak, dinonaktifkan 6.1.1
Kontainer kluster Kube hanya boleh menggunakan profil AppArmor yang diizinkan Container hanya boleh menggunakan profil AppArmor yang diizinkan di kluster Kubernetes. Rekomendasi ini merupakan bagian dari Kebijakan Keamanan Pod yang dimaksudkan untuk meningkatkan keamanan lingkungan Kube. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk AKS Engine serta Kube berkemampuan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . audit, tolak, dinonaktifkan 4.0.1
Kontainer kluster Kube hanya boleh menggunakan kemampuan yang diizinkan Batasi kemampuan untuk mengurangi permukaan serangan kontainer di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.8 dan CIS 5.2.9 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk AKS Engine serta Kube berkemampuan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . audit, tolak, dinonaktifkan 4.0.1
Kontainer kluster Kube hanya boleh menggunakan gambar yang diizinkan Gunakan gambar dari registry tepercaya untuk mengurangi risiko paparan kluster Kubernetes terhadap kerentanan yang tidak diketahui, masalah keamanan, dan gambar berbahaya. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes yang mengaktifkan AKS Engine dan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . audit, tolak, dinonaktifkan 7.0.0
Kontainer kluster Kube hanya boleh menggunakan ProcMountType yang diizinkan Kontainer Pod hanya dapat menggunakan ProcMountTypes yang diizinkan dalam kluster Kube. Rekomendasi ini merupakan bagian dari Kebijakan Keamanan Pod yang dimaksudkan untuk meningkatkan keamanan lingkungan Kube. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk AKS Engine serta Kube berkemampuan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . audit, tolak, dinonaktifkan 5.0.1
Kontainer kluster Kube hanya boleh menggunakan profil seccomp yang diizinkan Kontainer Pod hanya dapat menggunakan profil seccomp yang diizinkan dalam kluster Kube. Rekomendasi ini merupakan bagian dari Kebijakan Keamanan Pod yang dimaksudkan untuk meningkatkan keamanan lingkungan Kube. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk AKS Engine serta Kube berkemampuan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . audit, tolak, dinonaktifkan 4.0.1
Kontainer kluster Kube harus dijalankan dengan sistem file akar baca saja Jalankan kontainer dengan sistem file root hanya baca untuk melindungi dari perubahan saat run-time dengan binari berbahaya yang ditambahkan ke PATH di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes yang mengaktifkan AKS Engine dan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . audit, tolak, dinonaktifkan 4.0.1
Volume FlexVolume pod kluster Kube hanya boleh menggunakan driver yang diizinkan Volume FlexVolume pod hanya boleh menggunakan driver yang diizinkan dalam kluster Kube. Rekomendasi ini merupakan bagian dari Kebijakan Keamanan Pod yang dimaksudkan untuk meningkatkan keamanan lingkungan Kube. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes yang mengaktifkan AKS Engine dan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . audit, tolak, dinonaktifkan 3.0.1
Volume hostPath pod kluster Kube hanya boleh menggunakan jalur host yang diizinkan Batasi mount volume HostPath pod ke jalur host yang diizinkan di Cluster Kubernetes. Rekomendasi ini merupakan bagian dari Kebijakan Keamanan Pod yang dimaksudkan untuk meningkatkan keamanan lingkungan Kube. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk AKS Engine serta Kube berkemampuan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . audit, tolak, dinonaktifkan 4.0.1
Pod dan kontainer kluster Kube hanya boleh dijalankan dengan ID pengguna dan grup yang disetujui Kontrol ID pengguna, grup utama, grup tambahan, dan grup sistem file yang dapat digunakan pod dan kontainer untuk dijalankan di Cluster Kubernetes. Rekomendasi ini merupakan bagian dari Kebijakan Keamanan Pod yang dimaksudkan untuk meningkatkan keamanan lingkungan Kube. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes yang mengaktifkan AKS Engine dan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . audit, tolak, dinonaktifkan 4.0.2
Pod dan kontainer kluster Kube hanya boleh menggunakan opsi SELinux yang diizinkan Pod dan kontainer hanya boleh menggunakan opsi SELinux yang diizinkan dalam kluster Kube. Rekomendasi ini merupakan bagian dari Kebijakan Keamanan Pod yang dimaksudkan untuk meningkatkan keamanan lingkungan Kube. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk AKS Engine serta Kube berkemampuan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . audit, tolak, dinonaktifkan 4.0.1
Pod kluster Kubernetes hanya boleh menggunakan jenis volume yang diizinkan Pod hanya dapat menggunakan jenis volume yang diizinkan dalam kluster Kube. Rekomendasi ini merupakan bagian dari Kebijakan Keamanan Pod yang dimaksudkan untuk meningkatkan keamanan lingkungan Kube. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes yang mengaktifkan AKS Engine dan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . audit, tolak, dinonaktifkan 3.0.1
Pod kluster Kube hanya boleh menggunakan jaringan host dan rentang port yang disetujui Batasi akses pod ke jaringan host dan rentang port host yang diizinkan di kluster Kubernetes. Rekomendasi ini adalah bagian dari CIS 5.2.4 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk AKS Engine serta Kube berkemampuan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . audit, tolak, dinonaktifkan 4.0.1
Pod kluster Kube harus menggunakan label yang ditentukan Gunakan label yang ditentukan untuk mengidentifikasi pod dalam kluster Kube. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk AKS Engine serta Kube berkemampuan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . audit, tolak, dinonaktifkan 6.0.0
Layanan kluster Kube hanya boleh mendengarkan port yang diizinkan Batasi layanan untuk mendengarkan hanya pada port yang diizinkan untuk mengamankan akses ke kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk AKS Engine serta Kube berkemampuan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . audit, tolak, dinonaktifkan 6.1.1
Layanan kluster Kube hanya boleh menggunakan IP eksternal yang diizinkan Gunakan IP eksternal yang diizinkan untuk menghindari potensi serangan (CVE-2020-8554) pada kluster Kube. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . audit, tolak, dinonaktifkan 3.0.1
Kluster Kube seharusnya tidak mengizinkan kontainer dengan hak istimewa Jangan izinkan pembuatan kontainer yang diistimewakan di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.1 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk AKS Engine serta Kube berkemampuan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . audit, tolak, dinonaktifkan 7.0.0
Kluster Kube seharusnya hanya dapat diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Kemampuan ini saat ini tersedia secara umum untuk Kubernetes Service (AKS), dan dalam pratinjau untuk Kubernetes yang mengaktifkan AKS Engine dan Azure Arc. Untuk info selengkapnya, kunjungi https://aka.ms/kubepolicydoc audit, tolak, dinonaktifkan 6.0.0
[Preview]: Kluster Kube harus menonaktifkan pemasangan otomatis info masuk API Nonaktifkan pemasangan otomatis info masuk API untuk mencegah sumber daya Pod yang berpotensi disusupi untuk menjalankan perintah API terhadap kluster Kube. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . audit, tolak, dinonaktifkan 2.0.1-pratinjau
Kluster Kubernetes tidak boleh mengizinkan eskalasi hak istimewa kontainer Jangan izinkan kontainer berjalan dengan eskalasi hak istimewa untuk melakukan root di kluster Kubernetes. Rekomendasi ini adalah bagian dari CIS 5.2.5 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk AKS Engine serta Kube berkemampuan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . audit, tolak, dinonaktifkan 4.0.0
Kluster Kubernetes tidak boleh mengizinkan izin pengeditan titik akhir ClusterRole/system:aggregate-to-edit ClusterRole/system:aggregate-to-edit tidak boleh mengizinkan izin pengeditan titik akhir karena CVE-2021-25740, izin Titik Akhir & EndpointSlice memungkinkan penerusan lintas-Namespace, https://github.com/kubernetes/kubernetes/issues/103675. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes yang mengaktifkan AKS Engine dan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . Audit, Dinonaktifkan 1.0.0
[Pratinjau]: Kluster Kube tidak boleh memberikan kemampuan keamanan CAP_SYS_ADMIN Untuk mengurangi permukaan serangan kontainer Anda, batasi kemampuan CAP_SYS_ADMIN Linux. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . audit, tolak, dinonaktifkan 3.0.1-pratinjau
[Pratinjau]: Kluster Kube tidak boleh menggunakan kemampuan keamanan tertentu Cegah kemampuan keamanan spesifik pada kluster Kube untuk mencegah hak istimewa yang tidak dibenarkan pada sumber daya Pod. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . audit, tolak, dinonaktifkan 3.0.1-pratinjau
[Pratinjau]: Kluster Kube tidak boleh menggunakan namespace layanan default Cegah penggunaan namespace layanan default di kluster Kube untuk melindungi akses tidak sah untuk jenis sumber daya ConfigMap, Pod, Secret, Service, dan ServiceAccount. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . audit, tolak, dinonaktifkan 2.1.1-pratinjau
Kluster Kubernetes harus menggunakan penyeimbang muatan internal Gunakan penyeimbang muatan internal untuk membuat layanan Kubernetes hanya dapat diakses oleh aplikasi yang berjalan di jaringan virtual yang sama dengan kluster Kubernetes. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . audit, tolak, dinonaktifkan 6.0.0
Log sumber daya dalam Azure Kubernetes Service harus diaktifkan Log sumber daya Azure Kubernetes Service dapat membantu menciptakan kembali jalur aktivitas saat menyelidiki insiden keamanan. Aktifkan untuk memastikan log akan ada saat dibutuhkan AuditIfNotExists, Dinonaktifkan 1.0.0
Disk dan cache sementara untuk kumpulan simpul agen di kluster Azure Kubernetes Service harus dienkripsi di host Untuk meningkatkan keamanan data, data tersimpan pada host komputer virtual (VM) dari VM simpul Azure Kubernetes Service harus dienkripsi saat tidak aktif. Ini adalah persyaratan umum dalam banyak standar kepatuhan peraturan dan industri. Audit, Tolak, Dinonaktifkan 1.0.0

Lighthouse

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Mengizinkan id penyewa pengelola untuk onboarding melalui Azure Lighthouse Membatasi delegasi Azure Lighthouse untuk penyewa pengelola tertentu dapat meningkatkan keamanan dengan membatasi mereka yang dapat mengelola sumber daya Azure Anda. tolak 1.0.1
Delegasi audit cakupan ke penyewa pengelola Delegasi audit cakupan ke penyewa pengelola melalui Azure Lighthouse. Audit, Dinonaktifkan 1.0.0

Logic Apps

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Lingkungan Layanan Integrasi Logic Apps harus dienkripsi dengan kunci yang dikelola pelanggan Sebarkan ke Lingkungan Layanan Integrasi untuk mengelola enkripsi di seluruh data Logic Apps menggunakan kunci yang dikelola pelanggan. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci tersebut biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Audit, Tolak, Dinonaktifkan 1.0.0
Logic Apps harus disebarkan ke dalam Lingkungan Layanan Integrasi Menyebarkan Logic Apps ke Lingkungan Layanan Integrasi dalam jaringan virtual membuka fitur jaringan dan keamanan Logic Apps tingkat lanjut dan memberi Anda kontrol yang lebih besar atas konfigurasi jaringan Anda. Pelajari lebih lanjut di: https://aka.ms/integration-service-environment. Penyebaran ke Lingkungan Layanan Integrasi juga memungkinkan enkripsi dengan kunci yang dikelola pelanggan yang memberikan perlindungan data yang ditingkatkan dengan memungkinkan Anda mengelola kunci enkripsi. Kunci enkripsi sering kali untuk memenuhi persyaratan kepatuhan. Audit, Tolak, Dinonaktifkan 1.0.0
Log sumber daya di Logic Apps harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0

Machine Learning

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Ruang kerja Azure Machine Learning harus dienkripsi dengan kunci yang dikelola pelanggan Kelola enkripsi pada data ruang kerja Azure Machine Learning lainnya dengan kunci yang dikelola pelanggan. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. Pelajari lebih lanjut di https://aka.ms/azureml-workspaces-cmk. Audit, Tolak, Dinonaktifkan 1.0.3
Ruang kerja Azure Machine Learning harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Tautan Pribadi menangani konektivitas antara konsumen dan layanan melalui jaringan tulang punggung Azure. Dengan memetakan titik akhir pribadi ke ruang kerja Azure Machine Learning, risiko kebocoran data berkurang. Pelajari lebih lanjut tentang tautan privat di: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Tolak, Dinonaktifkan 1.1.0
Ruang kerja Azure Machine Learning harus menggunakan identitas terkelola yang ditetapkan pengguna Akses Manange ke ruang kerja Azure ML dan sumber daya terkait, Azure Container Registry, KeyVault, Azure Storage, dan App Insights menggunakan identitas terkelola yang ditetapkan pengguna. Secara default, identitas terkelola yang ditetapkan sistem digunakan oleh ruang kerja Azure ML untuk mengakses sumber daya terkait. Identitas terkelola yang ditetapkan pengguna memungkinkan Anda untuk membuat identitas sebagai sumber daya Azure dan mempertahankan siklus hidup identitas tersebut. Pelajari selengkapnya di https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. Audit, Tolak, Dinonaktifkan 1.0.0
[Pratinjau]: Konfigurasikan penulis modul yang diizinkan untuk komputasi Azure Machine Learning yang ditentukan Berikan penulis modul yang diizinkan dalam komputasi Azure Machine Learning tertentu dan dapat ditetapkan di ruang kerja. Untuk mengetahui informasi selengkapnya, buka https://aka.ms/amlpolicydoc. enforceSetting, dinonaktifkan 3.0.0-pratinjau
[Pratinjau]: Konfigurasikan paket Python yang diizinkan untuk komputasi Azure Machine Learning yang ditentukan Berikan paket Python yang diizinkan dalam komputasi Azure Machine Learning tertentu dan dapat ditetapkan di ruang kerja. Untuk mengetahui informasi selengkapnya, buka https://aka.ms/amlpolicydoc. enforceSetting, dinonaktifkan 3.0.0-pratinjau
[Pratinjau]: Konfigurasikan registri yang diizinkan untuk komputasi Azure Machine Learning yang ditentukan Berikan registri yang diizinkan dalam komputasi Azure Machine Learning tertentu dan dapat ditetapkan di ruang kerja. Untuk mengetahui informasi selengkapnya, buka https://aka.ms/amlpolicydoc. enforceSetting, dinonaktifkan 3.0.0-pratinjau
[Pratinjau]: Konfigurasikan titik akhir persetujuan yang dipanggil sebelum tugas yang berjalan untuk komputasi Azure Machine Learning yang ditentukan Konfigurasikan titik akhir persetujuan yang dipanggil sebelum tugas yang berjalan untuk komputasi Azure Machine Learning yang ditentukan dan dapat ditetapkan di ruang kerja. Untuk informasi selengkapnya. Untuk mengetahui informasi selengkapnya, buka https://aka.ms/amlpolicydoc. enforceSetting, dinonaktifkan 3.0.0-pratinjau
Mengonfigurasikan ruang kerja Azure Machine Learning untuk menggunakan zona DNS privat Gunakan zona DNS privat untuk mengambil alih resolusi DNS untuk titik akhir privat. Zona DNS privat menautkan ke jaringan virtual Anda untuk mengatasi ke ruang kerja Azure Machine Learning. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. DeployIfNotExists, Dinonaktifkan 1.0.0
Konfigurasikan ruang kerja Azure Machine Learning dengan titik akhir privat Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke ruang kerja Azure Machine Learning Anda, Anda dapat mengurangi risiko kebocoran data. Pelajari lebih lanjut tentang tautan privat di: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. DeployIfNotExists, Dinonaktifkan 1.0.0
[Pratinjau]: Konfigurasikan penandatanganan kode untuk kode pelatihan komputasi Azure Machine Learning tertentu Berikan penandatanganan kode untuk kode pelatihan dalam komputasi Azure Machine Learning tertentu dan dapat ditetapkan di ruang kerja. Untuk mengetahui informasi selengkapnya, buka https://aka.ms/amlpolicydoc. enforceSetting, dinonaktifkan 3.1.0-pratinjau
[Pratinjau]: Konfigurasikan ekspresi filter log dan datastore yang akan digunakan untuk log lengkap komputasi Azure Machine Learning yang ditentukan Berikan ekspresi filter log dan datastore yang akan digunakan untuk log lengkap di komputasi Azure Machine Learning yang ditentukan dan dapat ditetapkan pada ruang kerja. Untuk mengetahui informasi selengkapnya, buka https://aka.ms/amlpolicydoc. enforceSetting, dinonaktifkan 3.0.0-pratinjau
Konfigurasikan komputasi Azure Machine Learning agar menonaktifkan metode autentikasi lokal Nonaktifkan metode autentikasi lokal agar komputasi Azure Machine Learning mewajibkan identitas Azure Active Directory secara eksklusif untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/azure-ml-aad-policy. Ubah, Non-fungsikan 1.0.0
Komputasi Azure Machine Learning harus menonaktifkan metode autentikasi lokal Menonaktifkan metode autentikasi lokal akan meningkatkan keamanan dengan memastikan bahwa komputasi Azure Machine Learning mewajibkan identitas Azure Active Directory secara eksklusif untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/azure-ml-aad-policy. Audit, Tolak, Dinonaktifkan 1.0.0

Aplikasi Terkelola

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Definisi aplikasi untuk Aplikasi Terkelola harus menggunakan akun penyimpanan yang disediakan pelanggan Gunakan akun penyimpanan Anda sendiri untuk mengontrol data definisi aplikasi ketika proses ini merupakan persyaratan peraturan atau kepatuhan. Anda dapat memilih untuk menyimpan definisi aplikasi terkelola dalam akun penyimpanan yang Anda sediakan selama pembuatan, sehingga lokasi dan aksesnya dapat dikelola sepenuhnya oleh Anda untuk memenuhi persyaratan kepatuhan peraturan. audit, tolak, dinonaktifkan 1.0.0
Menyebarkan asosiasi untuk aplikasi terkelola Menyebarkan sumber daya asosiasi yang mengasosiasikan jenis sumber daya terpilih ke aplikasi terkelola yang ditentukan. Penyebaran kebijakan ini tidak mendukung jenis sumber daya bertingkat. deployIfNotExists 1.0.0

