Detail inisiatif bawaan Kepatuhan Terhadap Peraturan Sistem dan Organisasi (SOC) 2

Artikel
05/01/2024

Artikel berikut merinci bagaimana definisi inisiatif bawaan Kepatuhan Terhadap Peraturan Azure Policy dipetakan ke domain kepatuhan dan kontrol di Kontrol Sistem dan Organisasi (SOC) 2. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat Kontrol Sistem dan Organisasi (SOC) 2. Untuk memahami Kepemilikan, lihat definisi kebijakan Azure Policy dan Tanggung jawab bersama di awan.

Pemetaan berikut adalah kontrol Kontrol Sistem dan Organisasi (SOC) 2 . Banyak kontrol diimplementasikan dengan definisi inisiatif Azure Policy. Untuk meninjau definisi inisiatif lengkap, buka Kebijakan di portal Microsoft Azure dan pilih halaman Definisi. Kemudian, temukan dan pilih definisi inisiatif bawaan Kepatuhan Peraturan SOC 2 Tipe 2 .

Penting

Setiap kontrol di bawah ini dikaitkan dengan satu atau beberapa definisi Azure Policy. Kebijakan ini mungkin membantu Anda menilai kepatuhan terhadap kontrol; namun, sering kali tidak ada kecocokan satu-ke-satu atau lengkap antara kontrol dan satu atau beberapa kebijakan. Dengan demikian, Kepatuhan di Azure Policy hanya mengacu pada definisi kebijakan itu sendiri; hal tersebut tidak memastikan Anda sepenuhnya mematuhi semua persyaratan kontrol. Selain itu, standar kepatuhan melibatkan kontrol yang tidak dicakup dalam definisi yang ada di Azure Policy saat ini. Oleh karena itu, kepatuhan dalam Azure Policy hanyalah pandangan parsial dari status kepatuhan Anda secara keseluruhan. Hubungan antara domain kepatuhan, kontrol, dan definisi Azure Policy untuk standar kepatuhan ini dapat berubah seiring waktu. Untuk melihat riwayat perubahan, lihat Riwayat Komit GitHub.

Kriteria tambahan untuk ketersediaan

Manajemen kapasitas

ID: SOC 2 Tipe 2 A1.1 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Melakukan perencanaan kapasitas	CMA_C1252 - Melakukan perencanaan kapasitas	Manual, Dinonaktifkan	1.1.0

Perlindungan lingkungan, perangkat lunak, proses pencadangan data, dan infrastruktur pemulihan

ID: SOC 2 Tipe 2 A1.2 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Azure Backup harus diaktifkan untuk Virtual Machines	Pastikan perlindungan Virtual Machines Azure Anda dengan mengaktifkan Azure Backup. Azure Backup adalah solusi perlindungan data yang aman dan hemat biaya untuk Azure.	AuditIfNotExists, Dinonaktifkan	3.0.0
Menggunakan pencahayaan darurat otomatis	CMA_0209 - Menggunakan pencahayaan darurat otomatis	Manual, Dinonaktifkan	1.1.0
Membuat situs pemrosesan alternatif	CMA_0262 - Membuat situs pemrosesan alternatif	Manual, Dinonaktifkan	1.1.0
Cadangan geo-redundan harus diaktifkan pada Azure Database for MariaDB	Azure Database for MariaDB memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server.	Audit, Dinonaktifkan	1.0.1
Pencadangan geo-redundan harus diaktifkan untuk Azure Database for MySQL	Azure Database for MySQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server.	Audit, Dinonaktifkan	1.0.1
Pencadangan geo-redundan harus diaktifkan untuk Azure Database for PostgreSQL	Azure Database for PostgreSQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server.	Audit, Dinonaktifkan	1.0.1
Menerapkan metodologi pengujian penetrasi	CMA_0306 - Menerapkan metodologi pengujian penetrasi	Manual, Dinonaktifkan	1.1.0
Menerapkan keamanan fisik untuk perkantoran, area kerja, dan area aman	CMA_0323 - Menerapkan keamanan fisik untuk perkantoran, area kerja, dan area aman	Manual, Dinonaktifkan	1.1.0
Memasang sistem alarm	CMA_0338 - Menginstal sistem alarm	Manual, Dinonaktifkan	1.1.0
Memulihkan dan menyusun ulang sumber daya setelah gangguan apa pun	CMA_C1295 - Memulihkan dan menyusun ulang sumber daya setelah gangguan apa pun	Manual, Dinonaktifkan	1.1.1
Menjalankan serangan simulasi	CMA_0486 - Menjalankan serangan simulasi	Manual, Dinonaktifkan	1.1.0
Menyimpan informasi cadangan secara terpisah	CMA_C1293 - Menyimpan informasi cadangan secara terpisah	Manual, Dinonaktifkan	1.1.0
Mentransfer informasi cadangan ke situs penyimpanan alternatif	CMA_C1294 - Mentransfer informasi cadangan ke situs penyimpanan alternatif	Manual, Dinonaktifkan	1.1.0

Pengujian rencana pemulihan

ID: SOC 2 Tipe 2 A1.3 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Mengoordinasikan rencana kontingensi dengan rencana terkait	CMA_0086 - Mengoordinasikan rencana kontingensi dengan rencana terkait	Manual, Dinonaktifkan	1.1.0
Memulai tindakan korektif pengujian rencana kontingensi	CMA_C1263 - Memulai tindakan korektif pengujian rencana kontingensi	Manual, Dinonaktifkan	1.1.0
Tinjau hasil pengujian rencana kontingensi	CMA_C1262 - Tinjau hasil pengujian rencana kontingensi	Manual, Dinonaktifkan	1.1.0
Menguji kelangsungan bisnis dan rencana pemulihan bencana	CMA_0509 - Menguji kelangsungan bisnis dan rencana pemulihan bencana	Manual, Dinonaktifkan	1.1.0

Kriteria tambahan untuk kerahasiaan

Perlindungan informasi rahasia

ID: SOC 2 Tipe 2 C1.1 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Mengontrol akses fisik	CMA_0081 - Mengontrol akses fisik	Manual, Dinonaktifkan	1.1.0
Mengelola input, output, pemrosesan, dan penyimpanan data	CMA_0369 - Mengelola input, output, pemrosesan, dan penyimpanan data	Manual, Dinonaktifkan	1.1.0
Meninjau aktivitas dan analitik label	CMA_0474 - Meninjau aktivitas dan analitik label	Manual, Dinonaktifkan	1.1.0

Pembuangan informasi rahasia

ID: SOC 2 Tipe 2 C1.2 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Mengontrol akses fisik	CMA_0081 - Mengontrol akses fisik	Manual, Dinonaktifkan	1.1.0
Mengelola input, output, pemrosesan, dan penyimpanan data	CMA_0369 - Mengelola input, output, pemrosesan, dan penyimpanan data	Manual, Dinonaktifkan	1.1.0
Meninjau aktivitas dan analitik label	CMA_0474 - Meninjau aktivitas dan analitik label	Manual, Dinonaktifkan	1.1.0

Lingkungan Kontrol

Prinsip COSO 1

ID: SOC 2 Tipe 2 CC1.1 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Mengembangkan kebijakan dan prosedur penggunaan yang dapat diterima	CMA_0143 - Mengembangkan kebijakan dan prosedur penggunaan yang dapat diterima	Manual, Dinonaktifkan	1.1.0
Mengembangkan kebijakan kode etik organisasi	CMA_0159 - Mengembangkan kebijakan kode etik organisasi	Manual, Dinonaktifkan	1.1.0
Penerimaan personel dokumen persyaratan privasi	CMA_0193 - Penerimaan personel dokumen persyaratan privasi	Manual, Dinonaktifkan	1.1.0
Menerapkan aturan perilaku dan perjanjian akses	CMA_0248 - Menerapkan aturan perilaku dan perjanjian akses	Manual, Dinonaktifkan	1.1.0
Melarang praktik yang tidak adulir	CMA_0396 - Melarang praktik yang tidak adal	Manual, Dinonaktifkan	1.1.0
Meninjau dan menandatangani aturan perilaku yang direvisi	CMA_0465 - Meninjau dan menandatangani aturan perilaku yang direvisi	Manual, Dinonaktifkan	1.1.0
Memperbarui aturan perilaku dan perjanjian akses	CMA_0521 - Memperbarui aturan perilaku dan perjanjian akses	Manual, Dinonaktifkan	1.1.0
Memperbarui aturan perilaku dan perjanjian akses setiap 3 tahun	CMA_0522 - Memperbarui aturan perilaku dan perjanjian akses setiap 3 tahun	Manual, Dinonaktifkan	1.1.0

Prinsip COSO 2

ID: SOC 2 Tipe 2 CC1.2 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Menunjuk petugas keamanan informasi senior	CMA_C1733 - Menunjuk petugas keamanan informasi senior	Manual, Dinonaktifkan	1.1.0
Mengembangkan dan membuat rencana keamanan sistem	CMA_0151 - Mengembangkan dan membuat rencana keamanan sistem	Manual, Dinonaktifkan	1.1.0
Menetapkan strategi manajemen risiko	CMA_0258 - Menetapkan strategi manajemen risiko	Manual, Dinonaktifkan	1.1.0
Menetapkan persyaratan keamanan untuk manufaktur perangkat yang terhubung	CMA_0279 - Menetapkan persyaratan keamanan untuk pembuatan perangkat yang terhubung	Manual, Dinonaktifkan	1.1.0
Menerapkan prinsip rekayasa keamanan sistem informasi	CMA_0325 - Menerapkan prinsip rekayasa keamanan sistem informasi	Manual, Dinonaktifkan	1.1.0

Prinsip COSO 3

ID: SOC 2 Tipe 2 CC1.3 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Menunjuk petugas keamanan informasi senior	CMA_C1733 - Menunjuk petugas keamanan informasi senior	Manual, Dinonaktifkan	1.1.0
Mengembangkan dan membuat rencana keamanan sistem	CMA_0151 - Mengembangkan dan membuat rencana keamanan sistem	Manual, Dinonaktifkan	1.1.0
Menetapkan strategi manajemen risiko	CMA_0258 - Menetapkan strategi manajemen risiko	Manual, Dinonaktifkan	1.1.0
Menetapkan persyaratan keamanan untuk manufaktur perangkat yang terhubung	CMA_0279 - Menetapkan persyaratan keamanan untuk pembuatan perangkat yang terhubung	Manual, Dinonaktifkan	1.1.0
Menerapkan prinsip rekayasa keamanan sistem informasi	CMA_0325 - Menerapkan prinsip rekayasa keamanan sistem informasi	Manual, Dinonaktifkan	1.1.0

Prinsip COSO 4

ID: SOC 2 Tipe 2 CC1.4 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Memberikan pelatihan keamanan berbasis peran berkala	CMA_C1095 - Menyediakan pelatihan keamanan berbasis peran berkala	Manual, Dinonaktifkan	1.1.0
Memberikan pelatihan kesadaran keamanan berkala	CMA_C1091 - Memberikan pelatihan kesadaran keamanan berkala	Manual, Dinonaktifkan	1.1.0
Menyediakan latihan praktis berbasis peran	CMA_C1096 - Menyediakan latihan praktis berbasis peran	Manual, Dinonaktifkan	1.1.0
Memberikan pelatihan keamanan sebelum memberikan akses	CMA_0418 - Memberikan pelatihan keamanan sebelum memberikan akses	Manual, Dinonaktifkan	1.1.0
Memberikan pelatihan keamanan untuk pengguna baru	CMA_0419 - Menyediakan pelatihan keamanan untuk pengguna baru	Manual, Dinonaktifkan	1.1.0

Prinsip COSO 5

ID: SOC 2 Tipe 2 CC1.5 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Mengembangkan kebijakan dan prosedur penggunaan yang dapat diterima	CMA_0143 - Mengembangkan kebijakan dan prosedur penggunaan yang dapat diterima	Manual, Dinonaktifkan	1.1.0
Menerapkan aturan perilaku dan perjanjian akses	CMA_0248 - Menerapkan aturan perilaku dan perjanjian akses	Manual, Dinonaktifkan	1.1.0
Menerapkan proses sanksi formal	CMA_0317 - Menerapkan proses sanksi formal	Manual, Dinonaktifkan	1.1.0
Memberi tahu personel tentang sanksi	CMA_0380 - Memberi tahu personel tentang sanksi	Manual, Dinonaktifkan	1.1.0

Komunikasi dan Informasi

Prinsip COSO 13

ID: SOC 2 Tipe 2 CC2.1 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Mengontrol akses fisik	CMA_0081 - Mengontrol akses fisik	Manual, Dinonaktifkan	1.1.0
Mengelola input, output, pemrosesan, dan penyimpanan data	CMA_0369 - Mengelola input, output, pemrosesan, dan penyimpanan data	Manual, Dinonaktifkan	1.1.0
Meninjau aktivitas dan analitik label	CMA_0474 - Meninjau aktivitas dan analitik label	Manual, Dinonaktifkan	1.1.0

Prinsip COSO 14

ID: SOC 2 Tipe 2 CC2.2 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Mengembangkan kebijakan dan prosedur penggunaan yang dapat diterima	CMA_0143 - Mengembangkan kebijakan dan prosedur penggunaan yang dapat diterima	Manual, Dinonaktifkan	1.1.0
Pemberitahuan email untuk lansiran tingkat keparahan tinggi harus diaktifkan	Untuk memastikan orang yang relevan di organisasi Anda diberi tahu ketika terdapat potensi pelanggaran keamanan di salah satu langganan Anda, aktifkan pemberitahuan email untuk peringatan tingkat keparahan tinggi di Security Center.	AuditIfNotExists, Dinonaktifkan	1.1.0
Pemberitahuan email kepada pemilik langganan untuk lansiran tingkat keparahan tinggi harus diaktifkan	Untuk memastikan pemilik langganan Anda diberitahu ketika ada potensi pelanggaran keamanan di langganan mereka, atur pemberitahuan email ke pemilik langganan untuk peringatan tingkat keparahan tinggi di Security Center.	AuditIfNotExists, Dinonaktifkan	2.1.0
Menerapkan aturan perilaku dan perjanjian akses	CMA_0248 - Menerapkan aturan perilaku dan perjanjian akses	Manual, Dinonaktifkan	1.1.0
Memberikan pelatihan keamanan berbasis peran berkala	CMA_C1095 - Menyediakan pelatihan keamanan berbasis peran berkala	Manual, Dinonaktifkan	1.1.0
Memberikan pelatihan kesadaran keamanan berkala	CMA_C1091 - Memberikan pelatihan kesadaran keamanan berkala	Manual, Dinonaktifkan	1.1.0
Memberikan pelatihan keamanan sebelum memberikan akses	CMA_0418 - Memberikan pelatihan keamanan sebelum memberikan akses	Manual, Dinonaktifkan	1.1.0
Memberikan pelatihan keamanan untuk pengguna baru	CMA_0419 - Menyediakan pelatihan keamanan untuk pengguna baru	Manual, Dinonaktifkan	1.1.0
Langganan harus memiliki alamat email kontak untuk masalah keamanan	Untuk memastikan orang yang relevan di organisasi Anda diberi tahu saat ada potensi pelanggaran keamanan di salah satu langganan Anda, atur kontak keamanan untuk menerima pemberitahuan email dari Security Center.	AuditIfNotExists, Dinonaktifkan	1.0.1

