Garis besar keamanan Azure untuk Azure Backup

Garis besar keamanan ini menerapkan panduan dari Tolok Ukur Keamanan Azure versi 2.0 ke Azure Backup. Azure Security Benchmark memberikan rekomendasi tentang cara Anda mengamankan solusi cloud Anda di Azure. Konten dikelompokkan berdasarkan kontrol keamanan yang ditentukan oleh Tolok Ukur Keamanan Azure dan panduan terkait yang berlaku untuk Azure Backup.

Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Pertahanan Microsoft untuk Cloud. Azure Policy definisi akan tercantum di bagian Kepatuhan Terhadap Peraturan di dasbor Pertahanan Microsoft untuk Cloud.

Saat bagian memiliki Definisi Azure Policy yang relevan, bagian tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Azure Security Benchmark. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol tidak berlaku untuk Azure Backup, dan kontrol yang direkomendasikan oleh panduan global kata demi kata, telah dikecualikan. Untuk melihat cara Azure Backup melakukan pemetaan sepenuhnya ke Tolok Ukur Keamanan Azure, lihat file pemetaan garis besar keamanan Azure Backup lengkap.

Keamanan Jaringan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Jaringan.

NS-1: Menerapkan keamanan untuk lalu lintas internal

Panduan: Azure Backup tidak mendukung penyebaran langsung ke jaringan virtual. Pencadangan tidak dapat menggunakan fitur jaringan seperti grup keamanan jaringan, tabel rute, atau appliance yang bergantung pada jaringan seperti Azure Firewall.

Gunakan Microsoft Sentinel untuk menemukan penggunaan protokol warisan yang tidak aman seperti:

  • Keamanan Lapisan Transportasi (TLS) v1

  • Server Message Block (SMB) v1

  • Lan Manager (LM) atau New Technology LAN Manager (NTLM) v1

  • wDigest

  • Unsigned Lightweight Directory Access Protocol (LDAP) Mengikat

  • Chiper lemah di Kerberos

Semua penawaran memberlakukan TLS 1.2 ke atas kecuali untuk cadangan agen Microsoft Azure Recovery Services (MARS). Hanya untuk cadangan agen MARS, Backup mendukung TLS 1.1 dan yang lebih lama hingga 1 September 2021. Setelah itu, cadangan agen MARS juga akan memberlakukan TLS 1.2 ke atas.

Saat mencadangkan SQL server dan instans SAP HANA di Azure VM, Anda harus mengizinkan akses keluar ke port 443 untuk mengakses nama domain (FQDNs) tertentu yang memenuhi syarat penuh atau saat menggunakan tag layanan.

Anda dapat menggunakan titik akhir privat untuk vault Layanan Pemulihan. Hanya jaringan yang berisi titik akhir privat untuk vault yang dapat mengakses vault.

Tanggung Jawab: Pelanggan

NS-2: Menyambungkan jaringan privat bersama-sama

Panduan: Untuk mencadangkan server lokal, Anda dapat menggunakan ExpressRoute atau jaringan pribadi virtual (VPN) untuk terhubung ke Azure.

Gunakan Komunitas Azure Backup saat menggunakan peering Microsoft untuk ExpressRoute. Gunakan peering privat saat menggunakan titik akhir privat untuk Backup. Lalu lintas antara jaringan virtual yang di-peering bersifat privat dan tetap berada di jaringan backbone Azure.

Tanggung Jawab: Pelanggan

NS-3: Membangun akses jaringan privat ke layanan Azure

Panduan: Vault adalah sumber daya Azure yang dapat Anda akses melalui portal Azure, Azure CLI, PowerShell, SDK, dan REST. Pencadangan juga mendukung titik akhir privat untuk vault Layanan Pemulihan.

Gunakan Azure Private Link untuk akses pribadi ke vault Layanan Pemulihan dari jaringan virtual Anda tanpa melintasi internet. Akses privat menambahkan ukuran pertahanan yang mendalam ke autentikasi dan keamanan lalu lintas Azure.