Media Services

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Akun Azure Media Services harus menonaktifkan akses jaringan publik Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa sumber daya Media Services tidak terpapar di internet publik. Membuat titik akhir privat dapat membatasi pemaparan sumber daya Media Services. Pelajari lebih lanjut di: https://aka.ms/mediaservicesprivatelinkdocs. Audit, Tolak, Dinonaktifkan 1.0.0
Akun Azure Media Services harus menggunakan API yang mendukung Private Link Akun Media Services harus dibuat dengan API yang mendukung private link. Audit, Tolak, Dinonaktifkan 1.0.0
Akun Azure Media Services yang mengizinkan akses ke warisan v2 API harus diblokir Media Services warisan v2 API memungkinkan permintaan yang tidak dapat dikelola menggunakan Azure Policy. Sumber daya Media Services yang dibuat menggunakan API 01-05-2020 atau yang lebih baru memblokir akses ke warisan v2 API. Audit, Tolak, Dinonaktifkan 1.0.0
Kebijakan kunci konten Azure Media Services harus menggunakan autentikasi token Kebijakan kunci konten menentukan kondisi yang harus dipenuhi untuk mengakses kunci konten. Pembatasan token memastikan kunci konten hanya dapat diakses oleh pengguna yang memiliki token yang valid dari layanan autentikasi, contohnya Azure Active Directory. Audit, Tolak, Dinonaktifkan 1.0.0
Pekerjaan Azure Media Services dengan input HTTPS harus membatasi URI input ke pola URI yang diizinkan Batasi input HTTPS yang digunakan oleh pekerjaan Media Services ke titik akhir yang diketahui. Input dari titik akhir HTTPS dapat dinonaktifkan sepenuhnya dengan mengatur daftar kosong pola input pekerjaan yang diizinkan. Di mana input pekerjaan menentukan 'baseUri', polanya akan dicocokkan dengan nilai ini; ketika 'baseUri' tidak diatur, pola dicocokkan dengan properti 'file'. Tolak, Dinonaktifkan 1.0.1
Azure Media Services harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir privat ke Media Services, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/mediaservicesprivatelinkdocs. AuditIfNotExists, Dinonaktifkan 1.0.0
Konfigurasi Azure Media Services untuk menggunakan zona DNS privat Gunakan zona DNS privat untuk mengambil alih resolusi DNS untuk titik akhir privat. Zona DNS privat ditautkan ke jaringan virtual Anda untuk diselesaikan ke akun Media Services. Pelajari lebih lanjut di: https://aka.ms/mediaservicesprivatelinkdocs. DeployIfNotExists, Dinonaktifkan 1.0.0
Konfigurasi Azure Media Services dengan titik akhir privat Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Dengan memetakan titik akhir privat ke Media Services, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/mediaservicesprivatelinkdocs. DeployIfNotExists, Dinonaktifkan 1.0.0

Migrate

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Mengonfigurasi sumber daya Azure Migrate untuk menggunakan zona DNS pribadi Gunakan zona DNS privat untuk mengambil alih resolusi DNS untuk titik akhir privat. Zona DNS pribadi tertaut ke jaringan virtual Anda untuk mengatasi proyek Azure Migrate Anda. Pelajari lebih lanjut di: https://aka.ms/privatednszone. DeployIfNotExists, Dinonaktifkan 1.0.0

Pemantauan

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: [Pratinjau Pribadi ASC] Mengonfigurasi identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Azure Monitor di VM [Pratinjau Pribadi ASC] Mengonfigurasi identitas terkelola yang ditetapkan sistem ke komputer virtual yang dihosting di Azure yang didukung oleh Azure Monitor yang tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem merupakan prasyarat untuk semua penugasan Azure Monitor dan harus ditambahkan ke komputer sebelum menggunakan ekstensi Azure Monitor apa pun. Komputer virtual target harus berada di lokasi yang didukung. Ubah, Nonaktif 3.0.0-pratinjau
Log aktivitas harus disimpan setidaknya selama satu tahun Kebijakan ini mengaudit log aktivitas jika retensi tidak disetel selama 365 hari atau selamanya (hari retensi disetel ke 0). AuditIfNotExists, Dinonaktifkan 1.0.0
Peringatan log aktivitas harus ada untuk operasi Administratif tertentu Kebijakan ini mengaudit operasi Administratif tertentu tanpa pemberitahuan log aktivitas yang dikonfigurasi. AuditIfNotExists, Dinonaktifkan 1.0.0
Peringatan log aktivitas harus ada untuk operasi Kebijakan tertentu Kebijakan ini mengaudit operasi Kebijakan tertentu tanpa pemberitahuan log aktivitas yang dikonfigurasi. AuditIfNotExists, Dinonaktifkan 3.0.0
Peringatan log aktivitas harus ada untuk operasi Keamanan tertentu Kebijakan ini mengaudit operasi Keamanan tertentu tanpa peringatan log aktivitas yang dikonfigurasi. AuditIfNotExists, Dinonaktifkan 1.0.0
Komponen Application Insights harus memblokir penyerapan log dan kueri dari jaringan publik Tingkatkan keamanan Application Insights dengan memblokir penyerapan log dan kueri dari jaringan publik. Hanya jaringan yang tersambung dengan tautan privat yang dapat menyerap dan mengkueri log komponen ini. Pelajari selengkapnya di https://aka.ms/AzMonPrivateLink. audit, tolak, dinonaktifkan 1.0.0
Komponen Application Insights akan memblokir penyerapan yang tidak berbasis Azure Active Directory. Menerapkan penyerapan log untuk mewajibkan autentikasi Azure Active Directory akan mencegah log tak terautentikasi dari penyerang yang dapat mengakibatkan kesalahan status, pemberitahuan palsu, dan penyimpanan log yang salah di sistem. Tolak, Audit, Nonaktifkan 1.0.0
Komponen Application Insights dengan Private Link yang diaktifkan harus menggunakan akun Bring Your Own Storage untuk profiler dan debugger. Untuk mendukung tautan privat dan kebijakan kunci yang dikelola pelanggan, buat akun penyimpanan Anda sendiri untuk profiler dan debugger. Pelajari lebih lanjut di https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage Tolak, Audit, Nonaktifkan 1.0.0
Pengaturan diagnostik audit Audit pengaturan diagnostik untuk jenis sumber daya yang dipilih AuditIfNotExists 1.0.0
Azure Log Search Alerts di ruang kerja Log Analytics harus menggunakan kunci yang dikelola pelanggan Pastikan Azure Log Search Alerts menerapkan kunci yang dikelola pelanggan, dengan menyimpan teks kueri menggunakan akun penyimpanan yang telah disediakan pelanggan untuk ruang kerja Log Analytics yang dikueri. Untuk informasi selengkapnya, kunjungi https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. Audit, Dinonaktifkan, Tolak 1.0.0
Profil log Azure Monitor harus mengumpulkan log untuk kategori 'tulis,' 'hapus,' dan 'tindakan' Kebijakan ini memastikan bahwa profil log mengumpulkan log untuk kategori 'tulis,' 'hapus,' dan 'tindakan' AuditIfNotExists, Dinonaktifkan 1.0.0
Kluster Log Azure Monitor harus dibuat dengan enkripsi infrastruktur yang diaktifkan (enkripsi ganda) Untuk memastikan enkripsi data yang aman diaktifkan di tingkat layanan dan tingkat infrastruktur dengan dua algoritma enkripsi yang berbeda dan dua kunci yang berbeda, gunakan kluster khusus Azure Monitor. Opsi ini diaktifkan secara default bila didukung di wilayah tersebut, lihat https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. mengaudit, menolak, menonaktifkan 1.0.0
Kluster Log Azure Monitor harus dienkripsi dengan kunci yang dikelola pelanggan Buat kluster log Azure Monitor dengan enkripsi kunci yang dikelola pelanggan. Secara default, data log dienkripsi dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi kepatuhan terhadap peraturan. Kunci yang dikelola pelanggan di Azure Monitor memberi lebih banyak kontrol atas akses ke data Anda, lihat https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. mengaudit, menolak, menonaktifkan 1.0.0
Log Azure Monitor untuk Application Insights harus ditautkan ke ruang kerja Analitik Log Tautkan komponen Application Insights ke ruang kerja Analitik Log untuk enkripsi log. Kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi kepatuhan terhadap peraturan dan untuk kontrol yang lebih atas akses ke data Anda di Azure Monitor. Menautkan komponen Anda ke ruang kerja Analitik Log yang diaktifkan dengan kunci yang dikelola pelanggan, memastikan bahwa log Application Insights Anda memenuhi persyaratan kepatuhan ini, lihat https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. mengaudit, menolak, menonaktifkan 1.0.0
Azure Monitor Private Link Scope harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir privat ke Azure Monitor Private Link Scope, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Monitor harus mengumpulkan log aktivitas dari semua wilayah Kebijakan ini mengaudit profil log Azure Monitor yang tidak mengekspor aktivitas dari semua wilayah yang didukung Azure termasuk global. AuditIfNotExists, Dinonaktifkan 2.0.0
Solusi Azure Monitor 'Keamanan dan Audit' harus disebarkan Kebijakan ini memastikan bahwa Keamanan dan Audit disebarkan. AuditIfNotExists, Dinonaktifkan 1.0.0
Langganan Azure harus memiliki profil log untuk Log Aktivitas Kebijakan ini memastikan jika profil log diaktifkan untuk mengekspor log aktivitas. Ini mengaudit jika tidak ada profil log yang dibuat untuk mengekspor log ke akun penyimpanan atau ke hub acara. AuditIfNotExists, Dinonaktifkan 1.0.0
Konfigurasikan Pengaitan untuk menautkan komputer Linux ke Aturan Pengumpulan Data Menyebarkan Pengaitan untuk menautkan komputer virtual Linux ke Aturan Pengumpulan Data tertentu. Daftar citra OS diperbarui dari waktu ke waktu seiring meningkatnya dukungan. DeployIfNotExists, Nonaktif 1.0.0
Konfigurasikan Pengaitan untuk menautkan komputer virtual Windows ke Aturan Pengumpulan Data Menyebarkan Pengaitan untuk menautkan komputer virtual Windows ke Aturan Pengumpulan Data tertentu. Daftar citra OS diperbarui dari waktu ke waktu seiring meningkatnya dukungan. DeployIfNotExists, Nonaktif 1.0.0
Mengonfigurasi log Aktivitas Azure untuk mengalirkan ke ruang kerja Analitik Log yang ditentukan Menyebarkan pengaturan diagnostik untuk Aktivitas Azure untuk mengalirkan jejak audit langganan ke ruang kerja Analitik Log guna memantau kejadian tingkat langganan DeployIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasi komponen Azure Application Insights untuk menonaktifkan akses jaringan publik untuk penyerapan dan pengkuerian log Nonaktifkan penyerapan dan pengkuerian log komponen dari akses jaringan publik untuk meningkatkan keamanan. Hanya jaringan yang tersambung dengan tautan privat yang dapat menyerap dan mengkueri log di ruang kerja ini. Pelajari selengkapnya di https://aka.ms/AzMonPrivateLink. Ubah, Non-fungsikan 1.1.0
Mengonfigurasi ruang kerja Azure Log Analytics untuk menonaktifkan akses jaringan publik penyerapan dan pengkuerian log Tingkatkan keamanan ruang kerja dengan memblokir penyerapan log dan kueri dari jaringan publik. Hanya jaringan yang tersambung dengan tautan privat yang dapat menyerap dan mengkueri log di ruang kerja ini. Pelajari selengkapnya di https://aka.ms/AzMonPrivateLink. Ubah, Non-fungsikan 1.1.0
Mengonfigurasi Azure Monitor Private Link Scope untuk menggunakan zona DNS privat Gunakan zona DNS privat untuk mengambil alih resolusi DNS untuk titik akhir privat. Zona DNS privat menautkan ke jaringan virtual Anda untuk menangani cakupan tautan privat Azure Monitor. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. DeployIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasi Azure Monitor Private Link Scope dengan titik akhir privat Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Dengan memetakan titik akhir privat ke Azure Monitor Private Link Scope, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. DeployIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasi agen Dependensi pada server Linux yang diaktifkan Azure Arc Aktifkan insight VM di server dan komputer yang tersambung ke Azure melalui server yang diaktifkan Arc dengan memasang ekstensi komputer virtual agen Dependensi. Insight VM menggunakan agen Dependensi untuk mengumpulkan metrik jaringan dan menemukan data tentang proses yang berjalan pada komputer dan dependensi proses eksternal. Lihat selengkapnya - https://aka.ms/vminsightsdocs. DeployIfNotExists, Dinonaktifkan 2.0.0
Mengonfigurasi agen Dependensi pada server Windows yang diaktifkan Azure Arc Aktifkan insight VM di server dan komputer yang tersambung ke Azure melalui server yang diaktifkan Arc dengan memasang ekstensi komputer virtual agen Dependensi. Insight VM menggunakan agen Dependensi untuk mengumpulkan metrik jaringan dan menemukan data tentang proses yang berjalan pada komputer dan dependensi proses eksternal. Lihat selengkapnya - https://aka.ms/vminsightsdocs. DeployIfNotExists, Dinonaktifkan 2.0.0
Konfigurasikan komputer virtual Linux dengan Agen Azure Monitor Menyebarkan Agen Azure Monitor untuk komputer virtual Linux jika lokasi dan citra komputer virtual (OS) tercantum dalam daftar yang ditentukan dan agen tidak dipasang. Daftar citra OS diperbarui dari waktu ke waktu seiring meningkatnya dukungan. DeployIfNotExists, Nonaktif 1.0.0
Mengonfigurasi agen Analitik Log di server Linux yang diaktifkan Azure Arc Aktifkan insight VM di server dan komputer yang tersambung ke Azure melalui server yang diaktifkan Arc dengan memasang ekstensi komputer virtual agen Analitik Log. Insight VM menggunakan agen Analitik Log untuk mengumpulkan data performa OS tamu, dan memberikan insight tentang performa OS tamu. Lihat selengkapnya - https://aka.ms/vminsightsdocs. DeployIfNotExists, Dinonaktifkan 2.0.0
Mengonfigurasi agen Analitik Log di server Windows yang diaktifkan Azure Arc Aktifkan insight VM di server dan komputer yang tersambung ke Azure melalui server yang diaktifkan Arc dengan memasang ekstensi komputer virtual agen Analitik Log. Insight VM menggunakan agen Analitik Log untuk mengumpulkan data performa OS tamu, dan memberikan insight tentang performa OS tamu. Lihat selengkapnya - https://aka.ms/vminsightsdocs. DeployIfNotExists, Dinonaktifkan 2.0.0
Mengonfigurasi ruang kerja dan akun automasi Log Analytics untuk memusatkan log dan pemantauan Terapkan grup sumber daya yang berisi ruang kerja Log Analytics dan akun automasi tertaut untuk memusatkan log dan pemantauan. Akun automasi adalah prasyarat untuk solusi seperti Pembaruan dan Pelacakan Perubahan. DeployIfNotExists, AuditIfNotExists, Dinonaktifkan 1.0.0
Konfigurasikan komputer virtual Windows dengan Agen Azure Monitor Menyebarkan Agen Azure Monitor untuk komputer virtual Windows jika lokasi dan citra komputer virtual (OS) tercantum dalam daftar yang ditentukan dan agen tidak dipasang. Daftar citra OS diperbarui dari waktu ke waktu seiring meningkatnya dukungan. DeployIfNotExists, Nonaktif 2.0.0
Agen dependensi harus diaktifkan untuk citra komputer virtual yang tercantum Laporkan komputer virtual sebagai tidak patuh jika gambar komputer virtual tidak ada dalam daftar yang ditentukan dan agen tidak dipasang. Daftar gambar OS diperbarui dari waktu ke waktu saat dukungan diperbarui. AuditIfNotExists, Dinonaktifkan 2.0.0
Agen Dependensi harus diaktifkan dalam set skala komputer virtual untuk citra komputer virtual yang tercantum Melaporkan set skala komputer virtual sebagai tidak patuh jika citra komputer virtual tidak tercantum dalam daftar yang ditentukan dan agen tidak dipasang. Daftar gambar OS diperbarui dari waktu ke waktu saat dukungan diperbarui. AuditIfNotExists, Dinonaktifkan 2.0.0
Menyebarkan - Mengonfigurasi agen Dependensi agar diaktifkan pada set skala komputer virtual Windows Sebarkan agen Dependensi untuk set skala komputer virtual Windows jika gambar komputer virtual ada dalam daftar yang ditentukan dan agen tidak dipasang. Jika upgradePolicy set skala Anda diatur ke Manual, Anda perlu menerapkan ekstensi ke semua komputer virtual di set dengan memperbaruinya. DeployIfNotExists, Dinonaktifkan 2.0.0
Menyebarkan - Mengonfigurasi agen Dependensi agar diaktifkan pada komputer virtual Windows Menyebarkan agen Dependensi untuk komputer virtual Windows jika gambar komputer virtual ada dalam daftar yang ditentukan dan agen tidak dipasang. DeployIfNotExists, Dinonaktifkan 2.0.0
Menyebarkan - Mengonfigurasi pengaturan diagnostik ke ruang kerja Analitik Log untuk diaktifkan di HSM Terkelola Azure Key Vault Menyebarkan pengaturan diagnostik untuk HSM Terkelola Azure Key Vault untuk mengalirkan ke ruang kerja Analitik Log wilayah saat HSM Terkelola Azure Key Vault yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. DeployIfNotExists, Dinonaktifkan 1.0.0
Menyebarkan - Mengonfigurasi agen Analitik Log agar diaktifkan pada set skala komputer virtual Windows Sebarkan agen Analitik Log untuk set skala komputer virtual Windows jika gambar komputer virtual ada dalam daftar yang ditentukan dan agen tidak dipasang. Jika upgradePolicy set skala Anda diatur ke Manual, Anda perlu menerapkan ekstensi ke semua komputer virtual di set dengan memperbaruinya. DeployIfNotExists, Dinonaktifkan 2.0.0
Menyebarkan - Mengonfigurasi agen Analitik Log agar diaktifkan pada komputer virtual Windows Sebarkan agen Analitik Log untuk komputer virtual Windows jika gambar komputer virtual ada dalam daftar yang ditentukan dan agen tidak dipasang. DeployIfNotExists, Dinonaktifkan 2.0.0
Menyebarkan agen Dependensi untuk set skala komputer virtual Linux Sebarkan agen Dependensi untuk set skala komputer virtual Linux jika Gambar VM (OS) ada dalam daftar yang ditentukan dan agen tidak dipasang. Catatan: jika set skala upgradePolicy diatur ke Manual, Anda perlu menerapkan ekstensi ke semua komputer virtual di set dengan memanggil peningkatan pada komputer virtual. Dalam CLI ini akan berupa az vmss update-instances. deployIfNotExists 1.3.0
Terapkan agen Dependensi untuk komputer virtual Linux Menyebarkan agen Dependensi untuk komputer virtual Linux jika Gambar VM (OS) ada dalam daftar yang ditentukan dan agen tidak dipasang. deployIfNotExists 1.3.0
Menyebarkan Pengaturan Diagnostik untuk Akun Batch ke Hub Kejadian Menyebarkan pengaturan diagnostik untuk Akun Batch untuk mengalirkan ke Hub Kejadian wilayah saat Akun Batch yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. DeployIfNotExists, Dinonaktifkan 2.0.0
Menyebarkan Pengaturan Diagnostik untuk Akun Batch ke ruang kerja Analitik Log Menyebarkan pengaturan diagnostik untuk Akun Batch untuk mengalirkan ke ruang kerja Analitik Log wilayah saat Akun Batch yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. DeployIfNotExists, Dinonaktifkan 1.0.0
Menyebarkan Pengaturan Diagnostik untuk Data Lake Analytics ke Hub Kejadian Menyebarkan pengaturan diagnostik untuk Data Lake Analytics untuk mengalirkan ke Hub Kejadian wilayah saat Data Lake Analytics yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. DeployIfNotExists, Dinonaktifkan 2.0.0
Menyebarkan Pengaturan Diagnostik untuk Data Lake Analytics ke ruang kerja Analitik Log Menyebarkan pengaturan diagnostik untuk Data Lake Analytics untuk mengalirkan ke ruang kerja Analitik Log wilayah saat Data Lake Analytics yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. DeployIfNotExists, Dinonaktifkan 1.0.0
Menyebarkan Pengaturan Diagnostik untuk Azure Data Lake Storage Gen1 ke Hub Kejadian Menyebarkan pengaturan diagnostik untuk Azure Data Lake Storage Gen1 untuk mengalirkan ke Hub Kejadian wilayah saat Azure Data Lake Storage Gen1 yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. DeployIfNotExists, Dinonaktifkan 2.0.0
Menyebarkan Pengaturan Diagnostik untuk Azure Data Lake Storage Gen1 ke ruang kerja Analitik Log Menyebarkan pengaturan diagnostik untuk Azure Data Lake Storage Gen1 untuk mengalirkan ke ruang kerja Analitik Log wilayah saat Azure Data Lake Storage Gen1 yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. DeployIfNotExists, Dinonaktifkan 1.0.0
Menyebarkan Pengaturan Diagnostik untuk Hub Kejadian ke Hub Kejadian Menyebarkan pengaturan diagnostik untuk Hub Kejadian untuk mengalirkan ke Hub Kejadian wilayah saat Hub Kejadian yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. DeployIfNotExists, Dinonaktifkan 2.1.0
Menyebarkan Pengaturan Diagnostik untuk Hub Kejadian untuk ruang kerja Analitik Log Menyebarkan pengaturan diagnostik untuk Hub Kejadian untuk mengalirkan ke ruang kerja Analitik Log wilayah saat Hub Kejadian yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. DeployIfNotExists, Dinonaktifkan 1.1.0
Menyebarkan Pengaturan Diagnostik untuk Key Vault ke ruang kerja Analitik Log Menyebarkan pengaturan diagnostik untuk Azure Key Vault untuk mengalirkan ke ruang kerja Analitik Log wilayah saat Azure Key Vault yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. DeployIfNotExists, Dinonaktifkan 1.0.0
Menyebarkan Pengaturan Diagnostik untuk Azure Logic Apps ke Hub Kejadian Menyebarkan pengaturan diagnostik untuk Azure Logic Apps untuk mengalirkan ke Hub Kejadian wilayah saat Azure Logic Apps yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. DeployIfNotExists, Dinonaktifkan 2.0.0
Menyebarkan Pengaturan Diagnostik untuk Azure Logic Apps ke ruang kerja Analitik Log Menyebarkan pengaturan diagnostik untuk Azure Logic Apps untuk mengalirkan ke ruang kerja Analitik Log wilayah saat Azure Logic Apps yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. DeployIfNotExists, Dinonaktifkan 1.0.0
Menyebarkan Pengaturan Diagnostik untuk Kelompok Keamanan Jaringan Kebijakan ini secara otomatis menyebarkan pengaturan diagnostik ke kelompok keamanan jaringan. Akun penyimpanan dengan nama '{storagePrefixParameter}{NSGLocation}' akan dibuat secara otomatis. deployIfNotExists 1.0.0
Menyebarkan Pengaturan Diagnostik untuk Layanan Pencarian ke Hub Kejadian Menyebarkan pengaturan diagnostik untuk Layanan Pencarian untuk mengalirkan ke Hub Kejadian wilayah saat Layanan Pencarian yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. DeployIfNotExists, Dinonaktifkan 2.0.0
Menyebarkan Pengaturan Diagnostik untuk Layanan Pencarian ke ruang kerja Analitik Log Menyebarkan pengaturan diagnostik untuk Layanan Pencarian untuk mengalirkan ke ruang kerja Analitik Log wilayah saat Layanan Pencarian yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. DeployIfNotExists, Dinonaktifkan 1.0.0
Menyebarkan Pengaturan Diagnostik untuk Azure Service Bus ke Hub Kejadian Menyebarkan pengaturan diagnostik untuk Azure Service Bus untuk mengalirkan ke Hub Kejadian wilayah saat Azure Service Bus yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. DeployIfNotExists, Dinonaktifkan 2.0.0
Menyebarkan Pengaturan Diagnostik untuk Azure Service Bus ke ruang kerja Analitik Log Menyebarkan pengaturan diagnostik untuk Azure Service Bus untuk mengalirkan ke ruang kerja Analitik Log wilayah saat Azure Service Bus yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. DeployIfNotExists, Dinonaktifkan 2.0.0
Menyebarkan Pengaturan Diagnostik untuk Azure Stream Analytics ke Hub Kejadian Menyebarkan pengaturan diagnostik untuk Azure Stream Analytics untuk mengalirkan ke Hub Kejadian wilayah saat Azure Stream Analytics yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. DeployIfNotExists, Dinonaktifkan 2.0.0
Menyebarkan Pengaturan Diagnostik untuk Azure Stream Analytics ke ruang kerja Analitik Log Menyebarkan pengaturan diagnostik untuk Azure Stream Analytics untuk mengalirkan ke ruang kerja Analitik Log wilayah saat Azure Stream Analytics yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. DeployIfNotExists, Dinonaktifkan 1.0.0
Menyebarkan agen Analitik Log untuk set skala komputer virtual Linux Menyebarkan agen Analitik Log untuk set skala komputer virtual Linux jika Gambar VM (OS) ada dalam daftar yang ditentukan dan agen tidak dipasang. Catatan: jika set skala upgradePolicy diatur ke Manual, Anda perlu menerapkan ekstensi ke semua VM di set dengan memanggil peningkatan pada semua VM. Dalam CLI ini akan berupa az vmss update-instances. deployIfNotExists 2.0.0
Menyebarkan agen Analitik Log untuk VM Linux Menyebarkan agen Analitik Log untuk VM Linux jika Gambar VM (OS) ada dalam daftar yang ditentukan dan agen tidak dipasang. deployIfNotExists 2.0.0
[Pratinjau]: Agen Analitik Log harus diaktifkan untuk gambar komputer virtual yang dicantumkan Laporkan komputer virtual sebagai tidak patuh jika gambar komputer virtual tidak ada dalam daftar yang ditentukan dan agen tidak dipasang. AuditIfNotExists, Dinonaktifkan pratinjau-2.0.0
Agen Log Analytics harus diaktifkan dalam set skala komputer virtual untuk citra komputer virtual yang tercantum Melaporkan set skala komputer virtual sebagai tidak patuh jika citra komputer virtual tidak tercantum dalam daftar yang ditentukan dan agen tidak dipasang. AuditIfNotExists, Dinonaktifkan 2.0.0
[Pratinjau]: Agen Analitik Log harus dipasang di komputer Azure Arc Linux Anda Kebijakan ini mengaudit komputer Azure Arc Linux jika agen Analitik Log tidak dipasang. AuditIfNotExists, Dinonaktifkan 1.0.0-pratinjau
[Pratinjau]: Agen Analitik Log harus dipasang di komputer Azure Arc Windows Anda Kebijakan ini mengaudit komputer Azure Arc Windows jika agen Analitik Log tidak dipasang. AuditIfNotExists, Dinonaktifkan 1.0.0-pratinjau
Ruang kerja Analitik Log harus memblokir penyerapan log dan kueri dari jaringan publik Tingkatkan keamanan ruang kerja dengan memblokir penyerapan log dan kueri dari jaringan publik. Hanya jaringan yang tersambung dengan tautan privat yang dapat menyerap dan mengkueri log di ruang kerja ini. Pelajari selengkapnya di https://aka.ms/AzMonPrivateLink. audit, tolak, dinonaktifkan 1.0.0
Ruang Kerja Log Analytics akan memblokir penyerapan yang tidak berbasis Azure Active Directory. Menerapkan penyerapan log untuk mewajibkan autentikasi Azure Active Directory akan mencegah log tak terautentikasi dari penyerang yang dapat mengakibatkan kesalahan status, pemberitahuan palsu, dan penyimpanan log yang salah di sistem. Tolak, Audit, Nonaktifkan 1.0.0
[Pratinjau]: Agen pengumpulan data lalu lintas harus dipasang di komputer virtual Linux Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. AuditIfNotExists, Dinonaktifkan 1.0.1-pratinjau
[Pratinjau]: Agen pengumpulan data lalu lintas harus dipasang di komputer virtual Windows Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. AuditIfNotExists, Dinonaktifkan 1.0.1-pratinjau
Alamat IP publik harus mengaktifkan log sumber daya untuk Standar Azure DDoS Protection Aktifkan log sumber daya untuk alamat IP publik di pengaturan diagnostik untuk dialirkan ke ruang kerja Analitik Log. Dapatkan visibilitas mendetail tentang lalu lintas serangan dan tindakan yang diambil untuk mengurangi serangan DDoS melalui pemberitahuan, laporan, dan log alur. AuditIfNotExists, DeployIfNotExists, Dinonaktifkan 1.0.0
Kueri tersimpan di Azure Monitor harus disimpan di akun penyimpanan pelanggan untuk enkripsi log Tautkan akun penyimpanan ke ruang kerja Analitik Log untuk melindungi kueri tersimpan dengan enkripsi akun penyimpanan. Kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi kepatuhan peraturan dan untuk kontrol yang lebih atas akses ke kueri tersimpan Anda di Azure Monitor. Untuk detail selengkapnya tentang hal di atas, lihat https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal. mengaudit, menolak, menonaktifkan 1.0.0
Akun Azure Storage yang berisi kontainer dengan log aktivitas harus dienkripsi dengan BYOK Kebijakan ini melakukan audit jika Akun penyimpanan yang berisi kontainer dengan log aktivitas dienkripsi dengan BYOK. Kebijakan ini hanya berfungsi jika akun penyimpanan terletak pada langganan yang sama dengan log aktivitas berdasarkan desain. Informasi lebih lanjut tentang enkripsi saat tidak aktif Azure Storage dapat ditemukan di sini https://aka.ms/azurestoragebyok. AuditIfNotExists, Dinonaktifkan 1.0.0
Agen Analitik Log harus dipasang pada Microsoft Azure Virtual Machine Scale Sets Kebijakan ini mengaudit Virtual Machine Scale Sets Windows/Linux jika agen Analisis Log tidak diinstal. AuditIfNotExists, Dinonaktifkan 1.0.0
Agen Analytics Log harus dipasang di komputer virtual Kebijakan ini mengaudit semua komputer virtual Windows/Linux jika agen Log Analytics tidak diinstal. AuditIfNotExists, Dinonaktifkan 1.0.0
Komputer virtual harus terhubung ke ruang kerja yang ditentukan Melaporkan komputer virtual sebagai tidak patuh jika tidak masuk ke ruang kerja Log Analytics yang ditentukan dalam penugasan kebijakan/inisiatif. AuditIfNotExists, Nonaktif 1.1.0
Buku kerja harus disimpan ke akun penyimpanan yang Anda kontrol Dengan membawa penyimpanan sendiri (BYOS), buku kerja diunggah ke akun penyimpanan yang Anda kontrol. Itu berarti Anda mengontrol kebijakan enkripsi saat tidak aktif, kebijakan manajemen seumur hidup, dan akses jaringan. Namun, Anda akan bertanggung jawab atas biaya yang terkait dengan akun penyimpanan tersebut. Untuk informasi selengkapnya, buka https://aka.ms/workbooksByos menolak, mengaudit, menonaktifkan 1.0.0