Prinsip COSO 15

ID: SOC 2 Tipe 2 CC2.3 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Menentukan tugas prosesor	CMA_0127 - Menentukan tugas prosesor	Manual, Dinonaktifkan	1.1.0
Memberikan hasil penilaian keamanan	CMA_C1147 - Memberikan hasil penilaian keamanan	Manual, Dinonaktifkan	1.1.0
Mengembangkan dan membuat rencana keamanan sistem	CMA_0151 - Mengembangkan dan membuat rencana keamanan sistem	Manual, Dinonaktifkan	1.1.0
Pemberitahuan email untuk lansiran tingkat keparahan tinggi harus diaktifkan	Untuk memastikan orang yang relevan di organisasi Anda diberi tahu ketika terdapat potensi pelanggaran keamanan di salah satu langganan Anda, aktifkan pemberitahuan email untuk peringatan tingkat keparahan tinggi di Security Center.	AuditIfNotExists, Dinonaktifkan	1.1.0
Pemberitahuan email kepada pemilik langganan untuk lansiran tingkat keparahan tinggi harus diaktifkan	Untuk memastikan pemilik langganan Anda diberitahu ketika ada potensi pelanggaran keamanan di langganan mereka, atur pemberitahuan email ke pemilik langganan untuk peringatan tingkat keparahan tinggi di Security Center.	AuditIfNotExists, Dinonaktifkan	2.1.0
Menetapkan persyaratan keamanan untuk manufaktur perangkat yang terhubung	CMA_0279 - Menetapkan persyaratan keamanan untuk pembuatan perangkat yang terhubung	Manual, Dinonaktifkan	1.1.0
Menetapkan persyaratan keamanan personel pihak ketiga	CMA_C1529 - Menetapkan persyaratan keamanan personel pihak ketiga	Manual, Dinonaktifkan	1.1.0
Menerapkan metode pengiriman pemberitahuan privasi	CMA_0324 - Menerapkan metode pengiriman pemberitahuan privasi	Manual, Dinonaktifkan	1.1.0
Menerapkan prinsip rekayasa keamanan sistem informasi	CMA_0325 - Menerapkan prinsip rekayasa keamanan sistem informasi	Manual, Dinonaktifkan	1.1.0
Membuat laporan Penilaian Keamanan	CMA_C1146 - Membuat laporan Penilaian Keamanan	Manual, Dinonaktifkan	1.1.0
Berikan pemberitahuan privasi	CMA_0414 - Memberikan pemberitahuan privasi	Manual, Dinonaktifkan	1.1.0
Mengharuskan penyedia pihak ketiga untuk mematuhi kebijakan dan prosedur keamanan personel	CMA_C1530 - Mengharuskan penyedia pihak ketiga untuk mematuhi kebijakan dan prosedur keamanan personel	Manual, Dinonaktifkan	1.1.0
Membatasi komunikasi	CMA_0449 - Membatasi komunikasi	Manual, Dinonaktifkan	1.1.0
Langganan harus memiliki alamat email kontak untuk masalah keamanan	Untuk memastikan orang yang relevan di organisasi Anda diberi tahu saat ada potensi pelanggaran keamanan di salah satu langganan Anda, atur kontak keamanan untuk menerima pemberitahuan email dari Security Center.	AuditIfNotExists, Dinonaktifkan	1.0.1

Tugas beresiko

Prinsip COSO 6

ID: SOC 2 Tipe 2 CC3.1 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Mengategorikan informasi	CMA_0052 - Mengategorikan informasi	Manual, Dinonaktifkan	1.1.0
Menentukan kebutuhan perlindungan informasi	CMA_C1750 - Menentukan kebutuhan perlindungan informasi	Manual, Dinonaktifkan	1.1.0
Mengembangkan skema klasifikasi bisnis	CMA_0155 - Mengembangkan skema klasifikasi bisnis	Manual, Dinonaktifkan	1.1.0
Mengembangkan SSP yang memenuhi kriteria	CMA_C1492 - Mengembangkan SSP yang memenuhi kriteria	Manual, Dinonaktifkan	1.1.0
Menetapkan strategi manajemen risiko	CMA_0258 - Menetapkan strategi manajemen risiko	Manual, Dinonaktifkan	1.1.0
Melakukan penilaian risiko	CMA_0388 - Melakukan penilaian risiko	Manual, Dinonaktifkan	1.1.0
Meninjau aktivitas dan analitik label	CMA_0474 - Meninjau aktivitas dan analitik label	Manual, Dinonaktifkan	1.1.0

Prinsip COSO 7

ID: SOC 2 Tipe 2 CC3.2 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Solusi penilaian kerentanan harus diaktifkan pada komputer virtual Anda	Mengaudit komputer virtual untuk mendeteksi apakah mereka menjalankan solusi penilaian kerentanan yang didukung. Komponen inti dari setiap risiko cyber dan program keamanan adalah identifikasi dan analisis kerentanan. Tingkat harga standar Azure Security Center mencakup pemindaian kerentanan untuk komputer virtual Anda tanpa biaya tambahan. Selain itu, Pusat Keamanan dapat secara otomatis menyebarkan alat ini untuk Anda.	AuditIfNotExists, Dinonaktifkan	3.0.0
Mengategorikan informasi	CMA_0052 - Mengategorikan informasi	Manual, Dinonaktifkan	1.1.0
Menentukan kebutuhan perlindungan informasi	CMA_C1750 - Menentukan kebutuhan perlindungan informasi	Manual, Dinonaktifkan	1.1.0
Mengembangkan skema klasifikasi bisnis	CMA_0155 - Mengembangkan skema klasifikasi bisnis	Manual, Dinonaktifkan	1.1.0
Menetapkan strategi manajemen risiko	CMA_0258 - Menetapkan strategi manajemen risiko	Manual, Dinonaktifkan	1.1.0
Melakukan penilaian risiko	CMA_0388 - Melakukan penilaian risiko	Manual, Dinonaktifkan	1.1.0
Melakukan pemindaian kerentanan	CMA_0393 - Melakukan pemindaian kerentanan	Manual, Dinonaktifkan	1.1.0
Remediasi kelemahan sistem informasi	CMA_0427 - Remediasi kelemahan sistem informasi	Manual, Dinonaktifkan	1.1.0
Meninjau aktivitas dan analitik label	CMA_0474 - Meninjau aktivitas dan analitik label	Manual, Dinonaktifkan	1.1.0
Penilaian kerentanan harus diaktifkan di SQL Managed Instance	Audit setiap Instans Terkelola SQL yang tidak mengaktifkan pemindaian penilaian kerentanan berulang. Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda meremediasi kerentanan database potensial.	AuditIfNotExists, Dinonaktifkan	1.0.1
Penilaian kerentanan harus diaktifkan di server SQL Anda	Audit server Azure SQL yang tidak memiliki penilaian kerentanan yang dikonfigurasi dengan benar. Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda meremediasi kerentanan database potensial.	AuditIfNotExists, Dinonaktifkan	3.0.0

Prinsip COSO 8

ID: SOC 2 Tipe 2 CC3.3 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Melakukan penilaian risiko	CMA_0388 - Melakukan penilaian risiko	Manual, Dinonaktifkan	1.1.0

Prinsip COSO 9

ID: SOC 2 Tipe 2 CC3.4 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Menilai risiko dalam hubungan pihak ketiga	CMA_0014 - Menilai risiko dalam hubungan pihak ketiga	Manual, Dinonaktifkan	1.1.0
Menentukan persyaratan untuk menyediakan barang dan layanan	CMA_0126 - Menentukan persyaratan untuk memasok barang dan layanan	Manual, Dinonaktifkan	1.1.0
Menentukan kewajiban kontrak pemasok	CMA_0140 - Menentukan kewajiban kontrak pemasok	Manual, Dinonaktifkan	1.1.0
Menetapkan strategi manajemen risiko	CMA_0258 - Menetapkan strategi manajemen risiko	Manual, Dinonaktifkan	1.1.0
Menetapkan kebijakan untuk manajemen risiko rantai pasokan	CMA_0275 - Menetapkan kebijakan untuk manajemen risiko rantai pasokan	Manual, Dinonaktifkan	1.1.0
Melakukan penilaian risiko	CMA_0388 - Melakukan penilaian risiko	Manual, Dinonaktifkan	1.1.0

Aktivitas Pemantauan

Prinsip COSO 16

ID: SOC 2 Tipe 2 CC4.1 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Menilai Kontrol Keamanan	CMA_C1145 - Menilai Kontrol Keamanan	Manual, Dinonaktifkan	1.1.0
Mengembangkan rencana penilaian keamanan	CMA_C1144 - Mengembangkan rencana penilaian keamanan	Manual, Dinonaktifkan	1.1.0
Pilih pengujian tambahan untuk penilaian kontrol keamanan	CMA_C1149 - Pilih pengujian tambahan untuk penilaian kontrol keamanan	Manual, Dinonaktifkan	1.1.0

Prinsip COSO 17

ID: SOC 2 Tipe 2 CC4.2 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Memberikan hasil penilaian keamanan	CMA_C1147 - Memberikan hasil penilaian keamanan	Manual, Dinonaktifkan	1.1.0
Membuat laporan Penilaian Keamanan	CMA_C1146 - Membuat laporan Penilaian Keamanan	Manual, Dinonaktifkan	1.1.0

Aktivitas Kontrol

Prinsip COSO 10

ID: SOC 2 Tipe 2 CC5.1 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Menetapkan strategi manajemen risiko	CMA_0258 - Menetapkan strategi manajemen risiko	Manual, Dinonaktifkan	1.1.0
Melakukan penilaian risiko	CMA_0388 - Melakukan penilaian risiko	Manual, Dinonaktifkan	1.1.0

Prinsip COSO 11

ID: SOC 2 Tipe 2 CC5.2 Kepemilikan: Bersama

Prinsip COSO 12

ID: SOC 2 Tipe 2 CC5.3 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Mengonfigurasi daftar putih deteksi	CMA_0068 - Mengonfigurasi daftar putih deteksi	Manual, Dinonaktifkan	1.1.0
Melakukan penilaian risiko	CMA_0388 - Melakukan penilaian risiko	Manual, Dinonaktifkan	1.1.0
Mengaktifkan sensor untuk solusi keamanan titik akhir	CMA_0514 - Mengaktifkan sensor untuk solusi keamanan titik akhir	Manual, Dinonaktifkan	1.1.0
Menjalani tinjauan keamanan independen	CMA_0515 - Menjalani tinjauan keamanan independen	Manual, Dinonaktifkan	1.1.0

