Garis besar keamanan Azure untuk Azure Cache for Redis

Garis besar keamanan ini menerapkan panduan dari Azure Security Benchmark versi 1.0 ke Azure Cache for Redis. Azure Security Benchmark memberikan rekomendasi tentang cara Anda mengamankan solusi cloud Anda di Azure. Konten dikelompokkan berdasarkan kontrol keamanan yang ditentukan oleh Azure Security Benchmark dan panduan terkait yang berlaku untuk Azure Cache for Redis.

Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Pertahanan Microsoft untuk Cloud. Azure Policy definisi akan tercantum di bagian Kepatuhan Terhadap Peraturan di dasbor Pertahanan Microsoft untuk Cloud.

Saat bagian memiliki Definisi Azure Policy yang relevan, bagian tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Azure Security Benchmark. Beberapa rekomendasi mungkin memerlukan paket Pertahanan Microsoft berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol yang tidak berlaku untuk Azure Cache for Redis, atau yang menjadi tanggung jawab Microsoft, telah dikecualikan. Untuk melihat bagaimana Azure Cache for Redis memetakan sepenuhnya ke Azure Security Benchmark, lihat file pemetaan garis besar keamanan Azure Cache for Redis secara lengkap.

Keamanan Jaringan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Jaringan.

1.1: Melindungi sumber daya Azure dalam jaringan virtual

Panduan: Terapkan instans Azure Cache for Redis Anda dalam jaringan virtual (VNet). VNet adalah jaringan privat di cloud. Ketika instans Azure Cache for Redis dikonfigurasi dengan VNet, instans tersebut tidak dapat diatasi secara publik dan hanya dapat diakses dari mesin dan aplikasi virtual dalam VNet.

Anda juga dapat menentukan aturan firewall dengan rentang alamat IP awal dan akhir. Saat aturan firewall dikonfigurasi, hanya koneksi klien dari rentang alamat IP yang ditentukan yang dapat terhubung ke cache.

Tanggung Jawab: Pelanggan

1.2: Memantau dan mencatat konfigurasi dan lalu lintas jaringan virtual, subnet, dan antarmuka jaringan

Panduan: Ketika Virtual Machines disebarkan dalam jaringan virtual yang sama dengan instans Azure Cache for Redis, Anda dapat menggunakan grup keamanan jaringan (network security group, NSG) untuk mengurangi risiko penyelundupan data. Aktifkan log alur NSG dan kirim log ke Akun Azure Storage untuk audit lalu lintas. Anda juga dapat mengirim log alur NSG ke ruang kerja Log Analytics dan menggunakan Traffic Analytics untuk memberikan wawasan tentang arus lalu lintas di cloud Azure Anda. Beberapa keunggulan Traffic Analytics adalah kemampuannya untuk memvisualisasikan aktivitas jaringan dan mengidentifikasi hot spot, mengidentifikasi ancaman keamanan, memahami pola alur lalu lintas, dan menentukan kesalahan konfigurasi jaringan.

Tanggung Jawab: Pelanggan

1.3: Melindungi aplikasi web penting

Panduan: Tidak dapat diterapkan; rekomendasi ini ditujukan untuk aplikasi web yang berjalan pada Azure App Service atau sumber daya komputasi.

Tanggung Jawab: Pelanggan

1.4: Menolak komunikasi dengan alamat IP yang diketahui berbahaya

Panduan: Penyebaran Azure Virtual Network (VNet) menyediakan keamanan dan isolasi yang ditingkatkan untuk Azure Cache for Redis Anda, serta subnet, kebijakan kontrol akses, dan fitur lainnya untuk membatasi akses lebih lanjut. Saat disebarkan di VNet, Azure Cache for Redis tidak dapat dialamatkan secara publik dan hanya dapat diakses dari komputer virtual dan aplikasi dalam VNet.

Aktifkan DDoS Protection Standard pada Vnet yang terkait dengan instans Azure Cache for Redis Anda untuk melindungi dari serangan denial-of-service (DDoS) yang terdistribusi. Gunakan Inteligensi Ancaman Terintegrasi Microsoft Defender untuk Cloud untuk menolak komunikasi dengan alamat IP Internet berbahaya atau tidak digunakan yang diketahui.

Tanggung Jawab: Pelanggan

1.5: Merekam paket jaringan

Panduan: Ketika komputer virtual disebarkan dalam jaringan virtual yang sama dengan instans Azure Cache for Redis, Anda dapat menggunakan kelompok keamanan jaringan (network security group, NSG) untuk mengurangi risiko penyelundupan data. Aktifkan log alur NSG dan kirim log ke Akun Azure Storage untuk audit lalu lintas. Anda juga dapat mengirim log alur NSG ke ruang kerja Log Analytics dan menggunakan Traffic Analytics untuk memberikan wawasan tentang arus lalu lintas di cloud Azure Anda. Beberapa keunggulan Traffic Analytics adalah kemampuannya untuk memvisualisasikan aktivitas jaringan dan mengidentifikasi hot spot, mengidentifikasi ancaman keamanan, memahami pola alur lalu lintas, dan menentukan kesalahan konfigurasi jaringan.