Pencadangan tidak menyediakan kemampuan untuk mengonfigurasi titik akhir layanan jaringan virtual.

Tanggung Jawab: Pelanggan

NS-6: Menyederhanakan aturan keamanan jaringan

Panduan: Gunakan tag layanan Azure Virtual Network untuk menentukan kontrol akses jaringan untuk sumber daya Backup pada kelompok keamanan jaringan (NSG) atau Azure Firewall. Anda dapat menggunakan tag layanan sebagai pengganti alamat IP tertentu saat membuat aturan keamanan. Tentukan nama tag layanan di bidang sumber aturan atau tujuan yang sesuai guna mengizinkan atau menolak lalu lintas. Microsoft mengelola awalan alamat yang dicakup tag layanan, dan secara otomatis memperbarui tag layanan saat alamat berubah.

Untuk jaringan yang menghosting layanan yang berkomunikasi ke Backup, izinkan tag layanan 'AzureBackup', 'AzureStorage', dan 'AzureActiveDirectory' keluar pada NSG Anda.

Tanggung Jawab: Pelanggan

NS-7: Layanan Nama Domain (DNS) yang Aman

Panduan: Tidak berlaku. Pencadangan tidak mengekspos konfigurasi DNS yang mendasarinya. Microsoft mempertahankan pengaturan ini.

Tanggung jawab: Microsoft

Manajemen Identitas

Untuk informasi lebih lanjut, lihat Azure Security Benchmark : Manajemen Identitas.

IM-1: Menstandarkan Microsoft Azure Active Directory sebagai pusat sistem identitas dan autentikasi

Panduan: Backup menggunakan Azure Active Directory (Microsoft Azure AD) sebagai layanan manajemen akses dan identitas default. Melakukan standardisasi pada Azure AD untuk mengatur identitas dan manajemen akses organisasi Anda di:

  • Sumber daya Microsoft Cloud. Sumber daya meliputi:

    • Portal Microsoft Azure

    • Azure Storage

    • Mesin virtual Windows dan Linux Azure

    • Azure Key Vault

    • Platform-as-a-service (PaaS)

    • Aplikasi software as a service (SaaS)

  • Sumber daya organisasi Anda, seperti aplikasi di Azure atau sumber daya jaringan perusahaan Anda.

Mengamankan Azure AD harus menjadi prioritas utama dalam praktik keamanan cloud organisasi Anda. Azure AD memberikan skor keamanan identitas untuk membantu Anda membandingkan postur keamanan identitas Anda dengan rekomendasi praktik terbaik Microsoft. Gunakan skor untuk mengukur seberapa dekat konfigurasi Anda cocok dengan rekomendasi praktik terbaik, dan untuk melakukan peningkatan dalam postur keamanan Anda.

Catatan: Azure AD mendukung identitas eksternal yang memungkinkan pengguna tanpa akun Microsoft untuk masuk ke aplikasi dan sumber daya mereka.

Pencadangan menggunakan kontrol akses berbasis peran (RBAC) Azure untuk memungkinkan akses terperinci ke sumber daya. Backup menyediakan tiga peran bawaan: Kontributor Cadangan, Operator Cadangan, dan Pembaca Cadangan.

Tanggung Jawab: Pelanggan

IM-2: Mengelola identitas aplikasi dengan aman dan otomatis

Panduan: Backup mendukung identitas terkelola untuk sumber daya Azure-nya. Gunakan identitas terkelola dengan Backup alih-alih membuat perwakilan layanan untuk mengakses sumber daya lain.

Backup dapat mengautentikasi secara asli ke layanan dan sumber daya Azure yang mendukung autentikasi Azure AD. Backup menggunakan aturan hibah akses yang telah ditentukan, bukan kredensial yang dikodekan secara permanen dalam kode sumber atau file konfigurasi.

Backup menggunakan identitas terkelola untuk melakukan operasi pencadangan dan pemulihan pada sumber data yang dilindungi di vault Backup. Backup juga menggunakan identitas terkelola untuk mengelola fitur keamanan seperti enkripsi dengan kunci yang dikelola pelanggan dan titik akhir privat untuk vault Layanan Pemulihan.

