Detail inisiatif bawaan Kebijakan Rahasia Microsoft Cloud for Sovereignty Baseline
Artikel berikut merinci bagaimana definisi inisiatif bawaan Kepatuhan Peraturan Azure Policy dipetakan ke domain kepatuhan dan kontrol di Kebijakan Rahasia Garis Besar Microsoft Cloud for Sovereignty. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat Kebijakan Rahasia Garis Besar Microsoft Cloud for Sovereignty. Untuk memahami Kepemilikan, lihat definisi kebijakan Azure Policy dan Tanggung jawab bersama di awan.
Pemetaan berikut adalah ke kontrol Kebijakan Rahasia Garis Besar Microsoft Cloud for Sovereignty. Banyak kontrol diimplementasikan dengan definisi inisiatif Azure Policy. Untuk meninjau definisi inisiatif lengkap, buka Kebijakan di portal Microsoft Azure dan pilih halaman Definisi. Kemudian, temukan dan pilih definisi inisiatif bawaan [Pratinjau]: Garis Besar Kedaulatan - Kebijakan Rahasia Kepatuhan Peraturan.
Penting
Setiap kontrol di bawah ini dikaitkan dengan satu atau beberapa definisi Azure Policy. Kebijakan ini mungkin membantu Anda menilai kepatuhan terhadap kontrol; namun, sering kali tidak ada kecocokan satu-ke-satu atau lengkap antara kontrol dan satu atau beberapa kebijakan. Dengan demikian, Kepatuhan di Azure Policy hanya mengacu pada definisi kebijakan itu sendiri; hal tersebut tidak memastikan Anda sepenuhnya mematuhi semua persyaratan kontrol. Selain itu, standar kepatuhan melibatkan kontrol yang tidak dicakup dalam definisi yang ada di Azure Policy saat ini. Oleh karena itu, kepatuhan dalam Azure Policy hanyalah pandangan parsial dari status kepatuhan Anda secara keseluruhan. Hubungan antara domain kepatuhan, kontrol, dan definisi Azure Policy untuk standar kepatuhan ini dapat berubah seiring waktu. Untuk melihat riwayat perubahan, lihat Riwayat Komit GitHub.
SO.1 - Residensi Data
Produk Azure harus disebarkan ke dan dikonfigurasi untuk menggunakan wilayah yang disetujui.
ID: Kebijakan Garis Besar Kedaulatan MCfS SO.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Lokasi yang diizinkan | Kebijakan ini memungkinkan Anda membatasi lokasi yang dapat ditentukan oleh organisasi Anda saat menggunakan sumber daya. Gunakan untuk menerapkan persyaratan kepatuhan geografis Anda. Tidak termasuk grup sumber daya, Microsoft.AzureActiveDirectory/b2cDirectories, dan sumber daya yang menggunakan wilayah 'global'. | tolak | 1.0.0 |
| Lokasi yang diizinkan untuk grup sumber daya | Kebijakan ini memungkinkan Anda membatasi lokasi tempat organisasi Anda dapat membuat sumber daya. Gunakan untuk menerapkan persyaratan kepatuhan geografis Anda. | tolak | 1.0.0 |
| Lokasi yang diizinkan Azure Cosmos DB | Kebijakan ini memungkinkan Anda membatasi lokasi yang dapat ditentukan oleh organisasi Anda saat menyebarkan sumber daya Azure Cosmos DB. Gunakan untuk menerapkan persyaratan kepatuhan geografis Anda. | [parameters('policyEffect')] | 1.1.0 |
SO.3 - Kunci yang Dikelola Pelanggan
Produk Azure harus dikonfigurasi untuk menggunakan Kunci yang Dikelola Pelanggan jika memungkinkan.