Tanggung Jawab: Pelanggan

1.6: Menyebarkan sistem deteksi gangguan/pencegahan gangguan (IDS/IPS) berbasis jaringan

Panduan: Saat menggunakan Azure Cache for Redis dengan aplikasi web Anda yang berjalan di Azure App Service atau instans komputasi, sebarkan semua sumber daya dalam Azure Virtual Network (VNet) dan amankan dengan Azure Web Application Firewall (WAF) di Web Application Gateway. Konfigurasikan WAF untuk dijalankan dalam "Mode Pencegahan". Mode Pencegahan memblokir gangguan dan serangan yang dideteksi aturan. Penyerang menerima pengecualian "403 akses tidak sah", dan koneksi ditutup. Mode pencegahan mencatat serangan semacam itu di log WAF.

Atau, Anda dapat memilih penawaran dari Marketplace Azure yang mendukung fungsionalitas IDS/IPS dengan kemampuan deteksi anomali dan/atau pemeriksaan payload.

Tanggung Jawab: Pelanggan

1.7: Mengelola lalu lintas ke aplikasi web

Panduan: Tidak dapat diterapkan; rekomendasi ini ditujukan untuk aplikasi web yang berjalan pada Azure App Service atau sumber daya komputasi.

Tanggung Jawab: Pelanggan

1.8: Memperkecil kompleksitas dan biaya tambahan administrasi pada aturan keamanan jaringan

Panduan: Gunakan tag layanan jaringan virtual untuk menentukan kontrol akses jaringan pada kelompok keamanan jaringan (NSG) atau Azure Firewall. Anda dapat menggunakan tag layanan sebagai pengganti alamat IP tertentu saat membuat aturan keamanan. Dengan menentukan nama tag layanan (misalnya, ApiManagement) di bidang sumber atau tujuan yang sesuai dari suatu aturan, Anda dapat mengizinkan atau menolak lalu lintas untuk layanan yang sesuai. Microsoft mengelola awalan alamat yang dicakup oleh tag layanan dan secara otomatis memperbarui tag layanan saat alamat berubah.

Anda juga dapat menggunakan kelompok keamanan aplikasi (ASG) untuk membantu menyederhanakan konfigurasi keamanan yang kompleks. ASG memungkinkan Anda mengonfigurasi keamanan jaringan sebagai perpanjangan alami dari struktur aplikasi, mengizinkan Anda mengelompokkan komputer virtual dan menentukan kebijakan keamanan jaringan berdasarkan kelompok tersebut.

Tanggung Jawab: Pelanggan

1.9: Mempertahankan konfigurasi keamanan standar untuk perangkat jaringan

Panduan: Tentukan dan terapkan konfigurasi keamanan standar untuk sumber daya jaringan yang berkaitan dengan instans Azure Cache for Redis Anda dengan Azure Policy. Gunakan alias Azure Policy di namespace layanan "Microsoft.Cache" dan "Microsoft.Network" untuk membuat kebijakan kustom untuk mengaudit atau menerapkan konfigurasi jaringan instans Azure Cache for Redis Anda. Anda juga dapat menggunakan definisi kebijakan bawaan seperti:

  • Hanya koneksi aman ke Azure Cache for Redis Anda yang harus diaktifkan

  • Standar Azure DDoS Protection harus diaktifkan

Anda juga dapat menggunakan Azure Blueprints untuk menyederhanakan penyebaran Azure skala besar dengan mengemas artefak lingkungan utama, seperti templat Azure Resource Manager (ARM), kontrol akses berbasis peran Azure (Azure RBAC), dan kebijakan, dalam definisi cetak biru tunggal. Anda dapat menerapkan cetak biru ke langganan dan lingkungan baru, serta menyempurnakan kontrol dan manajemen melalui penerapan versi.

Tanggung Jawab: Pelanggan

1.10: Mendokumentasikan aturan konfigurasi lalu lintas

Panduan: Gunakan tag untuk sumber daya jaringan yang terkait dengan penyebaran Azure Cache for Redis Anda untuk mengaturnya secara logika ke dalam taksonomi.

Tanggung Jawab: Pelanggan

1.11: Menggunakan alat otomatis untuk memantau konfigurasi sumber daya jaringan dan mendeteksi perubahan

Panduan: Gunakan Log Aktivitas Azure untuk memantau konfigurasi sumber daya jaringan dan mendeteksi perubahan untuk sumber daya jaringan yang berkaitan dengan instans Azure Cache for Redis Anda. Buat pemberitahuan dalam Azure Monitor yang akan memicu saat perubahan pada sumber daya jaringan penting terjadi.

Tanggung Jawab: Pelanggan

Pengelogan dan Pemantauan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pengelogan dan Pemantauan.

2.2: Mengonfigurasi manajemen log keamanan pusat

Panduan: Aktifkan pengaturan diagnostik Log Aktivitas Azure dan kirim log ke ruang kerja Log Analytics, hub peristiwa Azure, atau akun penyimpanan Azure untuk arsip. Log aktivitas memberikan wawasan tentang operasi yang dilakukan pada instans Azure Cache for Redis Anda di tingkat sarana kontrol. Dengan menggunakan data Log Aktivitas Azure, Anda dapat menentukan "apa, siapa, dan kapan" untuk setiap operasi tulis (PUT, POST, DELETE) yang dilakukan pada tingkat sarana kontrol untuk instans Azure Cache for Redis Anda.