Tanggung Jawab: Pelanggan

IM-3: Menggunakan akses menyeluruh (SSO) Microsoft Azure AD untuk akses aplikasi

Panduan: Menyambungkan semua pengguna, aplikasi, dan perangkat Anda ke Azure AD. Azure AD menawarkan akses yang mulus dan aman, serta visibilitas dan kontrol yang lebih besar.

Backup menggunakan Azure AD untuk menyediakan identitas dan manajemen akses untuk sumber daya Azure. Identitas yang dapat menggunakan Azure AD untuk mengautentikasi ke Backup mencakup identitas perusahaan seperti karyawan, dan identitas eksternal seperti mitra, vendor, dan pemasok. Azure AD menyediakan akses menyeluruh (SSO) untuk mengelola dan mengamankan akses ke data dan sumber daya lokal dan cloud organisasi Anda.

Tanggung Jawab: Pelanggan

IM-7: Menghapus paparan informasi masuk yang tidak diinginkan

Panduan: Menggunakan Pemindai Info Masuk Azure DevOps untuk menemukan info masuk dalam templat Backup Azure Resource Manager (ARM). Pemindai Info Masuk mendorong pemindahan info masuk yang ditemukan ke lokasi yang lebih aman seperti Azure Key Vault.

Untuk GitHub, Anda dapat menggunakan fitur pemindaian rahasia asli untuk mengidentifikasi info masuk atau rahasia lain dalam kode.

Tanggung Jawab: Pelanggan

Akses dengan Hak Istimewa

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Akses dengan Hak istimewa.

PA-1: Melindungi dan membatasi pengguna dengan hak sangat istimewa

Panduan: Peran Azure AD bawaan yang paling penting adalah Administrator Global dan Administrator Peran Istimewa. Pengguna dengan dua peran ini dapat mendelegasikan peran administrator.

  • Administrator Global atau Administrator Perusahaan memiliki akses ke semua fitur dan layanan administratif Azure AD yang menggunakan identitas Azure AD.

  • Administrator Peran Istimewa dapat mengelola penetapan peran di Azure AD dan Azure AD Privileged Identity Management (PIM). Peran ini dapat mengelola semua aspek PIM dan unit administrasi.

Batasi jumlah akun atau peran yang sangat istimewa, dan lindungi akun ini pada tingkat yang lebih tinggi. Pengguna yang sangat istimewa dapat secara langsung atau tidak langsung membaca dan memodifikasi semua sumber daya Azure Anda.

Anda dapat mengaktifkan akses istimewa just-in-time (JIT) ke sumber daya Azure dan Azure AD menggunakan Azure AD PIM. JIT memberikan izin sementara untuk melakukan tugas istimewa hanya ketika pengguna membutuhkannya. PIM juga dapat membuat peringatan keamanan untuk aktivitas yang mencurigakan atau tidak aman di organisasi Azure AD Anda.

Peran RBAC Kontributor Backup memiliki semua izin untuk membuat dan mengelola pencadangan, kecuali menghapus vault Layanan Pemulihan dan memberikan akses ke orang lain. Peran ini adalah administrator manajemen cadangan, yang dapat melakukan setiap operasi manajemen cadangan. Tinjau identitas yang diberi peran ini secara teratur, dan konfigurasikan dengan Azure AD PIM.

Catatan: Anda mungkin perlu mengatur peran penting lainnya jika menetapkan izin istimewa tertentu ke peran kustom. Anda mungkin ingin menerapkan kontrol serupa ke akun administrator aset bisnis penting.