Kontrol Akses Logis dan Fisik

Perangkat lunak, infrastruktur, dan arsitektur keamanan akses logis

ID: SOC 2 Tipe 2 CC6.1 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Maksimum 3 pemilik harus ditunjuk untuk langganan Anda	Direkomendasikan untuk menetapkan hingga 3 pemilik langganan untuk mengurangi potensi pelanggaran oleh pemilik yang disusupi.	AuditIfNotExists, Dinonaktifkan	3.0.0
Akun dengan izin pemilik pada sumber daya Azure harus didukung oleh MFA	Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan izin pemilik untuk mencegah pelanggaran akun atau sumber daya.	AuditIfNotExists, Dinonaktifkan	1.0.0
Akun dengan izin baca pada sumber daya Azure harus didukung oleh MFA	Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak baca istimewa untuk mencegah pelanggaran akun atau sumber daya.	AuditIfNotExists, Dinonaktifkan	1.0.0
Akun dengan izin tulis pada sumber daya Azure harus didukung oleh MFA	Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak tulis istimewa untuk mencegah pelanggaran akun atau sumber daya.	AuditIfNotExists, Dinonaktifkan	1.0.0
Rekomendasi pengerasan jaringan adaptif harus diterapkan pada komputer virtual yang menghadap internet	Azure Security Center menganalisis pola lalu lintas komputer virtual yang dihadapi Internet dan memberikan rekomendasi aturan Grup Keamanan Jaringan yang mengurangi potensi serangan permukaan	AuditIfNotExists, Dinonaktifkan	3.0.0
Mengadopsi mekanisme autentikasi biometrik	CMA_0005 - Mengadopsi mekanisme autentikasi biometrik	Manual, Dinonaktifkan	1.1.0
Semua port jaringan harus dibatasi pada grup keamanan jaringan yang terkait dengan komputer virtual Anda	Azure Security Center telah mengidentifikasi beberapa aturan masuk grup keamanan jaringan Anda terlalu permisif. Aturan masuk tidak boleh mengizinkan akses dari rentang 'Apa pun' atau 'Internet'. Ini berpotensi memungkinkan penyerang untuk menargetkan sumber daya Anda.	AuditIfNotExists, Dinonaktifkan	3.0.0
Aplikasi App Service hanya dapat diakses melalui HTTPS	Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan.	Audit, Dinonaktifkan, Tolak	4.0.0
Aplikasi App Service hanya memerlukan FTPS	Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan.	AuditIfNotExists, Dinonaktifkan	3.0.0
Autentikasi ke komputer Linux memerlukan kunci SSH	Meskipun SSH sendiri menyediakan koneksi terenkripsi, menggunakan kata sandi dengan SSH masih membuat VM rentan terhadap serangan brute force. Opsi paling aman untuk mengautentikasi ke komputer virtual Linux Azure melalui SSH adalah dengan kunci publik-pribadi, juga dikenal sebagai kunci SSH. Pelajari selengkapnya: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, Dinonaktifkan	3.2.0
Otorisasi akses ke fungsi dan informasi keamanan	CMA_0022 - Mengotorisasi akses ke fungsi dan informasi keamanan	Manual, Dinonaktifkan	1.1.0
Otorisasi dan kelola akses	CMA_0023 - Mengotorisasi dan mengelola akses	Manual, Dinonaktifkan	1.1.0
Otorisasi akses jarak jauh	CMA_0024 - Mengotorisasi akses jarak jauh	Manual, Dinonaktifkan	1.1.0
Variabel akun Automation harus dienkripsi	Penting untuk mengaktifkan enkripsi aset variabel akun Azure Automation saat menyimpan data sensitif	Audit, Tolak, Dinonaktifkan	1.1.0
Akun Azure Cosmos DB harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif	Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari Azure Cosmos DB Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/cosmosdb-cmk.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	1.1.0
Ruang kerja Azure Machine Learning harus dienkripsi dengan kunci yang dikelola pelanggan	Kelola enkripsi pada data ruang kerja Azure Machine Learning lainnya dengan kunci yang dikelola pelanggan. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan umumnya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/azureml-workspaces-cmk.	Audit, Tolak, Dinonaktifkan	1.0.3
Akun yang diblokir dengan izin pemilik pada sumber daya Azure harus dihapus	Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk.	AuditIfNotExists, Dinonaktifkan	1.0.0
Sertifikat harus memiliki masa berlaku maksimum yang ditentukan	Kelola persyaratan kepatuhan organisasi Anda dengan menentukan durasi masa berlaku sertifikat dalam brankas kunci.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	2.2.1
Akun Azure Cognitive Services harus mengaktifkan enkripsi data dengan kunci yang dikelola pelanggan	Kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan terhadap peraturan. Kunci yang dikelola pelanggan memungkinkan data yang disimpan di Azure Cognitive Services dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. Pelajari lebih lanjut tentang kunci yang dikelola pelanggan di https://go.microsoft.com/fwlink/?linkid=2121321.	Audit, Tolak, Dinonaktifkan	2.1.0
Pendaftaran penampung harus dienkripsi dengan kunci yang dikelola pelanggan	Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi tidak aktif di seluruh isi disk terkelola Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/acr/CMK.	Audit, Tolak, Dinonaktifkan	1.1.2
Mengontrol alur informasi	CMA_0079 - Mengontrol alur informasi	Manual, Dinonaktifkan	1.1.0
Mengontrol akses fisik	CMA_0081 - Mengontrol akses fisik	Manual, Dinonaktifkan	1.1.0
Membuat inventori data	CMA_0096 - Membuat inventori data	Manual, Dinonaktifkan	1.1.0
Menentukan proses manajemen kunci fisik	CMA_0115 - Menentukan proses manajemen kunci fisik	Manual, Dinonaktifkan	1.1.0
Menentukan penggunaan kriptografis	CMA_0120 - Menentukan penggunaan kriptografis	Manual, Dinonaktifkan	1.1.0
Menentukan persyaratan organisasi untuk manajemen kunci kriptografis	CMA_0123 - Menentukan persyaratan organisasi untuk manajemen kunci kriptografis	Manual, Dinonaktifkan	1.1.0
Mendesain model kontrol akses	CMA_0129 - Mendesain model kontrol akses	Manual, Dinonaktifkan	1.1.0
Menentukan persyaratan pernyataan	CMA_0136 - Menentukan persyaratan pernyataan	Manual, Dinonaktifkan	1.1.0
Mendokumentasikan pelatihan mobilitas	CMA_0191 - Mendokumentasikan pelatihan mobilitas	Manual, Dinonaktifkan	1.1.0
Mendokumentasikan panduan akses jarak jauh	CMA_0196 - Mendokumentasikan panduan akses jarak jauh	Manual, Dinonaktifkan	1.1.0
Menerapkan mekanisme kontrol alur informasi terenkripsi	CMA_0211 - Menerapkan mekanisme kontrol alur informasi terenkripsi	Manual, Dinonaktifkan	1.1.0
Menggunakan akses hak istimewa minimum	CMA_0212 - Menggunakan akses hak istimewa minimum	Manual, Dinonaktifkan	1.1.0
Menerapkan akses logis	CMA_0245 - Menerapkan akses logis	Manual, Dinonaktifkan	1.1.0
Terapkan kebijakan kontrol akses wajib dan kewenangan	CMA_0246 - Menerapkan kebijakan kontrol akses yang wajib dan kewenangan	Manual, Dinonaktifkan	1.1.0
Terapkan koneksi SSL harus diaktifkan untuk server database MySQL	Azure Database for MySQL mendukung koneksi server Azure Database for MySQL Anda ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda.	Audit, Dinonaktifkan	1.0.1
Terapkan koneksi SSL harus diaktifkan untuk server database PostgreSQL	Azure Database for PostgreSQL mendukung penyambungan server Azure Database for PostgreSQL ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda.	Audit, Dinonaktifkan	1.0.1
Membuat prosedur manajemen kebocoran data	CMA_0255 - Membuat prosedur manajemen kebocoran data	Manual, Dinonaktifkan	1.1.0
Membuat standar konfigurasi firewall dan router	CMA_0272 - Membuat standar konfigurasi firewall dan router	Manual, Dinonaktifkan	1.1.0
Membuat segmentasi jaringan untuk lingkungan data pemegang kartu	CMA_0273 - Membuat segmentasi jaringan untuk lingkungan data pemegang kartu	Manual, Dinonaktifkan	1.1.0
Aplikasi fungsi seharusnya hanya dapat diakses melalui HTTPS	Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan.	Audit, Dinonaktifkan, Tolak	5.0.0
Aplikasi Fungsi harus memerlukan hanya FTPS	Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan.	AuditIfNotExists, Dinonaktifkan	3.0.0
Aplikasi Fungsi harus menggunakan versi TLS terbaru	Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi Fungsi untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru.	AuditIfNotExists, Dinonaktifkan	2.0.1
Akun tamu dengan izin pemilik pada sumber daya Azure harus dihapus	Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan.	AuditIfNotExists, Dinonaktifkan	1.0.0
Mengidentifikasi dan mengelola pertukaran informasi hilir	CMA_0298 - Mengidentifikasi dan mengelola pertukaran informasi hilir	Manual, Dinonaktifkan	1.1.0
Menerapkan kontrol untuk mengamankan lokasi kerja alternatif	CMA_0315 - Menerapkan kontrol untuk mengamankan lokasi kerja alternatif	Manual, Dinonaktifkan	1.1.0
Menerapkan keamanan fisik untuk perkantoran, area kerja, dan area aman	CMA_0323 - Menerapkan keamanan fisik untuk perkantoran, area kerja, dan area aman	Manual, Dinonaktifkan	1.1.0
Komputer virtual yang terhubung ke internet harus dilindungi dengan grup keamanan jaringan	Lindungi komputer virtual Anda dari potensi ancaman dengan membatasi akses ke komputer virtual tersebut dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc	AuditIfNotExists, Dinonaktifkan	3.0.0
Menerbitkan sertifikat kunci umum	CMA_0347 - Menerbitkan sertifikat kunci umum	Manual, Dinonaktifkan	1.1.0
Kunci Azure Key Vault harus memiliki tanggal kedaluwarsa	Kunci kriptografi harus memiliki tanggal kedaluwarsa yang ditentukan dan tidak permanen. Kunci yang valid selamanya memberikan lebih banyak waktu bagi penyerang potensial untuk menyusupi kunci tersebut. Menetapkan tanggal kedaluwarsa pada kunci kriptografi adalah praktik keamanan yang direkomendasikan.	Audit, Tolak, Dinonaktifkan	1.0.2
Rahasia Azure Key Vault harus memiliki tanggal kedaluwarsa	Rahasia harus memiliki tanggal kedaluwarsa yang ditentukan dan tidak bersifat permanen. Rahasia yang berlaku selamanya memberi lebih banyak waktu kepada penyerang potensial untuk menyusupinya. Menetapkan tanggal kedaluwarsa pada rahasia adalah praktik keamanan yang direkomendasikan.	Audit, Tolak, Dinonaktifkan	1.0.2
Brankas kunci harus mengaktifkan perlindungan penghapusan	Penghapusan brankas kunci yang berbahaya dapat menyebabkan hilangnya data secara permanen. Anda dapat mencegah kehilangan data permanen dengan mengaktifkan perlindungan penghapusan menyeluruh dan penghapusan sementara. Perlindungan penghapusan menyeluruh melindungi Anda dari serangan orang dalam dengan memberlakukan periode retensi wajib untuk brankas kunci yang dihapus sementara. Tidak ada seorang pun di dalam organisasi Anda atau Microsoft yang dapat membersihkan brankas kunci Anda selama periode penyimpanan penghapusan sementara. Perlu diingat bahwa brankas kunci yang dibuat setelah 1 September 2019 mengaktifkan penghapusan sementara secara default.	Audit, Tolak, Dinonaktifkan	2.1.0
Brankas kunci harus mengaktifkan penghapusan sementara	Menghapus brankas kunci tanpa mengaktifkan penghapusan sementara akan menghapus semua rahasia, kunci, dan sertifikat yang disimpan di brankas kunci secara permanen. Penghapusan brankas kunci secara tidak sengaja dapat menyebabkan hilangnya data secara permanen. Penghapusan sementara memungkinkan Anda memulihkan brankas kunci yang terhapus secara tidak sengaja untuk periode retensi yang dapat dikonfigurasi.	Audit, Tolak, Dinonaktifkan	3.0.0
Cluster Kubernetes hanya dapat diakses melalui HTTPS	Penggunaan HTTPS memastikan autentikasi dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Kemampuan ini saat ini umumnya tersedia untuk Kubernetes Service (AKS), dan dalam pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk info selengkapnya, kunjungi https://aka.ms/kubepolicydoc	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	8.1.0
Mempertahankan catatan pemrosesan data pribadi	CMA_0353 - Mempertahankan catatan pemrosesan data pribadi	Manual, Dinonaktifkan	1.1.0
Mengelola kunci kriptografi simetris	CMA_0367 - Mengelola kunci kriptografi simetris	Manual, Dinonaktifkan	1.1.0
Mengelola input, output, pemrosesan, dan penyimpanan data	CMA_0369 - Mengelola input, output, pemrosesan, dan penyimpanan data	Manual, Dinonaktifkan	1.1.0
Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time	Kemungkinan akses Just In Time (JIT) jaringan akan dipantau oleh Azure Security Center sebagai rekomendasi	AuditIfNotExists, Dinonaktifkan	3.0.0
Port manajemen harus ditutup pada komputer virtual Anda	Port manajemen jarak jauh yang terbuka mengekspos VM Anda ke risiko tinggi dari serangan berbasis internet. Serangan ini mencoba untuk memaksa info masuk guna mendapatkan akses admin ke komputer.	AuditIfNotExists, Dinonaktifkan	3.0.0
Server MySQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif	Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari server MySQL Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen.	AuditIfNotExists, Dinonaktifkan	1.0.4
Komputer virtual yang tidak terhubung ke internet harus dilindungi dengan grup keamanan jaringan	Lindungi komputer virtual non-internet Anda dari potensi ancaman dengan membatasi akses dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc	AuditIfNotExists, Dinonaktifkan	3.0.0
Memberi tahu pengguna tentang masuk atau mengakses sistem	CMA_0382 - Memberi tahu pengguna tentang masuk atau mengakses sistem	Manual, Dinonaktifkan	1.1.0
Hanya koneksi aman ke Azure Cache for Redis Anda yang harus diaktifkan	Audit memungkinkan hanya koneksi melalui SSL ke Azure Cache for Redis. Penggunaan koneksi aman memastikan autentikasi antara server dan layanan serta melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking	Audit, Tolak, Dinonaktifkan	1.0.0
Server PostgreSQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data yang tidak aktif	Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari server PostgreSQL Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen.	AuditIfNotExists, Dinonaktifkan	1.0.4
Melindungi data dalam transit menggunakan enkripsi	CMA_0403 - Melindungi data dalam transit menggunakan enkripsi	Manual, Dinonaktifkan	1.1.0
Melindungi informasi khusus	CMA_0409 - Melindungi informasi khusus	Manual, Dinonaktifkan	1.1.0
Memberikan pelatihan privasi	CMA_0415 - Memberikan pelatihan privasi	Manual, Dinonaktifkan	1.1.0
Mewajibkan persetujuan untuk pembuatan akun	CMA_0431 - Mewajibkan persetujuan untuk pembuatan akun	Manual, Dinonaktifkan	1.1.0
Membatasi akses ke kunci privat	CMA_0445 - Membatasi akses terhadap kunci privat	Manual, Dinonaktifkan	1.1.0
Meninjau grup dan aplikasi pengguna yang memiliki akses terhadap data sensitif	CMA_0481 - Meninjau grup dan aplikasi pengguna yang memiliki akses terhadap data sensitif	Manual, Dinonaktifkan	1.1.0
Transfer aman ke akun penyimpanan harus diaktifkan	Persyaratan audit Transfer aman di akun penyimpanan Anda. Transfer aman adalah opsi yang memaksa akun penyimpanan Anda untuk menerima permintaan hanya dari koneksi aman (HTTPS). Penggunaan HTTPS memastikan autentikasi antara server dan layanan dan melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking	Audit, Tolak, Dinonaktifkan	2.0.0
Kluster Service Fabric harus memiliki properti ClusterProtectionLevel yang disetel ke EncryptAndSign	Service Fabric menyediakan tiga tingkat perlindungan (None, Sign, dan EncryptAndSign) untuk komunikasi node-to-node menggunakan sertifikat kluster utama. Atur tingkat perlindungan untuk memastikan bahwa semua pesan node-to-node dienkripsi dan ditandatangani secara digital	Audit, Tolak, Dinonaktifkan	1.1.0
ISQL managed instances harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data yang tidak aktif	Implementasi Enkripsi Data Transparan (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait.	Audit, Tolak, Dinonaktifkan	2.0.0
Server SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif	Implementasi Transparent Data Encryption (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait.	Audit, Tolak, Dinonaktifkan	2.0.1
Akun penyimpanan yang berisi kontainer dengan log aktivitas harus dienkripsi dengan BYOK	Kebijakan ini mengaudit jika akun Azure Storage yang berisi kontainer dengan log aktivitas dienkripsi dengan BYOK. Kebijakan hanya berfungsi jika akun penyimpanan berada pada langganan yang sama dengan log aktivitas berdasarkan desain. Informasi selengkapnya tentang enkripsi Azure Storage saat tidak aktif dapat ditemukan di sini https://aka.ms/azurestoragebyok.	AuditIfNotExists, Dinonaktifkan	1.0.0
Akun penyimpanan harus menggunakan kunci yang dikelola pelanggan untuk enkripsi	Amankan akun penyimpanan blob dan file Anda dengan fleksibilitas yang lebih besar menggunakan kunci yang dikelola pelanggan. Saat Anda menentukan kunci yang dikelola pelanggan, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Menggunakan kunci yang dikelola pelanggan memberikan kemampuan tambahan untuk mengontrol rotasi kunci enkripsi kunci atau menghapus data secara kriptografis.	Audit, Dinonaktifkan	1.0.3
Subnet harus dikaitkan dengan Grup Keamanan Jaringan	Lindungi subnet Anda dari potensi ancaman dengan membatasi aksesnya dengan Network Security Group (NSG). NSG berisi daftar aturan Access Control List (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke subnet Anda.	AuditIfNotExists, Dinonaktifkan	3.0.0
Harus ada lebih dari satu pemilik yang ditetapkan ke langganan Anda	Sebaiknya tetapkan lebih dari satu pemilik langganan agar memiliki redundansi akses administrator.	AuditIfNotExists, Dinonaktifkan	3.0.0
Enkripsi Data Transparan pada database SQL harus diaktifkan	Enkripsi data transparan harus diaktifkan untuk melindungi data-yang-tidak-aktif dan memenuhi persyaratan kepatuhan	AuditIfNotExists, Dinonaktifkan	2.0.0
Komputer virtual harus mengenkripsi disk sementara, cache, serta aliran data antara sumber daya Komputasi dan Penyimpanan	Secara default, OS dan disk data mesin virtual dienkripsi saat tidak aktif menggunakan kunci yang dikelola platform. Disk sementara, cache data, dan data yang mengalir di antara komputasi dan penyimpanan tidak dienkripsi. Abaikan rekomendasi ini jika: 1. menggunakan enkripsi di host, atau 2. enkripsi sisi server pada Disk Terkelola memenuhi persyaratan keamanan Anda. Pelajari lebih lanjut dalam: Enkripsi sisi server dari Azure Disk Storage: https://aka.ms/disksse, Penawaran enkripsi disk yang berbeda: https://aka.ms/diskencryptioncomparison	AuditIfNotExists, Dinonaktifkan	2.0.3
Komputer Windows harus dikonfigurasi untuk menggunakan protokol komunikasi yang aman	Untuk melindungi privasi informasi yang dikomunikasikan melalui Internet, komputer Anda harus menggunakan versi terbaru protokol kriptografi standar industri, Keamanan Lapisan Transportasi (TLS). TLS mengamankan komunikasi melalui jaringan dengan mengenkripsi koneksi antar mesin.	AuditIfNotExists, Dinonaktifkan	4.1.1

Provisi dan penghapusan akses

ID: SOC 2 Tipe 2 CC6.2 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Menetapkan manajer akun	CMA_0015 - Menetapkan manajer akun	Manual, Dinonaktifkan	1.1.0
Mengaudit status akun pengguna	CMA_0020 - Mengaudit status akun pengguna	Manual, Dinonaktifkan	1.1.0
Akun yang diblokir dengan izin baca dan tulis pada sumber daya Azure harus dihapus	Akun yang tidak digunakan lagi harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk.	AuditIfNotExists, Dinonaktifkan	1.0.0
Hak istimewa akses dokumen	CMA_0186 - Hak istimewa akses dokumen	Manual, Dinonaktifkan	1.1.0
Menetapkan kondisi untuk keanggotaan peran	CMA_0269 - Menetapkan kondisi untuk keanggotaan peran	Manual, Dinonaktifkan	1.1.0
Akun tamu dengan izin baca pada sumber daya Azure harus dihapus	Akun eksternal dengan hak baca istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan.	AuditIfNotExists, Dinonaktifkan	1.0.0
Akun tamu dengan izin tulis pada sumber daya Azure harus dihapus	Akun eksternal dengan hak tulis istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan.	AuditIfNotExists, Dinonaktifkan	1.0.0
Mewajibkan persetujuan untuk pembuatan akun	CMA_0431 - Mewajibkan persetujuan untuk pembuatan akun	Manual, Dinonaktifkan	1.1.0
Membatasi akses ke akun istimewa	CMA_0446 - Membatasi akses terhadap akun istimewa	Manual, Dinonaktifkan	1.1.0
Meninjau log penyediaan akun	CMA_0460 - Meninjau log penyediaan akun	Manual, Dinonaktifkan	1.1.0
Meninjau akun pengguna	CMA_0480 - Meninjau akun pengguna	Manual, Dinonaktifkan	1.1.0