Jaringan

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Kebijakan IPsec/IKE kustom harus diterapkan ke semua koneksi gateway jaringan virtual Azure Kebijakan ini memastikan bahwa semua koneksi gateway jaringan virtual Azure menggunakan kebijakan Keamanan Protokol Internet(Ipsec)/Pertukaran Kunci Internet(IKE) kustom. Algoritme dan kekuatan kunci yang didukung - https://aka.ms/AA62kb0 Audit, Dinonaktifkan 1.0.0
[Pratinjau]: Semua lalu lintas Internet harus dirutekan melalui Azure Firewall yang Anda sebarkan Azure Security Center telah mengidentifikasi bahwa beberapa subnet Anda tidak dilindungi dengan firewall generasi berikutnya. Lindungi subnet Anda dari potensi ancaman dengan membatasi akses ke mereka dengan Azure Firewall atau firewall generasi berikutnya yang didukung AuditIfNotExists, Dinonaktifkan 3.0.0-pratinjau
App Service harus menggunakan titik akhir layanan jaringan virtual Kebijakan ini mengaudit App Service apa pun yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. AuditIfNotExists, Dinonaktifkan 1.0.0
VPN gateway Azure tidak boleh menggunakan SKU 'dasar' Kebijakan ini memastikan bahwa VPN gateway tidak menggunakan SKU 'dasar'. Audit, Dinonaktifkan 1.0.0
Mengonfigurasikan grup keamanan jaringan untuk mengaktifkan analitik lalu lintas Analitik lalu lintas dapat diaktifkan untuk semua grup keamanan jaringan yang dihosting di wilayah tertentu dengan pengaturan yang disediakan selama pembuatan kebijakan. Jika sudah mengaktifkan Analitik lalu lintas, kebijakan tidak akan menimpa pengaturannya. Log Alur juga diaktifkan untuk Grup keamanan jaringan yang tidak memilikinya. Analitik lalu lintas adalah solusi berbasis cloud yang menyediakan visibilitas ke dalam aktivitas pengguna dan aplikasi di jaringan cloud. DeployIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasikan grup keamanan jaringan untuk menggunakan ruang kerja tertentu untuk analisis lalu lintas Jika sudah mengaktifkan analitik lalu lintas, kebijakan akan menimpa pengaturan yang ada dengan yang disediakan selama pembuatan kebijakan. Analitik lalu lintas adalah solusi berbasis cloud yang menyediakan visibilitas ke dalam aktivitas pengguna dan aplikasi di jaringan cloud. DeployIfNotExists, Dinonaktifkan 1.0.0
[Pratinjau]: Container Registry harus menggunakan titik akhir layanan jaringan virtual Kebijakan ini mengaudit Container Registry apa pun yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. Audit, Dinonaktifkan 1.0.0-pratinjau
Cosmos DB harus menggunakan titik akhir layanan jaringan virtual Kebijakan ini mengaudit Cosmos DB apa pun yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. Audit, Dinonaktifkan 1.0.0
Menyebarkan sumber daya log alur dengan grup keamanan jaringan target Konfigurasi log alur untuk grup keamanan jaringan tertentu. Hal ini akan memungkinkan untuk mencatat informasi tentang lalu lintas IP yang mengalir melalui grup keamanan jaringan. Log alur membantu mengidentifikasi lalu lintas yang tidak diketahui atau tidak diinginkan, memverifikasi isolasi jaringan dan kepatuhan terhadap aturan akses perusahaan, menganalisis aliran jaringan dari IP dan antarmuka jaringan yang disusupi. deployIfNotExists 1.0.0
Menyebarkan network watcher saat jaringan virtual dibuat Kebijakan ini membuat resource network watcher di wilayah dengan jaringan virtual. Anda perlu memastikan keberadaan grup sumber daya bernama networkWatcherRG, yang akan digunakan untuk menyebarkan instans network watcher. DeployIfNotExists 1.0.0
Event Hub harus menggunakan titik akhir layanan jaringan virtual Kebijakan ini mengaudit Pusat Aktivitas apa pun yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. AuditIfNotExists, Dinonaktifkan 1.0.0
Log alur harus dikonfigurasi untuk setiap grup keamanan jaringan Audit untuk grup keamanan jaringan untuk memverifikasi apakah log aliran dikonfigurasi. Mengaktifkan log alur memungkinkan untuk mencatat informasi tentang lalu lintas IP yang mengalir melalui kelompok keamanan jaringan. Ini dapat digunakan untuk mengoptimalkan alur jaringan, memantau throughput, memverifikasi kepatuhan, mendeteksi gangguan, dan banyak lagi. Audit, Dinonaktifkan 1.1.0
Log alur harus diaktifkan untuk setiap grup keamanan jaringan Audit sumber daya log alur untuk memverifikasi jika status log alur diaktifkan. Mengaktifkan log alur memungkinkan untuk mencatat informasi tentang lalu lintas IP yang mengalir melalui kelompok keamanan jaringan. Ini dapat digunakan untuk mengoptimalkan alur jaringan, memantau throughput, memverifikasi kepatuhan, mendeteksi gangguan, dan banyak lagi. Audit, Dinonaktifkan 1.0.0
Subnet gateway tidak boleh dikonfigurasi dengan grup keamanan jaringan Kebijakan ini menolak jika subnet gateway dikonfigurasi dengan grup keamanan jaringan. Menetapkan grup keamanan jaringan ke subnet gateway akan menyebabkan gateway berhenti berfungsi. tolak 1.0.0
Key Vault harus menggunakan titik akhir layanan jaringan virtual Kebijakan ini mengaudit Key Vault apa pun yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. Audit, Dinonaktifkan 1.0.0
Antarmuka jaringan harus menonaktifkan penerusan IP Kebijakan ini menolak antarmuka jaringan yang mengaktifkan penerusan IP. Pengaturan penerusan IP menonaktifkan pemeriksaan Azure terhadap sumber dan destinasi untuk antarmuka jaringan. Hal ini harus ditinjau oleh tim keamanan jaringan. tolak 1.0.0
Antarmuka jaringan tidak boleh memiliki IP publik Kebijakan ini menolak antarmuka jaringan yang dikonfigurasi dengan IP publik apa pun. Alamat IP publik memungkinkan sumber daya internet untuk berkomunikasi masuk ke sumber daya Azure, dan sumber daya Azure berkomunikasi keluar ke internet. Hal ini harus ditinjau oleh tim keamanan jaringan. tolak 1.0.0
Log alur Network Watcher harus mengaktifkan analitik lalu lintas Analitik lalu lintas menganalisis log alur kelompok keamanan jaringan Network Watcher untuk memberikan wawasan tentang arus lalu lintas di cloud Azure Anda. Ini dapat digunakan untuk memvisualisasikan aktivitas jaringan di seluruh langganan Azure Anda dan mengidentifikasi titik panas, mengidentifikasi ancaman keamanan, memahami pola arus lalu lintas, menentukan kesalahan konfigurasi jaringan, dan banyak lagi. Audit, Dinonaktifkan 1.0.0
Network Watcher harus diaktifkan Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan ujung ke ujung. Diperlukan untuk memiliki grup sumber daya pengawas jaringan untuk dibuat di setiap wilayah tempat jaringan virtual berada. Pemberitahuan diaktifkan jika grup sumber daya pengawas jaringan tidak tersedia di wilayah tertentu. AuditIfNotExists, Dinonaktifkan 3.0.0
Akses RDP dari Internet harus diblokir Kebijakan ini mengaudit aturan keamanan jaringan apa pun yang mengizinkan akses RDP dari Internet Audit, Dinonaktifkan 2.0.0
SQL Server harus menggunakan titik akhir layanan jaringan virtual Kebijakan ini mengaudit SQL Server yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. AuditIfNotExists, Dinonaktifkan 1.0.0
Akses SSH dari Internet harus diblokir Kebijakan ini mengaudit aturan keamanan jaringan apa pun yang memungkinkan akses SSH dari Internet Audit, Dinonaktifkan 2.0.0
Akun Penyimpanan harus menggunakan titik akhir layanan jaringan virtual Kebijakan ini mengaudit Akun Penyimpanan apa pun yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. Audit, Dinonaktifkan 1.0.0
Komputer virtual harus terhubung ke jaringan virtual yang disetujui Kebijakan ini mengaudit komputer virtual apa pun yang terhubung ke jaringan virtual yang tidak disetujui. Audit, Tolak, Dinonaktifkan 1.0.0
Jaringan virtual harus dilindungi oleh Standar Azure DDoS Protection Lindungi jaringan virtual Anda dari serangan volumetrik dan protokol dengan Standar Azure DDoS Protection. Untuk informasi selengkapnya, kunjungi https://aka.ms/ddosprotectiondocs. Ubah, Audit, Dinonaktifkan 1.0.0
Jaringan virtual harus menggunakan gateway jaringan virtual yang ditentukan Kebijakan ini mengaudit jaringan virtual apa pun jika rute default tidak mengarah ke gateway jaringan virtual yang ditentukan. AuditIfNotExists, Dinonaktifkan 1.0.0
Gateway VPN hanya boleh menggunakan autentikasi Azure Active Directory (Azure AD) untuk pengguna titik-ke-situs Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa Gateway VPN hanya menggunakan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya tentang autentikasi Azure AD di https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant Audit, Tolak, Dinonaktifkan 1.0.0
Web Application Firewall (WAF) harus diaktifkan untuk Application Gateway Menyebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. Audit, Tolak, Dinonaktifkan 1.0.1
Web Application Firewall (WAF) harus diaktifkan untuk layanan Azure Front Door Service Menyebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. Audit, Tolak, Dinonaktifkan 1.0.1
Web Application Firewall (WAF) harus menggunakan mode yang ditentukan untuk Azure Application Gateway Mengamanatkan penggunaan mode 'Deteksi' atau 'Pencegahan' untuk aktif di semua kebijakan Web Application Firewall untuk Azure Application Gateway. Audit, Tolak, Dinonaktifkan 1.0.0
Web Application Firewall (WAF) harus menggunakan mode yang ditentukan untuk Azure Front Door Service Mengamanatkan penggunaan mode 'Deteksi' atau 'Pencegahan' untuk aktif di semua kebijakan Web Application Firewall untuk Azure Front Door Service. Audit, Tolak, Dinonaktifkan 1.0.0