Tanggung Jawab: Pelanggan

PA-3: Tinjau dan rekonsiliasi akses pengguna secara teratur

Panduan: Backup menggunakan akun Azure AD dan Azure RBAC untuk memberikan izin ke sumber dayanya. Tinjau akun pengguna dan penugasan akses secara teratur untuk memastikan akun dan akses pengguna valid. Anda dapat menggunakan tinjauan akses Azure AD untuk meninjau keanggotaan grup, akses ke aplikasi perusahaan, dan penetapan peran. Pelaporan Microsoft Azure Active Directory dapat menyediakan log untuk membantu menemukan akun yang kedaluwarsa. Anda juga dapat membuat alur kerja laporan tinjauan akses di Azure AD Privileged Identity Management (PIM) untuk memudahkan proses peninjauan.

Anda juga dapat mengonfigurasi Azure AD PIM untuk memberi tahu Anda ketika terdapat terlalu banyak akun administrator. PIM dapat mengidentifikasi akun administrator yang kedaluwarsa atau dikonfigurasi dengan tidak benar.

Backup mendukung Azure RBAC untuk pengelolaan akses terperinci untuk vault. Azure Backup menyediakan tiga peran RABC bawaan untuk mengontrol operasi manajemen cadangan:

  • Kontributor Backup - Peran ini memiliki semua izin untuk membuat dan mengelola pencadangan, kecuali menghapus vault Layanan Pemulihan dan memberikan akses ke orang lain. Peran ini adalah administrator manajemen cadangan, yang dapat melakukan setiap operasi manajemen cadangan.

  • Operator Backup - Peran ini memiliki izin untuk semua yang dilakukan Kontributor Backup, kecuali menghapus cadangan dan mengelola kebijakan pencadangan. Peran ini sama dengan Kontributor Backup, kecuali tidak dapat melakukan operasi destruktif, seperti menghentikan pencadangan dengan menghapus data, atau menghapus pendaftaran sumber daya lokal.

  • Pembaca Backup - Peran ini memiliki izin untuk melihat semua operasi manajemen cadangan. Peran ini untuk pemantauan.

  • Membuat tinjauan akses peran sumber daya Azure di Privileged Identity Management (PIM)

  • Cara menggunakan identitas Azure Active Directory dan tinjauan akses

  • Azure RBAC untuk Backup

Tanggung Jawab: Pelanggan

PA-6: Menggunakan stasiun kerja akses dengan hak istimewa

Panduan: Stasiun kerja yang aman dan terisolasi sangat penting untuk keamanan peran sensitif seperti administrator, pengembang, dan operator layanan penting. Gunakan stasiun kerja pengguna yang sangat aman dan Azure Bastion untuk tugas administratif pada sumber daya Backup.

Gunakan Azure AD, Perlindungan Ancaman Tingkat Lanjut (ATP) Microsoft Defender, atau Microsoft Intune untuk menyebarkan stasiun kerja pengguna yang aman dan terkelola untuk tugas administratif. Anda dapat mengelola stasiun kerja aman secara terpusat untuk menerapkan konfigurasi keamanan yang mencakup:

Tanggung Jawab: Pelanggan

PA-7: Mengikuti prinsip hak istimewa paling sedikit dari administrasi secukupnya

Panduan: Backup terintegrasi dengan Azure RBAC untuk mengelola sumber dayanya. Dengan RBAC, Anda mengelola akses sumber daya Azure melalui penetapan peran. Anda dapat menetapkan peran ke pengguna, grup, perwakilan layanan, dan identitas terkelola. Sumber daya tertentu memiliki peran bawaan yang telah ditentukan sebelumnya. Anda dapat membuat inventaris atau kueri peran ini melalui alat seperti Azure CLI, Azure PowerShell, atau portal Azure.

Batasi hak istimewa yang Anda tetapkan ke sumber daya melalui Azure RBAC sesuai yang dibutuhkan oleh peran. Praktik ini melengkapi pendekatan just-in-time (JIT) dari Azure AD PIM. Tinjau peran dan penugasan secara berkala.

Backup terintegrasi dengan Azure RBAC, dan memungkinkan penggunaan peran bawaan dan kustom mengelola akses ke sumber daya. Gunakan peran bawaan untuk mengalokasikan izin dan hanya membuat peran khusus jika diperlukan.