ID: Kebijakan Dasar Kedaulatan MCfS SO.3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Vault Layanan Pemulihan Azure harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data cadangan | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi di sisa data cadangan Anda. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci tersebut biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/AB-CmkEncryption. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| Sistem operasi dan disk data di kluster Azure Kubernetes Service harus dienkripsi dengan kunci yang dikelola pelanggan | Mengenkripsi OS dan disk data menggunakan kunci yang dikelola pelanggan memberikan lebih banyak kontrol dan fleksibilitas yang lebih besar dalam manajemen kunci. Ini adalah persyaratan umum dalam banyak standar kepatuhan peraturan dan industri. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Akun HPC Cache harus menggunakan kunci yang dikelola pelanggan untuk enkripsi | Kelola enkripsi yang tidak aktif di seluruh Azure HPC Cache dengan kunci yang dikelola pelanggan. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci tersebut biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. | Audit, Dinonaktifkan, Tolak | 2.0.0 |
| Disk terkelola harus dienkripsi ganda dengan kunci yang dikelola platform dan kunci yang dikelola pelanggan | Pelanggan sensitif keamanan tinggi yang memiliki kekhawatiran atas risiko terkait algoritma enkripsi, implementasi, atau kunci tertentu yang disusupi dapat memilih lapisan enkripsi tambahan menggunakan algoritma/mode enkripsi yang berbeda pada lapisan infrastruktur menggunakan kunci enkripsi yang dikelola platform. Set enkripsi disk diperlukan untuk menggunakan enkripsi ganda. Pelajari lebih lanjut di https://aka.ms/disks-doubleEncryption. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Server MySQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari server MySQL Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. | AuditIfNotExists, Dinonaktifkan | 1.0.4 |
| Server PostgreSQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data yang tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari server PostgreSQL Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. | AuditIfNotExists, Dinonaktifkan | 1.0.4 |
| Queue Storage harus menggunakan kunci yang dikelola pelanggan untuk enkripsi | Amankan akun penyimpanan Anda dengan fleksibilitas yang lebih besar menggunakan kunci yang dikelola pelanggan. Saat Anda menentukan kunci yang dikelola pelanggan, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Menggunakan kunci yang dikelola pelanggan memberikan kemampuan tambahan untuk mengontrol rotasi kunci enkripsi kunci atau menghapus data secara kriptografis. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| ISQL managed instances harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data yang tidak aktif | Implementasi Enkripsi Data Transparan (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Server SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif | Implementasi Transparent Data Encryption (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. | Audit, Tolak, Dinonaktifkan | 2.0.1 |
| Cakupan enkripsi akun penyimpanan harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif di seluruh cakupan enkripsi akun penyimpanan Anda. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci brankas kunci Azure yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. Pelajari lebih lanjut tentang selengkapnya penyimpanan di https://aka.ms/encryption-scopes-overview. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun penyimpanan harus menggunakan kunci yang dikelola pelanggan untuk enkripsi | Amankan akun penyimpanan blob dan file Anda dengan fleksibilitas yang lebih besar menggunakan kunci yang dikelola pelanggan. Saat Anda menentukan kunci yang dikelola pelanggan, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Menggunakan kunci yang dikelola pelanggan memberikan kemampuan tambahan untuk mengontrol rotasi kunci enkripsi kunci atau menghapus data secara kriptografis. | Audit, Dinonaktifkan | 1.0.3 |
| Table Storage harus menggunakan kunci yang dikelola pelanggan untuk enkripsi | Amankan akun penyimpanan Anda dengan fleksibilitas yang lebih besar menggunakan kunci yang dikelola pelanggan. Saat Anda menentukan kunci yang dikelola pelanggan, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Menggunakan kunci yang dikelola pelanggan memberikan kemampuan tambahan untuk mengontrol rotasi kunci enkripsi kunci atau menghapus data secara kriptografis. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
SO.4 - Komputasi Rahasia Azure
Produk Azure harus dikonfigurasi untuk menggunakan SKU Azure Confidential Computing jika memungkinkan.
ID: Kebijakan Dasar Kedaulatan MCfS SO.4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Jenis sumber daya yang diizinkan | Kebijakan ini memungkinkan Anda menentukan jenis sumber daya yang dapat disebarkan oleh organisasi Anda. Hanya jenis sumber daya yang mendukung 'tag' dan 'lokasi' yang akan terpengaruh oleh kebijakan ini. Untuk membatasi semua sumber daya, silakan salin kebijakan ini dan ubah 'mode' menjadi 'Semua'. | tolak | 1.0.0 |
| SKU ukuran komputer virtual yang diizinkan | Kebijakan ini memungkinkan Anda menentukan satu set SKU ukuran komputer virtual yang dapat disebarkan oleh organisasi Anda. | Tolak | 1.0.1 |
Langkah berikutnya
Artikel tambahan tentang Azure Policy:
- Ikhtisar Kepatuhan terhadap Peraturan.
- Lihat struktur definisi inisiatif.
- Tinjau contoh lain di Contoh Azure Policy.
- Tinjau Memahami efek kebijakan.
- Pelajari cara memulihkan sumber daya yang tidak sesuai syarat.