Tanggung Jawab: Pelanggan

2.3: Mengaktifkan pengelogan audit untuk sumber daya Azure

Panduan: Aktifkan pengaturan diagnostik Log Aktivitas Azure dan kirim log ke ruang kerja Log Analytics, hub peristiwa Azure, atau akun penyimpanan Azure untuk arsip. Log aktivitas memberikan wawasan tentang operasi yang dilakukan pada instans Azure Cache for Redis Anda di tingkat sarana kontrol. Dengan menggunakan data Log Aktivitas Azure, Anda dapat menentukan "apa, siapa, dan kapan" untuk setiap operasi tulis (PUT, POST, DELETE) yang dilakukan pada tingkat sarana kontrol untuk instans Azure Cache for Redis Anda.

Meskipun metrik tersedia dengan mengaktifkan Pengaturan Diagnostik, pengelogan audit di sarana data belum tersedia untuk Azure Cache for Redis.

Tanggung Jawab: Pelanggan

2.5: mengkonfigurasikan retensi penyimpanan log keamanan

Panduan: Di Azure Monitor, set periode retensi log untuk ruang kerja Log Analytics yang berkaitan dengan instans Azure Cache for Redis Anda sesuai dengan peraturan kepatuhan organisasi Anda.

Perhatikan bahwa pengelogan audit di sarana data belum tersedia untuk Azure Cache for Redis.

Tanggung Jawab: Pelanggan

2.6: Memantau dan meninjau log

Panduan: Aktifkan pengaturan diagnostik Log Aktivitas Azure dan kirim log ke ruang kerja Log Analytics. Lakukan kueri di Log Analytics untuk mencari istilah, mengidentifikasi tren, menganalisis pola, dan memberikan banyak wawasan lainnya berdasarkan Data Log Aktivitas yang mungkin telah dikumpulkan untuk Azure Cache for Redis.

Perhatikan bahwa pengelogan audit di sarana data belum tersedia untuk Azure Cache for Redis.

Tanggung Jawab: Pelanggan

2.7: Mengaktifkan pemberitahuan untuk aktivitas anomali

Panduan: Anda dapat mengonfigurasikan untuk menerima pemberitahuan berdasarkan metrik dan log aktivitas yang terkait dengan instans Azure Cache for Redis Anda. Azure Monitor memungkinkan Anda mengonfigurasikan pemberitahuan untuk mengirim pemberitahuan email, memanggil webhook, atau memanggil Aplikasi Logika Azure.

Meskipun metrik tersedia dengan mengaktifkan Pengaturan Diagnostik, pengelogan audit di sarana data belum tersedia untuk Azure Cache for Redis.

Tanggung Jawab: Pelanggan

Identitas dan Layanan Kontrol Akses

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Identitas dan Kontrol Akses.

3.1: Memelihara inventaris akun administratif

Panduan: Azure Active Directory (Azure AD) memiliki peran bawaan yang harus ditetapkan secara eksplisit dan dapat dikueri. Gunakan modul Azure Active Directory PowerShell untuk melakukan kueri ad hoc untuk menemukan akun yang merupakan anggota grup administratif.

Tanggung Jawab: Pelanggan

3.2: Mengubah kata sandi default jika memungkinkan

Panduan: Akses sarana kontrol ke Azure Cache for Redis dikontrol melalui Azure Active Directory (Azure AD). Azure Active Directory tidak memiliki konsep kata sandi default.

Akses sarana data ke Azure Cache for Redis dikontrol melalui kunci akses. Kunci ini digunakan oleh klien yang terhubung ke cache Anda dan dapat diregenerasi kapan saja.

Anda tidak disarankan untuk membuat kata sandi default ke dalam aplikasi Anda. Sebagai gantinya, Anda dapat menyimpan kata sandi di Azure Key Vault lalu menggunakan Azure AD untuk mengambilnya.

Tanggung Jawab: Dibagikan

3.3: Menggunakan akun administratif khusus

Panduan: Buat prosedur operasi standar seputar penggunaan akun administratif khusus. Gunakan Manajemen Akses dan Identitas Microsoft Defender untuk Cloud untuk memantau jumlah akun administratif.

Selain itu, untuk membantu Anda melacak akun administratif khusus, Anda dapat menggunakan rekomendasi dari Microsoft Defender untuk Cloud atau Kebijakan Azure bawaan, seperti:

  • Harus ada lebih dari satu pemilik yang ditetapkan ke langganan Anda

  • Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda

  • Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda

Untuk informasi selengkapnya, lihat referensi berikut ini:

Tanggung Jawab: Pelanggan

3.4: Menggunakan akses menyeluruh (SSO) Azure Active Directory

Panduan: Azure Cache for Redis menggunakan kunci akses untuk mengautentikasi pengguna dan tidak mendukung akses menyeluruh (SSO) di tingkat sarana data. Akses ke sarana kontrol untuk Azure Cache for Redis tersedia melalui REST API dan mendukung SSO. Untuk mengautentikasi, atur header Otorisasi untuk permintaan Anda ke JSON Web Token yang Anda peroleh dari Azure Active Directory (Azure AD).