Azure Backup menyediakan tiga peran bawaan untuk mengontrol operasi manajemen cadangan:

  • Kontributor Backup - Peran ini memiliki semua izin untuk membuat dan mengelola pencadangan, kecuali menghapus vault Layanan Pemulihan dan memberikan akses ke orang lain. Peran ini adalah administrator manajemen cadangan, yang dapat melakukan setiap operasi manajemen cadangan.

  • Operator Backup - Peran ini memiliki izin untuk semua yang dilakukan Kontributor Backup, kecuali menghapus cadangan dan mengelola kebijakan pencadangan. Peran ini sama dengan Kontributor Backup, kecuali tidak dapat melakukan operasi destruktif, seperti menghentikan pencadangan dengan menghapus data, atau menghapus pendaftaran sumber daya lokal.

  • Pembaca Backup - Peran ini memiliki izin untuk melihat semua operasi manajemen cadangan. Peran ini untuk pemantauan.

Untuk informasi selengkapnya, lihat referensi berikut ini:

Tanggung Jawab: Pelanggan

PA-8: Memilih proses persetujuan untuk dukungan Microsoft

Panduan: Backup tidak mendukung Customer Lockbox. Microsoft bekerja dengan pelanggan melalui metode lain untuk persetujuan untuk mengakses data pelanggan.

Tanggung Jawab: Pelanggan

Perlindungan Data

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Perlindungan Data.

DP-1: Menemukan, mengklasifikasikan, dan memberi label data sensitif

Panduan: Azure Backup tidak memiliki kemampuan untuk mengklasifikasikan data yang dicadangkan. Anda dapat mengatur data Anda sendiri dengan menggunakan brankas yang berbeda, dan melampirkan tag ke vault tersebut sesuai dengan isinya.

Tanggung Jawab: Pelanggan

DP-2: Melindungi data sensitif

Panduan: Untuk melindungi data sensitif, batasi akses ke sumber daya Backup dengan menggunakan:

  • RBAC Azure

  • Kontrol akses berbasis jaringan

  • Kontrol khusus seperti enkripsi di layanan Azure

Saat mencadangkan VM Azure IaaS, Azure Backup menyediakan cadangan independen dan terisolasi untuk mencegah penghancuran data asli yang tidak disengaja. Cadangan disimpan dalam vault Layanan Pemulihan, dengan manajemen titik pemulihan bawaan.

Untuk konsistensi, sejajarkan semua jenis kontrol akses dengan strategi segmentasi perusahaan Anda. Informasikan strategi segmentasi perusahaan Anda berdasarkan lokasi data dan sistem yang sensitif atau penting bagi bisnis.

Microsoft memperlakukan semua konten pelanggan di platform dasar yang dikelola Microsoft sebagai hal yang sensitif. Microsoft menjaga dari kehilangan dan paparan data pelanggan. Microsoft memiliki kontrol dan kemampuan perlindungan data default untuk memastikan bahwa data pelanggan Azure tetap aman,

Tanggung Jawab: Pelanggan

DP-3: Memantau transfer data sensitif yang tidak sah

Panduan: Backup mendukung transfer data pelanggan, tetapi tidak mendukung pemantauan untuk transfer data sensitif yang tidak diotorisasi. Namun, Anda dapat menulis aturan peringatan tentang log aktivitas dan sumber daya untuk setiap operasi pemulihan yang terjadi dari vault.

Tanggung Jawab: Pelanggan

DP-4: Mengenkripsi informasi sensitif saat transit

Panduan: Lalu lintas Backup dari server ke transfer vault Layanan Pemulihan melalui tautan HTTPS yang aman. Data dienkripsi menggunakan Standar Enkripsi Lanjutan (AES) 256 saat disimpan di vault.

Backup mendukung enkripsi data saat transit dengan TLS v1.2 atau yang lebih tinggi. Persyaratan ini bersifat opsional untuk lalu lintas di jaringan privat, tetapi penting untuk lalu lintas di jaringan eksternal dan publik. Untuk lalu lintas HTTP, pastikan setiap klien yang tersambung ke sumber daya Azure Anda dapat menggunakan TLS v1.2 atau yang lebih baru.