Portal

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Dasbor bersama tidak boleh memiliki ubin penurunan harga dengan konten sebaris Larang pembuatan dasbor bersama yang memiliki konten sebaris di ubin penurunan harga dan terapkan bahwa konten harus disimpan sebagai file penurunan harga yang dihosting secara online. Jika Anda menggunakan konten sebaris di ubin penurunan harga, Anda tidak dapat mengelola enkripsi konten. Dengan mengonfigurasi penyimpanan Anda sendiri, Anda dapat mengenkripsi, mengenkripsi ganda, dan bahkan membawa kunci Anda sendiri. Mengaktifkan kebijakan ini akan membatasi pengguna untuk menggunakan REST API dasbor bersama versi 01-09-2020 atau lebih tinggi. Audit, Tolak, Dinonaktifkan 1.0.0
Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Layanan Azure Cognitive Search harus menggunakan SKU yang mendukung tautan privat Dengan SKU Azure Cognitive Search yang didukung, Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke layanan Pencarian Anda, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Tolak, Dinonaktifkan 1.0.0
Layanan Azure Cognitive Search harus menonaktifkan akses jaringan publik Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa layanan Azure Cognitive Search Anda tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan layanan Pencarian Anda. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Tolak, Dinonaktifkan 1.0.0
Layanan Azure Cognitive Search harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif Mengaktifkan enkripsi saat tidak aktif menggunakan kunci yang dikelola pelanggan di layanan Azure Cognitive Search memberikan kontrol tambahan atas kunci yang digunakan untuk mengenkripsi data tidak aktif. Fitur ini sering diterapkan untuk pelanggan dengan persyaratan kepatuhan khusus untuk mengelola kunci enkripsi data menggunakan brankas kunci. Audit, Tolak, Dinonaktifkan 1.0.0
Layanan Azure Cognitive Search harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Cognitive Search, risiko kebocoran data berkurang. Pelajari lebih lanjut tautan privat di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Dinonaktifkan 1.0.0
Menonaktifkan layanan Azure Cognitive Search untuk menonaktifkan akses jaringan publik Nonaktifkan akses jaringan publik untuk layanan Azure Cognitive Search Anda sehingga tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari lebih lanjut di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Ubah, Non-fungsikan 1.0.0
Mengonfigurasi layanan Azure Cognitive Search untuk menggunakan zona DNS privat Gunakan zona DNS privat untuk mengambil alih resolusi DNS untuk titik akhir privat. Zona DNS privat tertaut ke jaringan virtual Anda untuk diselesaikan ke layanan Azure Cognitive Search. Pelajari lebih lanjut di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. DeployIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasi layanan Azure Cognitive Search dengan titik akhir privat Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke layanan Azure Cognitive Search, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. DeployIfNotExists, Dinonaktifkan 1.0.0
Log sumber daya di layanan Pencarian harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0