Tanggung Jawab: Pelanggan

3.5: Menggunakan autentikasi multifaktor untuk semua akses berbasis Azure Active Directory

Panduan: Mengaktifkan autentikasi multifaktor Azure Active Directory (Azure AD) dan ikuti rekomendasi Manajemen Akses dan Identitas Microsoft Defender untuk Cloud.

Tanggung Jawab: Pelanggan

3.6: Gunakan komputer khusus (Stasiun Kerja Akses Istimewa) untuk semua tugas administratif

Panduan: Gunakan stasiun kerja akses istimewa (PAW) dengan autentikasi multifaktor yang dikonfigurasi untuk masuk dan mengonfigurasi sumber daya Azure.

Tanggung Jawab: Pelanggan

3.7: Mencatat dan memberitahu aktivitas mencurigakan dari akun administratif

Panduan: Gunakan Azure Active Directory (Azure AD) Privileged Identity Management (PIM) untuk membuat log dan pemberitahuan ketika kegiatan yang mencurigakan atau tidak aman terjadi dalam lingkungan.

Selain itu, gunakan deteksi risiko Azure AD untuk menampilkan pemberitahuan dan laporan tentang perilaku pengguna yang berisiko.

Tanggung Jawab: Pelanggan

3.8: Mengelola sumber daya Azure hanya dari lokasi yang disetujui

Panduan: Konfigurasikan lokasi bernama di Akses Bersyarat Azure Active Directory (Azure AD) untuk mengizinkan akses hanya dari pengelompokan logika tertentu dari rentang alamat IP atau negara/wilayah.

Tanggung Jawab: Pelanggan

3.9: Menggunakan Azure Active Directory

Panduan: Gunakan Azure Active Directory (Azure AD) sebagai sistem autentikasi dan otorisasi pusat. Azure Active Directory melindungi data dengan menggunakan enkripsi yang kuat untuk data tidak aktif dan dalam transit. Azure Active Directory juga menyembunyikan, menyamarkan, dan menyimpan informasi masuk pengguna dengan aman.

Autentikasi Azure Active Directory tidak dapat digunakan untuk akses langsung ke Azure Cache for Redis, namun, info masuk Azure Active Directory dapat digunakan untuk administrasi di tingkat sarana kontrol (yaitu portal Microsoft Azure) untuk mengontrol kunci akses Azure Cache for Redis.

Tanggung Jawab: Pelanggan

3.10: Tinjau dan selaraskan akses pengguna secara teratur

Panduan: Azure Active Directory (Azure AD) menyediakan log untuk membantu Anda menemukan akun kedaluwarsa. Selain itu, gunakan Tinjauan Akses Identitas Azure untuk mengelola keanggotaan grup, akses ke aplikasi perusahaan, dan penetapan peran secara efisien. Akses pengguna dapat ditinjau secara berkala untuk memastikan hanya Pengguna yang tepat yang memiliki akses berkelanjutan.

Tanggung Jawab: Pelanggan

3.11: Memantau percobaan untuk mengakses info masuk yang dinonaktifkan

Panduan: Anda memiliki akses ke aktivitas masuk, audit, dan sumber log peristiwa risiko Azure Active Directory (Azure AD), yang memungkinkan Anda mengintegrasikan dengan Microsoft Sentinel atau SIEM pihak ketiga.

Anda dapat mempermudah proses ini dengan membuat pengaturan diagnostik untuk akun pengguna Azure AD dan mengirim log audit dan log rincian masuk ke ruang kerja Log Analytics. Anda dapat mengonfigurasikan pemberitahuan log yang diinginkan dalam Log Analytics.

Tanggung Jawab: Pelanggan

3.12: Memberitahukan pada penyimpangan perilaku masuk akun

Panduan: Untuk penyimpangan perilaku masuk akun pada sarana kontrol, gunakan fitur deteksi risiko dan Perlindungan Identitas Azure Active Directory (Azure AD) untuk mengonfigurasikan respons otomatis terhadap tindakan mencurigakan yang terdeteksi terkait dengan identitas pengguna. Anda juga dapat menyerap data ke Microsoft Sentinel untuk penyelidikan lebih lanjut.

Tanggung Jawab: Pelanggan

Perlindungan Data

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Perlindungan Data.

4.1: Mempertahankan inventaris Informasi yang sensitif

Panduan: Gunakan tag untuk membantu melacak sumber daya Azure yang menyimpan atau memproses informasi sensitif.

Tanggung Jawab: Pelanggan

4.2: Memisahkan sistem yang menyimpan atau memproses informasi sensitif

Panduan: Terapkan grup langganan dan/atau manajemen terpisah untuk pengembangan, pengujian, dan produksi. Instans Azure Cache for Redis harus dipisahkan oleh jaringan virtual/subnet dan diberi tag dengan tepat. Secara opsional, gunakan firewall Azure Cache for Redis untuk menentukan aturan sehingga hanya koneksi klien dari rentang alamat IP tertentu yang dapat tersambung ke cache.