Nonaktifkan cipher yang lemah serta versi dan protokol SSL, TLS, dan SSH yang kedaluwarsa.

Azure mengenkripsi data saat transit di antara pusat data Azure secara default.

Tanggung Jawab: Pelanggan

DP-5: Mengenkripsi data sensitif yang tidak aktif

Panduan: Backup mendukung enkripsi untuk data tidak aktif. Untuk pencadangan lokal, enkripsi tidak aktif menggunakan frasa sandi yang Anda berikan saat mencadangkan ke Azure. Untuk beban kerja cloud, data dienkripsi saat tidak aktif secara default, menggunakan Storage Service Encryption (SSE) dan kunci yang dikelola Microsoft. Backup juga menyediakan opsi untuk kunci yang dikelola pelanggan untuk memenuhi persyaratan peraturan.

Saat mencadangkan dengan agen MARS, atau menggunakan vault Layanan Pemulihan yang dienkripsi dengan kunci yang dikelola pelanggan, hanya pelanggan yang memiliki akses ke kunci enkripsi. Microsoft tidak menyimpan salinan atau memiliki akses ke kunci. Jika kunci salah ditempatkan, Microsoft tidak dapat memulihkan data cadangan.

Tanggung Jawab: Dibagikan

Manajemen Aset

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Aset.

AM-1: Memastikan tim keamanan memiliki visibilitas terhadap risiko untuk aset

Panduan: Pastikan untuk memberikan izin Backup Reader dan Reader kepada tim keamanan di penyewa dan langganan Azure Anda, sehingga mereka dapat meninjau konfigurasi pencadangan dan data untuk risiko keamanan.

Pemantauan untuk risiko keamanan dapat menjadi tanggung jawab tim keamanan pusat atau tim lokal, tergantung cara Anda menyusun tanggung jawab. Selalu agregasikan wawasan dan risiko keamanan secara terpusat dalam suatu organisasi.

Tanggung Jawab: Pelanggan

AM-2: Memastikan tim keamanan memiliki akses ke inventaris aset dan metadata

Panduan: Memastikan bahwa tim keamanan memiliki akses ke inventaris aset yang terus diperbarui di Azure, seperti Backup. Tim keamanan sering membutuhkan inventaris ini untuk mengevaluasi potensi paparan organisasi mereka terhadap risiko yang muncul, dan sebagai masukan untuk peningkatan keamanan yang berkelanjutan. Buat grup Azure AD untuk menampung tim keamanan resmi organisasi Anda. dan tetapkan akses baca ke semua sumber daya Backup. Anda dapat menyederhanakan proses dengan satu penetapan peran tingkat tinggi dalam langganan Anda.

Menerapkan tag ke sumber daya Azure, grup sumber daya, dan langganan Anda untuk mengaturnya secara logis ke dalam taksonomi. Setiap tag terdiri dari pasangan nilai dan nama. Misalnya, Anda dapat menerapkan nama "Lingkungan" dan nilai "Produksi" ke semua sumber daya dalam produksi.

Tanggung Jawab: Pelanggan

AM-3: Hanya gunakan layanan Azure yang disetujui

Panduan: Backup mendukung pemantauan dan penegakan konfigurasi menggunakan Azure Policy. Tetapkan definisi bawaan Azure Policy untuk mengaudit dan membatasi layanan mana yang dapat disediakan pengguna di lingkungan Anda. Gunakan Azure Resource Graph untuk membuat kueri dan menemukan sumber daya dalam langganan. Anda juga dapat menggunakan Azure Monitor untuk membuat aturan yang memicu pemberitahuan saat layanan yang tidak disetujui terdeteksi.

Tanggung Jawab: Pelanggan

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pencatatan dan Deteksi Ancaman.