Akses berbasis Rol dan hak istimewa paling sedikit

ID: SOC 2 Tipe 2 CC6.3 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Maksimum 3 pemilik harus ditunjuk untuk langganan Anda	Direkomendasikan untuk menetapkan hingga 3 pemilik langganan untuk mengurangi potensi pelanggaran oleh pemilik yang disusupi.	AuditIfNotExists, Dinonaktifkan	3.0.0
Mengaudit fungsi istimewa	CMA_0019 - Mengaudit fungsi istimewa	Manual, Dinonaktifkan	1.1.0
Mengaudit penggunaan peran RBAC kustom	Audit peran bawaan seperti 'Pemilik, Kontributor, Pembaca', sebagai pengganti peran RBAC kustom, yang rawan kesalahan. Penggunaan peran kustom diperlakukan sebagai pengecualian dan memerlukan peninjauan yang ketat serta pemodelan ancaman	Audit, Dinonaktifkan	1.0.1
Mengaudit status akun pengguna	CMA_0020 - Mengaudit status akun pengguna	Manual, Dinonaktifkan	1.1.0
Kontrol Akses Berbasis Peran Azure (RBAC) harus digunakan pada Layanan Kubernetes	Untuk menyediakan pemfilteran terperinci pada tindakan yang dapat dilakukan pengguna, gunakan Kontrol Akses Berbasis Peran Azure (RBAC) untuk mengelola izin di Kluster Layanan Kubernetes dan mengonfigurasi kebijakan otorisasi yang relevan.	Audit, Dinonaktifkan	1.0.3
Akun yang diblokir dengan izin pemilik pada sumber daya Azure harus dihapus	Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk.	AuditIfNotExists, Dinonaktifkan	1.0.0
Akun yang diblokir dengan izin baca dan tulis pada sumber daya Azure harus dihapus	Akun yang tidak digunakan lagi harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk.	AuditIfNotExists, Dinonaktifkan	1.0.0
Mendesain model kontrol akses	CMA_0129 - Mendesain model kontrol akses	Manual, Dinonaktifkan	1.1.0
Menggunakan akses hak istimewa minimum	CMA_0212 - Menggunakan akses hak istimewa minimum	Manual, Dinonaktifkan	1.1.0
Akun tamu dengan izin pemilik pada sumber daya Azure harus dihapus	Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan.	AuditIfNotExists, Dinonaktifkan	1.0.0
Akun tamu dengan izin baca pada sumber daya Azure harus dihapus	Akun eksternal dengan hak baca istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan.	AuditIfNotExists, Dinonaktifkan	1.0.0
Akun tamu dengan izin tulis pada sumber daya Azure harus dihapus	Akun eksternal dengan hak tulis istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan.	AuditIfNotExists, Dinonaktifkan	1.0.0
Memantau penetapan peran istimewa	CMA_0378 - Memantau penetapan peran istimewa	Manual, Dinonaktifkan	1.1.0
Membatasi akses ke akun istimewa	CMA_0446 - Membatasi akses terhadap akun istimewa	Manual, Dinonaktifkan	1.1.0
Meninjau log penyediaan akun	CMA_0460 - Meninjau log penyediaan akun	Manual, Dinonaktifkan	1.1.0
Meninjau akun pengguna	CMA_0480 - Meninjau akun pengguna	Manual, Dinonaktifkan	1.1.0
Meninjau hak istimewa pengguna	CMA_C1039 - Meninjau hak istimewa pengguna	Manual, Dinonaktifkan	1.1.0
Mencabut peran istimewa yang sesuai	CMA_0483 - Mencabut peran istimewa sewajarnya	Manual, Dinonaktifkan	1.1.0
Harus ada lebih dari satu pemilik yang ditetapkan ke langganan Anda	Sebaiknya tetapkan lebih dari satu pemilik langganan agar memiliki redundansi akses administrator.	AuditIfNotExists, Dinonaktifkan	3.0.0
Menggunakan manajemen identitas istimewa	CMA_0533 - Menggunakan manajemen identitas istimewa	Manual, Dinonaktifkan	1.1.0

Akses fisik terbatas

ID: SOC 2 Tipe 2 CC6.4 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Mengontrol akses fisik	CMA_0081 - Mengontrol akses fisik	Manual, Dinonaktifkan	1.1.0

Perlindungan logis dan fisik atas aset fisik

ID: SOC 2 Tipe 2 CC6.5 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Menggunakan mekanisme sanitasi media	CMA_0208 - Menggunakan mekanisme sanitasi media	Manual, Dinonaktifkan	1.1.0
Menerapkan kontrol untuk mengamankan semua media	CMA_0314 - Menerapkan kontrol untuk mengamankan semua media	Manual, Dinonaktifkan	1.1.0

Langkah-langkah keamanan terhadap ancaman di luar batas sistem

ID: SOC 2 Tipe 2 CC6.6 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
[Pratinjau]: Semua lalu lintas Internet harus dirutekan melalui Azure Firewall yang Anda sebarkan	Azure Security Center telah mengidentifikasi bahwa beberapa subnet Anda tidak dilindungi dengan firewall generasi berikutnya. Lindungi subnet Anda dari potensi ancaman dengan membatasi akses ke mereka dengan Azure Firewall atau firewall generasi berikutnya yang didukung	AuditIfNotExists, Dinonaktifkan	3.0.0-pratinjau
Akun dengan izin pemilik pada sumber daya Azure harus didukung oleh MFA	Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan izin pemilik untuk mencegah pelanggaran akun atau sumber daya.	AuditIfNotExists, Dinonaktifkan	1.0.0
Akun dengan izin baca pada sumber daya Azure harus didukung oleh MFA	Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak baca istimewa untuk mencegah pelanggaran akun atau sumber daya.	AuditIfNotExists, Dinonaktifkan	1.0.0
Akun dengan izin tulis pada sumber daya Azure harus didukung oleh MFA	Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak tulis istimewa untuk mencegah pelanggaran akun atau sumber daya.	AuditIfNotExists, Dinonaktifkan	1.0.0
Rekomendasi pengerasan jaringan adaptif harus diterapkan pada komputer virtual yang menghadap internet	Azure Security Center menganalisis pola lalu lintas komputer virtual yang dihadapi Internet dan memberikan rekomendasi aturan Grup Keamanan Jaringan yang mengurangi potensi serangan permukaan	AuditIfNotExists, Dinonaktifkan	3.0.0
Mengadopsi mekanisme autentikasi biometrik	CMA_0005 - Mengadopsi mekanisme autentikasi biometrik	Manual, Dinonaktifkan	1.1.0
Semua port jaringan harus dibatasi pada grup keamanan jaringan yang terkait dengan komputer virtual Anda	Azure Security Center telah mengidentifikasi beberapa aturan masuk grup keamanan jaringan Anda terlalu permisif. Aturan masuk tidak boleh mengizinkan akses dari rentang 'Apa pun' atau 'Internet'. Ini berpotensi memungkinkan penyerang untuk menargetkan sumber daya Anda.	AuditIfNotExists, Dinonaktifkan	3.0.0
Aplikasi App Service hanya dapat diakses melalui HTTPS	Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan.	Audit, Dinonaktifkan, Tolak	4.0.0
Aplikasi App Service hanya memerlukan FTPS	Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan.	AuditIfNotExists, Dinonaktifkan	3.0.0
Autentikasi ke komputer Linux memerlukan kunci SSH	Meskipun SSH sendiri menyediakan koneksi terenkripsi, menggunakan kata sandi dengan SSH masih membuat VM rentan terhadap serangan brute force. Opsi paling aman untuk mengautentikasi ke komputer virtual Linux Azure melalui SSH adalah dengan kunci publik-pribadi, juga dikenal sebagai kunci SSH. Pelajari selengkapnya: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, Dinonaktifkan	3.2.0
Otorisasi akses jarak jauh	CMA_0024 - Mengotorisasi akses jarak jauh	Manual, Dinonaktifkan	1.1.0
Azure Web Application Firewall harus diaktifkan untuk titik masuk Azure Front Door	Menyebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom.	Audit, Tolak, Dinonaktifkan	1.0.2
Mengontrol alur informasi	CMA_0079 - Mengontrol alur informasi	Manual, Dinonaktifkan	1.1.0
Mendokumentasikan pelatihan mobilitas	CMA_0191 - Mendokumentasikan pelatihan mobilitas	Manual, Dinonaktifkan	1.1.0
Mendokumentasikan panduan akses jarak jauh	CMA_0196 - Mendokumentasikan panduan akses jarak jauh	Manual, Dinonaktifkan	1.1.0
Menerapkan mekanisme kontrol alur informasi terenkripsi	CMA_0211 - Menerapkan mekanisme kontrol alur informasi terenkripsi	Manual, Dinonaktifkan	1.1.0
Terapkan koneksi SSL harus diaktifkan untuk server database MySQL	Azure Database for MySQL mendukung koneksi server Azure Database for MySQL Anda ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda.	Audit, Dinonaktifkan	1.0.1
Terapkan koneksi SSL harus diaktifkan untuk server database PostgreSQL	Azure Database for PostgreSQL mendukung penyambungan server Azure Database for PostgreSQL ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda.	Audit, Dinonaktifkan	1.0.1
Membuat standar konfigurasi firewall dan router	CMA_0272 - Membuat standar konfigurasi firewall dan router	Manual, Dinonaktifkan	1.1.0
Membuat segmentasi jaringan untuk lingkungan data pemegang kartu	CMA_0273 - Membuat segmentasi jaringan untuk lingkungan data pemegang kartu	Manual, Dinonaktifkan	1.1.0
Aplikasi fungsi seharusnya hanya dapat diakses melalui HTTPS	Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan.	Audit, Dinonaktifkan, Tolak	5.0.0
Aplikasi Fungsi harus memerlukan hanya FTPS	Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan.	AuditIfNotExists, Dinonaktifkan	3.0.0
Aplikasi Fungsi harus menggunakan versi TLS terbaru	Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi Fungsi untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru.	AuditIfNotExists, Dinonaktifkan	2.0.1
Mengidentifikasi dan mengautentikasi perangkat jaringan	CMA_0296 - Mengidentifikasi dan mengautentikasi perangkat jaringan	Manual, Dinonaktifkan	1.1.0
Mengidentifikasi dan mengelola pertukaran informasi hilir	CMA_0298 - Mengidentifikasi dan mengelola pertukaran informasi hilir	Manual, Dinonaktifkan	1.1.0
Menerapkan kontrol untuk mengamankan lokasi kerja alternatif	CMA_0315 - Menerapkan kontrol untuk mengamankan lokasi kerja alternatif	Manual, Dinonaktifkan	1.1.0
Menerapkan perlindungan batas sistem	CMA_0328 - Menerapkan perlindungan batas sistem	Manual, Dinonaktifkan	1.1.0
Komputer virtual yang terhubung ke internet harus dilindungi dengan grup keamanan jaringan	Lindungi komputer virtual Anda dari potensi ancaman dengan membatasi akses ke komputer virtual tersebut dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc	AuditIfNotExists, Dinonaktifkan	3.0.0
Penerusan IP pada komputer virtual Anda harus dinonaktifkan	Mengaktifkan penerusan IP pada NIC komputer virtual memungkinkan komputer menerima lalu lintas yang ditujukan ke tujuan lain. Penerusan IP jarang diperlukan (misalnya, saat menggunakan VM sebagai appliance virtual jaringan), dan oleh karena itu, hal ini harus ditinjau oleh tim keamanan jaringan.	AuditIfNotExists, Dinonaktifkan	3.0.0
Cluster Kubernetes hanya dapat diakses melalui HTTPS	Penggunaan HTTPS memastikan autentikasi dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Kemampuan ini saat ini umumnya tersedia untuk Kubernetes Service (AKS), dan dalam pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk info selengkapnya, kunjungi https://aka.ms/kubepolicydoc	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	8.1.0
Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time	Kemungkinan akses Just In Time (JIT) jaringan akan dipantau oleh Azure Security Center sebagai rekomendasi	AuditIfNotExists, Dinonaktifkan	3.0.0
Port manajemen harus ditutup pada komputer virtual Anda	Port manajemen jarak jauh yang terbuka mengekspos VM Anda ke risiko tinggi dari serangan berbasis internet. Serangan ini mencoba untuk memaksa info masuk guna mendapatkan akses admin ke komputer.	AuditIfNotExists, Dinonaktifkan	3.0.0
Komputer virtual yang tidak terhubung ke internet harus dilindungi dengan grup keamanan jaringan	Lindungi komputer virtual non-internet Anda dari potensi ancaman dengan membatasi akses dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc	AuditIfNotExists, Dinonaktifkan	3.0.0
Memberi tahu pengguna tentang masuk atau mengakses sistem	CMA_0382 - Memberi tahu pengguna tentang masuk atau mengakses sistem	Manual, Dinonaktifkan	1.1.0
Hanya koneksi aman ke Azure Cache for Redis Anda yang harus diaktifkan	Audit memungkinkan hanya koneksi melalui SSL ke Azure Cache for Redis. Penggunaan koneksi aman memastikan autentikasi antara server dan layanan serta melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking	Audit, Tolak, Dinonaktifkan	1.0.0
Melindungi data dalam transit menggunakan enkripsi	CMA_0403 - Melindungi data dalam transit menggunakan enkripsi	Manual, Dinonaktifkan	1.1.0
Memberikan pelatihan privasi	CMA_0415 - Memberikan pelatihan privasi	Manual, Dinonaktifkan	1.1.0
Transfer aman ke akun penyimpanan harus diaktifkan	Persyaratan audit Transfer aman di akun penyimpanan Anda. Transfer aman adalah opsi yang memaksa akun penyimpanan Anda untuk menerima permintaan hanya dari koneksi aman (HTTPS). Penggunaan HTTPS memastikan autentikasi antara server dan layanan dan melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking	Audit, Tolak, Dinonaktifkan	2.0.0
Subnet harus dikaitkan dengan Grup Keamanan Jaringan	Lindungi subnet Anda dari potensi ancaman dengan membatasi aksesnya dengan Network Security Group (NSG). NSG berisi daftar aturan Access Control List (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke subnet Anda.	AuditIfNotExists, Dinonaktifkan	3.0.0
Web Application Firewall (WAF) harus diaktifkan untuk Azure Application Gateway	Menyebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom.	Audit, Tolak, Dinonaktifkan	2.0.0
Komputer Windows harus dikonfigurasi untuk menggunakan protokol komunikasi yang aman	Untuk melindungi privasi informasi yang dikomunikasikan melalui Internet, komputer Anda harus menggunakan versi terbaru protokol kriptografi standar industri, Keamanan Lapisan Transportasi (TLS). TLS mengamankan komunikasi melalui jaringan dengan mengenkripsi koneksi antar mesin.	AuditIfNotExists, Dinonaktifkan	4.1.1