Tanggung Jawab: Pelanggan

4.3: Memantau dan memblokir transfer informasi sensitif yang tidak sah

Panduan: Belum tersedia; identifikasi data, klasifikasi, dan fitur pencegahan kehilangan belum tersedia untuk Azure Cache for Redis.

Microsoft mengelola infrastruktur yang mendasari untuk Azure Cache for Redis dan telah menerapkan kontrol ketat untuk mencegah kehilangan atau pemaparan data pelanggan.

Tanggung Jawab: Bersama

4.4: Mengenkripsi semua informasi sensitif saat transit

Panduan: Azure Cache for Redis memerlukan komunikasi terenkripsi TLS secara default. TLS versi 1.0, 1.1 dan 1.2 saat ini didukung. Namun, TLS 1.0 dan 1.1 berada di jalur untuk penghentian di seluruh industri, jadi gunakan TLS 1.2 jika memungkinkan. Jika pustaka atau alat klien Anda tidak mendukung TLS, maka mengaktifkan koneksi yang tidak terenkripsi dapat dilakukan melalui portal Microsoft Azure atau API manajemen. Dalam kasus seperti itu di mana koneksi terenkripsi tidak mungkin, menempatkan cache dan aplikasi klien Anda ke dalam jaringan virtual akan direkomendasikan.

Tanggung Jawab: Dibagikan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan terkait kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Cache:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Hanya koneksi aman ke Azure Cache for Redis Anda yang harus diaktifkan Audit memungkinkan hanya koneksi melalui SSL ke Azure Cache for Redis. Penggunaan koneksi aman memastikan autentikasi antara server dan layanan serta melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking Audit, Tolak, Dinonaktifkan 1.0.0

4.5: Menggunakan alat penemuan aktif untuk mengidentifikasi data sensitif

Panduan: Fitur identifikasi, klasifikasi, dan pencegahan kehilangan data belum tersedia untuk Azure Cache for Redis. Tandai instans yang mengandung informasi sensitif seperti itu dan terapkan solusi pihak ketiga jika diperlukan untuk tujuan kepatuhan.

Untuk platform yang mendasarinya yang dikelola oleh Microsoft, Microsoft memperlakukan semua konten pelanggan sebagai hal yang sensitif dan berusaha keras untuk melindungi pelanggan dari kehilangan dan paparan data. Untuk memastikan keamanan data pelanggan dalam Azure, Microsoft telah menerapkan dan memelihara serangkaian kontrol dan kemampuan perlindungan data yang kuat.

Tanggung Jawab: Pelanggan

4.6: Menggunakan kontrol akses berbasis Peran untuk mengontrol akses ke sumber daya

Panduan: Gunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk mengontrol akses ke sarana kontrol Azure Cache for Redis (yaitu, portal Microsoft Azure).

Tanggung Jawab: Pelanggan

4.8: Mengeknripsi informasi sensitif yang tidak aktif

Panduan: Azure Cache for Redis menyimpan data pelanggan dalam memori, dan walaupun sangat dilindungi oleh banyak kontrol yang diterapkan oleh Microsoft, memori tidak dienkripsi secara default. Jika diperlukan oleh organisasi Anda, enkripsi konten sebelum menyimpan di Azure Cache for Redis.

Jika menggunakan fitur Azure Cache for Redis "Redis Data Persistence", data dikirim ke akun Azure Storage yang Anda miliki dan kelola. Anda dapat mengonfigurasi persistensi dari bilah "New Azure Cache for Redis" selama pembuatan cache dan pada menu Resource untuk cache premium yang ada.

Data di Azure Storage dienkripsi dan didekripsi secara transparan menggunakan enkripsi AES 256-bit, salah satu cipher blok terkuat yang tersedia, dan sesuai dengan FIPS 140-2. Enkripsi Azure Storage tidak dapat dinonaktifkan. Anda dapat mengandalkan kunci yang dikelola Microsoft untuk enkripsi akun penyimpanan, atau Anda dapat mengelola enkripsi dengan kunci Anda sendiri.

Tanggung Jawab: Dibagikan

4.9: Mencatat dan beritahukan tentang perubahan pada sumber daya Azure yang penting

Panduan: Gunakan Azure Monitor dengan log Aktivitas Azure untuk membuat pemberitahuan saat perubahan terjadi pada instans produksi dari Azure Cache for Redis dan sumber daya penting atau terkait lainnya.

Tanggung Jawab: Pelanggan

Manajemen Kerentanan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pengelolaan Kerentanan.

5.1: Menjalankan alat pemindaian kerentanan otomatis

Panduan: Mengikuti rekomendasi dari Microsoft Defender untuk Cloud mengenai pengamanan instans Azure Cache for Redis dan sumber daya terkait.

Microsoft melakukan manajemen kerentanan pada sistem dasar yang mendukung Azure Cache for Redis.

Tanggung Jawab: Dibagikan

Manajemen Inventaris dan Aset

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Inventaris dan Aset.