Security Center

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Maksimal 3 pemilik harus ditetapkan untuk langganan Anda Direkomendasikan untuk menetapkan hingga 3 pemilik langganan untuk mengurangi potensi pelanggaran oleh pemilik yang disusupi. AuditIfNotExists, Dinonaktifkan 3.0.0
Solusi penilaian kerentanan harus diaktifkan pada komputer virtual Anda Mengaudit komputer virtual untuk mendeteksi apakah mereka menjalankan solusi penilaian kerentanan yang didukung. Komponen inti dari setiap risiko dan program keamanan dunia maya adalah identifikasi dan analisis kerentanan. Tingkat harga standar Azure Security Center mencakup pemindaian kerentanan untuk komputer virtual Anda tanpa biaya tambahan. Selain itu, Pusat Keamanan dapat secara otomatis menyebarkan alat ini untuk Anda. AuditIfNotExists, Dinonaktifkan 3.0.0
Kontrol aplikasi adaptif untuk menetapkan aplikasi yang aman harus diaktifkan di komputer Anda Aktifkan kontrol aplikasi untuk menentukan daftar aplikasi yang diketahui aman yang sedang berjalan di komputer Anda, dan aktifkan pemberitahuan ketika aplikasi lain berjalan. Hal ini membantu memperkuat komputer Anda terhadap malware. Untuk menyederhanakan proses konfigurasi dan pemeliharaan aturan Anda, Security Center menggunakan pembelajaran mesin untuk menganalisis aplikasi yang berjalan di setiap komputer dan menyarankan daftar aplikasi yang diketahui aman. AuditIfNotExists, Dinonaktifkan 3.0.0
Rekomendasi pengerasan jaringan adaptif harus diterapkan pada komputer virtual yang menghadap internet Azure Security Center menganalisis pola lalu lintas komputer virtual yang dihadapi Internet dan memberikan rekomendasi aturan Grup Keamanan Jaringan yang mengurangi potensi serangan permukaan AuditIfNotExists, Dinonaktifkan 3.0.0
Semua port jaringan harus dibatasi pada grup keamanan jaringan yang terkait dengan komputer virtual Anda Azure Security Center telah mengidentifikasi beberapa aturan masuk grup keamanan jaringan Anda terlalu permisif. Aturan masuk tidak boleh mengizinkan akses dari rentang 'Apa pun' atau 'Internet'. Ini berpotensi memungkinkan penyerang untuk menargetkan sumber daya Anda. AuditIfNotExists, Dinonaktifkan 3.0.0
Aturan daftar yang diizinkan dalam kebijakan kontrol aplikasi adaptif Anda harus diperbarui Pantau perubahan perilaku pada grup mesin yang dikonfigurasi untuk diaudit oleh kontrol aplikasi adaptif Security Center. Security Center menggunakan pembelajaran mesin untuk menganalisis proses yang berjalan di mesin Anda dan menyarankan daftar aplikasi yang dikenal aman. Hal ini disajikan sebagai aplikasi yang disarankan untuk diizinkan dalam kebijakan kontrol aplikasi adaptif. AuditIfNotExists, Dinonaktifkan 3.0.0
Rentang IP resmi harus ditentukan di Layanan Kube Batasi akses ke API Manajemen Layanan Kube dengan memberikan akses API hanya ke alamat IP dalam rentang tertentu. Disarankan untuk membatasi akses ke rentang IP resmi untuk memastikan bahwa hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses kluster. Audit, Dinonaktifkan 2.0.1
Provisi otomatis agen Analitik Log harus diaktifkan pada langganan Anda Untuk memantau kerentanan dan ancaman keamanan, Azure Security Center mengumpulkan data dari komputer virtual Azure Anda. Data dikumpulkan oleh agen Log Analytics, sebelumnya dikenal sebagai Microsoft Monitoring Agent (MMA), yang membaca berbagai konfigurasi terkait keamanan dan log peristiwa dari komputer dan menyalin data ke ruang kerja Log Analytics Anda untuk analisis. Sebaiknya aktifkan penyediaan otomatis untuk menerapkan agen secara otomatis ke semua Azure VM yang didukung dan yang baru yang dibuat. AuditIfNotExists, Dinonaktifkan 1.0.1
Standar Azure DDoS Protection harus diaktifkan Standar perlindungan DDoS harus diaktifkan untuk semua jaringan virtual dengan subnet yang merupakan bagian dari gateway aplikasi dengan IP publik. AuditIfNotExists, Dinonaktifkan 3.0.0
Azure Defender untuk App Service harus diaktifkan Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk server Azure SQL Database harus diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk pendaftar penampung harus diaktifkan Azure Defender untuk pendaftar penampung menyediakan pemindaian kerentanan gambar apa pun yang ditarik dalam 30 hari terakhir, didorong ke registri Anda, atau diimpor, dan memaparkan temuan terperinci per gambar. AuditIfNotExists, Dinonaktifkan 1.0.3
[Pratinjau]: Azure Defender untuk DNS harus diaktifkan Azure Defender untuk DNS memberikan lapisan perlindungan tambahan untuk sumber daya cloud dengan terus memantau semua kueri DNS dari sumber daya Azure Anda. Azure Defender mengingatkan Anda tentang aktivitas yang mencurigakan di lapisan DNS. Pelajari lebih lanjut tentang kemampuan Azure Defender untuk DNS di https://aka.ms/defender-for-dns . Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari tentang detail harga per wilayah di halaman harga Azure Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Dinonaktifkan 1.0.0-pratinjau
Azure Defender untuk Key Vault harus diaktifkan Azure Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun key vault. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk Kubernetes harus diaktifkan Azure Defender for Kubernetes memberikan perlindungan ancaman real-time untuk lingkungan dalam kontainer dan menghasilkan peringatan untuk aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk database relasional sumber terbuka harus diaktifkan Azure Defender untuk database relasional sumber terbuka mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. Pelajari selengkapnya tentang kemampuan Azure Defender untuk database relasional sumber terbuka di https://aka.ms/AzDforOpenSourceDBsDocu. Penting: Mengaktifkan paket ini akan dikenakan biaya untuk melindungi database relasional sumber terbuka Anda. Pelajari tentang harga di halaman harga Security Center: https://aka.ms/pricing-security-center AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Defender untuk Resource Manager harus diaktifkan Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari lebih lanjut tentang kemampuan Azure Defender untuk Azure Resource Manager di https://aka.ms/defender-for-resource-manager . Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari tentang detail harga per wilayah di halaman harga Azure Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Defender untuk server harus diaktifkan Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk server SQL pada mesin harus diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk Penyimpanan harus diaktifkan Azure Defender for Storage menyediakan deteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. AuditIfNotExists, Dinonaktifkan 1.0.3
[Pratinjau]: Agen Azure Security harus terinstal pada mesin Linux Arc Anda Instal agen Azure Security pada mesin Linux Arc Anda untuk memantau konfigurasi dan kerentanan keamanan mesin Anda. Hasil penilaian dapat dilihat dan dikelola di Azure Security Center. AuditIfNotExists, Dinonaktifkan 1.0.0-pratinjau
[Pratinjau]: Agen Azure Security harus terinstal pada set skala mesin virtual Linux Anda Instal agen Azure Security pada set skala mesin virtual Linux Anda untuk memantau konfigurasi dan kerentanan keamanan mesin Anda. Hasil penilaian dapat dilihat dan dikelola di Azure Security Center. AuditIfNotExists, Dinonaktifkan 1.0.0-pratinjau
[Pratinjau]: Agen Azure Security harus terinstal pada mesin virtual Linux Anda Instal agen Azure Security di mesin virtual Linux Anda untuk memantau konfigurasi dan kerentanan keamanan mesin Anda. Hasil penilaian dapat dilihat dan dikelola di Azure Security Center. AuditIfNotExists, Dinonaktifkan 1.0.0-pratinjau
[Pratinjau]: Age Azure Security harus terinstal pada mesin Windows Arc Anda Instal agen Azure Security pada mesin Windows Arc Anda untuk memantau konfigurasi dan kerentanan keamanan mesin Anda. Hasil penilaian dapat dilihat dan dikelola di Azure Security Center. AuditIfNotExists, Dinonaktifkan 1.0.0-pratinjau
[Pratinjau]: Agen Azure Security harus terinstal pada set skala mesin virtual Windows Anda Instal agen Azure Security pada set skala mesin virtual Windows Anda untuk memantau konfigurasi dan kerentanan keamanan mesin Anda. Hasil penilaian dapat dilihat dan dikelola di Azure Security Center. AuditIfNotExists, Dinonaktifkan 1.0.0-pratinjau
[Pratinjau]: Agen Azure Security harus terinstal pada mesin virtual Windows Anda Instal agen Azure Security di mesin virtual Windows Anda untuk memantau konfigurasi dan kerentanan keamanan mesin Anda. Hasil penilaian dapat dilihat dan dikelola di Azure Security Center. AuditIfNotExists, Dinonaktifkan 1.0.0-pratinjau
Instans peran Azure Cloud Services (dukungan perpanjangan) harus dikonfigurasi dengan aman Lindungi instans peran Layanan Cloud Anda (dukungan perpanjangan) dari serangan dengan memastikan Layanan Cloud tidak terpapar pada kerentanan OS apa pun. AuditIfNotExists, Dinonaktifkan 1.0.0
Instans peran Azure Cloud Services (dukungan perpanjangan) harus memiliki solusi perlindungan titik akhir yang terpasang Lindungi instans peran Azure Cloud Services Anda (dukungan perpanjangan) dari ancaman dan kerentanan dengan memastikan solusi perlindungan titik akhir dipasang di Azure Cloud Services. AuditIfNotExists, Dinonaktifkan 1.0.0
Instans peran Azure Cloud Services (dukungan perpanjangan) harus memasang pembaruan sistem Amankan instans peran Azure Cloud Services Anda (dukungan perpanjangan) dengan memastikan keamanan terbaru dan pembaruan penting dipasang di Azure Cloud Services. AuditIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasi Azure Defender untuk Layanan Aplikasi agar diaktifkan Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. DeployIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasi Azure Defender untuk database Azure SQL agar diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. DeployIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasi Azure Defender agar registri kontainer diaktifkan Azure Defender untuk pendaftar penampung menyediakan pemindaian kerentanan gambar apa pun yang ditarik dalam 30 hari terakhir, didorong ke registri Anda, atau diimpor, dan memaparkan temuan terperinci per gambar. DeployIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasi Azure Defender agar DNS diaktifkan Azure Defender untuk DNS memberikan lapisan perlindungan tambahan untuk sumber daya cloud Anda dengan terus memantau semua kueri DNS dari sumber daya Azure Anda. Azure Defender mengingatkan Anda tentang aktivitas yang mencurigakan di lapisan DNS. Pelajari lebih lanjut tentang kemampuan Azure Defender untuk DNS di https://aka.ms/defender-for-dns . Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari tentang detail harga per wilayah di halaman harga Azure Security Center: https://aka.ms/pricing-security-center . DeployIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasi Azure Defender agar Key Vault diaktifkan Azure Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun key vault. DeployIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasi Azure Defender agar Kube diaktifkan Azure Defender for Kubernetes memberikan perlindungan ancaman real-time untuk lingkungan dalam kontainer dan menghasilkan peringatan untuk aktivitas yang mencurigakan. DeployIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasi Azure Defender untuk Resource Manager agar diaktifkan Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari lebih lanjut tentang kemampuan Azure Defender untuk Azure Resource Manager di https://aka.ms/defender-for-resource-manager . Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari tentang detail harga per wilayah di halaman harga Azure Security Center: https://aka.ms/pricing-security-center . DeployIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasi Azure Defender agar server diaktifkan Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. DeployIfNotExists, Dinonaktifkan 1.0.0
[Pratinjau]: Mengonfigurasi Azure Defender untuk agen SQL di komputer virtual Mengonfigurasi komputer Windows untuk memasang Azure Defender secara otomatis untuk agen SQL tempat Agen Azure Monitor dipasang. Security Center mengumpulkan peristiwa dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas penguatan yang disesuaikan (rekomendasi). Membuat grup sumber daya dan ruang kerja Log Analytics di wilayah yang sama dengan komputer. Komputer virtual target harus berada di lokasi yang didukung. DeployIfNotExists, Dinonaktifkan 1.0.0-pratinjau
Mengonfigurasi Azure Defender untuk server SQL pada mesin agar diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. DeployIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasi Azure Defender untuk Penyimpanan agar diaktifkan Azure Defender for Storage menyediakan deteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. DeployIfNotExists, Dinonaktifkan 1.0.0
[Pratinjau]: Mengonfigurasi komputer untuk membuat alur Azure Security Center secara otomatis untuk Agen Azure Monitor Konfigurasikan komputer untuk secara otomatis membuat alur Azure Security Center untuk Agen Azure Monitor. Azure Security Center mengumpulkan kejadian dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas penguatan yang disesuaikan (rekomendasi). Buat grup sumber daya dan ruang kerja Analitik Log di wilayah yang sama dengan komputer untuk menyimpan baris audit. Komputer virtual target harus berada di lokasi yang didukung. DeployIfNotExists, Dinonaktifkan 1.1.0-pratinjau
[Pratinjau]: Mengonfigurasi mesin untuk menerima penyedia penilaian kerentanan Azure Defender menyertakan pemindaian kerentanan untuk komputer Anda tanpa biaya tambahan. Anda tidak memerlukan lisensi Qualys atau bahkan akun Qualys - semuanya ditangani dengan lancar di dalam Security Center. Saat Anda mengaktifkan kebijakan ini, Azure Defender secara otomatis menyebarkan penyedia penilaian kerentanan Qualys ke semua mesin yang didukung yang belum menginstal penyedia penilaian kerentanan. DeployIfNotExists, Dinonaktifkan 2.2.0-pratinjau
[Pratinjau]: Mengonfigurasi mesin Linux Arc yang didukung untuk menginstal agen Azure Security secara otomatis Konfigurasikan mesin Linux Arc yang didukung untuk menginstal agen Azure Security secara otomatis. Azure Security Center mengumpulkan kejadian dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas penguatan yang disesuaikan (rekomendasi). Mesin Linux Arc target harus berada di lokasi yang didukung. DeployIfNotExists, Dinonaktifkan 1.0.0-pratinjau
[Pratinjau]: Mengonfigurasi mesin virtual Linux yang didukung untuk menginstal agen Azure Security secara otomatis Konfigurasikan set skala mesin virtual Linux yang didukung untuk menginstal agen Azure Security secara otomatis. Azure Security Center mengumpulkan kejadian dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas penguatan yang disesuaikan (rekomendasi). Komputer virtual target harus berada di lokasi yang didukung. DeployIfNotExists, Dinonaktifkan 1.0.0-pratinjau
[Pratinjau]: Mengonfigurasi set skala komputer virtual Linux yang didukung untuk memasang ekstensi Pengesahan Tamu secara otomatis Konfigurasikan set skala komputer virtual Linux yang didukung untuk memasang ekstensi Pengesahan Tamu secara otomatis untuk memungkinkan Azure Security Center secara proaktif mengesahkan dan memantau integritas boot. Integritas boot disahkan melalui Pengesahan Jarak Jauh. DeployIfNotExists, Dinonaktifkan pratinjau-2.0.0
[Pratinjau]: Mengonfigurasi komputer virtual Linux yang didukung untuk mengaktifkan Boot Aman secara otomatis Mengonfigurasi komputer virtual Linux yang didukung untuk mengaktifkan Boot Aman secara otomatis guna mengurangi perubahan berbahaya dan tidak sah pada rantai boot. Setelah diaktifkan, hanya bootloader tepercaya, kernel dan driver kernel yang akan diizinkan untuk dijalankan. DeployIfNotExists, Nonaktif pratinjau-2.0.0
[Pratinjau]: Mengonfigurasi komputer virtual Linux yang didukung untuk memasang agen Keamanan Azure secara otomatis Konfigurasikan komputer virtual Linux yang didukung untuk memasang agen Keamanan Azure secara otomatis. Azure Security Center mengumpulkan kejadian dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas penguatan yang disesuaikan (rekomendasi). Komputer virtual target harus berada di lokasi yang didukung. DeployIfNotExists, Dinonaktifkan 5.0.0-pratinjau
[Pratinjau]: Mengonfigurasi komputer virtual Linux yang didukung untuk memasang ekstensi Pengesahan Tamu secara otomatis Konfigurasikan komputer virtual Linux yang didukung untuk memasang ekstensi Pengesahan Tamu secara otomatis untuk memungkinkan Azure Security Center secara proaktif mengesahkan dan memantau integritas boot. Integritas boot disahkan melalui Pengesahan Jarak Jauh. DeployIfNotExists, Dinonaktifkan pratinjau-2.0.0
[Pratinjau]: Mengonfigurasi komputer virtual yang didukung untuk mengaktifkan vTPM secara otomatis Mengonfigurasi komputer virtual yang didukung untuk mengaktifkan vTPM secara otomatis guna memudahkan Boot Terukur dan fitur keamanan lainnya yang memerlukan TPM. Setelah diaktifkan, vTPM dapat digunakan untuk mengesahkan integritas boot. DeployIfNotExists, Nonaktif 1.0.0-pratinjau
[Pratinjau]: Mengonfigurasi mesin Windows Arc yang didukung untuk menginstal agen Azure Security secara otomatis Konfigurasikan mesin Windows Arc yang didukung untuk menginstal agen Azure Security secara otomatis. Security Center mengumpulkan peristiwa dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas penguatan yang disesuaikan (rekomendasi). Mesin Windows Arc target harus berada di lokasi yang didukung. DeployIfNotExists, Dinonaktifkan 1.0.0-pratinjau
[Pratinjau]: Mengonfigurasi komputer Windows yang didukung untuk menginstal agen Azure Security secara otomatis Konfigurasikan komputer Windows yang didukung untuk menginstal agen Azure Security secara otomatis. Azure Security Center mengumpulkan kejadian dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas penguatan yang disesuaikan (rekomendasi). Komputer virtual target harus berada di lokasi yang didukung. DeployIfNotExists, Dinonaktifkan 4.0.0-pratinjau
[Pratinjau]: Mengonfigurasi set skala mesin virtual Windows yang didukung untuk menginstal agen Azure Security secara otomatis Konfigurasikan set skala mesin virtual Windows yang didukung untuk menginstal agen Azure Security secara otomatis. Security Center mengumpulkan peristiwa dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas penguatan yang disesuaikan (rekomendasi). Set skala mesin virtual Windows target harus berada di lokasi yang didukung. DeployIfNotExists, Dinonaktifkan 1.0.0-pratinjau
[Pratinjau]: Mengonfigurasi set skala komputer virtual Windows yang didukung untuk memasang ekstensi Pengesahan Tamu secara otomatis Konfigurasikan set skala komputer virtual Windows yang didukung untuk memasang ekstensi Pengesahan Tamu secara otomatis untuk memungkinkan Azure Security Center secara proaktif mengesahkan dan memantau integritas boot. Integritas boot disahkan melalui Pengesahan Jarak Jauh. DeployIfNotExists, Dinonaktifkan 1.0.0-pratinjau
[Pratinjau]: Mengonfigurasi komputer virtual Windows yang didukung untuk mengaktifkan Boot Aman secara otomatis Mengonfigurasi komputer virtual Windows yang didukung untuk mengaktifkan Boot Aman secara otomatis guna mengurangi perubahan berbahaya dan tidak sah pada rantai boot. Setelah diaktifkan, hanya bootloader tepercaya, kernel dan driver kernel yang akan diizinkan untuk dijalankan. DeployIfNotExists, Nonaktif 1.0.0-pratinjau
[Pratinjau]: Mengonfigurasi komputer virtual Windows yang didukung untuk memasang ekstensi Pengesahan Tamu secara otomatis Konfigurasikan komputer virtual Windows yang didukung untuk memasang ekstensi Pengesahan Tamu secara otomatis untuk memungkinkan Azure Security Center secara proaktif mengesahkan dan memantau integritas boot. Integritas boot disahkan melalui Pengesahan Jarak Jauh. DeployIfNotExists, Dinonaktifkan 1.0.0-pratinjau
Menyebarkan - Mengonfigurasi aturan supresi untuk pemberitahuan Azure Security Center Mengurangi pemberitahuan Azure Security Center untuk mengurangi kelelahan pemberitahuan dengan menyebarkan aturan supresi pada grup manajemen atau langganan Anda. deployIfNotExists 1.0.0
Sebarkan ekspor ke Hub Kejadian untuk data Azure Security Center Aktifkan ekspor ke Hub Kejadian data Azure Security Center. Kebijakan ini menyebarkan ekspor ke konfigurasi Hub Kejadian dengan kondisi Anda dan menargetkan Hub Kejadian pada cakupan yang ditetapkan. Untuk menyebarkan kebijakan ini pada langganan yang baru dibuat, buka tab Kepatuhan, pilih penugasan yang tidak patuh yang relevan, dan buat tugas remediasi. deployIfNotExists 4.0.0
Menyebarkan ekspor ke ruang kerja Analitik Log untuk data Azure Security Center Aktifkan ekspor ke ruang kerja Analitik Log dari data Azure Security Center. Kebijakan ini menyebarkan ekspor ke konfigurasi ruang kerja Analitik Log dengan kondisi dan ruang kerja target Anda pada cakupan yang ditetapkan. Untuk menyebarkan kebijakan ini pada langganan yang baru dibuat, buka tab Kepatuhan, pilih penugasan yang tidak patuh yang relevan, dan buat tugas remediasi. deployIfNotExists 4.0.0
Menggunakan Automasi Alur Kerja untuk pemberitahuan Azure Security Center Aktifkan otomatisasi pemberitahuan Azure Security Center. Kebijakan ini menyebarkan otomatisasi alur kerja dengan kondisi dan pemicu Anda pada cakupan yang ditetapkan. Untuk menyebarkan kebijakan ini pada langganan yang baru dibuat, buka tab Kepatuhan, pilih penugasan yang tidak patuh yang relevan, dan buat tugas remediasi. deployIfNotExists 4.0.0
Menggunakan Automasi Alur Kerja untuk rekomendasi Azure Security Center Aktifkan otomatisasi rekomendasi Azure Security Center. Kebijakan ini menyebarkan otomatisasi alur kerja dengan kondisi dan pemicu Anda pada cakupan yang ditetapkan. Untuk menyebarkan kebijakan ini pada langganan yang baru dibuat, buka tab Kepatuhan, pilih penugasan yang tidak patuh yang relevan, dan buat tugas remediasi. deployIfNotExists 4.0.0
Menyebarkan Otomatisasi Alur Kerja untuk kepatuhan peraturan Azure Security Center Aktifkan otomatisasi kepatuhan peraturan Azure Security Center. Kebijakan ini menyebarkan otomatisasi alur kerja dengan kondisi dan pemicu Anda pada cakupan yang ditetapkan. Untuk menyebarkan kebijakan ini pada langganan yang baru dibuat, buka tab Kepatuhan, pilih penugasan yang tidak patuh yang relevan, dan buat tugas remediasi. deployIfNotExists 4.0.0
Akun yang tidak digunakan lagi harus dihapus dari langganan Anda Akun yang tidak digunakan lagi harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk. AuditIfNotExists, Dinonaktifkan 3.0.0
Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk. AuditIfNotExists, Dinonaktifkan 3.0.0
Pemberitahuan email untuk pemberitahuan tingkat keparahan tinggi harus diaktifkan Untuk memastikan orang yang relevan di organisasi Anda diberi tahu ketika terdapat potensi pelanggaran keamanan di salah satu langganan Anda, aktifkan pemberitahuan email untuk peringatan tingkat keparahan tinggi di Security Center. AuditIfNotExists, Dinonaktifkan 1.0.1
Pemberitahuan email kepada pemilik langganan untuk lansiran tingkat keparahan tinggi harus diaktifkan Untuk memastikan pemilik langganan Anda diberitahu ketika ada potensi pelanggaran keamanan di langganan mereka, atur pemberitahuan email ke pemilik langganan untuk peringatan tingkat keparahan tinggi di Security Center. AuditIfNotExists, Dinonaktifkan 2.0.0
Aktifkan Azure Security Center di langganan Anda Identifikasi langganan yang sudah ada yang tidak dipantau oleh Azure Security Center (ASC). Langganan yang tidak dipantau oleh ASC akan didaftarkan ke tingkat harga gratis. Langganan yang sudah dipantau oleh ASC (gratis atau standar), akan dianggap sesuai. Untuk mendaftarkan langganan yang baru dibuat, buka tab kepatuhan, pilih penugasan yang tidak patuh yang relevan, dan buat tugas remediasi. Ulangi langkah ini saat Anda memiliki satu atau beberapa langganan baru yang ingin Anda pantau dengan Azure Security Center. deployIfNotExists 1.0.0
Aktifkan provisi otomatis agen Analitik Log Azure Security Center pada langganan Anda dengan ruang kerja kustom. Izinkan Azure Security Center untuk secara otomatis memprovisikan agen Analitik Log pada langganan Anda untuk memantau dan mengumpulkan data keamanan menggunakan ruang kerja kustom. DeployIfNotExists, Dinonaktifkan 1.0.0
Aktifkan provisi otomatis agen Analitik Log Azure Security Center pada langganan Anda dengan ruang kerja default. Izinkan Azure Security Center untuk memprovisikan agen Analitik Log secara otomatis pada langganan Anda untuk memantau dan mengumpulkan data keamanan menggunakan ruang kerja default ASC. DeployIfNotExists, Dinonaktifkan 1.0.0
Masalah kesehatan perlindungan titik akhir harus diselesaikan pada komputer Anda Mengatasi masalah kesehatan perlindungan titik akhir pada komputer virtual Anda untuk melindungi mereka dari ancaman dan kerentanan terbaru. Solusi perlindungan titik akhir yang didukung Azure Security Center didokumentasikan di sini - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows. Penilaian perlindungan titik akhir didokumentasikan di sini - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Dinonaktifkan 1.0.0
Perlindungan titik akhir harus diinstal pada komputer Anda Untuk melindungi komputer Anda dari ancaman dan kerentanan, instal solusi perlindungan titik akhir yang didukung. AuditIfNotExists, Dinonaktifkan 1.0.0
Solusi perlindungan titik akhir harus dipasang pada set skala komputer virtual Audit keberadaan dan kesehatan solusi perlindungan titik akhir pada set skala komputer virtual Anda, untuk melindunginya dari ancaman dan kerentanan. AuditIfNotExists, Dinonaktifkan 3.0.0
Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. AuditIfNotExists, Dinonaktifkan 3.0.0
Akun eksternal dengan izin baca harus dihapus dari langganan Anda Akun eksternal dengan hak baca istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. AuditIfNotExists, Dinonaktifkan 3.0.0
Akun eksternal dengan izin menulis harus dihapus dari langganan Anda Akun eksternal dengan hak tulis istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. AuditIfNotExists, Dinonaktifkan 3.0.0
[Pratinjau]: Ekstensi Pengesahan Tamu harus dipasang pada komputer virtual Linux yang didukung Pasang ekstensi Pengesahan Tamu pada komputer virtual Linux yang didukung untuk memungkinkan Azure Security Center secara proaktif mengesahkan dan memantau integritas boot. Setelah diinstal, integritas boot akan dibuktikan melalui Pengesahan Jarak Jauh. Penilaian ini hanya berlaku untuk komputer virtual Linux yang diaktifkan peluncuran tepercaya. AuditIfNotExists, Dinonaktifkan pratinjau-2.0.0
[Pratinjau]: Ekstensi Pengesahan Tamu harus dipasang pada set skala komputer virtual Linux yang didukung Pasang ekstensi Pengesahan Tamu pada set skala komputer virtual Linux yang didukung untuk memungkinkan Azure Security Center secara proaktif mengesahkan dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini hanya berlaku untuk set skala komputer virtual Linux yang diaktifkan peluncuran tepercaya. AuditIfNotExists, Dinonaktifkan pratinjau-2.0.0
[Pratinjau]: Ekstensi Pengesahan Tamu harus dipasang pada komputer virtual Windows yang didukung Pasang ekstensi Pengesahan Tamu pada komputer virtual yang didukung untuk memungkinkan Azure Security Center secara proaktif mengesahkan dan memantau integritas boot. Setelah diinstal, integritas boot akan dibuktikan melalui Pengesahan Jarak Jauh. Penilaian ini hanya berlaku untuk komputer virtual yang diaktifkan peluncuran tepercaya. AuditIfNotExists, Dinonaktifkan 1.0.0-pratinjau
[Pratinjau]: Ekstensi Pengesahan Tamu harus dipasang pada set skala komputer virtual Windows yang didukung Pasang ekstensi Pengesahan Tamu pada set skala komputer virtual yang didukung untuk memungkinkan Azure Security Center secara proaktif mengesahkan dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini hanya berlaku untuk set skala komputer virtual yang diaktifkan peluncuran tepercaya. AuditIfNotExists, Dinonaktifkan 1.0.0-pratinjau
Ekstensi Konfigurasi Tamu harus dipasang di komputer Anda Untuk memastikan konfigurasi yang aman dari pengaturan in-guest mesin Anda, instal ekstensi Guest Configuration. Pengaturan tamu yang dipantau ekstensi mencakup konfigurasi sistem operasi, konfigurasi atau keberadaan aplikasi, dan pengaturan lingkungan. Setelah diinstal, kebijakan tamu akan tersedia seperti 'Windows Exploit guard harus diaktifkan'. Pelajari lebih lanjut di https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 1.0.1
Komputer virtual yang memiliki akses Internet harus dilindungi dengan kelompok keamanan jaringan Lindungi komputer virtual Anda dari potensi ancaman dengan membatasi akses ke komputer virtual tersebut dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc AuditIfNotExists, Dinonaktifkan 3.0.0
Penerusan IP pada komputer virtual Anda harus dinonaktifkan Mengaktifkan penerusan IP pada NIC komputer virtual memungkinkan komputer menerima lalu lintas yang ditujukan ke tujuan lain. Penerusan IP jarang diperlukan (misalnya, saat menggunakan VM sebagai appliance virtual jaringan), dan oleh karena itu, hal ini harus ditinjau oleh tim keamanan jaringan. AuditIfNotExists, Dinonaktifkan 3.0.0
Layanan Kubernetes harus ditingkatkan ke versi Kubernetes yang tidak rentan Tingkatkan klaster layanan Kubernetes Anda ke versi Kubernetes yang lebih baru untuk melindungi dari kerentanan yang diketahui di versi Kubernetes Anda saat ini. Kerentanan CVE-2019-9946 telah di-patch di Kubernetes versi 1.11.9+, 1.12.7+, 1.13.5+, dan 1.14.0+ Audit, Dinonaktifkan 1.0.2
[Pratinjau]: Komputer virtual Linux harus menggunakan Boot Aman Untuk melindungi dari pemasangan rootkit dan boot kit berbasis malware, aktifkan Boot Aman pada komputer virtual Linux yang didukung. Boot Aman memastikan bahwa hanya sistem operasi dan driver yang ditandatangani yang diizinkan untuk dijalankan. Penilaian ini hanya berlaku untuk komputer virtual Linux dengan Agen Azure Monitor terpasang. AuditIfNotExists, Nonaktif 1.0.0-pratinjau
Masalah kesehatan agen Log Analytics harus diselesaikan di komputer Anda Azure Security Center menggunakan agen Analitik Log, yang sebelumnya dikenal sebagai Agen Pemantauan Microsoft (MMA). Untuk memastikan komputer virtual berhasil dipantau, Anda perlu memastikan agen dipasang pada komputer virtual dan mengumpulkan kejadian keamanan dengan benar ke ruang kerja yang dikonfigurasi. AuditIfNotExists, Dinonaktifkan 1.0.0
Agen Analitik Log harus dipasang pada instans peran Azure Cloud Services (dukungan perpanjangan) Azure Security Center mengumpulkan data dari instans peran Azure Cloud Services (dukungan perpanjangan) Anda untuk memantau kerentanan dan ancaman keamanan. AuditIfNotExists, Dinonaktifkan 2.0.0
Agen Log Analytics harus dipasang pada komputer virtual Anda untuk pemantauan Azure Security Center Kebijakan ini mengaudit komputer virtual (VM) Windows/Linux apa pun jika agen Analitik Log tidak dipasang yang digunakan Azure Security Center untuk memantau kerentanan dan ancaman keamanan AuditIfNotExists, Dinonaktifkan 1.0.0
Agen Analitik Log harus dipasang pada set skala komputer virtual Anda untuk pemantauan Azure Security Center Security Center mengumpulkan data dari komputer virtual Azure (VM) Anda untuk memantau kerentanan dan ancaman keamanan. AuditIfNotExists, Dinonaktifkan 1.0.0
Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan tepat waktu Kemungkinan akses Just In Time (JIT) jaringan akan dipantau oleh Azure Security Center sebagai rekomendasi AuditIfNotExists, Dinonaktifkan 3.0.0
Port manajemen harus ditutup pada komputer virtual Anda Port manajemen jarak jauh yang terbuka mengekspos VM Anda ke risiko tinggi dari serangan berbasis internet. Serangan ini mencoba untuk memaksa info masuk guna mendapatkan akses admin ke komputer. AuditIfNotExists, Dinonaktifkan 3.0.0
MFA harus mengaktifkan akun dengan izin tulis di langganan Anda Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak tulis istimewa untuk mencegah pelanggaran akun atau sumber daya. AuditIfNotExists, Dinonaktifkan 3.0.0
MFA harus diaktifkan pada akun dengan izin pemilik di langganan Anda Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan izin pemilik untuk mencegah pelanggaran akun atau sumber daya. AuditIfNotExists, Dinonaktifkan 3.0.0
MFA harus diaktifkan pada akun dengan izin baca di langganan Anda Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak baca istimewa untuk mencegah pelanggaran akun atau sumber daya. AuditIfNotExists, Dinonaktifkan 3.0.0
Memantau Perlindungan Titik Akhir yang tidak ada di Azure Security Center Server tanpa agen Perlindungan Titik Akhir yang diinstal akan dipantau oleh Azure Security Center sebagai rekomendasi AuditIfNotExists, Dinonaktifkan 3.0.0
Komputer virtual yang tidak terhubung ke internet harus dilindungi dengan kelompok keamanan jaringan Lindungi komputer virtual non-internet Anda dari potensi ancaman dengan membatasi akses dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc AuditIfNotExists, Dinonaktifkan 3.0.0
Access Control Berbasis Peran (RBAC) harus digunakan pada Layanan Kubernetes Untuk menyediakan pemfilteran granular pada tindakan yang dapat dilakukan pengguna, gunakan Access Control Berbasis Peran (RBAC) untuk mengelola izin di Kubernetes Service Cluster dan mengonfigurasi kebijakan otorisasi yang relevan. Audit, Dinonaktifkan 1.0.2
[Pratinjau]: Boot Aman harus diaktifkan pada komputer virtual Windows yang didukung Aktifkan Boot Aman pada komputer virtual Windows yang didukung untuk mengurangi perubahan berbahaya dan tidak sah pada rantai boot. Setelah diaktifkan, hanya bootloader tepercaya, kernel, dan driver kernel yang diizinkan untuk dijalankan. Penilaian ini hanya berlaku untuk komputer virtual Windows yang diaktifkan dengan peluncuran tepercaya. Audit, Dinonaktifkan 1.0.0-pratinjau
Tingkat harga standar Azure Security Center harus dipilih Tingkat harga standar memungkinkan deteksi ancaman untuk jaringan dan komputer virtual, menyediakan intelijen ancaman, deteksi anomali, dan analitik perilaku di Security Center Audit, Dinonaktifkan 1.0.0
[Pratinjau]: Data sensitif dalam database SQL Anda harus diklasifikasikan Azure Security Center memantau penemuan data dan hasil pemindaian klasifikasi untuk database SQL Anda dan memberikan rekomendasi untuk mengklasifikasikan data sensitif dalam database Anda untuk pemantauan dan keamanan yang lebih baik AuditIfNotExists, Dinonaktifkan 3.0.0-pratinjau
Perwakilan layanan harus digunakan untuk melindungi langganan Anda, daripada sertifikat manajemen Sertifikat manajemen memungkinkan siapa saja yang mengautentikasi dengan sertifikat untuk mengelola langganan yang terkait. Untuk mengelola langganan dengan lebih aman, penggunaan perwakilan layanan dengan Azure Resource Manager disarankan untuk membatasi dampak penyusupan sertifikat. AuditIfNotExists, Dinonaktifkan 1.0.0
Database SQL harus memiliki temuan kerentanan yang diselesaikan Pantau hasil pemindaian penilaian kerentanan dan rekomendasi tentang cara memulihkan kerentanan basis data. AuditIfNotExists, Dinonaktifkan 4.0.0
Server SQL pada komputer harus memiliki temuan kerentanan yang diselesaikan Penilaian kerentanan SQL memindai database Anda untuk mengetahui kerentanan keamanan, dan mengekspos setiap penyimpangan dari praktik terbaik seperti kesalahan konfigurasi, izin yang berlebihan, dan data sensitif yang tidak dilindungi. Menyelesaikan kerentanan yang ditemukan dapat sangat meningkatkan postur keamanan database Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
Subnet harus dikaitkan dengan Grup Keamanan Jaringan Lindungi subnet Anda dari potensi ancaman dengan membatasi aksesnya dengan Network Security Group (NSG). NSG berisi daftar aturan Access Control List (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke subnet Anda. AuditIfNotExists, Dinonaktifkan 3.0.0
Langganan harus memiliki alamat email kontak untuk masalah keamanan Untuk memastikan orang yang relevan di organisasi Anda diberi tahu saat ada potensi pelanggaran keamanan di salah satu langganan Anda, atur kontak keamanan untuk menerima pemberitahuan email dari Security Center. AuditIfNotExists, Dinonaktifkan 1.0.1
Pembaruan sistem pada set skala komputer virtual harus dipasang Audit apakah ada pembaruan keamanan sistem yang hilang dan pembaruan penting yang harus diinstal untuk memastikan bahwa set skala komputer virtual Windows dan Linux Anda aman. AuditIfNotExists, Dinonaktifkan 3.0.0
Pembaruan sistem harus dipasang di komputer Anda Pembaruan sistem keamanan yang hilang di server Anda akan dipantau oleh Azure Security Center sebagai rekomendasi AuditIfNotExists, Dinonaktifkan 4.0.0
Harus ada lebih dari satu pemilik yang ditetapkan ke langganan Anda Sebaiknya tetapkan lebih dari satu pemilik langganan agar memiliki redundansi akses administrator. AuditIfNotExists, Dinonaktifkan 3.0.0
[Pratinjau]: Status pengesahan tamu komputer virtual harus dalam keadaan sehat Pengesahan tamu dilakukan dengan mengirim log tepercaya (TCGLog) ke server pengesahan. Server menggunakan log ini untuk menentukan apakah komponen boot dapat dipercaya. Penilaian ini dimaksudkan untuk mendeteksi penyusupan rantai boot yang mungkin disebabkan oleh infeksi bootkit atau rootkit. Penilaian ini hanya berlaku untuk komputer virtual yang didukung Peluncuran Tepercaya dengan ekstensi Pengesahan Tamu terpasang. AuditIfNotExists, Nonaktif 1.0.0-pratinjau
Komputer virtual harus mengenkripsi disk sementara, cache, dan aliran data antara sumber daya Compute dan Storage Secara default, OS dan disk data mesin virtual dienkripsi saat tidak aktif menggunakan kunci yang dikelola platform. Disk sementara, cache data, dan data yang mengalir di antara komputasi dan penyimpanan tidak dienkripsi. Abaikan rekomendasi ini jika: 1. menggunakan enkripsi di host, atau 2. enkripsi sisi server pada Disk Terkelola memenuhi persyaratan keamanan Anda. Pelajari selengkapnya di Enkripsi sisi server Penyimpanan Disk Azure. dan Penawaran enkripsi disk yang berbeda. AuditIfNotExists, Dinonaktifkan 2.0.2
Ekstensi Konfigurasi Tamu komputer virtual harus diterapkan dengan identitas terkelola yang ditetapkan sistem Ekstensi Konfigurasi Tamu memerlukan identitas terkelola yang ditetapkan sistem. Komputer virtual Azure dalam cakupan kebijakan ini tidak akan mematuhi kebijakan jika ekstensi Konfigurasi Tamu diinstal tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Pelajari lebih lanjut di https://aka.ms/gcpol AuditIfNotExists, Dinonaktifkan 1.0.1
[Pratinjau]: vTPM harus diaktifkan pada komputer virtual yang didukung Aktifkan perangkat TPM virtual pada komputer virtual yang didukung untuk memfasilitasi Boot Terukur dan fitur keamanan OS lainnya yang memerlukan TPM. Setelah diaktifkan, vTPM dapat digunakan untuk mengesahkan integritas boot. Penilaian ini hanya berlaku untuk komputer virtual yang diaktifkan peluncuran tepercaya. Audit, Dinonaktifkan 1.0.0-pratinjau
Kerentanan dalam gambar Azure Container Registry harus dipulihkan Penilaian kerentanan gambar kontainer memindai registri Anda untuk mencari kerentanan keamanan pada setiap gambar kontainer yang didorong dan menampilkan temuan mendetail untuk setiap gambar (diberdayakan oleh Qualys). Mengatasi kerentanan dapat sangat meningkatkan postur keamanan kontainer Anda dan melindunginya dari serangan. AuditIfNotExists, Dinonaktifkan 2.0.0
Kerentanan dalam konfigurasi keamanan penampung harus diperbaiki Audit kerentanan dalam konfigurasi keamanan pada mesin dengan Docker diinstal dan ditampilkan sebagai rekomendasi di Security Center. AuditIfNotExists, Dinonaktifkan 3.0.0
Kerentanan dalam konfigurasi keamanan pada mesin Anda harus diperbaiki Server yang tidak memenuhi baseline yang dikonfigurasi akan dipantau oleh Azure Security Center sebagai rekomendasi AuditIfNotExists, Dinonaktifkan 3.0.0
Kerentanan dalam konfigurasi keamanan pada set skala komputer virtual Anda harus diperbaiki Audit kerentanan OS pada set skala komputer virtual Anda untuk melindunginya dari serangan. AuditIfNotExists, Dinonaktifkan 3.0.0