Membatasi pergerakan informasi kepada pengguna yang berwenang

ID: SOC 2 Tipe 2 CC6.7 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Rekomendasi pengerasan jaringan adaptif harus diterapkan pada komputer virtual yang menghadap internet	Azure Security Center menganalisis pola lalu lintas komputer virtual yang dihadapi Internet dan memberikan rekomendasi aturan Grup Keamanan Jaringan yang mengurangi potensi serangan permukaan	AuditIfNotExists, Dinonaktifkan	3.0.0
Semua port jaringan harus dibatasi pada grup keamanan jaringan yang terkait dengan komputer virtual Anda	Azure Security Center telah mengidentifikasi beberapa aturan masuk grup keamanan jaringan Anda terlalu permisif. Aturan masuk tidak boleh mengizinkan akses dari rentang 'Apa pun' atau 'Internet'. Ini berpotensi memungkinkan penyerang untuk menargetkan sumber daya Anda.	AuditIfNotExists, Dinonaktifkan	3.0.0
Aplikasi App Service hanya dapat diakses melalui HTTPS	Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan.	Audit, Dinonaktifkan, Tolak	4.0.0
Aplikasi App Service hanya memerlukan FTPS	Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan.	AuditIfNotExists, Dinonaktifkan	3.0.0
Mengonfigurasi stasiun kerja untuk memeriksa sertifikat digital	CMA_0073 - Mengonfigurasi stasiun kerja untuk memeriksa sertifikat digital	Manual, Dinonaktifkan	1.1.0
Mengontrol alur informasi	CMA_0079 - Mengontrol alur informasi	Manual, Dinonaktifkan	1.1.0
Menentukan persyaratan perangkat seluler	CMA_0122 - Menentukan persyaratan perangkat seluler	Manual, Dinonaktifkan	1.1.0
Menggunakan mekanisme sanitasi media	CMA_0208 - Menggunakan mekanisme sanitasi media	Manual, Dinonaktifkan	1.1.0
Menerapkan mekanisme kontrol alur informasi terenkripsi	CMA_0211 - Menerapkan mekanisme kontrol alur informasi terenkripsi	Manual, Dinonaktifkan	1.1.0
Terapkan koneksi SSL harus diaktifkan untuk server database MySQL	Azure Database for MySQL mendukung koneksi server Azure Database for MySQL Anda ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda.	Audit, Dinonaktifkan	1.0.1
Terapkan koneksi SSL harus diaktifkan untuk server database PostgreSQL	Azure Database for PostgreSQL mendukung penyambungan server Azure Database for PostgreSQL ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda.	Audit, Dinonaktifkan	1.0.1
Membuat standar konfigurasi firewall dan router	CMA_0272 - Membuat standar konfigurasi firewall dan router	Manual, Dinonaktifkan	1.1.0
Membuat segmentasi jaringan untuk lingkungan data pemegang kartu	CMA_0273 - Membuat segmentasi jaringan untuk lingkungan data pemegang kartu	Manual, Dinonaktifkan	1.1.0
Aplikasi fungsi seharusnya hanya dapat diakses melalui HTTPS	Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan.	Audit, Dinonaktifkan, Tolak	5.0.0
Aplikasi Fungsi harus memerlukan hanya FTPS	Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan.	AuditIfNotExists, Dinonaktifkan	3.0.0
Aplikasi Fungsi harus menggunakan versi TLS terbaru	Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi Fungsi untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru.	AuditIfNotExists, Dinonaktifkan	2.0.1
Mengidentifikasi dan mengelola pertukaran informasi hilir	CMA_0298 - Mengidentifikasi dan mengelola pertukaran informasi hilir	Manual, Dinonaktifkan	1.1.0
Menerapkan kontrol untuk mengamankan semua media	CMA_0314 - Menerapkan kontrol untuk mengamankan semua media	Manual, Dinonaktifkan	1.1.0
Komputer virtual yang terhubung ke internet harus dilindungi dengan grup keamanan jaringan	Lindungi komputer virtual Anda dari potensi ancaman dengan membatasi akses ke komputer virtual tersebut dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc	AuditIfNotExists, Dinonaktifkan	3.0.0
Cluster Kubernetes hanya dapat diakses melalui HTTPS	Penggunaan HTTPS memastikan autentikasi dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Kemampuan ini saat ini umumnya tersedia untuk Kubernetes Service (AKS), dan dalam pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk info selengkapnya, kunjungi https://aka.ms/kubepolicydoc	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	8.1.0
Mengelola transportasi aset	CMA_0370 - Mengelola transportasi aset	Manual, Dinonaktifkan	1.1.0
Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time	Kemungkinan akses Just In Time (JIT) jaringan akan dipantau oleh Azure Security Center sebagai rekomendasi	AuditIfNotExists, Dinonaktifkan	3.0.0
Port manajemen harus ditutup pada komputer virtual Anda	Port manajemen jarak jauh yang terbuka mengekspos VM Anda ke risiko tinggi dari serangan berbasis internet. Serangan ini mencoba untuk memaksa info masuk guna mendapatkan akses admin ke komputer.	AuditIfNotExists, Dinonaktifkan	3.0.0
Komputer virtual yang tidak terhubung ke internet harus dilindungi dengan grup keamanan jaringan	Lindungi komputer virtual non-internet Anda dari potensi ancaman dengan membatasi akses dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc	AuditIfNotExists, Dinonaktifkan	3.0.0
Hanya koneksi aman ke Azure Cache for Redis Anda yang harus diaktifkan	Audit memungkinkan hanya koneksi melalui SSL ke Azure Cache for Redis. Penggunaan koneksi aman memastikan autentikasi antara server dan layanan serta melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking	Audit, Tolak, Dinonaktifkan	1.0.0
Melindungi data dalam transit menggunakan enkripsi	CMA_0403 - Melindungi data dalam transit menggunakan enkripsi	Manual, Dinonaktifkan	1.1.0
Melindungi kata sandi dengan enkripsi	CMA_0408 - Melindungi kata sandi dengan enkripsi	Manual, Dinonaktifkan	1.1.0
Transfer aman ke akun penyimpanan harus diaktifkan	Persyaratan audit Transfer aman di akun penyimpanan Anda. Transfer aman adalah opsi yang memaksa akun penyimpanan Anda untuk menerima permintaan hanya dari koneksi aman (HTTPS). Penggunaan HTTPS memastikan autentikasi antara server dan layanan dan melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking	Audit, Tolak, Dinonaktifkan	2.0.0
Subnet harus dikaitkan dengan Grup Keamanan Jaringan	Lindungi subnet Anda dari potensi ancaman dengan membatasi aksesnya dengan Network Security Group (NSG). NSG berisi daftar aturan Access Control List (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke subnet Anda.	AuditIfNotExists, Dinonaktifkan	3.0.0
Komputer Windows harus dikonfigurasi untuk menggunakan protokol komunikasi yang aman	Untuk melindungi privasi informasi yang dikomunikasikan melalui Internet, komputer Anda harus menggunakan versi terbaru protokol kriptografi standar industri, Keamanan Lapisan Transportasi (TLS). TLS mengamankan komunikasi melalui jaringan dengan mengenkripsi koneksi antar mesin.	AuditIfNotExists, Dinonaktifkan	4.1.1

Mencegah atau mendeteksi terhadap perangkat lunak yang tidak sah atau berbahaya

ID: SOC 2 Tipe 2 CC6.8 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
[Tidak digunakan lagi]: Aplikasi fungsi harus mengaktifkan 'Sertifikat Klien (Sertifikat klien masuk)'	Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien dengan sertifikat yang valid yang dapat menjangkau aplikasi. Kebijakan ini telah digantikan oleh kebijakan baru dengan nama yang sama karena Http 2.0 tidak mendukung sertifikat klien.	Audit, Dinonaktifkan	3.1.0-tidak digunakan lagi
[Pratinjau]: Ekstensi Pengesahan Tamu harus diinstal di mesin virtual Linux yang didukung	Pasang ekstensi Pengesahan Tamu pada komputer virtual Linux yang didukung untuk memungkinkan Azure Security Center secara proaktif mengesahkan dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini berlaku untuk Peluncuran Tepercaya dan komputer virtual Linux Rahasia.	AuditIfNotExists, Dinonaktifkan	6.0.0-pratinjau
[Pratinjau]: Ekstensi Pengesahan Tamu harus diinstal di set skala mesin virtual Linux yang didukun	Pasang ekstensi Pengesahan Tamu pada set skala komputer virtual Linux yang didukung untuk memungkinkan Azure Security Center secara proaktif mengesahkan dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini berlaku untuk Peluncuran Tepercaya dan set skala komputer virtual Linux Rahasia.	AuditIfNotExists, Dinonaktifkan	5.1.0-pratinjau
[Pratinjau]: Ekstensi Pengesahan Tamu harus diinstal di mesin virtual Windows yang didukung	Instal ekstensi Pengesahan Tamu pada komputer virtual yang didukung guna memungkinkan Azure Security Center membuktikan secara proaktif dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini berlaku untuk Peluncuran Tepercaya dan komputer virtual Windows Rahasia.	AuditIfNotExists, Dinonaktifkan	4.0.0-pratinjau
[Pratinjau]: Ekstensi Pengesahan Tamu harus diinstal di set skala mesin virtual Windows yang didukung	Pasang ekstensi Pengesahan Tamu pada set skala komputer virtual yang didukung untuk memungkinkan Azure Security Center secara proaktif mengesahkan dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini berlaku untuk Peluncuran Tepercaya dan set skala komputer virtual Windows Rahasia.	AuditIfNotExists, Dinonaktifkan	3.1.0-pratinjau
[Pratinjau]: Boot Aman harus diaktifkan pada mesin virtual Windows yang didukung	Aktifkan Boot Aman pada komputer virtual Windows yang didukung untuk mengurangi perubahan berbahaya dan tidak sah pada rantai boot. Setelah diaktifkan, hanya bootloader tepercaya, kernel dan driver kernel yang akan diizinkan untuk dijalankan. Penilaian ini berlaku untuk Peluncuran Tepercaya dan komputer virtual Windows Rahasia.	Audit, Dinonaktifkan	4.0.0-pratinjau
[Pratinjau]: vTPM harus diaktifkan pada mesin virtual yang didukung	Mengaktifkan perangkat TPM virtual pada komputer virtual yang didukung untuk memfasilitasi Boot Terukur dan fitur keamanan OS lainnya yang memerlukan TPM. Setelah diaktifkan, vTPM dapat digunakan untuk mengesahkan integritas boot. Penilaian ini hanya berlaku untuk komputer virtual yang diaktifkan peluncuran tepercaya.	Audit, Dinonaktifkan	pratinjau-2.0.0
Kontrol aplikasi adaptif untuk menetapkan aplikasi yang aman harus diaktifkan di komputer Anda	Aktifkan kontrol aplikasi untuk menentukan daftar aplikasi yang diketahui aman yang sedang berjalan di komputer Anda, dan aktifkan pemberitahuan ketika aplikasi lain berjalan. Hal ini membantu memperkuat komputer Anda terhadap malware. Untuk menyederhanakan proses konfigurasi dan pemeliharaan aturan Anda, Security Center menggunakan pembelajaran mesin untuk menganalisis aplikasi yang berjalan di setiap komputer dan menyarankan daftar aplikasi yang diketahui aman.	AuditIfNotExists, Dinonaktifkan	3.0.0
Aturan daftar yang diizinkan dalam kebijakan kontrol aplikasi adaptif Anda harus diperbarui	Pantau perubahan perilaku pada grup mesin yang dikonfigurasi untuk diaudit oleh kontrol aplikasi adaptif Security Center. Security Center menggunakan pembelajaran mesin untuk menganalisis proses yang berjalan di mesin Anda dan menyarankan daftar aplikasi yang dikenal aman. Hal ini disajikan sebagai aplikasi yang disarankan untuk diizinkan dalam kebijakan kontrol aplikasi adaptif.	AuditIfNotExists, Dinonaktifkan	3.0.0
Aplikasi App Service harus mengaktifkan Sertifikat Klien (Sertifikat klien masuk)	Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi. Kebijakan ini berlaku untuk aplikasi dengan versi Http yang diatur ke 1.1.	AuditIfNotExists, Dinonaktifkan	1.0.0
Aplikasi App Service harus menonaktifkan penelusuran kesalahan jarak jauh	Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi App Service. Penelusuran kesalahan jarak jauh harus dinonaktifkan.	AuditIfNotExists, Dinonaktifkan	2.0.0
Aplikasi App Service tidak boleh mengonfigurasi CORS untuk mengizinkan semua sumber daya untuk mengakses aplikasi Anda	Berbagi Sumber Daya Lintas Asal (CORS) tidak boleh mengizinkan semua domain mengakses aplikasi Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Anda.	AuditIfNotExists, Dinonaktifkan	2.0.0
Aplikasi App Service harus menggunakan 'Versi HTTP' terbaru	Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru.	AuditIfNotExists, Dinonaktifkan	4.0.0
Mengaudit VM yang tidak menggunakan disk terkelola	Kebijakan ini mengaudit VM yang tidak menggunakan disk terkelola	audit	1.0.0
Kluster Kubernetes dengan dukungan Azure Arc harus menginstal ekstensi Azure Policy	Ekstensi Azure Policy untuk Azure Arc menyediakan penegakan dan perlindungan skala besar pada kluster Kubernetes yang diaktifkan Arc Anda secara terpusat dan konsisten. Pelajari lebih lanjut di https://aka.ms/akspolicydoc.	AuditIfNotExists, Dinonaktifkan	1.1.0
Add-on Azure Policy untuk layanan Kube (AKS) harus dipasang dan diaktifkan di kluster Anda	Azure Policy Add-on for Kubernetes service (AKS) memperluas Gatekeeper v3, webhook pengontrol penerimaan untuk Open Policy Agent (OPA), untuk menerapkan penegakan dan pengamanan skala besar pada klaster Anda secara terpusat dan konsisten.	Audit, Dinonaktifkan	1.0.2
Memblokir proses tidak tepercaya dan tidak resmi yang berjalan dari USB	CMA_0050 - Memblokir proses yang tidak tepercaya dan tidak resmi yang berjalan dari USB	Manual, Dinonaktifkan	1.1.0
Masalah kesehatan perlindungan titik akhir harus diselesaikan di komputer Anda	Mengatasi masalah kesehatan perlindungan titik akhir pada komputer virtual Anda untuk melindungi mereka dari ancaman dan kerentanan terbaru. Solusi perlindungan titik akhir yang didukung Azure Security Center didokumentasikan di sini - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Penilaian perlindungan titik akhir didokumentasikan di sini - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection.	AuditIfNotExists, Dinonaktifkan	1.0.0
Perlindungan titik akhir harus dipasang di komputer Anda	Untuk melindungi komputer Anda dari ancaman dan kerentanan, instal solusi perlindungan titik akhir yang didukung.	AuditIfNotExists, Dinonaktifkan	1.0.0
Solusi perlindungan titik akhir harus dipasang pada set skala komputer virtual	Audit keberadaan dan kesehatan solusi perlindungan titik akhir pada set skala komputer virtual Anda, untuk melindunginya dari ancaman dan kerentanan.	AuditIfNotExists, Dinonaktifkan	3.0.0
Aplikasi Fungsi harus menonaktifkan penelusuran kesalahan jarak jauh	Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi Fungsi. Penelusuran kesalahan jarak jauh harus dinonaktifkan.	AuditIfNotExists, Dinonaktifkan	2.0.0
Aplikasi Fungsi tidak boleh memiliki CORS yang terkonfigurasi untuk mengizinkan setiap sumber daya mengakses aplikasi Anda	Cross-Origin Resource Sharing (CORS) seharusnya tidak mengizinkan semua domain mengakses aplikasi Fungsi Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Fungsi Anda.	AuditIfNotExists, Dinonaktifkan	2.0.0
Aplikasi Fungsi harus menggunakan 'Versi HTTP' terbaru	Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru.	AuditIfNotExists, Dinonaktifkan	4.0.0
Ekstensi Konfigurasi Tamu harus dipasang di mesin Anda	Untuk memastikan konfigurasi yang aman dari pengaturan in-guest mesin Anda, instal ekstensi Guest Configuration. Pengaturan tamu yang dipantau ekstensi mencakup konfigurasi sistem operasi, konfigurasi atau keberadaan aplikasi, dan pengaturan lingkungan. Setelah diinstal, kebijakan tamu akan tersedia seperti 'Windows Exploit guard harus diaktifkan'. Pelajari lebih lanjut di https://aka.ms/gcpol.	AuditIfNotExists, Dinonaktifkan	1.0.3
Batas sumber daya memori dan CPU kontainer kluster Kube tidak boleh melebihi batas yang ditetapkan	Terapkan batas sumber daya CPU dan memori kontainer untuk mencegah serangan kehabisan sumber daya di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	9.2.0
Wadah klaster Kubernetes tidak boleh berbagi ID proses host atau namespace IPC host	Blokir kontainer pod agar tidak membagikan namespace ID proses host dan namespace IPC host di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.2 dan CIS 5.2.3 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	5.1.0
Kontainer kluster Kube hanya boleh menggunakan profil AppArmor yang diizinkan	Container hanya boleh menggunakan profil AppArmor yang diizinkan di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	6.1.1
Kontainer kluster Kube hanya boleh menggunakan kemampuan yang diizinkan	Batasi kemampuan untuk mengurangi permukaan serangan kontainer di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.8 dan CIS 5.2.9 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	6.1.0
Kontainer kluster Kube hanya boleh menggunakan gambar yang diizinkan	Gunakan gambar dari registry tepercaya untuk mengurangi risiko paparan kluster Kubernetes terhadap kerentanan yang tidak diketahui, masalah keamanan, dan gambar berbahaya. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	9.2.0
Kontainer kluster Kube harus dijalankan dengan sistem file akar baca saja	Jalankan kontainer dengan sistem file root hanya baca untuk melindungi dari perubahan saat run-time dengan binari berbahaya yang ditambahkan ke PATH di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	6.2.0
Volume hostPath pod kluster Kube hanya boleh menggunakan jalur host yang diizinkan	Batasi mount volume HostPath pod ke jalur host yang diizinkan di Cluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	6.1.1
Pod dan kontainer kluster Kube hanya boleh dijalankan dengan ID pengguna dan grup yang disetujui	Kontrol ID pengguna, grup utama, grup tambahan, dan grup sistem file yang dapat digunakan pod dan kontainer untuk dijalankan di Cluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	6.1.1
Pod kluster Kube hanya boleh menggunakan jaringan host dan rentang port yang disetujui	Batasi akses pod ke jaringan host dan rentang port host yang diizinkan di kluster Kubernetes. Rekomendasi ini adalah bagian dari CIS 5.2.4 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	6.1.0
Layanan kluster Kube hanya boleh mendengarkan port yang diizinkan	Batasi layanan untuk mendengarkan hanya pada port yang diizinkan untuk mengamankan akses ke kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	8.1.0
Kluster Kube seharusnya tidak mengizinkan kontainer dengan hak istimewa	Jangan izinkan pembuatan kontainer yang diistimewakan di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.1 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	9.1.0
Kluster Kube harus menonaktifkan pemasangan otomatis info masuk API	Nonaktifkan pemasangan otomatis info masuk API untuk mencegah sumber daya Pod yang berpotensi disusupi untuk menjalankan perintah API terhadap kluster Kube. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	4.1.0
Kluster Kubernetes tidak boleh mengizinkan eskalasi hak istimewa kontainer	Jangan izinkan kontainer berjalan dengan eskalasi hak istimewa untuk melakukan root di kluster Kubernetes. Rekomendasi ini adalah bagian dari CIS 5.2.5 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	7.1.0
Kluster Kube tidak boleh memberi kemampuan keamanan CAP_SYS_ADMIN	Untuk mengurangi permukaan serangan kontainer Anda, batasi kemampuan CAP_SYS_ADMIN Linux. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	5.1.0
Kluster Kube tidak boleh menggunakan namespace layanan default	Cegah penggunaan namespace layanan default di kluster Kub untuk melindungi akses tidak diotorisasi untuk jenis sumber daya ConfigMap, Pod, Secret, Service, dan ServiceAccount. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	4.1.0
Mesin Linux harus memenuhi persyaratan untuk dasar keamanan komputasi Azure	Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika mesin tidak dikonfigurasi dengan benar untuk salah satu rekomendasi di dasar keamanan komputasi Azure.	AuditIfNotExists, Dinonaktifkan	2.2.0
Mengelola gateway	CMA_0363 - Mengelola gateway	Manual, Dinonaktifkan	1.1.0
Memantau Perlindungan Titik Akhir yang tidak ada di Azure Security Center	Server tanpa agen Perlindungan Titik Akhir yang diinstal akan dipantau oleh Azure Security Center sebagai rekomendasi	AuditIfNotExists, Dinonaktifkan	3.0.0
Hanya ekstensi VM yang disetujui yang dapat diinstal	Kebijakan ini mengatur ekstensi komputer virtual yang tidak disetujui.	Audit, Tolak, Dinonaktifkan	1.0.0
Melakukan analisis tren pada ancaman	CMA_0389 - Melakukan analisis tren terhadap ancaman	Manual, Dinonaktifkan	1.1.0
Melakukan pemindaian kerentanan	CMA_0393 - Melakukan pemindaian kerentanan	Manual, Dinonaktifkan	1.1.0
Meninjau laporan deteksi malware setiap minggu	CMA_0475 - Meninjau laporan deteksi malware setiap minggu	Manual, Dinonaktifkan	1.1.0
Meninjau status perlindungan terhadap ancaman setiap minggu	CMA_0479 - Meninjau status perlindungan terhadap ancaman setiap minggu	Manual, Dinonaktifkan	1.1.0
Akun penyimpanan harus mengizinkan akses dari layanan Microsoft tepercaya	Beberapa layanan Microsoft yang berinteraksi dengan akun penyimpanan beroperasi dari jaringan yang tidak dapat diberikan akses melalui aturan jaringan. Untuk membantu jenis layanan ini berfungsi sebagaimana mestinya, izinkan kumpulan layanan Microsoft tepercaya untuk mengabaikan aturan jaringan. Layanan ini kemudian akan menggunakan autentikasi yang kuat untuk mengakses akun penyimpanan.	Audit, Tolak, Dinonaktifkan	1.0.0
Memperbarui definisi antivirus	CMA_0517 - Memperbarui definisi antivirus	Manual, Dinonaktifkan	1.1.0
Memverifikasi integritas perangkat lunak, firmware, dan informasi	CMA_0542 - Memverifikasi integritas perangkat lunak, firmware, dan informasi	Manual, Dinonaktifkan	1.1.0
Menampilkan dan mengonfigurasi data diagnostik sistem	CMA_0544 - Menampilkan dan mengonfigurasi data diagnostik sistem	Manual, Dinonaktifkan	1.1.0
Ekstensi Konfigurasi Tamu komputer virtual harus diterapkan dengan identitas terkelola yang ditetapkan sistem	Ekstensi Konfigurasi Tamu memerlukan identitas terkelola yang ditetapkan sistem. Komputer virtual Azure dalam cakupan kebijakan ini tidak akan mematuhi kebijakan jika ekstensi Konfigurasi Tamu diinstal tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Pelajari lebih lanjut di https://aka.ms/gcpol	AuditIfNotExists, Dinonaktifkan	1.0.1
Mesin Windows harus memenuhi persyaratan dasar keamanan komputasi Azure	Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika mesin tidak dikonfigurasi dengan benar untuk salah satu rekomendasi di dasar keamanan komputasi Azure.	AuditIfNotExists, Dinonaktifkan	2.0.0