LT-1: Mengaktifkan deteksi ancaman untuk sumber daya Azure

Panduan: Menggunakan kemampuan deteksi ancaman bawaan Microsoft Defender untuk Cloud. Aktifkan Microsoft Defender untuk sumber daya DDoS Protection Standard Anda. Microsoft Defender menyediakan lapisan intelijensi keamanan tambahan. Microsoft Defender mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun DDoS Protection.

Azure Backup menghasilkan log aktivitas dan sumber daya, yang dapat Anda gunakan untuk mengaudit tindakan terhadap sumber daya Backup dan mendeteksi ancaman. Teruskan log Backup ke sistem informasi keamanan dan manajemen peristiwa (SIEM) Anda. Anda dapat menggunakan SIEM untuk menyiapkan deteksi ancaman kustom.

Pastikan Anda memantau berbagai jenis aset Azure untuk potensi ancaman dan anomali. Berfokuslah pada mendapatkan peringatan berkualitas tinggi guna mengurangi positif palsu yang akan dipilah oleh analis. Anda dapat memperoleh peringatan dari data log, agen, atau data lainnya.

Tanggung Jawab: Pelanggan

LT-4: Mengaktifkan pengelogan untuk sumber daya Azure

Panduan: Log aktivitas tersedia secara otomatis. Log berisi semua operasi PUT, POST, dan DELETE, tetapi tidak GET, untuk sumber daya Backup. Anda dapat menggunakan log aktivitas untuk menemukan kesalahan saat memecahkan masalah, atau untuk memantau cara pengguna memodifikasi sumber daya.

Aktifkan log sumber daya Azure untuk Backup. Anda dapat menggunakan Pertahanan Microsoft untuk Cloud dan Azure Policy untuk mengaktifkan log sumber daya dan pengumpulan data log. Log ini sangat berguna dalam menyelidiki insiden keamanan dan melakukan latihan forensik.

Tanggung Jawab: Dibagikan

LT-5: Memusatkan manajemen dan analisis log keamanan

Panduan: Memusatkan penyimpanan pengelogan, dan analisis untuk mengaktifkan data log Backup. Untuk setiap sumber log, pastikan Anda mencatat:

  • Pemilik data yang ditetapkan
  • Panduan akses
  • Lokasi penyimpanan
  • Alat yang memproses dan mengakses data
  • Persyaratan retensi data

Pastikan untuk mengintegrasikan log aktivitas Azure ke dalam pengelogan pusat Anda. Lakukan penyerapan log melalui Azure Monitor untuk mengagregasi data keamanan yang dihasilkan oleh perangkat titik akhir, sumber daya jaringan, dan sistem keamanan lainnya. Di Azure Monitor, gunakan ruang kerja Log Analytics untuk membuat kueri dan melakukan analitik. Gunakan akun Azure Storage untuk penyimpanan arsip dan jangka panjang.

Aktifkan dan lakukan onboard data ke Microsoft Sentinel atau SIEM pihak ketiga. Anda dapat menggunakan Microsoft Sentinel untuk data "panas" yang sering Anda gunakan, dan Azure Storage untuk data "dingin" yang sering Anda gunakan.

Tanggung Jawab: Dibagikan

LT-6: Mengonfigurasi retensi penyimpanan log

Panduan: Menggunakan akun ruang kerja Azure Storage atau Log Analytics untuk penyimpanan jangka panjang dan arsip. Untuk akun penyimpanan atau ruang kerja Log Analytics yang menyimpan log Backup, tetapkan periode retensi log yang memenuhi peraturan kepatuhan organisasi Anda.

Tanggung Jawab: Dibagikan

LT-7: Menggunakan sumber sinkronisasi waktu yang disetujui

Panduan: Backup tidak mendukung konfigurasi sumber sinkronisasi dengan waktu Anda sendiri. Backup bergantung pada sumber sinkronisasi waktu Microsoft yang tidak diekspos ke pelanggan untuk konfigurasi.