Service Bus

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Semua aturan otorisasi kecuali RootManageSharedAccessKey harus dihapus dari namespace layanan Azure Service Bus Klien Azure Service Bus tidak boleh menggunakan kebijakan akses tingkat namespace layanan yang menyediakan akses ke semua antrean dan topik di namespace layanan. Untuk menyelaraskan dengan model keamanan hak istimewa minimal, Anda harus membuat kebijakan akses di tingkat entitas untuk antrean dan topik untuk menyediakan akses hanya ke entitas tertentu Audit, Tolak, Dinonaktifkan 1.0.1
Namespace layanan Azure Service Bus harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke namespace layanan Azure Service Bus, risiko kebocoran data akan berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasikan namespace layanan Azure Service Bus untuk menggunakan zona DNS privat Gunakan zona DNS privat untuk mengambil alih resolusi DNS untuk titik akhir privat. Zona DNS privat menautkan ke jaringan virtual Anda untuk mengatasi ke namespace layanan Azure Service Bus. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. DeployIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasikan namespace layanan Azure Service Bus dengan titik akhir privat Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke namespace layanan Azure Service Bus, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. DeployIfNotExists, Dinonaktifkan 1.0.0
Log sumber daya di Azure Service Bus harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Namespace layanan Azure Service Bus harus mengaktifkan enkripsi ganda Mengaktifkan enkripsi ganda membantu melindungi dan mengamankan data Anda untuk memenuhi komitmen keamanan dan kepatuhan organisasi Anda. Ketika enkripsi ganda telah diaktifkan, data di akun penyimpanan dienkripsi dua kali, sekali di tingkat layanan dan sekali di tingkat infrastruktur, menggunakan dua algoritme enkripsi yang berbeda dan dua kunci yang berbeda. Audit, Tolak, Dinonaktifkan 1.0.0
Namespace layanan Azure Service Bus Premium harus menggunakan kunci yang dikelola pelanggan untuk enkripsi Azure Service Bus mendukung opsi mengenkripsi data tidak aktif dengan kunci yang dikelola Microsoft (default) atau kunci yang dikelola pelanggan. Memilih untuk mengenkripsi data menggunakan kunci yang dikelola pelanggan memungkinkan Anda untuk menetapkan, merotasikan, menonaktifkan, dan mencabut akses ke kunci yang akan digunakan Azure Service Bus untuk mengenkripsi data di namespace layanan Anda. Perhatikan bahwa Azure Service Bus hanya mendukung enkripsi dengan kunci yang dikelola pelanggan untuk namespace layanan premium. Audit, Dinonaktifkan 1.0.0

Service Fabric

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Kluster Service Fabric harus memiliki properti ClusterProtectionLevel yang ditetapkan ke EncryptAndSign Service Fabric menyediakan tiga tingkat perlindungan (None, Sign, dan EncryptAndSign) untuk komunikasi node-to-node menggunakan sertifikat kluster utama. Atur tingkat perlindungan untuk memastikan bahwa semua pesan node-to-node dienkripsi dan ditandatangani secara digital Audit, Tolak, Dinonaktifkan 1.1.0
Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien Audit penggunaan autentikasi klien hanya melalui Azure Active Directory di Service Fabric Audit, Tolak, Dinonaktifkan 1.1.0

SignalR

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Layanan Azure SignalR harus menonaktifkan akses jaringan publik Untuk meningkatkan keamanan sumber daya Layanan Azure SignalR, pastikan sumber daya tersebut tidak terpapar ke internet publik dan hanya dapat diakses dari titik akhir pribadi. Nonaktifkan properti akses jaringan publik seperti yang dijelaskan dalam https://aka.ms/asrs/networkacls. Opsi ini menonaktifkan akses dari ruang alamat publik apa pun di luar rentang IP Azure, dan menolak semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Ini mengurangi risiko kebocoran data. Audit, Tolak, Dinonaktifkan 1.0.0
Azure SignalR Service harus menonaktifkan metode autentikasi lokal Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa Azure SignalR Service secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Audit, Tolak, Dinonaktifkan 1.0.0
Layanan Azure SignalR harus menggunakan SKU yang mengaktifkan Tautan Pribadi Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan yang melindungi sumber daya Anda dari risiko kebocoran data publik. Kebijakan ini membatasi Anda pada SKU yang mengaktifkan Tautan Pribadi untuk Layanan Azure SignalR. Pelajari lebih lanjut tentang tautan pribadi di: https://aka.ms/asrs/privatelink. Audit, Tolak, Dinonaktifkan 1.0.0
Layanan Azure SignalR harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke sumber daya Layanan Azure SignalR alih-alih seluruh layanan, Anda akan mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/asrs/privatelink. Audit, Tolak, Dinonaktifkan 1.0.1
Mengonfigurasi Azure SignalR Service untuk menonaktifkan autentikasi lokal Nonaktifkan metode autentikasi lokal agar Azure SignalR Service Anda secara eksklusif mewajibkan identitas Azure Active Directory untuk autentikasi. Ubah, Non-fungsikan 1.0.0
Mengonfigurasi titik akhir privat ke Azure SignalR Service Titik akhir pribadi menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir pribadi ke sumber daya Azure SignalR Service, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di https://aka.ms/asrs/privatelink. DeployIfNotExists, Dinonaktifkan 1.0.0
Menyebarkan - Mengonfigurasi zona DNS pribadi untuk titik akhir pribadi yang terhubung ke Layanan Azure SignalR Gunakan zona DNS privat untuk mengambil alih resolusi DNS untuk titik akhir privat. Zona DNS pribadi tertaut ke jaringan virtual Anda untuk diselesaikan ke sumber daya Layanan Azure SignalR. Pelajari lebih lanjut di: https://aka.ms/asrs/privatelink. DeployIfNotExists, Dinonaktifkan 1.0.0
Ubah sumber daya Azure SignalR Service untuk menonaktifkan akses jaringan publik Untuk meningkatkan keamanan sumber daya Layanan Azure SignalR, pastikan sumber daya tersebut tidak terpapar ke internet publik dan hanya dapat diakses dari titik akhir pribadi. Nonaktifkan properti akses jaringan publik seperti yang dijelaskan dalam https://aka.ms/asrs/networkacls. Opsi ini menonaktifkan akses dari ruang alamat publik apa pun di luar rentang IP Azure, dan menolak semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Ini mengurangi risiko kebocoran data. Ubah, Dinonaktifkan 1.0.0

Pemulihan Situs

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Mengonfigurasi brankas Azure Recovery Services untuk menggunakan zona DNS privat Gunakan zona DNS privat untuk mengambil alih resolusi DNS untuk titik akhir privat. Zona DNS privat ditautkan ke jaringan virtual Anda untuk diselesaikan ke Recovery Services Vaults. Pelajari lebih lanjut di: https://aka.ms/privatednszone. DeployIfNotExists, Dinonaktifkan 1.0.0-pratinjau
[Pratinjau]: Konfigurasikan titik akhir privat di vault Azure Recovery Services Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke sumber daya pemulihan situs Anda dari vault Layanan Pemulihan, Anda dapat mengurangi risiko kebocoran data. Untuk menggunakan tautan pribadi, identitas layanan terkelola harus ditetapkan ke Vault Layanan Pemulihan. Pelajari lebih lanjut tautan privat di: https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints. DeployIfNotExists, Dinonaktifkan 1.0.0-pratinjau
[Pratinjau]: Vault Azure Recovery Services harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau destinasi. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke vault Azure Recovery Services, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan pribadi untuk Azure Site Recovery di: https://aka.ms/HybridScenarios-PrivateLink dan https://aka.ms/AzureToAzure-PrivateLink. Audit, Dinonaktifkan 1.0.0-pratinjau