Operasi Sistem

Deteksi dan pemantauan kerentanan baru

ID: SOC 2 Tipe 2 CC7.1 Kepemilikan: Bersama

Memantau komponen sistem untuk perilaku anomali

ID: SOC 2 Tipe 2 CC7.2 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
[Pratinjau]: Kluster Kubernetes yang mengaktifkan Azure Arc harus memiliki ekstensi Microsoft Defender untuk Cloud yang diinstal	Ekstensi Microsoft Defender untuk Cloud untuk Azure Arc memberikan perlindungan ancaman untuk kluster Kubernetes Anda yang mendukung Arc. Ekstensi ini mengumpulkan data dari simpul dalam kluster dan mengirimkannya ke backend Azure Defender untuk Kube di cloud untuk dianalisis lebih lanjut. Pelajari lebih lanjut di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists, Dinonaktifkan	6.0.0-pratinjau
Peringatan log aktivitas harus ada untuk operasi Administratif tertentu	Kebijakan ini mengaudit operasi Administratif tertentu tanpa pemberitahuan log aktivitas yang dikonfigurasi.	AuditIfNotExists, Dinonaktifkan	1.0.0
Peringatan log aktivitas harus ada untuk operasi Kebijakan tertentu	Kebijakan ini mengaudit operasi Kebijakan tertentu tanpa pemberitahuan log aktivitas yang dikonfigurasi.	AuditIfNotExists, Dinonaktifkan	3.0.0
Peringatan log aktivitas harus ada untuk operasi Keamanan tertentu	Kebijakan ini mengaudit operasi Keamanan tertentu tanpa peringatan log aktivitas yang dikonfigurasi.	AuditIfNotExists, Dinonaktifkan	1.0.0
Azure Defender untuk App Service harus diaktifkan	Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum.	AuditIfNotExists, Dinonaktifkan	1.0.3
Azure Defender untuk server Azure SQL Database harus diaktifkan	Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif.	AuditIfNotExists, Dinonaktifkan	1.0.2
Azure Defender untuk Key Vault harus diaktifkan	Azure Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun key vault.	AuditIfNotExists, Dinonaktifkan	1.0.3
Azure Defender untuk database relasional sumber terbuka harus diaktifkan	Azure Defender untuk database relasional sumber terbuka mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. Pelajari selengkapnya tentang kemampuan Azure Defender untuk database relasional sumber terbuka di https://aka.ms/AzDforOpenSourceDBsDocu. Penting: Mengaktifkan paket ini akan dikenakan biaya untuk melindungi database relasional sumber terbuka Anda. Pelajari tentang harga di halaman harga Security Center: https://aka.ms/pricing-security-center	AuditIfNotExists, Dinonaktifkan	1.0.0
Azure Defender untuk Resource Manager harus diaktifkan	Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center.	AuditIfNotExists, Dinonaktifkan	1.0.0
Azure Defender untuk server harus diaktifkan	Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan.	AuditIfNotExists, Dinonaktifkan	1.0.3
Azure Defender untuk server SQL pada mesin harus diaktifkan	Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif.	AuditIfNotExists, Dinonaktifkan	1.0.2
Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak dilindungi	Audit server SQL tanpa Advanced Data Security	AuditIfNotExists, Dinonaktifkan	2.0.1
Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi	Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut.	AuditIfNotExists, Dinonaktifkan	1.0.2
Kluster Azure Kubernetes Service harus mengaktifkan profil Defender	Microsoft Defender untuk Kontainer menyediakan kemampuan keamanan Kubernetes cloud-native termasuk penguatan lingkungan, perlindungan beban kerja, dan perlindungan run-time. Saat Anda mengaktifkan SecurityProfile.AzureDefender di kluster Azure Kubernetes Service Anda, agen akan disebarkan ke kluster Anda untuk mengumpulkan data peristiwa keamanan. Pelajari selengkapnya tentang Microsoft Defender untuk Kontainer di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks	Audit, Dinonaktifkan	2.0.1
Mendeteksi layanan jaringan yang belum diotorisasi atau belum disetujui	CMA_C1700 - Mendeteksi layanan jaringan yang belum diotorisasi atau belum disetujui	Manual, Dinonaktifkan	1.1.0
Mengatur dan memantau aktivitas pemrosesan audit	CMA_0289 - Mengatur dan memantau aktivitas pemrosesan audit	Manual, Dinonaktifkan	1.1.0
Pertahanan Microsoft untuk Kontainer harus diaktifkan	Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda.	AuditIfNotExists, Dinonaktifkan	1.0.0
Pertahanan Microsoft untuk Penyimpanan harus diaktifkan	Microsoft Defender for Storage mendeteksi potensi ancaman terhadap akun penyimpanan Anda. Ini membantu mencegah tiga dampak utama pada data dan beban kerja Anda: unggahan file berbahaya, penyelundupan data sensitif, dan kerusakan data. Paket Defender for Storage baru mencakup Pemindaian Malware dan Deteksi Ancaman Data Sensitif. Paket ini juga menyediakan struktur harga yang dapat diprediksi (per akun penyimpanan) untuk kontrol atas cakupan dan biaya.	AuditIfNotExists, Dinonaktifkan	1.0.0
Melakukan analisis tren pada ancaman	CMA_0389 - Melakukan analisis tren terhadap ancaman	Manual, Dinonaktifkan	1.1.0
Windows Defender Exploit Guard harus diaktifkan di komputer Anda	Windows Defender Exploit Guard menggunakan agen Konfigurasi Tamu Azure Policy. Exploit Guard memiliki empat komponen yang dirancang untuk mengunci perangkat dari berbagai vektor serangan dan memblokir perilaku yang biasa digunakan dalam serangan malware sekaligus memungkinkan perusahaan untuk menyeimbangkan risiko keamanan dan persyaratan produktivitas (khusus Windows).	AuditIfNotExists, Dinonaktifkan	2.0.0

Deteksi insiden keamanan

ID: SOC 2 Tipe 2 CC7.3 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Meninjau dan memperbarui kebijakan dan prosedur respons insiden	CMA_C1352 - Meninjau dan memperbarui kebijakan dan prosedur respons insiden	Manual, Dinonaktifkan	1.1.0