Tanggung jawab: Microsoft

Manajemen Postur dan Kerentanan

Untuk mengetahui informasi selengkapnya, lihat Tolok Ukur Keamanan Azure: Manajemen Postur dan Kerentanan.

PV-1: Membuat konfigurasi aman untuk layanan Azure

Panduan: Memantau dan menerapkan konfigurasi vault Layanan Pemulihan Anda yang aman dengan menetapkan definisi Azure Policy bawaan dan kustom. Jika kebijakan bawaan tidak memenuhi persyaratan Anda, gunakan alias Azure Policy di namespace "Microsoft.RecoveryServices" untuk membuat kebijakan kustom.

Tanggung Jawab: Pelanggan

PV-2: Membuat konfigurasi aman secara berkelanjutan untuk layanan Azure

Panduan: Menggunakan Azure Policy untuk memantau dan menerapkan konfigurasi Backup, seperti:

  • Pengaturan untuk vault Anda

  • Enkripsi menggunakan kunci yang dikelola pelanggan

  • Menggunakan titik akhir privat untuk vault Anda

  • Menyebarkan pengaturan diagnostik

Gunakan Azure Policy [deny] dan [deploy if not exist] untuk menerapkan konfigurasi aman di seluruh sumber daya Azure Backup.

Tanggung Jawab: Pelanggan

PV-6: Melakukan penilaian kerentanan perangkat lunak

Panduan: Backup tidak menyebarkan sumber daya komputasi yang menghadap pelanggan yang mendukung alat penilaian kerentanan. Microsoft menangani kerentanan dan penilaian untuk platform yang mendasari yang mendukung Backup.

Tanggung jawab: Microsoft

PV-7: Memperbaiki kerentanan perangkat lunak dengan cepat dan otomatis

Panduan: Backup tidak menyebarkan sumber daya komputasi yang menghadap pelanggan yang mendukung alat penilaian kerentanan. Microsoft menangani kerentanan dan penilaian untuk platform yang mendasari yang mendukung Backup.

Tanggung jawab: Microsoft

PV-8: Melakukan simulasi serangan rutin

Panduan: Lakukan uji penetrasi atau aktivitas tim merah pada sumber daya Azure Anda sesuai kebutuhan, dan pastikan perbaikan semua temuan keamanan penting.

Ikuti Aturan Keterlibatan Uji Penetrasi Cloud Microsoft untuk memastikan uji penetrasi Anda tidak melanggar kebijakan Microsoft. Gunakan strategi dan eksekusi Red Teaming Microsoft. Lakukan uji penetrasi situs langsung terhadap infrastruktur, layanan, dan aplikasi cloud yang dikelola Microsoft.

Tanggung Jawab: Pelanggan

Microsoft Azure Backup dan Pemulihan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Microsoft Azure Backup dan Pemulihan.

BR-2: Mengenkripsi data cadangan

Panduan: Backup mendukung enkripsi untuk data cadangan tidak aktif yang dikelolanya. Beban kerja cloud mengenkripsi data tidak aktif default, menggunakan Storage Enkripsi Layanan (SSE) dan kunci yang dikelola Microsoft. Azure Backup menyediakan opsi untuk kunci yang dikelola pelanggan guna memenuhi persyaratan peraturan.

Tanggung Jawab: Dibagikan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Peringatan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.RecoveryServices:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure Backup harus diaktifkan untuk Virtual Machines Pastikan perlindungan Virtual Machines Azure Anda dengan mengaktifkan Azure Backup. Azure Backup adalah solusi perlindungan data yang aman dan hemat biaya untuk Azure. AuditIfNotExists, Dinonaktifkan 2.0.0

BR-4: Mengurangi risiko kehilangan kunci

Panduan: Memastikan Anda memiliki langkah-langkah untuk mencegah dan memulihkan dari hilangnya kunci enkripsi Backup. Untuk melindungi kunci dari penghapusan yang tidak disengaja atau berbahaya, aktifkan perlindungan penghapusan dan pembersihan sementara di Azure Key Vault.

Tanggung Jawab: Dibagikan

Langkah berikutnya