6.1: Menggunakan solusi penemuan aset otomatis

Panduan: Gunakan Azure Resource Graph untuk membuat kueri/menemukan semua sumber daya (seperti komputasi, penyimpanan, jaringan, port, dan protokol, dll.) dalam langganan Anda. Pastikan Anda memiliki izin (baca) yang sesuai di penyewa Anda dan hitung semua langganan Azure serta sumber daya dalam langganan Anda.

Meskipun sumber daya Azure klasik dapat ditemukan melalui Resource Graph, sebaiknya buat dan gunakan sumber daya Azure Resource Manager di masa mendatang.

Tanggung Jawab: Pelanggan

6.2: Memelihara metadata aset

Panduan: Terapkan tag ke sumber daya Azure yang memberikan metadata untuk mengaturnya secara logika ke dalam suatu taksonomi.

Tanggung Jawab: Pelanggan

6.3: Menghapus sumber daya Azure yang tidak sah

Panduan: Gunakan pemberian tag, grup manajemen, dan langganan terpisah, jika sesuai, untuk mengatur dan melacak instans Azure Cache for Redis dan sumber daya terkait. Sesuaikan inventaris secara teratur dan pastikan sumber daya yang tidak sah dihapus dari langganan tepat waktu.

Selain itu, gunakan Azure Policy untuk memberikan batasan pada jenis sumber daya yang dapat dibuat dalam langganan pelanggan menggunakan definisi kebijakan bawaan berikut ini:

  • Jenis sumber daya yang tidak diizinkan

  • Jenis sumber daya yang diizinkan

Untuk informasi selengkapnya, lihat referensi berikut ini:

Tanggung Jawab: Pelanggan

6.5: Memantau sumber daya Azure yang tidak disetujui

Panduan: Gunakan Azure Policy untuk memberikan batasan pada jenis sumber daya yang dapat dibuat dalam langganan pelanggan menggunakan definisi kebijakan bawaan berikut ini:

  • Jenis sumber daya yang tidak diizinkan
  • Jenis sumber daya yang diizinkan

Selain itu, gunakan Azure Resource Graph untuk membuat kueri untuk dan menemukan sumber daya dalam langganan.

Tanggung Jawab: Pelanggan

6.9: Hanya gunakan layanan Azure yang disetujui

Panduan: Gunakan Azure Policy untuk memberikan batasan pada jenis sumber daya yang dapat dibuat dalam langganan pelanggan menggunakan definisi kebijakan bawaan berikut ini:

  • Jenis sumber daya yang tidak diizinkan

  • Jenis sumber daya yang diizinkan

Untuk informasi selengkapnya, lihat referensi berikut ini:

Tanggung Jawab: Pelanggan

6.11: Membatasi kemampuan pengguna untuk berinteraksi dengan Azure Resource Manager

Panduan: Mengonfigurasi Akses Bersyarat Azure untuk membatasi kemampuan pengguna berinteraksi dengan Azure Resource Manager (ARM) dengan mengonfigurasi "Blokir akses" untuk Aplikasi "Microsoft Azure Management".

Tanggung Jawab: Pelanggan

Konfigurasi Aman

Untuk mengetahui informasi lebih lanjut, lihat Azure Security Benchmark: Konfigurasi Aman.

7.1: Menetapkan konfigurasi aman untuk semua sumber daya Azure

Panduan: Tentukan dan terapkan konfigurasi keamanan standar untuk instans Azure Cache for Redis dengan Azure Policy. Gunakan alias Azure Policy di namespace layanan "Microsoft.Cache" untuk membuat kebijakan kustom untuk mengaudit atau menerapkan konfigurasi instans Azure Cache for Redis Anda. Anda juga dapat menggunakan definisi kebijakan bawaan yang terkait dengan instans Azure Cache for Redis, seperti:

  • Hanya koneksi aman ke Azure Cache for Redis Anda yang harus diaktifkan

Untuk informasi selengkapnya, lihat referensi berikut ini:

Tanggung Jawab: Pelanggan

7.3: Mempertahankan konfigurasi sumber daya Azure yang aman

Panduan: Gunakan Azure Policy [tolak] dan [sebarkan jika tidak ada] untuk menerapkan pengaturan yang aman di seluruh sumber daya Azure Anda.

Tanggung Jawab: Pelanggan

7.5: Menyimpan konfigurasi sumber daya Azure dengan aman

Panduan: Jika menggunakan definisi Azure Policy kustom atau templat Azure Resource Manager untuk instans Azure Cache for Redis Anda dan sumber daya terkait, gunakan Azure Repos untuk menyimpan dan mengelola kode Anda dengan aman.

Tanggung Jawab: Pelanggan

7.7: Menyebarkan alat manajemen konfigurasi untuk sumber daya Azure

Panduan: Gunakan alias Azure Policy di namespace layanan "Microsoft.Cache" guna membuat kebijakan kustom untuk memberitahukan, mengaudit, dan menegakkan konfigurasi sistem. Selain itu, kembangkan proses dan alur untuk mengelola pengecualian kebijakan.