Respons insiden keamanan

ID: SOC 2 Tipe 2 CC7.4 Kepemilikan: Bersama

Pemulihan dari insiden keamanan yang diidentifikasi

ID: SOC 2 Tipe 2 CC7.5 Kepemilikan: Bersama

Manajemen Perubahan

Perubahan pada infrastruktur, data, dan perangkat lunak

ID: SOC 2 Tipe 2 CC8.1 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
[Tidak digunakan lagi]: Aplikasi fungsi harus mengaktifkan 'Sertifikat Klien (Sertifikat klien masuk)'	Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien dengan sertifikat yang valid yang dapat menjangkau aplikasi. Kebijakan ini telah digantikan oleh kebijakan baru dengan nama yang sama karena Http 2.0 tidak mendukung sertifikat klien.	Audit, Dinonaktifkan	3.1.0-tidak digunakan lagi
[Pratinjau]: Ekstensi Pengesahan Tamu harus diinstal di mesin virtual Linux yang didukung	Pasang ekstensi Pengesahan Tamu pada komputer virtual Linux yang didukung untuk memungkinkan Azure Security Center secara proaktif mengesahkan dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini berlaku untuk Peluncuran Tepercaya dan komputer virtual Linux Rahasia.	AuditIfNotExists, Dinonaktifkan	6.0.0-pratinjau
[Pratinjau]: Ekstensi Pengesahan Tamu harus diinstal di set skala mesin virtual Linux yang didukun	Pasang ekstensi Pengesahan Tamu pada set skala komputer virtual Linux yang didukung untuk memungkinkan Azure Security Center secara proaktif mengesahkan dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini berlaku untuk Peluncuran Tepercaya dan set skala komputer virtual Linux Rahasia.	AuditIfNotExists, Dinonaktifkan	5.1.0-pratinjau
[Pratinjau]: Ekstensi Pengesahan Tamu harus diinstal di mesin virtual Windows yang didukung	Instal ekstensi Pengesahan Tamu pada komputer virtual yang didukung guna memungkinkan Azure Security Center membuktikan secara proaktif dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini berlaku untuk Peluncuran Tepercaya dan komputer virtual Windows Rahasia.	AuditIfNotExists, Dinonaktifkan	4.0.0-pratinjau
[Pratinjau]: Ekstensi Pengesahan Tamu harus diinstal di set skala mesin virtual Windows yang didukung	Pasang ekstensi Pengesahan Tamu pada set skala komputer virtual yang didukung untuk memungkinkan Azure Security Center secara proaktif mengesahkan dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini berlaku untuk Peluncuran Tepercaya dan set skala komputer virtual Windows Rahasia.	AuditIfNotExists, Dinonaktifkan	3.1.0-pratinjau
[Pratinjau]: Boot Aman harus diaktifkan pada mesin virtual Windows yang didukung	Aktifkan Boot Aman pada komputer virtual Windows yang didukung untuk mengurangi perubahan berbahaya dan tidak sah pada rantai boot. Setelah diaktifkan, hanya bootloader tepercaya, kernel dan driver kernel yang akan diizinkan untuk dijalankan. Penilaian ini berlaku untuk Peluncuran Tepercaya dan komputer virtual Windows Rahasia.	Audit, Dinonaktifkan	4.0.0-pratinjau
[Pratinjau]: vTPM harus diaktifkan pada mesin virtual yang didukung	Mengaktifkan perangkat TPM virtual pada komputer virtual yang didukung untuk memfasilitasi Boot Terukur dan fitur keamanan OS lainnya yang memerlukan TPM. Setelah diaktifkan, vTPM dapat digunakan untuk mengesahkan integritas boot. Penilaian ini hanya berlaku untuk komputer virtual yang diaktifkan peluncuran tepercaya.	Audit, Dinonaktifkan	pratinjau-2.0.0
Aplikasi App Service harus mengaktifkan Sertifikat Klien (Sertifikat klien masuk)	Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi. Kebijakan ini berlaku untuk aplikasi dengan versi Http yang diatur ke 1.1.	AuditIfNotExists, Dinonaktifkan	1.0.0
Aplikasi App Service harus menonaktifkan penelusuran kesalahan jarak jauh	Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi App Service. Penelusuran kesalahan jarak jauh harus dinonaktifkan.	AuditIfNotExists, Dinonaktifkan	2.0.0
Aplikasi App Service tidak boleh mengonfigurasi CORS untuk mengizinkan semua sumber daya untuk mengakses aplikasi Anda	Berbagi Sumber Daya Lintas Asal (CORS) tidak boleh mengizinkan semua domain mengakses aplikasi Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Anda.	AuditIfNotExists, Dinonaktifkan	2.0.0
Aplikasi App Service harus menggunakan 'Versi HTTP' terbaru	Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru.	AuditIfNotExists, Dinonaktifkan	4.0.0
Mengaudit VM yang tidak menggunakan disk terkelola	Kebijakan ini mengaudit VM yang tidak menggunakan disk terkelola	audit	1.0.0
Kluster Kubernetes dengan dukungan Azure Arc harus menginstal ekstensi Azure Policy	Ekstensi Azure Policy untuk Azure Arc menyediakan penegakan dan perlindungan skala besar pada kluster Kubernetes yang diaktifkan Arc Anda secara terpusat dan konsisten. Pelajari lebih lanjut di https://aka.ms/akspolicydoc.	AuditIfNotExists, Dinonaktifkan	1.1.0
Add-on Azure Policy untuk layanan Kube (AKS) harus dipasang dan diaktifkan di kluster Anda	Azure Policy Add-on for Kubernetes service (AKS) memperluas Gatekeeper v3, webhook pengontrol penerimaan untuk Open Policy Agent (OPA), untuk menerapkan penegakan dan pengamanan skala besar pada klaster Anda secara terpusat dan konsisten.	Audit, Dinonaktifkan	1.0.2
Melakukan analisis dampak keamanan	CMA_0057 - Melakukan analisis dampak keamanan	Manual, Dinonaktifkan	1.1.0
Mengonfigurasi tindakan untuk perangkat yang tidak patuh	CMA_0062 - Mengonfigurasi tindakan untuk perangkat yang tidak patuh	Manual, Dinonaktifkan	1.1.0
Mengembangkan dan memelihara standar pengelolaan kerentanan	CMA_0152 - Mengembangkan dan memelihara standar pengelolaan kerentanan	Manual, Dinonaktifkan	1.1.0
Mengembangkan dan memelihara konfigurasi dasar	CMA_0153 - Mengembangkan dan memelihara konfigurasi mendasar	Manual, Dinonaktifkan	1.1.0
Menerapkan pengaturan konfigurasi keamanan	CMA_0249 - Menerapkan pengaturan konfigurasi keamanan	Manual, Dinonaktifkan	1.1.0
Membuat papan kontrol konfigurasi	CMA_0254 - Membuat papan kontrol konfigurasi	Manual, Dinonaktifkan	1.1.0
Menetapkan strategi manajemen risiko	CMA_0258 - Menetapkan strategi manajemen risiko	Manual, Dinonaktifkan	1.1.0
Membuat dan mendokumentasikan rencana manajemen konfigurasi	CMA_0264 - Membuat dan mendokumentasikan rencana manajemen konfigurasi	Manual, Dinonaktifkan	1.1.0
Membuat dan mendokumentasikan proses kontrol perubahan	CMA_0265 - Membuat dan mendokumentasikan proses kontrol perubahan	Manual, Dinonaktifkan	1.1.0
Menetapkan persyaratan manajemen konfigurasi untuk pengembang	CMA_0270 - Menetapkan persyaratan manajemen konfigurasi untuk pengembang	Manual, Dinonaktifkan	1.1.0
Aplikasi Fungsi harus menonaktifkan penelusuran kesalahan jarak jauh	Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi Fungsi. Penelusuran kesalahan jarak jauh harus dinonaktifkan.	AuditIfNotExists, Dinonaktifkan	2.0.0
Aplikasi Fungsi tidak boleh memiliki CORS yang terkonfigurasi untuk mengizinkan setiap sumber daya mengakses aplikasi Anda	Cross-Origin Resource Sharing (CORS) seharusnya tidak mengizinkan semua domain mengakses aplikasi Fungsi Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Fungsi Anda.	AuditIfNotExists, Dinonaktifkan	2.0.0
Aplikasi Fungsi harus menggunakan 'Versi HTTP' terbaru	Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru.	AuditIfNotExists, Dinonaktifkan	4.0.0
Ekstensi Konfigurasi Tamu harus dipasang di mesin Anda	Untuk memastikan konfigurasi yang aman dari pengaturan in-guest mesin Anda, instal ekstensi Guest Configuration. Pengaturan tamu yang dipantau ekstensi mencakup konfigurasi sistem operasi, konfigurasi atau keberadaan aplikasi, dan pengaturan lingkungan. Setelah diinstal, kebijakan tamu akan tersedia seperti 'Windows Exploit guard harus diaktifkan'. Pelajari lebih lanjut di https://aka.ms/gcpol.	AuditIfNotExists, Dinonaktifkan	1.0.3
Menerapkan alat manajemen konfigurasi otomatis	CMA_0311 - Menerapkan alat manajemen konfigurasi otomatis	Manual, Dinonaktifkan	1.1.0
Batas sumber daya memori dan CPU kontainer kluster Kube tidak boleh melebihi batas yang ditetapkan	Terapkan batas sumber daya CPU dan memori kontainer untuk mencegah serangan kehabisan sumber daya di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	9.2.0
Wadah klaster Kubernetes tidak boleh berbagi ID proses host atau namespace IPC host	Blokir kontainer pod agar tidak membagikan namespace ID proses host dan namespace IPC host di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.2 dan CIS 5.2.3 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	5.1.0
Kontainer kluster Kube hanya boleh menggunakan profil AppArmor yang diizinkan	Container hanya boleh menggunakan profil AppArmor yang diizinkan di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	6.1.1
Kontainer kluster Kube hanya boleh menggunakan kemampuan yang diizinkan	Batasi kemampuan untuk mengurangi permukaan serangan kontainer di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.8 dan CIS 5.2.9 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	6.1.0
Kontainer kluster Kube hanya boleh menggunakan gambar yang diizinkan	Gunakan gambar dari registry tepercaya untuk mengurangi risiko paparan kluster Kubernetes terhadap kerentanan yang tidak diketahui, masalah keamanan, dan gambar berbahaya. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	9.2.0
Kontainer kluster Kube harus dijalankan dengan sistem file akar baca saja	Jalankan kontainer dengan sistem file root hanya baca untuk melindungi dari perubahan saat run-time dengan binari berbahaya yang ditambahkan ke PATH di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	6.2.0
Volume hostPath pod kluster Kube hanya boleh menggunakan jalur host yang diizinkan	Batasi mount volume HostPath pod ke jalur host yang diizinkan di Cluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	6.1.1
Pod dan kontainer kluster Kube hanya boleh dijalankan dengan ID pengguna dan grup yang disetujui	Kontrol ID pengguna, grup utama, grup tambahan, dan grup sistem file yang dapat digunakan pod dan kontainer untuk dijalankan di Cluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	6.1.1
Pod kluster Kube hanya boleh menggunakan jaringan host dan rentang port yang disetujui	Batasi akses pod ke jaringan host dan rentang port host yang diizinkan di kluster Kubernetes. Rekomendasi ini adalah bagian dari CIS 5.2.4 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	6.1.0
Layanan kluster Kube hanya boleh mendengarkan port yang diizinkan	Batasi layanan untuk mendengarkan hanya pada port yang diizinkan untuk mengamankan akses ke kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	8.1.0
Kluster Kube seharusnya tidak mengizinkan kontainer dengan hak istimewa	Jangan izinkan pembuatan kontainer yang diistimewakan di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.1 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	9.1.0
Kluster Kube harus menonaktifkan pemasangan otomatis info masuk API	Nonaktifkan pemasangan otomatis info masuk API untuk mencegah sumber daya Pod yang berpotensi disusupi untuk menjalankan perintah API terhadap kluster Kube. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	4.1.0
Kluster Kubernetes tidak boleh mengizinkan eskalasi hak istimewa kontainer	Jangan izinkan kontainer berjalan dengan eskalasi hak istimewa untuk melakukan root di kluster Kubernetes. Rekomendasi ini adalah bagian dari CIS 5.2.5 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	7.1.0
Kluster Kube tidak boleh memberi kemampuan keamanan CAP_SYS_ADMIN	Untuk mengurangi permukaan serangan kontainer Anda, batasi kemampuan CAP_SYS_ADMIN Linux. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	5.1.0
Kluster Kube tidak boleh menggunakan namespace layanan default	Cegah penggunaan namespace layanan default di kluster Kub untuk melindungi akses tidak diotorisasi untuk jenis sumber daya ConfigMap, Pod, Secret, Service, dan ServiceAccount. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.	audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan	4.1.0
Mesin Linux harus memenuhi persyaratan untuk dasar keamanan komputasi Azure	Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika mesin tidak dikonfigurasi dengan benar untuk salah satu rekomendasi di dasar keamanan komputasi Azure.	AuditIfNotExists, Dinonaktifkan	2.2.0
Hanya ekstensi VM yang disetujui yang dapat diinstal	Kebijakan ini mengatur ekstensi komputer virtual yang tidak disetujui.	Audit, Tolak, Dinonaktifkan	1.0.0
Melakukan penilaian dampak privasi	CMA_0387 - Melakukan penilaian dampak privasi	Manual, Dinonaktifkan	1.1.0
Melakukan penilaian risiko	CMA_0388 - Melakukan penilaian risiko	Manual, Dinonaktifkan	1.1.0
Lakukan audit untuk kontrol perubahan konfigurasi	CMA_0390 - Melakukan audit untuk kontrol perubahan konfigurasi	Manual, Dinonaktifkan	1.1.0
Akun penyimpanan harus mengizinkan akses dari layanan Microsoft tepercaya	Beberapa layanan Microsoft yang berinteraksi dengan akun penyimpanan beroperasi dari jaringan yang tidak dapat diberikan akses melalui aturan jaringan. Untuk membantu jenis layanan ini berfungsi sebagaimana mestinya, izinkan kumpulan layanan Microsoft tepercaya untuk mengabaikan aturan jaringan. Layanan ini kemudian akan menggunakan autentikasi yang kuat untuk mengakses akun penyimpanan.	Audit, Tolak, Dinonaktifkan	1.0.0
Ekstensi Konfigurasi Tamu komputer virtual harus diterapkan dengan identitas terkelola yang ditetapkan sistem	Ekstensi Konfigurasi Tamu memerlukan identitas terkelola yang ditetapkan sistem. Komputer virtual Azure dalam cakupan kebijakan ini tidak akan mematuhi kebijakan jika ekstensi Konfigurasi Tamu diinstal tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Pelajari lebih lanjut di https://aka.ms/gcpol	AuditIfNotExists, Dinonaktifkan	1.0.1
Mesin Windows harus memenuhi persyaratan dasar keamanan komputasi Azure	Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika mesin tidak dikonfigurasi dengan benar untuk salah satu rekomendasi di dasar keamanan komputasi Azure.	AuditIfNotExists, Dinonaktifkan	2.0.0

Mitigasi Risiko

Aktivitas mitigasi risiko

ID: SOC 2 Tipe 2 CC9.1 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Menentukan kebutuhan perlindungan informasi	CMA_C1750 - Menentukan kebutuhan perlindungan informasi	Manual, Dinonaktifkan	1.1.0
Menetapkan strategi manajemen risiko	CMA_0258 - Menetapkan strategi manajemen risiko	Manual, Dinonaktifkan	1.1.0
Melakukan penilaian risiko	CMA_0388 - Melakukan penilaian risiko	Manual, Dinonaktifkan	1.1.0

Manajemen risiko vendor dan mitra bisnis

ID: SOC 2 Tipe 2 CC9.2 Kepemilikan: Bersama

Kriteria tambahan untuk privasi

Pemberitahuan privasi

ID: SOC 2 Tipe 2 P1.1 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Mendokumen dan mendistribusikan kebijakan privasi	CMA_0188 - Mendokumen dan mendistribusikan kebijakan privasi	Manual, Dinonaktifkan	1.1.0
Pastikan informasi program privasi tersedia untuk umum	CMA_C1867 - Pastikan informasi program privasi tersedia untuk umum	Manual, Dinonaktifkan	1.1.0
Menerapkan metode pengiriman pemberitahuan privasi	CMA_0324 - Menerapkan metode pengiriman pemberitahuan privasi	Manual, Dinonaktifkan	1.1.0
Berikan pemberitahuan privasi	CMA_0414 - Memberikan pemberitahuan privasi	Manual, Dinonaktifkan	1.1.0
Memberikan pemberitahuan privasi kepada publik dan kepada individu	CMA_C1861 - Memberikan pemberitahuan privasi kepada publik dan kepada individu	Manual, Dinonaktifkan	1.1.0

ID: SOC 2 Tipe 2 P2.1 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Penerimaan personel dokumen persyaratan privasi	CMA_0193 - Penerimaan personel dokumen persyaratan privasi	Manual, Dinonaktifkan	1.1.0
Menerapkan metode pengiriman pemberitahuan privasi	CMA_0324 - Menerapkan metode pengiriman pemberitahuan privasi	Manual, Dinonaktifkan	1.1.0
Mendapatkan persetujuan sebelum pengumpulan atau pemrosesan data pribadi	CMA_0385 - Dapatkan persetujuan sebelum pengumpulan atau pemrosesan data pribadi	Manual, Dinonaktifkan	1.1.0
Berikan pemberitahuan privasi	CMA_0414 - Memberikan pemberitahuan privasi	Manual, Dinonaktifkan	1.1.0

Pengumpulan informasi pribadi yang konsisten

ID: SOC 2 Tipe 2 P3.1 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Menentukan otoritas hukum untuk mengumpulkan PII	CMA_C1800 - Menentukan otoritas hukum untuk mengumpulkan PII	Manual, Dinonaktifkan	1.1.0
Proses dokumen untuk memastikan integritas PII	CMA_C1827 - Proses dokumen untuk memastikan integritas PII	Manual, Dinonaktifkan	1.1.0
Mengevaluasi dan meninjau holding PII secara teratur	CMA_C1832 - Mengevaluasi dan meninjau holding PII secara teratur	Manual, Dinonaktifkan	1.1.0
Mendapatkan persetujuan sebelum pengumpulan atau pemrosesan data pribadi	CMA_0385 - Dapatkan persetujuan sebelum pengumpulan atau pemrosesan data pribadi	Manual, Dinonaktifkan	1.1.0

ID: SOC 2 Tipe 2 P3.2 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Mengumpulkan PII langsung dari individu	CMA_C1822 - Kumpulkan PII langsung dari individu	Manual, Dinonaktifkan	1.1.0
Mendapatkan persetujuan sebelum pengumpulan atau pemrosesan data pribadi	CMA_0385 - Dapatkan persetujuan sebelum pengumpulan atau pemrosesan data pribadi	Manual, Dinonaktifkan	1.1.0

Penggunaan informasi pribadi

ID: SOC 2 Tipe 2 P4.1 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Dokumentasikan dasar hukum untuk memproses informasi pribadi	CMA_0206 - Dokumentasikan dasar hukum untuk memproses informasi pribadi	Manual, Dinonaktifkan	1.1.0
Menerapkan metode pengiriman pemberitahuan privasi	CMA_0324 - Menerapkan metode pengiriman pemberitahuan privasi	Manual, Dinonaktifkan	1.1.0
Mendapatkan persetujuan sebelum pengumpulan atau pemrosesan data pribadi	CMA_0385 - Dapatkan persetujuan sebelum pengumpulan atau pemrosesan data pribadi	Manual, Dinonaktifkan	1.1.0
Berikan pemberitahuan privasi	CMA_0414 - Memberikan pemberitahuan privasi	Manual, Dinonaktifkan	1.1.0
Membatasi komunikasi	CMA_0449 - Membatasi komunikasi	Manual, Dinonaktifkan	1.1.0

Retensi informasi pribadi

ID: SOC 2 Tipe 2 P4.2 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Mematuhi periode retensi yang ditentukan	CMA_0004 - Mematuhi periode retensi yang ditentukan	Manual, Dinonaktifkan	1.1.0
Proses dokumen untuk memastikan integritas PII	CMA_C1827 - Proses dokumen untuk memastikan integritas PII	Manual, Dinonaktifkan	1.1.0