SQL

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Administrator Azure Active Directory harus disediakan untuk server SQL Penyediaan audit administrator Microsoft Azure Active Directory untuk server SQL Anda agar mengaktifkan autentikasi Microsoft Azure Active Directory. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya AuditIfNotExists, Dinonaktifkan 1.0.0
Mengaudit di server SQL harus diaktifkan Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit. AuditIfNotExists, Dinonaktifkan 2.0.0
Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi Audit server SQL tanpa Advanced Data Security AuditIfNotExists, Dinonaktifkan 2.0.1
Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure SQL Database harus mengaktifkan Hanya Autentikasi Azure Active Directory Menonaktifkan metode autentikasi lokal dan hanya memungkinkan Autentikasi Azure Active Directory meningkatkan keamanan dengan memastikan bahwa Database Azure SQL dapat diakses secara eksklusif oleh identitas Azure Active Directory. Pelajari selengkapnya di: aka.ms/adonlycreate. Audit, Tolak, Dinonaktifkan 1.0.0
Azure SQL Database harus memiliki versi TLS minimal 1.2 Mengatur versi TLS minimal ke 1.2 meningkatkan keamanan dengan memastikan Azure SQL Database Anda hanya dapat diakses dari klien menggunakan TLS 1.2. Menggunakan versi TLS kurang dari 1.2 tidak disarankan karena mereka memiliki kerentanan keamanan yang terdokumentasi dengan baik. Audit, Dinonaktifkan 1.0.1
Azure SQL Managed Instance harus mengaktifkan Hanya Autentikasi Azure Active Directory Menonaktifkan metode autentikasi lokal dan hanya memungkinkan Autentikasi Azure Active Directory meningkatkan keamanan dengan memastikan bahwa Azure SQL Managed Instance dapat diakses secara eksklusif oleh identitas Azure Active Directory. Pelajari selengkapnya di: aka.ms/adonlycreate. Audit, Tolak, Dinonaktifkan 1.0.0
Mengonfigurasikan Perlindungan Terhadap Ancaman Tingkat Lanjut agar diaktifkan di server Azure Database for MariaDB Aktifkan Perlindungan Terhadap Ancaman Tingkat Lanjut di server Azure Database for MariaDB tingkat non-Dasa untuk mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi membahayakan untuk mengakses atau mengeksploitasi database. DeployIfNotExists, Dinonaktifkan 1.0.0
Konfigurasikan Perlindungan Ancaman Tingkat Lanjut untuk diaktifkan di database Azure untuk server MySQL Aktifkan Perlindungan Terhadap Ancaman Tingkat Lanjut pada database Azure tingkat non-Dasar untuk server MySQL guna mendeteksi aktivitas ganjil yang mengindikasikan upaya yang tidak biasa dan berpotensi membahayakan untuk mengakses atau mengeksploitasi database. DeployIfNotExists, Dinonaktifkan 1.0.0
Konfigurasikan Perlindungan Ancaman Tingkat Lanjut agar diaktifkan pada database Azure untuk server PostgreSQL Mengaktifkan Perlindugnan Ancaman Tingkat Lanjut pada database Azure tingkat non-Dasar untuk server PostgreSQL guna mendeteksi aktivitas ganjil yang mengindikasikan upaya yang tidak biasa dan berpotensi membahayakan untuk mengakses atau mengeksploitasi database. DeployIfNotExists, Dinonaktifkan 1.0.0
Konfigurasikan komputer dengan dukungan Azure Arc yang berjalan SQL Server agar ekstensi SQL Server diinstal. Untuk memastikan bahwa sumber daya SQL Server - Azure Arc dibuat secara default ketika instans SQL Server ditemukan di server windows dengan dukungan Azure Arc, yang terakhir harus menginstal ekstensi SQL Server dan identitas terkelola server harus dikonfigurasi dengan peran Onboarding Azure Connected SQL Server DeployIfNotExists, Dinonaktifkan 1.0.1
Mengonfigurasi Azure Defender untuk diaktifkan pada instans terkelola SQL Aktifkan Azure Defender pada Azure SQL Managed Instance Anda untuk mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. DeployIfNotExists, Dinonaktifkan 2.0.0
Mengonfigurasi Azure Defender untuk diaktifkan di server SQL Aktifkan Azure Defender di Azure SQL Server Anda untuk mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. DeployIfNotExists 2.1.0
Konfigurasikan pengaturan diagnostik server database Azure SQL ke ruang kerja Analitik Log Mengaktifkan log audit untuk server Azure SQL Database dan mengalirkan log ke ruang kerja Analitik Log ketika SQL Server apa pun yang kehilangan audit ini dibuat atau diperbarui DeployIfNotExists, Dinonaktifkan 1.0.2
Mengonfigurasi Azure SQL Server untuk menonaktifkan akses jaringan publik Menonaktifkan properti akses jaringan publik mematikan konektivitas publik sehingga Azure SQL Server hanya dapat diakses dari titik akhir privat. Konfigurasi ini menonaktifkan akses jaringan publik untuk semua database di bawah Azure SQL Server. Ubah, Dinonaktifkan 1.0.0
Konfigurasikan Azure SQL Server untuk mengaktifkan koneksi titik akhir privat Koneksi titik akhir privat memungkinkan konektivitas privat ke Azure SQL Database Anda melalui alamat IP privat di dalam jaringan virtual. Konfigurasi ini meningkatkan postur keamanan Anda dan mendukung alat dan skenario jaringan Azure. DeployIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasi server SQL agar audit diaktifkan Untuk memastikan operasi yang dilakukan terhadap aset SQL Anda ditangkap, server SQL harus mengaktifkan audit. Ini kadang-kadang diperlukan untuk kepatuhan dengan standar peraturan. DeployIfNotExists, Dinonaktifkan 3.0.0
Pembatasan koneksi harus diaktifkan untuk server database PostgreSQL Kebijakan ini membantu mengaudit database PostgreSQL di lingkungan Anda tanpa mengaktifkan pembatasan Sambungan. Pengaturan ini memungkinkan pembatasan sambungan sementara per IP untuk terlalu banyak kegagalan upaya masuk kata sandi yang tidak valid. AuditIfNotExists, Dinonaktifkan 1.0.0
Sebarkan - Mengonfigurasi pengaturan diagnostik untuk SQL Database ke ruang kerja Analitik Log Menyebarkan pengaturan diagnostik untuk Azure SQL Database guna mengalirkan log sumber daya ke ruang kerja Analitik Log ketika Azure SQL Database yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. DeployIfNotExists, Dinonaktifkan 1.0.1
Menyebarkan Advanced Data Security di server SQL Kebijakan ini mengaktifkan Advanced Data Security di SQL Server. Ini termasuk mengaktifkan Deteksi Ancaman dan Penilaian Kerentanan. Kebijakan ini akan secara otomatis membuat akun penyimpanan di wilayah dan grup sumber daya yang sama dengan server SQL untuk menyimpan hasil pemindaian, dengan awalan 'sqlva'. DeployIfNotExists 1.2.0
Menyebarkan Pengaturan Diagnostik untuk Azure SQL Database ke Hub Kejadian Menyebarkan pengaturan diagnostik untuk Azure SQL Database untuk mengalirkan ke Hub Kejadian regional pada Azure SQL Database mana pun yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. DeployIfNotExists 1.2.0
Menyebarkan enkripsi data transparan SQL DB Mengaktifkan enkripsi data transparan di database SQL DeployIfNotExists 2.0.0
Pemutusan koneksi harus dicatat untuk server database PostgreSQL. Kebijakan ini membantu mengaudit database PostgreSQL di lingkungan Anda tanpa mengaktifkan log_disconnections. AuditIfNotExists, Dinonaktifkan 1.0.0
Pemberlakuan koneksi SSL harus diaktifkan untuk server database MySQL Azure Database for MySQL mendukung koneksi server Azure Database for MySQL Anda ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda. Audit, Dinonaktifkan 1.0.1
Terapkan koneksi SSL harus diaktifkan untuk server database PostgreSQL Azure Database for PostgreSQL mendukung penyambungan server Azure Database for PostgreSQL ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda. Audit, Dinonaktifkan 1.0.1
Cadangan yang berlebihan secara geografis harus diaktifkan pada Azure Database for MariaDB Azure Database for MariaDB memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. Audit, Dinonaktifkan 1.0.1
Pencadangan geo-redundan harus diaktifkan untuk Azure Database for MySQL Azure Database for MySQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. Audit, Dinonaktifkan 1.0.1
Pencadangan geo-redundan harus diaktifkan untuk Azure Database for PostgreSQL Azure Database for PostgreSQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. Audit, Dinonaktifkan 1.0.1
Enkripsi infrastruktur harus diaktifkan untuk server Azure Database for MySQL Aktifkan enkripsi infrastruktur untuk server Azure Database for MySQL agar memiliki tingkat jaminan yang lebih tinggi bahwa data aman. Saat enkripsi infrastruktur diaktifkan, data saat tidak aktif dienkripsi dua kali menggunakan kunci terkelola Microsoft yang sesuai dengan FIPS 140-2. Audit, Tolak, Dinonaktifkan 1.0.0
Enkripsi infrastruktur harus diaktifkan untuk server Azure Database for PostgreSQL Aktifkan enkripsi infrastruktur untuk server Azure Database for PostgreSQL agar memiliki tingkat jaminan yang lebih tinggi bahwa data aman. Saat enkripsi infrastruktur diaktifkan, data saat tidak aktif dienkripsi dua kali menggunakan kunci yang dikelola Microsoft yang sesuai dengan FIPS 140-2 Audit, Tolak, Dinonaktifkan 1.0.0
Titik pemeriksaan log harus diaktifkan untuk server database PostgreSQL Kebijakan ini membantu mengaudit semua database PostgreSQL di lingkungan Anda tanpa mengaktifkan pengaturan log_checkpoints. AuditIfNotExists, Dinonaktifkan 1.0.0
Koneksi log harus diaktifkan untuk server database PostgreSQL Kebijakan ini membantu mengaudit database PostgreSQL di lingkungan Anda tanpa mengaktifkan pengaturan log_connections. AuditIfNotExists, Dinonaktifkan 1.0.0
Durasi log harus diaktifkan untuk server database PostgreSQL Kebijakan ini membantu mengaudit database PostgreSQL di lingkungan Anda tanpa mengaktifkan pengaturan log_duration. AuditIfNotExists, Dinonaktifkan 1.0.0
Cadangan geo-redundan jangka panjang harus diaktifkan untuk Azure SQL Database Kebijakan ini mengaudit Azure SQL Database dengan pencadangan geo-redundan jangka panjang yang tidak diaktifkan. AuditIfNotExists, Dinonaktifkan 2.0.0
Server MariaDB harus menggunakan titik akhir layanan jaringan virtual Aturan firewall berbasis jaringan virtual digunakan untuk mengaktifkan lalu lintas dari subnet tertentu ke Azure Database for MariaDB sambil memastikan lalu lintas tetap berada dalam batas Azure. Kebijakan ini menyediakan cara untuk mengaudit jika Azure Database for MariaDB memiliki titik akhir layanan jaringan virtual yang digunakan. AuditIfNotExists, Dinonaktifkan 1.0.2
Server MySQL harus menggunakan titik akhir layanan jaringan virtual Aturan firewall berbasis jaringan virtual digunakan untuk mengaktifkan lalu lintas dari subnet tertentu ke Azure Database for MySQL sambil memastikan lalu lintas tetap berada dalam batas Azure. Kebijakan ini menyediakan cara untuk mengaudit jika Azure Database for MySQL memiliki titik akhir layanan jaringan virtual yang digunakan. AuditIfNotExists, Dinonaktifkan 1.0.2
Server MySQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari server MySQL Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. AuditIfNotExists, Dinonaktifkan 1.0.4
Server PostgreSQL harus menggunakan titik akhir layanan jaringan virtual Aturan firewall berbasis jaringan virtual digunakan untuk mengaktifkan lalu lintas dari subnet tertentu ke Azure Database untuk PostgreSQL sambil memastikan lalu lintas tetap berada dalam batas Azure. Kebijakan ini menyediakan cara untuk mengaudit jika Azure Database untuk PostgreSQL memiliki titik akhir layanan jaringan virtual yang digunakan. AuditIfNotExists, Dinonaktifkan 1.0.2
Server PostgreSQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data yang tidak aktif Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari server PostgreSQL Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. AuditIfNotExists, Dinonaktifkan 1.0.4
Koneksi titik akhir privat pada Azure SQL Database harus diaktifkan Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure SQL Database. Audit, Dinonaktifkan 1.1.0
Titik akhir privat harus diaktifkan untuk server MariaDB Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for MariaDB. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. AuditIfNotExists, Dinonaktifkan 1.0.2
Titik akhir pribadi harus diaktifkan untuk server MySQL Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for MySQL. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. AuditIfNotExists, Dinonaktifkan 1.0.2
Titik akhir pribadi harus diaktifkan untuk server PostgreSQL Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for PostgreSQL. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. AuditIfNotExists, Dinonaktifkan 1.0.2
Akses jaringan publik di Azure SQL Database harus dinonaktifkan Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan Azure SQL Database Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini menolak semua login yang cocok dengan aturan firewall berbasis IP atau jaringan virtual. Audit, Tolak, Dinonaktifkan 1.1.0
Akses jaringan publik harus dinonaktifkan untuk server MariaDB Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for MariaDB Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini secara ketat menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Audit, Dinonaktifkan 1.0.2
Akses jaringan publik harus dinonaktifkan untuk server fleksibel MySQL Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan server fleksibel Azure Database for MySQL Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini secara ketat menonaktifkan akses dari ruang alamat publik apa pun di luar jangkauan Azure IP dan menolak semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Audit, Tolak, Dinonaktifkan 1.0.0
Akses jaringan publik harus dinonaktifkan untuk server MySQL Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for MySQL Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini secara ketat menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Audit, Dinonaktifkan 1.0.2
Akses jaringan publik harus dinonaktifkan untuk server fleksibel PostgreSQL Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan server fleksibel Azure Database for PostgreSQL Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini secara ketat menonaktifkan akses dari ruang alamat publik apa pun di luar jangkauan Azure IP dan menolak semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Audit, Tolak, Dinonaktifkan 1.0.0
Akses jaringan publik harus dinonaktifkan untuk server PostgreSQL Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for PostgreSQL Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menolak semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Audit, Dinonaktifkan 1.0.2
Pengaturan Audit SQL harus memiliki Tindakan-Grup yang dikonfigurasi untuk menangkap kejadian penting Properti AuditActionsAndGroups harus berisi setidaknya SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP untuk memastikan pencatatan audit secara menyeluruh AuditIfNotExists, Dinonaktifkan 1.0.0
SQL Database harus menghindari penggunaan redundansi cadangan GRS Database harus menghindari penggunaan penyimpanan geo-redundan default untuk cadangan, jika aturan residensi data mengharuskan data untuk tetap berada di wilayah tertentu. Catatan: Azure Policy tidak diberlakukan saat membuat database menggunakan T-SQL. Jika tidak secara eksplisit ditentukan, database dengan penyimpanan cadangan geo-redundan dibuat melalui T-SQL. Tolak, Dinonaktifkan 2.0.0
SQL Managed Instance harus memiliki versi TLS minimal 1.2 Mengatur versi TLS minimal ke 1.2 meningkatkan keamanan dengan memastikan Azure SQL Managed Instance Anda hanya dapat diakses dari klien menggunakan TLS 1.2. Menggunakan versi TLS kurang dari 1.2 tidak disarankan karena mereka memiliki kerentanan keamanan yang terdokumentasi dengan baik. Audit, Dinonaktifkan 1.0.1
SQL Managed Instances harus menghindari penggunaan redundansi cadangan GRS Instans Terkelola harus menghindari penggunaan penyimpanan geo-redundan default untuk cadangan, jika aturan residensi data mengharuskan data untuk tetap berada di wilayah tertentu. Catatan: Azure Policy tidak diberlakukan saat membuat database menggunakan T-SQL. Jika tidak secara eksplisit ditentukan, database dengan penyimpanan cadangan geo-redundan dibuat melalui T-SQL. Tolak, Dinonaktifkan 1.0.1
[Pratinjau]: Instans SQL Managed harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif Instans terkelola SQL Anda dibuat menggunakan kunci yang dikelola pelanggan untuk Enkripsi Data Transparan. Menerapkan Enkripsi Data Transparan (TDE) dengan kunci Anda sendiri memberi Anda peningkatan transparansi dan kontrol atas Pelindung TDE, peningkatan keamanan dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. Audit, Tolak, Dinonaktifkan 1.0.0-pratinjau
Instans terkelola SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif Menerapkan Enkripsi Data Transparan (TDE) dengan kunci Anda sendiri memberi Anda peningkatan transparansi dan kontrol atas Pelindung TDE, peningkatan keamanan dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. AuditIfNotExists, Dinonaktifkan 1.0.2
[Pratinjau]: Server SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif Azure SQL Server Anda dibuat menggunakan kunci yang dikelola pelanggan untuk Enkripsi Data Transparan. Menerapkan Enkripsi Data Transparan (TDE) dengan kunci Anda sendiri memberikan peningkatan transparansi dan kontrol atas Pelindung TDE, peningkatan keamanan dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. Audit, Tolak, Dinonaktifkan 1.0.0-pratinjau
Server SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif Menerapkan Enkripsi Data Transparan (TDE) dengan kunci Anda sendiri memberikan peningkatan transparansi dan kontrol atas Pelindung TDE, peningkatan keamanan dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. AuditIfNotExists, Dinonaktifkan 2.0.1
Server SQL dengan audit ke tujuan akun penyimpanan harus dikonfigurasi dengan minimal retensi 90 hari atau lebih Untuk tujuan penyelidikan insiden, kami menyarankan pengaturan retensi data untuk audit SQL Server Anda ke tujuan akun penyimpanan setidaknya 90 hari. Konfirmasikan bahwa Anda memenuhi aturan retensi yang diperlukan untuk wilayah tempat Anda beroperasi. Ini terkadang diperlukan untuk memenuhi standar peraturan. AuditIfNotExists, Dinonaktifkan 3.0.0
Enkripsi Data Transparan di database SQL harus diaktifkan Enkripsi data transparan harus diaktifkan untuk melindungi data-yang-tidak-aktif dan memenuhi persyaratan kepatuhan AuditIfNotExists, Dinonaktifkan 2.0.0
Aturan firewall jaringan virtual pada Azure SQL Database harus diaktifkan untuk memperbolehkan lalu lintas dari subnet yang ditentukan Aturan firewall berbasis jaringan virtual digunakan untuk mengaktifkan lalu lintas dari subnet tertentu ke Azure SQL Database sambil memastikan lalu lintas tetap berada dalam batas Azure. AuditIfNotExists 1.0.0
Setelan Penilaian Kerentanan untuk server SQL harus berisi alamat email untuk menerima laporan pemindaian Pastikan bahwa alamat email diberikan untuk bidang 'Kirim laporan pindaian ke' di setelan Penilaian Kerentanan. Alamat email ini menerima ringkasan hasil pemindaian setelah pemindaian berkala berjalan di server SQL. AuditIfNotExists, Dinonaktifkan 2.0.0
Penilaian kerentanan harus diaktifkan di SQL Managed Instance Audit setiap Instans Terkelola SQL yang tidak mengaktifkan pemindaian penilaian kerentanan berulang. Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda memulihkan potensi kerentanan basis data. AuditIfNotExists, Dinonaktifkan 1.0.1
Penilaian kerentanan harus diaktifkan di server SQL Anda Audit server Azure SQL yang tidak mengaktifkan pemindaian penilaian kerentanan berulang. Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda memulihkan potensi kerentanan basis data. AuditIfNotExists, Dinonaktifkan 2.0.0