Tanggung Jawab: Pelanggan

7.9: Mengimplementasikan pemantauan konfigurasi otomatis untuk sumber daya Azure

Panduan: Gunakan alias Azure Policy di namespace layanan "Microsoft.Cache" guna membuat kebijakan kustom untuk memberitahukan, mengaudit, dan menegakkan konfigurasi sistem. Gunakan Azure Policy [audit], [tolak], dan [sebarkan jika tidak ada] untuk secara otomatis menerapkan konfigurasi untuk instans Azure Cache for Redis Anda dan sumber daya terkait.

Tanggung Jawab: Pelanggan

7.11: Mengelola rahasia Azure dengan aman

Panduan: Untuk komputer virtual Azure atau aplikasi web yang berjalan di Azure App Service yang digunakan untuk mengakses instans Azure Cache for Redis Anda, gunakan Identitas Layanan Terkelola bersama dengan Azure Key Vault untuk menyederhanakan dan mengamankan manajemen rahasia Azure Cache for Redis. Pastikan penghapusan sementara Key Vault diaktifkan.

Tanggung Jawab: Pelanggan

7.12: Mengelola identitas dengan aman dan otomatis

Panduan: Untuk komputer virtual Azure atau aplikasi web yang berjalan di Azure App Service yang digunakan untuk mengakses instans Azure Cache for Redis Anda, gunakan Identitas Layanan Terkelola bersama dengan Azure Key Vault untuk menyederhanakan dan mengamankan manajemen rahasia Azure Cache for Redis. Pastikan Penghapusan Sementara Key Vault diaktifkan.

Gunakan Identitas Terkelola untuk menyediakan layanan Azure dengan identitas terkelola secara otomatis di Azure Active Directory (Azure AD). Identitas Terkelola memungkinkan Anda mengautentikasi ke layanan yang mendukung autentikasi Azure AD, termasuk Azure Key Vault, tanpa memerlukan kredensial apa pun dalam kode Anda.

Tanggung Jawab: Pelanggan

7.13: Menghilangkan paparan info masuk yang tidak diinginkan

Panduan: Terapkan Pemindai Informasi masuk untuk mengidentifikasi informasi masuk dalam kode. Pemindai informasi masuk juga akan mendorong pemindahan informasi masuk yang ditemukan ke lokasi yang lebih aman seperti Azure Key Vault.

Tanggung Jawab: Pelanggan

Pertahanan Malware

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pertahanan Malware.

8.2: Lakukan pemindaian terlebih dahulu pada file yang akan diunggah ke sumber daya Azure non-komputasi

Panduan: Anti-malware Microsoft diaktifkan pada host yang mendasarinya yang mendukung layanan Azure (misalnya, Azure Cache for Redis), tetapi tidak berjalan pada konten pelanggan.

Pemindaian terlebih dulu konten apa pun yang akan diunggah ke sumber daya Azure non-komputasi, seperti App Service, Data Lake Storage, Blob Storage, Azure Database for PostgreSQL, dll. Microsoft tidak dapat mengakses data Anda dalam instans tersebut.

Tanggung Jawab: Pelanggan

Pemulihan Data

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pemulihan Data.

9.1: Memastikan pencadangan otomatis secara teratur

Panduan: Aktifkan persistensi Redis. Persistensi Redis mengizinkan Anda untuk menyimpan data yang disimpan di Redis. Anda juga dapat mengambil rekam jepret dan mencadangkan data, yang dapat Anda muat jika terjadi kegagalan perangkat keras. Ini adalah keuntungan besar dibandingkan tingkat Dasar atau Standar di mana semua data disimpan dalam memori dan berpotensi mengalami kehilangan data jika terjadi kegagalan di mana simpul Cache turun.

Anda juga dapat menggunakan Azure Cache for Redis Export. Ekspor memungkinkan Anda untuk mengekspor data yang disimpan di Azure Cache for Redis ke file RDB yang kompatibel dengan Redis. Anda dapat menggunakan fitur ini untuk memindahkan data dari satu instans Azure Cache for Redis ke instans Azure Cache for Redis yang lain atau ke server Redis lainnya. Selama proses ekspor, file sementara dibuat pada komputer virtual yang menghosting instans server Azure Cache for Redis, dan file diunggah ke akun penyimpanan yang ditunjuk. Setelah operasi ekspor selesai dengan status berhasil atau gagal, file sementara akan dihapus.

Tanggung Jawab: Pelanggan

9.2: Melakukan pencadangan sistem lengkap dan cadangkan kunci yang dikelola pelanggan

Panduan: Aktifkan persistensi Redis. Persistensi Redis mengizinkan Anda untuk menyimpan data yang disimpan di Redis. Anda juga dapat mengambil rekam jepret dan mencadangkan data, yang dapat Anda muat jika terjadi kegagalan perangkat keras. Ini adalah keuntungan besar dibandingkan tingkat Dasar atau Standar di mana semua data disimpan dalam memori dan berpotensi mengalami kehilangan data jika terjadi kegagalan di mana simpul Cache turun.