Pembuangan informasi pribadi

ID: SOC 2 Tipe 2 P4.3 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Melakukan tinjauan disposisi	CMA_0391 - Melakukan tinjauan disposisi	Manual, Dinonaktifkan	1.1.0
Verifikasi bahwa data pribadi dihapus di akhir pemrosesan	CMA_0540 - Verifikasi bahwa data pribadi dihapus di akhir pemrosesan	Manual, Dinonaktifkan	1.1.0

Akses informasi pribadi

ID: SOC 2 Tipe 2 P5.1 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Menerapkan metode untuk permintaan konsumen	CMA_0319 - Menerapkan metode untuk permintaan konsumen	Manual, Dinonaktifkan	1.1.0
Menerbitkan aturan dan peraturan yang mengakses rekaman Undang-Undang Privasi	CMA_C1847 - Menerbitkan aturan dan peraturan yang mengakses rekaman Undang-Undang Privasi	Manual, Dinonaktifkan	1.1.0

Koreksi informasi pribadi

ID: SOC 2 Tipe 2 P5.2 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Menanggapi permintaan rektifikasi	CMA_0442 - Menanggapi permintaan rektifikasi	Manual, Dinonaktifkan	1.1.0

Pengungkapan pihak ketiga informasi pribadi

ID: SOC 2 Tipe 2 P6.1 Kepemilikan: Bersama

Pengungkapan resmi catatan informasi pribadi

ID: SOC 2 Tipe 2 P6.2 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Menjaga akuntansi informasi yang akurat	CMA_C1818 - Menjaga akuntansi informasi yang akurat	Manual, Dinonaktifkan	1.1.0

Pengungkapan catatan informasi pribadi yang tidak sah

ID: SOC 2 Tipe 2 P6.3 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Menjaga akuntansi informasi yang akurat	CMA_C1818 - Menjaga akuntansi informasi yang akurat	Manual, Dinonaktifkan	1.1.0

Perjanjian pihak ketiga

ID: SOC 2 Tipe 2 P6.4 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Menentukan tugas prosesor	CMA_0127 - Menentukan tugas prosesor	Manual, Dinonaktifkan	1.1.0

Pemberitahuan pengungkapan pihak ketiga yang tidak sah

ID: SOC 2 Tipe 2 P6.5 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Menentukan kewajiban kontrak pemasok	CMA_0140 - Menentukan kewajiban kontrak pemasok	Manual, Dinonaktifkan	1.1.0
Kriteria penerimaan kontrak akuisisi dokumen	CMA_0187 - Kriteria penerimaan kontrak akuisisi dokumen	Manual, Dinonaktifkan	1.1.0
Perlindungan dokumen data pribadi dalam kontrak akuisisi	CMA_0194 - Perlindungan dokumen data pribadi dalam kontrak akuisisi	Manual, Dinonaktifkan	1.1.0
Perlindungan dokumen informasi keamanan dalam kontrak akuisisi	CMA_0195 - Perlindungan dokumen informasi keamanan dalam kontrak akuisisi	Manual, Dinonaktifkan	1.1.0
Persyaratan dokumen untuk penggunaan data bersama dalam kontrak	CMA_0197 - Persyaratan dokumen untuk penggunaan data bersama dalam kontrak	Manual, Dinonaktifkan	1.1.0
Persyaratan jaminan keamanan dokumen dalam kontrak akuisisi	CMA_0199 - Persyaratan jaminan keamanan dokumen dalam kontrak akuisisi	Manual, Dinonaktifkan	1.1.0
Persyaratan dokumentasi keamanan dokumen dalam kontrak akuisisi	CMA_0200 - Persyaratan dokumentasi keamanan dokumen dalam kontrak akuisisi	Manual, Dinonaktifkan	1.1.0
Persyaratan fungsional keamanan dokumen dalam kontrak akuisisi	CMA_0201 - Persyaratan fungsional keamanan dokumen dalam kontrak akuisisi	Manual, Dinonaktifkan	1.1.0
Persyaratan kekuatan keamanan dokumen dalam kontrak akuisisi	CMA_0203 - Persyaratan kekuatan keamanan dokumen dalam kontrak akuisisi	Manual, Dinonaktifkan	1.1.0
Dokumentasikan lingkungan sistem informasi dalam kontrak akuisisi	CMA_0205 - Dokumentasikan lingkungan sistem informasi dalam kontrak akuisisi	Manual, Dinonaktifkan	1.1.0
Mendokumentasikan perlindungan data pemegang kartu dalam kontrak pihak ketiga	CMA_0207 - Mendokumentasikan perlindungan data pemegang kartu dalam kontrak pihak ketiga	Manual, Dinonaktifkan	1.1.0
Keamanan informasi dan perlindungan data pribadi	CMA_0332 - Keamanan informasi dan perlindungan data pribadi	Manual, Dinonaktifkan	1.1.0

Pemberitahuan insiden privasi

ID: SOC 2 Tipe 2 P6.6 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Mengembangkan rencana respons insiden	CMA_0145 - Mengembangkan rencana respons insiden	Manual, Dinonaktifkan	1.1.0
Keamanan informasi dan perlindungan data pribadi	CMA_0332 - Keamanan informasi dan perlindungan data pribadi	Manual, Dinonaktifkan	1.1.0

Akuntansi pengungkapan informasi pribadi

ID: SOC 2 Tipe 2 P6.7 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Menerapkan metode pengiriman pemberitahuan privasi	CMA_0324 - Menerapkan metode pengiriman pemberitahuan privasi	Manual, Dinonaktifkan	1.1.0
Menjaga akuntansi informasi yang akurat	CMA_C1818 - Menjaga akuntansi informasi yang akurat	Manual, Dinonaktifkan	1.1.0
Membuat akuntansi pengungkapan tersedia berdasarkan permintaan	CMA_C1820 - Membuat akuntansi pengungkapan tersedia berdasarkan permintaan	Manual, Dinonaktifkan	1.1.0
Berikan pemberitahuan privasi	CMA_0414 - Memberikan pemberitahuan privasi	Manual, Dinonaktifkan	1.1.0
Membatasi komunikasi	CMA_0449 - Membatasi komunikasi	Manual, Dinonaktifkan	1.1.0

Kualitas informasi pribadi

ID: SOC 2 Tipe 2 P7.1 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Mengonfirmasi kualitas dan integritas PII	CMA_C1821 - Mengonfirmasi kualitas dan integritas PII	Manual, Dinonaktifkan	1.1.0
Panduan masalah untuk memastikan kualitas dan integritas data	CMA_C1824 - Panduan masalah untuk memastikan kualitas dan integritas data	Manual, Dinonaktifkan	1.1.0
Memverifikasi PII yang tidak akurat atau kedaluarsa	CMA_C1823 - Memverifikasi PII yang tidak akurat atau kedaluarsa	Manual, Dinonaktifkan	1.1.0

Manajemen keluhan privasi dan manajemen kepatuhan

ID: SOC 2 Tipe 2 P8.1 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Mendokumentasikan dan menerapkan prosedur keluhan privasi	CMA_0189 - Dokumen dan terapkan prosedur keluhan privasi	Manual, Dinonaktifkan	1.1.0
Mengevaluasi dan meninjau holding PII secara teratur	CMA_C1832 - Mengevaluasi dan meninjau holding PII secara teratur	Manual, Dinonaktifkan	1.1.0
Keamanan informasi dan perlindungan data pribadi	CMA_0332 - Keamanan informasi dan perlindungan data pribadi	Manual, Dinonaktifkan	1.1.0
Menanggapi keluhan, kekhawatiran, atau pertanyaan tepat waktu	CMA_C1853 - Menanggapi keluhan, kekhawatiran, atau pertanyaan tepat waktu	Manual, Dinonaktifkan	1.1.0
Melatih staf tentang berbagi PII dan konsekuensinya	CMA_C1871 - Melatih staf tentang berbagi PII dan konsekuensinya	Manual, Dinonaktifkan	1.1.0

Kriteria tambahan untuk memproses integritas

Definisi pemrosesan data

ID: SOC 2 Tipe 2 PI1.1 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Menerapkan metode pengiriman pemberitahuan privasi	CMA_0324 - Menerapkan metode pengiriman pemberitahuan privasi	Manual, Dinonaktifkan	1.1.0
Berikan pemberitahuan privasi	CMA_0414 - Memberikan pemberitahuan privasi	Manual, Dinonaktifkan	1.1.0
Membatasi komunikasi	CMA_0449 - Membatasi komunikasi	Manual, Dinonaktifkan	1.1.0

Input sistem atas kelengkapan dan akurasi

ID: SOC 2 Tipe 2 PI1.2 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Melakukan validasi input informasi	CMA_C1723 - Melakukan validasi input informasi	Manual, Dinonaktifkan	1.1.0

Pemrosesan sistem

ID: SOC 2 Tipe 2 PI1.3 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Mengontrol akses fisik	CMA_0081 - Mengontrol akses fisik	Manual, Dinonaktifkan	1.1.0
Hasilkan pesan kesalahan	CMA_C1724 - Menghasilkan pesan kesalahan	Manual, Dinonaktifkan	1.1.0
Mengelola input, output, pemrosesan, dan penyimpanan data	CMA_0369 - Mengelola input, output, pemrosesan, dan penyimpanan data	Manual, Dinonaktifkan	1.1.0
Melakukan validasi input informasi	CMA_C1723 - Melakukan validasi input informasi	Manual, Dinonaktifkan	1.1.0
Meninjau aktivitas dan analitik label	CMA_0474 - Meninjau aktivitas dan analitik label	Manual, Dinonaktifkan	1.1.0

Output sistem lengkap, akurat, dan tepat waktu

ID: SOC 2 Tipe 2 PI1.4 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Mengontrol akses fisik	CMA_0081 - Mengontrol akses fisik	Manual, Dinonaktifkan	1.1.0
Mengelola input, output, pemrosesan, dan penyimpanan data	CMA_0369 - Mengelola input, output, pemrosesan, dan penyimpanan data	Manual, Dinonaktifkan	1.1.0
Meninjau aktivitas dan analitik label	CMA_0474 - Meninjau aktivitas dan analitik label	Manual, Dinonaktifkan	1.1.0

Menyimpan input dan output sepenuhnya, akurat, dan tepat waktu

ID: SOC 2 Tipe 2 PI1.5 Kepemilikan: Bersama

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Azure Backup harus diaktifkan untuk Virtual Machines	Pastikan perlindungan Virtual Machines Azure Anda dengan mengaktifkan Azure Backup. Azure Backup adalah solusi perlindungan data yang aman dan hemat biaya untuk Azure.	AuditIfNotExists, Dinonaktifkan	3.0.0
Mengontrol akses fisik	CMA_0081 - Mengontrol akses fisik	Manual, Dinonaktifkan	1.1.0
Menetapkan kebijakan dan prosedur pencadangan	CMA_0268 - Menetapkan kebijakan dan prosedur pencadangan	Manual, Dinonaktifkan	1.1.0
Cadangan geo-redundan harus diaktifkan pada Azure Database for MariaDB	Azure Database for MariaDB memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server.	Audit, Dinonaktifkan	1.0.1
Pencadangan geo-redundan harus diaktifkan untuk Azure Database for MySQL	Azure Database for MySQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server.	Audit, Dinonaktifkan	1.0.1
Pencadangan geo-redundan harus diaktifkan untuk Azure Database for PostgreSQL	Azure Database for PostgreSQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server.	Audit, Dinonaktifkan	1.0.1
Menerapkan kontrol untuk mengamankan semua media	CMA_0314 - Menerapkan kontrol untuk mengamankan semua media	Manual, Dinonaktifkan	1.1.0
Mengelola input, output, pemrosesan, dan penyimpanan data	CMA_0369 - Mengelola input, output, pemrosesan, dan penyimpanan data	Manual, Dinonaktifkan	1.1.0
Meninjau aktivitas dan analitik label	CMA_0474 - Meninjau aktivitas dan analitik label	Manual, Dinonaktifkan	1.1.0
Menyimpan informasi cadangan secara terpisah	CMA_C1293 - Menyimpan informasi cadangan secara terpisah	Manual, Dinonaktifkan	1.1.0

Langkah berikutnya

Artikel tambahan tentang Azure Policy:

Ikhtisar Kepatuhan terhadap Peraturan.
Lihat struktur definisi inisiatif.
Tinjau contoh lain di Contoh Azure Policy.
Tinjau Memahami efek kebijakan.
Pelajari cara memulihkan sumber daya yang tidak sesuai syarat.

Nama _{(portal Microsoft Azure)}	Deskripsi	Efek	Versi _(GitHub)
Menilai peristiwa keamanan informasi	CMA_0013 - Menilai peristiwa keamanan informasi	Manual, Dinonaktifkan	1.1.0
Mengoordinasikan rencana kontingensi dengan rencana terkait	CMA_0086 - Mengoordinasikan rencana kontingensi dengan rencana terkait	Manual, Dinonaktifkan	1.1.0
Mengembangkan rencana respons insiden	CMA_0145 - Mengembangkan rencana respons insiden	Manual, Dinonaktifkan	1.1.0
Mengembangkan perlindungan keamanan	CMA_0161 - Mengembangkan perlindungan keamanan	Manual, Dinonaktifkan	1.1.0
Pemberitahuan email untuk lansiran tingkat keparahan tinggi harus diaktifkan	Untuk memastikan orang yang relevan di organisasi Anda diberi tahu ketika terdapat potensi pelanggaran keamanan di salah satu langganan Anda, aktifkan pemberitahuan email untuk peringatan tingkat keparahan tinggi di Security Center.	AuditIfNotExists, Dinonaktifkan	1.1.0
Pemberitahuan email kepada pemilik langganan untuk lansiran tingkat keparahan tinggi harus diaktifkan	Untuk memastikan pemilik langganan Anda diberitahu ketika ada potensi pelanggaran keamanan di langganan mereka, atur pemberitahuan email ke pemilik langganan untuk peringatan tingkat keparahan tinggi di Security Center.	AuditIfNotExists, Dinonaktifkan	2.1.0
Aktifkan perlindungan jaringan	CMA_0238 - Aktifkan perlindungan jaringan	Manual, Dinonaktifkan	1.1.0
Memberantas informasi yang terkontaminasi	CMA_0253 - Memberantas informasi yang terkontaminasi	Manual, Dinonaktifkan	1.1.0
Jalankan tindakan sebagai respons terhadap tumpahan informasi	CMA_0281 - Jalankan tindakan sebagai respons terhadap tumpahan informasi	Manual, Dinonaktifkan	1.1.0
Mengidentifikasi kelas Insiden dan Tindakan yang diambil	CMA_C1365 - Mengidentifikasi kelas Insiden dan Tindakan yang diambil	Manual, Dinonaktifkan	1.1.0
Menerapkan penanganan insiden	CMA_0318 - Menerapkan penanganan insiden	Manual, Dinonaktifkan	1.1.0
Menyertakan konfigurasi ulang dinamis sumber daya yang disebarkan pelanggan	CMA_C1364 - Menyertakan konfigurasi ulang dinamis sumber daya yang disebarkan pelanggan	Manual, Dinonaktifkan	1.1.0
Mempertahankan rencana respons insiden	CMA_0352 - Mempertahankan rencana respons insiden	Manual, Dinonaktifkan	1.1.0
Network Watcher harus diaktifkan	Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan ujung ke ujung. Diperlukan untuk memiliki grup sumber daya pengawas jaringan untuk dibuat di setiap wilayah tempat jaringan virtual berada. Pemberitahuan diaktifkan jika grup sumber daya pengawas jaringan tidak tersedia di wilayah tertentu.	AuditIfNotExists, Dinonaktifkan	3.0.0
Melakukan analisis tren pada ancaman	CMA_0389 - Melakukan analisis tren terhadap ancaman	Manual, Dinonaktifkan	1.1.0
Langganan harus memiliki alamat email kontak untuk masalah keamanan	Untuk memastikan orang yang relevan di organisasi Anda diberi tahu saat ada potensi pelanggaran keamanan di salah satu langganan Anda, atur kontak keamanan untuk menerima pemberitahuan email dari Security Center.	AuditIfNotExists, Dinonaktifkan	1.0.1
Menampilkan dan menyelidiki pengguna terbatas	CMA_0545 - Menampilkan dan menyelidiki pengguna terbatas	Manual, Dinonaktifkan	1.1.0