Penyimpanan

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure File Sync harus menggunakan tautan privat Membuat titik akhir pribadi untuk sumber daya Layanan Sinkronisasi Penyimpanan yang ditunjukkan memungkinkan Anda untuk menangani sumber daya Layanan Sinkronisasi Penyimpanan dari dalam ruang alamat IP pribadi jaringan organisasi Anda, bukan melalui titik akhir publik yang dapat diakses internet. Membuat titik akhir pribadi dengan sendirinya tidak menonaktifkan titik akhir publik. AuditIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasi Azure File Sync untuk menggunakan zona DNS privat Untuk mengakses titik akhir pribadi untuk antarmuka sumber daya Storage Sync Service dari server terdaftar, Anda perlu mengonfigurasi DNS untuk menyelesaikan nama yang benar ke alamat IP pribadi titik akhir pribadi Anda. Kebijakan ini membuat Zona DNS Pribadi Azure dan catatan A yang diperlukan untuk antarmuka titik akhir pribadi Layanan Sinkronisasi Penyimpanan Anda. DeployIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasi Azure File Sync dengan titik akhir privat Titik akhir pribadi disebarkan untuk sumber daya Layanan Sinkronisasi Penyimpanan yang ditunjukkan. Ini memungkinkan Anda untuk menangani sumber daya Layanan Sinkronisasi Penyimpanan Anda dari dalam ruang alamat IP pribadi jaringan organisasi Anda, bukan melalui titik akhir publik yang dapat diakses internet. Keberadaan satu atau lebih titik akhir pribadi dengan sendirinya tidak menonaktifkan titik akhir publik. DeployIfNotExists, Dinonaktifkan 1.0.0
Konfigurasikan setelan diagnostik untuk akun penyimpanan ke ruang kerja Log Analytics Menyebarkan pengaturan diagnostik untuk akun penyimpanan untuk mengalirkan log sumber daya ke ruang kerja Analisis Log saat akun penyimpanan yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. DeployIfNotExists, Dinonaktifkan 1.3.0
Konfigurasikan akun Penyimpanan untuk menggunakan koneksi tautan pribadi Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir pribadi ke akun penyimpanan Anda, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan pribadi di - https://aka.ms/azureprivatelinkoverview DeployIfNotExists, Dinonaktifkan 1.0.0
Menerapkan Perlindungan Ancaman Lanjutan pada akun penyimpanan Kebijakan ini mengaktifkan Perlindungan Ancaman Lanjutan pada akun penyimpanan. DeployIfNotExists, Dinonaktifkan 1.0.0
Penyimpanan geo-redundan harus diaktifkan untuk Akun Penyimpanan Gunakan geo-redundansi untuk membuat aplikasi yang sangat tersedia Audit, Dinonaktifkan 1.0.0
Akun Cache HPC harus menggunakan kunci yang dikelola pelanggan untuk enkripsi Kelola enkripsi yang tidak aktif di seluruh Azure HPC Cache dengan kunci yang dikelola pelanggan. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. Audit, Dinonaktifkan, Tolak 2.0.0
Ubah - Mengonfigurasi Azure File Sync untuk menonaktifkan akses jaringan publik Titik akhir publik yang dapat diakses internet Azure File Sync dinonaktifkan oleh kebijakan organisasi Anda. Anda masih dapat mengakses Layanan Sinkronisasi Penyimpanan melalui titik akhir pribadinya. Ubah, Dinonaktifkan 1.0.0
Akses jaringan publik harus dinonaktifkan untuk Azure File Sync Menonaktifkan titik akhir publik memungkinkan Anda membatasi akses ke sumber daya Layanan Sinkronisasi Penyimpanan untuk permintaan yang ditujukan ke titik akhir pribadi yang disetujui di jaringan organisasi Anda. Tidak ada yang secara inheren tidak aman tentang mengizinkan permintaan ke titik akhir publik, namun, Anda mungkin ingin menonaktifkannya untuk memenuhi persyaratan kebijakan peraturan, hukum, atau organisasi. Anda dapat menonaktifkan titik akhir publik untuk Layanan Sinkronisasi Penyimpanan dengan menyetel incomingTrafficPolicy sumber daya ke AllowVirtualNetworksOnly. Audit, Tolak, Dinonaktifkan 1.0.0
Transfer aman ke akun penyimpanan harus diaktifkan Persyaratan audit Transfer aman di akun penyimpanan Anda. Transfer aman adalah opsi yang memaksa akun penyimpanan Anda untuk menerima permintaan hanya dari koneksi aman (HTTPS). Penggunaan HTTPS memastikan autentikasi antara server dan layanan dan melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking Audit, Tolak, Dinonaktifkan 2.0.0
Cakupan enkripsi akun penyimpanan harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif di seluruh cakupan enkripsi akun penyimpanan Anda. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci brankas kunci Azure yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. Pelajari lebih lanjut tentang selengkapnya penyimpanan di https://aka.ms/encryption-scopes-overview. Audit, Tolak, Dinonaktifkan 1.0.0
Cakupan enkripsi akun penyimpanan harus menggunakan enkripsi ganda untuk data tidak aktif Aktifkan enkripsi infrastruktur untuk enkripsi di seluruh cakupan enkripsi akun penyimpanan Anda untuk keamanan tambahan. Enkripsi infrastruktur memastikan bahwa data Anda dienkripsi dua kali. Audit, Tolak, Dinonaktifkan 1.0.0
Kunci akun penyimpanan tidak boleh kedaluwarsa Pastikan kunci akun penyimpanan pengguna tidak kedaluwarsa saat kebijakan kedaluwarsa kunci ditetapkan, untuk meningkatkan keamanan kunci akun dengan mengambil tindakan saat kunci kedaluwarsa. Audit, Tolak, Dinonaktifkan 3.0.0
[Pratinjau]: Akses publik akun penyimpanan harus dilarang Akses baca publik anonim ke container dan blob di Azure Storage adalah cara yang nyaman untuk berbagi data tetapi dapat menimbulkan risiko keamanan. Untuk mencegah pelanggaran data yang disebabkan oleh akses anonim yang tidak diinginkan, Microsoft merekomendasikan untuk mencegah akses publik ke akun penyimpanan kecuali skenario Anda memerlukannya. audit, tolak, dinonaktifkan 3.0.1-pratinjau
Akun penyimpanan harus mengizinkan akses dari layanan Microsoft tepercaya Beberapa layanan Microsoft yang berinteraksi dengan akun penyimpanan beroperasi dari jaringan yang tidak dapat diberikan akses melalui aturan jaringan. Untuk membantu jenis layanan ini berfungsi sebagaimana mestinya, izinkan kumpulan layanan Microsoft tepercaya untuk mengabaikan aturan jaringan. Layanan ini kemudian akan menggunakan autentikasi yang kuat untuk mengakses akun penyimpanan. Audit, Tolak, Dinonaktifkan 1.0.0
Akun penyimpanan harus dibatasi oleh SKU yang diizinkan Batasi kumpulan SKU akun penyimpanan yang dapat disebarkan oleh organisasi Anda. Audit, Tolak, Dinonaktifkan 1.1.0
Akun penyimpanan harus dimigrasikan ke sumber daya Azure Resource Manager baru Gunakan Azure Resource Manager baru untuk akun penyimpanan Anda guna memberikan peningkatan keamanan seperti: kontrol akses yang lebih kuat (RBAC), audit yang lebih baik, penyebaran dan tata kelola berbasis Azure Resource Manager, akses ke identitas terkelola, akses ke brankas kunci untuk rahasia, berbasis Azure Active Directory autentikasi dan dukungan untuk tag dan grup sumber daya untuk manajemen keamanan yang lebih mudah Audit, Tolak, Dinonaktifkan 1.0.0
Akun penyimpanan harus memiliki enkripsi infrastruktur Aktifkan enkripsi infrastruktur untuk tingkat jaminan yang lebih tinggi bahwa data aman. Saat enkripsi infrastruktur diaktifkan, data dalam akun penyimpanan dienkripsi dua kali. Audit, Tolak, Dinonaktifkan 1.0.0
Akun penyimpanan harus mencegah akses kunci secara bersama Persyaratan audit Azure Active Directory (Azure AD) untuk mengotorisasi permintaan untuk akun penyimpanan Anda. Secara default, permintaan dapat diotorisasi dengan kredensial Azure Active Directory (Azure AD), atau dengan menggunakan kunci akses akun untuk otorisasi Kunci Bersama. Dari kedua jenis otorisasi ini, Azure AD menyediakan keamanan yang unggul dan kemudahan penggunaan melalui Kunci Bersama, dan direkomendasikan oleh Microsoft. Audit, Tolak, Dinonaktifkan 1.0.0
Akun penyimpanan harus membatasi akses jaringan Akses jaringan ke akun penyimpanan harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk mengizinkan koneksi dari internet tertentu atau klien lokal, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke rentang alamat IP internet publik Audit, Tolak, Dinonaktifkan 1.1.1
Akun penyimpanan harus membatasi akses jaringan menggunakan aturan jaringan virtual Lindungi akun penyimpanan Anda dari potensi ancaman menggunakan aturan jaringan virtual sebagai metode pilihan alih-alih pemfilteran berbasis IP. Menonaktifkan pemfilteran berbasis IP mencegah IP publik mengakses akun penyimpanan Anda. Audit, Tolak, Dinonaktifkan 1.0.1
Akun penyimpanan harus menggunakan kunci yang dikelola pelanggan untuk enkripsi Amankan akun penyimpanan blob dan file Anda dengan fleksibilitas yang lebih besar menggunakan kunci yang dikelola pelanggan. Saat Anda menentukan kunci yang dikelola pelanggan, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Menggunakan kunci yang dikelola pelanggan memberikan kemampuan tambahan untuk mengontrol rotasi kunci enkripsi kunci atau menghapus data secara kriptografis. Audit, Dinonaktifkan 1.0.3
Akun penyimpanan harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Tautan Pribadi menangani konektivitas antara konsumen dan layanan melalui jaringan tulang punggung Azure. Dengan memetakan titik akhir pribadi ke akun penyimpanan Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan pribadi di - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Dinonaktifkan 2.0.0

Stream Analytics

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Pekerjaan Azure Stream Analytics harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data Gunakan kunci yang dikelola pelanggan saat Anda ingin menyimpan metadata dan aset data pribadi apa pun dengan aman dari tugas Analisis Aliran di akun penyimpanan Anda. Hal ini memberi Anda kendali penuh atas cara data Azure Stream Analytics Anda dienkripsi. audit, tolak, dinonaktifkan 1.0.0
Log sumber daya di Azure Stream Analytics harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0

Synapse

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Audit di ruang kerja Synapse harus diaktifkan Audit di ruang kerja Synapse Anda harus diaktifkan untuk melacak aktivitas database di semua database pada kumpulan SQL khusus dan menyimpannya dalam log audit. AuditIfNotExists, Dinonaktifkan 1.0.0
Ruang kerja Azure Synapse harus mengizinkan lalu lintas data keluar hanya ke target yang disetujui Tingkatkan keamanan ruang kerja Synapse Anda dengan mengizinkan lalu lintas data keluar hanya ke target yang disetujui. Hal ini membantu pencegahan terhadap penyelundupan data dengan memvalidasi target sebelum mengirim data. Audit, Dinonaktifkan, Tolak 1.0.0
Ruang kerja Azure Synapse harus menonaktifkan akses jaringan publik Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa ruang kerja Synapse tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan ruang kerja Synapse Anda. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. Audit, Tolak, Dinonaktifkan 1.0.0
Ruang kerja Azure Synapse harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif Gunakan kunci yang dikelola pelanggan untuk mengontrol enkripsi di seluruh data yang disimpan di ruang kerja Azure Synapse. Kunci yang dikelola pelanggan memberikan enkripsi ganda dengan menambahkan enkripsi lapisan kedua di atas enkripsi default dengan kunci yang dikelola layanan. Audit, Tolak, Dinonaktifkan 1.0.0
Ruang kerja Azure Synapse harus menggunakan private link Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir pribadi ke ruang kerja Azure Synapse, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Dinonaktifkan 1.0.1
Konfigurasikan ruang kerja Azure Synapse untuk menonaktifkan akses jaringan publik Nonaktifkan akses jaringan publik untuk ruang kerja Synapse Anda agar tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. Ubah, Non-fungsikan 1.0.0
Mengonfigurasikan ruang kerja Azure Synapse untuk menggunakan zona DNS privat Gunakan zona DNS privat untuk mengambil alih resolusi DNS untuk titik akhir privat. Zona DNS pribadi tertaut ke jaringan virtual Anda untuk diselesaikan ke ruang kerja Azure Synapse. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. DeployIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasi ruang kerja Azure Synapse dengan titik akhir privat Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke ruang kerja Azure Synapse, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. DeployIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasi ruang kerja Synapse agar audit diaktifkan Untuk memastikan operasi yang dilakukan terhadap aset SQL Anda diambil, ruang kerja Synapse harus mengaktifkan audit. Ini terkadang diperlukan untuk memenuhi standar peraturan. DeployIfNotExists, Dinonaktifkan 1.1.0
Aturan firewall IP di ruang kerja Azure Synapse harus dihapus Menghapus semua aturan firewall IP meningkatkan keamanan dengan memastikan ruang kerja Azure Synapse Anda hanya dapat diakses dari titik akhir privat. Konfigurasi ini mengaudit pembuatan aturan firewall yang mengizinkan akses jaringan publik di ruang kerja. Audit, Dinonaktifkan 1.0.0
Jaringan virtual ruang kerja terkelola di ruang kerja Azure Synapse harus diaktifkan Mengaktifkan jaringan virtual ruang kerja terkelola memastikan bahwa ruang kerja Anda adalah jaringan yang diisolasi dari ruang kerja lain. Integrasi data dan sumber daya Spark yang disebarkan di jaringan virtual ini juga menyediakan isolasi tingkat pengguna untuk aktivitas Spark. Audit, Tolak, Dinonaktifkan 1.0.0
Titik akhir privat terkelola Synapse hanya boleh terhubung ke sumber daya di penyewa Azure Active Directory yang disetujui Lindungi ruang kerja Synapse Anda dengan hanya mengizinkan koneksi ke sumber daya di penyewa Azure Active Directory (Azure AD) yang disetujui. Penyewa Azure Active Directory yang disetujui dapat ditentukan selama penetapan kebijakan. Audit, Dinonaktifkan, Tolak 1.0.0
Pengaturan audit ruang kerja Synapse harus memiliki grup tindakan yang dikonfigurasi untuk mengambil aktivitas penting Untuk memastikan log audit Anda selengkap mungkin, properti AuditActionsAndGroups harus menyertakan semua grup yang relevan. Kami menyarankan untuk setidaknya menambahkan SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, dan BATCH_COMPLETED_GROUP. Ini terkadang diperlukan untuk memenuhi standar peraturan. AuditIfNotExists, Dinonaktifkan 1.0.0
Ruang kerja Synapse dengan audit SQL ke destinasi akun penyimpanan harus dikonfigurasi dengan retensi 90 hari atau lebih tinggi Untuk tujuan investigasi insiden, sebaiknya atur retensi data untuk audit SQL ruang kerja Synapse Anda ke destinasi akun penyimpanan setidaknya 90 hari. Konfirmasikan bahwa Anda memenuhi aturan retensi yang diperlukan untuk wilayah tempat Anda beroperasi. Ini terkadang diperlukan untuk memenuhi standar peraturan. AuditIfNotExists, Dinonaktifkan 2.0.0
Penilaian kerentanan harus diaktifkan di ruang kerja Synapse Anda Temukan, lacak, dan pulihkan potensi kerentanan dengan mengonfigurasi pemindaian penilaian kerentanan SQL berulang di ruang kerja Synapse Anda. AuditIfNotExists, Dinonaktifkan 1.0.0

Tag

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Tambahkan tag ke grup sumber daya Menambahkan tag dan nilai yang ditentukan saat grup sumber daya yang tidak memiliki tag ini dibuat atau diperbarui. Grup sumber daya yang ada dapat diperbaiki dengan memicu tugas perbaikan. Jika tag ada dengan nilai yang berbeda, itu tidak akan diubah. ubah 1.0.0
Tambahkan tag ke sumber daya Menambahkan tag dan nilai yang ditentukan saat sumber daya yang tidak memiliki tag ini dibuat atau diperbarui. Sumber daya yang ada dapat dimediasi ulang dengan memicu tugas perbaikan. Jika tag ada dengan nilai yang berbeda, itu tidak akan diubah. Tidak mengubah tag pada grup sumber daya. ubah 1.0.0
Tambahkan tag ke langganan Menambahkan tag dan nilai yang ditentukan ke langganan melalui tugas perbaikan. Jika tag ada dengan nilai yang berbeda, itu tidak akan diubah. Lihat https://aka.ms/azurepolicyremediation untuk informasi selengkapnya tentang perbaikan kebijakan. ubah 1.0.0
Menambahkan atau mengganti tag pada grup sumber daya Menambahkan atau mengganti tag dan nilai yang ditentukan saat grup sumber daya dibuat atau diperbarui. Grup sumber daya yang ada dapat diperbaiki dengan memicu tugas perbaikan. ubah 1.0.0
Menambahkan atau mengganti tag pada sumber daya Menambahkan atau mengganti tag dan nilai yang ditentukan saat sumber daya apa pun dibuat atau diperbarui. Sumber daya yang ada dapat dimediasi ulang dengan memicu tugas perbaikan. Tidak mengubah tag pada grup sumber daya. ubah 1.0.0
Menambahkan atau mengganti tag pada langganan Menambahkan atau mengganti tag dan nilai yang ditentukan pada langganan melalui tugas perbaikan. Grup sumber daya yang ada dapat diperbaiki dengan memicu tugas perbaikan. Lihat https://aka.ms/azurepolicyremediation untuk informasi selengkapnya tentang perbaikan kebijakan. ubah 1.0.0
Menambahkan tag dan nilainya dari grup sumber daya Menambahkan tag yang ditentukan dengan nilainya dari grup sumber daya saat sumber daya apa pun yang tidak memiliki tag ini dibuat atau diperbarui. Tidak mengubah tag sumber daya yang dibuat sebelum kebijakan ini diterapkan hingga sumber daya tersebut diubah. Kebijakan efek 'modifikasi' baru tersedia yang mendukung perbaikan tag pada sumber daya yang ada (lihat https://aka.ms/modifydoc). tambah 1.0.0
Menambahkan tag dan nilainya ke grup sumber daya Menambahkan tag dan nilai yang ditentukan saat grup sumber daya yang tidak memiliki tag ini dibuat atau diperbarui. Tidak mengubah tag grup sumber daya yang dibuat sebelum kebijakan ini diterapkan hingga grup sumber daya tersebut diubah. Kebijakan efek 'modifikasi' baru tersedia yang mendukung perbaikan tag pada sumber daya yang ada (lihat https://aka.ms/modifydoc). tambah 1.0.0
Menambahkan tag dan nilainya ke sumber daya Menambahkan tag dan nilai yang ditentukan saat sumber daya apa pun yang hilang dari tag ini dibuat atau diperbarui. Tidak mengubah tag sumber daya yang dibuat sebelum kebijakan ini diterapkan hingga sumber daya tersebut diubah. Tidak berlaku untuk grup sumber daya. Kebijakan efek 'modifikasi' baru tersedia yang mendukung perbaikan tag pada sumber daya yang ada (lihat https://aka.ms/modifydoc). menambahkan 1.0.1
Mewarisi tag dari grup sumber daya Menambahkan atau mengganti tag dan nilai yang ditentukan dari grup sumber daya induk saat sumber daya apa pun dibuat atau diperbarui. Sumber daya yang ada dapat dimediasi ulang dengan memicu tugas perbaikan. ubah 1.0.0
Mewarisi tag dari grup sumber daya jika tidak ada Menambahkan tag yang ditentukan dengan nilainya dari grup sumber daya induk saat sumber daya yang tidak memiliki tag ini dibuat atau diperbarui. Sumber daya yang ada dapat dimediasi ulang dengan memicu tugas perbaikan. Jika tag ada dengan nilai yang berbeda, itu tidak akan diubah. ubah 1.0.0
Mewarisi tag dari langganan Menambahkan atau mengganti tag dan nilai yang ditentukan dari langganan yang berisi saat sumber daya apa pun dibuat atau diperbarui. Sumber daya yang ada dapat dimediasi ulang dengan memicu tugas perbaikan. ubah 1.0.0
Mewarisi tag dari langganan jika tidak ada Menambahkan tag yang ditentukan dengan nilainya dari langganan yang memuatnya saat sumber daya yang hilang dari tag ini dibuat atau diperbarui. Sumber daya yang ada dapat dimediasi ulang dengan memicu tugas perbaikan. Jika tag ada dengan nilai yang berbeda, itu tidak akan diubah. ubah 1.0.0
Memerlukan tag dan nilainya pada grup sumber daya Menerapkan tag yang diperlukan dan nilainya pada grup sumber daya. tolak 1.0.0
Memerlukan tag dan nilainya pada sumber daya Menerapkan tag yang diperlukan dan nilainya. Tidak berlaku untuk grup sumber daya. membantah 1.0.1
Memerlukan tag pada grup sumber daya Menerapkan keberadaan tag pada grup sumber daya. tolak 1.0.0
Memerlukan tag pada sumber daya Menerapkan keberadaan tag. Tidak berlaku untuk grup sumber daya. membantah 1.0.1

Pembangun Gambar VM

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Templat VM Image Builder harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Tautan Pribadi menangani konektivitas antara konsumen dan layanan melalui jaringan tulang punggung Azure. Dengan memetakan titik akhir pribadi ke sumber daya bangunan VM Image Builder Anda, risiko kebocoran data berkurang. Pelajari lebih lanjut tautan privat di: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Dinonaktifkan, Tolak 1.1.0

Web PubSub

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Layanan Azure Web PubSub harus menonaktifkan akses jaringan publik Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa layanan Azure Web PubSub tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan layanan Azure Web PubSub. Pelajari lebih lanjut di: https://aka.ms/awps/networkacls. Audit, Tolak, Dinonaktifkan 1.0.0
Layanan Azure Web PubSub harus menggunakan SKU yang mendukung tautan privat Saat menggunakan SKU yang didukung, Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke layanan Azure Web PubSub, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/awps/privatelink. Audit, Tolak, Dinonaktifkan 1.0.0
Layanan Azure Web PubSub harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Layanan Azure Web PubSub, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/awps/privatelink. Audit, Tolak, Dinonaktifkan 1.0.0
Mengonfigurasi Layanan Azure Web PubSub untuk menonaktifkan akses jaringan publik Nonaktifkan akses jaringan publik untuk sumber daya Azure Web PubSub sehingga tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari lebih lanjut di: https://aka.ms/awps/networkacls. Ubah, Non-fungsikan 1.0.0
Mengonfigurasikan Layanan Azure Web PubSub untuk menggunakan zona DNS privat Gunakan zona DNS privat untuk mengambil alih resolusi DNS untuk titik akhir privat. Zona DNS privat ditautkan ke jaringan virtual Anda untuk mengatasi ke layanan Azure Web PubSub. Pelajari lebih lanjut di: https://aka.ms/awps/privatelink. DeployIfNotExists, Dinonaktifkan 1.0.0
Mengonfigurasi Layanan Azure Web PubSub dengan titik akhir privat Titik akhir privat menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Dengan memetakan titik akhir privat ke layanan Azure Web PubSub, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/awps/privatelink. DeployIfNotExists, Dinonaktifkan 1.0.0

Langkah berikutnya