Anda juga dapat menggunakan Azure Cache for Redis Export. Ekspor memungkinkan Anda untuk mengekspor data yang disimpan di Azure Cache for Redis ke file RDB yang kompatibel dengan Redis. Anda dapat menggunakan fitur ini untuk memindahkan data dari satu instans Azure Cache for Redis ke instans Azure Cache for Redis yang lain atau ke server Redis lainnya. Selama proses ekspor, file sementara dibuat pada komputer virtual yang menghosting instans server Azure Cache for Redis, dan file diunggah ke akun penyimpanan yang ditunjuk. Setelah operasi ekspor selesai dengan status berhasil atau gagal, file sementara akan dihapus.

Jika menggunakan Azure Key Vault untuk menyimpan informasi masuk untuk instans Azure Cache for Redis Anda, pastikan pencadangan otomatis reguler kunci Anda.

Tanggung Jawab: Pelanggan

9.3: Memvalidasi semua cadangan termasuk kunci yang dikelola pelanggan

Panduan: Gunakan Azure Cache for Redis Import. Import dapat digunakan untuk membawa file RDB yang kompatibel dengan Redis dari server Redis apa pun yang berjalan di cloud atau lingkungan apa pun, termasuk Redis yang berjalan di Linux, Windows, atau penyedia cloud apa pun seperti Amazon Web Services (AWS) dan lainnya. Mengimpor data adalah cara mudah untuk membuat cache dengan data yang telah dikumpulkan sebelumnya. Selama proses impor, Azure Cache for Redis memuat file RDB dari penyimpanan Azure ke dalam memori lalu menyisipkan kunci ke dalam cache.

Uji secara berkala pemulihan data rahasia Azure Key Vault Anda.

Tanggung Jawab: Pelanggan

Respons Insiden

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Respons Insiden.

10.1: Membuat panduan tanggap insiden

Panduan: Buat panduan respons insiden untuk organisasi Anda. Pastikan terdapat rencana respons insiden tertulis yang menentukan semua peran personel serta fase penanganan/manajemen insiden dari deteksi hingga ulasan pasca-insiden.

Tanggung Jawab: Pelanggan

10.2: Membuat prosedur penilaian dan prioritas insiden

Panduan: Microsoft Defender untuk Cloud menetapkan tingkat keparahan untuk setiap pemberitahuan guna membantu Anda memprioritaskan pemberitahuan yang harus diselidiki terlebih dahulu. Tingkat keparahan didasarkan pada seberapa yakin Microsoft Defender untuk Cloud dalam temuan atau analitik yang digunakan untuk menerbitkan peringatan sekaligus tingkat keyakinan bahwa terdapat niat jahat di balik aktivitas yang mengarah pada peringatan tersebut.

Selain itu, tandai langganan dengan jelas (misalnya, produksi, non-produksi) dan buat sistem penamaan untuk mengidentifikasi dan mengategorikan sumber daya Azure dengan jelas.

Tanggung Jawab: Pelanggan

10.3: Menguji prosedur respons keamanan

Panduan: Lakukan latihan untuk menguji kemampuan respons insiden sistem Anda dalam interval reguler. Identifikasi titik lemah dan celah, lalu revisi rencana sesuai kebutuhan.

Tanggung Jawab: Pelanggan

10.4: Memberikan detail kontak insiden keamanan dan konfigurasi notifikasi peringatan untuk insiden keamanan

Panduan: Informasi kontak insiden keamanan akan digunakan oleh Microsoft untuk menghubungi Anda jika Microsoft Security Response Center (MSRC) mendapati bahwa data pelanggan telah diakses oleh pihak yang melanggar hukum atau tidak berwenang. Tinjau insiden setelah fakta untuk memastikan bahwa masalah terselesaikan.

Tanggung Jawab: Pelanggan

10.5: Menggabungkan pemberitahuan keamanan ke dalam sistem respons insiden Anda

Panduan: Mengekspor pemberitahuan dan rekomendasi Microsoft Defender untuk Cloud Anda menggunakan fitur Ekspor Berkelanjutan. Ekspor Berkelanjutan memungkinkan Anda untuk mengekspor pemberitahuan dan rekomendasi baik secara manual maupun berkelanjutan. Anda dapat menggunakan konektor data Microsoft Defender untuk Cloud guna mengalirkan peringatan ke Microsoft Sentinel.

Tanggung Jawab: Pelanggan

10.6: Mengotomatiskan respons terhadap pemberitahuan keamanan

Panduan: Menggunakan fitur Automasi Alur Kerja di Microsoft Defender untuk Cloud guna memicu respons secara otomatis melalui "Logic Apps" terhadap pemberitahuan dan rekomendasi keamanan.

Tanggung Jawab: Pelanggan

Uji Penetrasi dan Latihan Red Team

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Uji Penetrasi dan Latihan Red Team.

11.1: Melakukan uji penetrasi rutin sumber daya Azure Anda dan memastikan remediasi semua temuan keamanan yang penting

Panduan: Ikuti Aturan Keterlibatan Uji Penetrasi Microsoft Cloud untuk memastikan bahwa uji penetrasi Anda tidak melanggar kebijakan Microsoft. Gunakan strategi Microsoft dan eksekusi Red Team, serta uji penetrasi langsung terhadap infrastruktur, layanan, dan aplikasi cloud yang dikelola Microsoft.

Tanggung Jawab: Bersama

Langkah berikutnya