Azure security baseline untuk Batch

Garis besar keamanan ini menerapkan panduan dari Tolok Ukur Keamanan Azure versi 2.0 ke Azure Batch. Azure Security Benchmark memberikan rekomendasi tentang cara Anda mengamankan solusi cloud Anda di Azure. Konten dikelompokkan berdasarkan kontrol keamanan yang ditentukan oleh Azure Security Benchmark dan panduan terkait yang berlaku untuk Batch.

Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Pertahanan Microsoft untuk Cloud. Azure Policy definisi akan tercantum di bagian Kepatuhan Terhadap Peraturan di dasbor Pertahanan Microsoft untuk Cloud.

Saat bagian memiliki Definisi Azure Policy yang relevan, bagian tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Azure Security Benchmark. Beberapa rekomendasi mungkin memerlukan paket Pertahanan Microsoft berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol tidak berlaku untuk Batch, dan kontrol yang direkomendasikan oleh panduan global kata demi kata, telah dikecualikan. Untuk melihat cara Batch melakukan pemetaan sepenuhnya ke Tolok Ukur Keamanan Azure, lihat file pemetaan garis besar keamanan Batch lengkap.

Keamanan Jaringan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Jaringan.

NS-1: Menerapkan keamanan untuk lalu lintas internal

Panduan: Sebarkan kumpulan Azure Batch dalam jaringan virtual. Anda dapat memprovisikan kumpulan di subnet jaringan virtual Azure. Dengan tindakan ini, node komputasi kumpulan dapat berkomunikasi dengan aman dengan mesin virtual lain atau jaringan lokal. Apakah Anda menyebarkan kumpulan Anda dalam jaringan virtual? Maka Anda dapat mengontrol kelompok keamanan jaringan (NSG) yang digunakan untuk mengamankan antarmuka jaringan masing-masing node (NIC) dan subnet. Konfigurasikan NSG untuk memperbolehkan lalu lintas hanya dari IP atau lokasi tepercaya di Internet.

Nonaktifkan titik akhir RDP/SSH yang terbuka secara publik pada port 3389 (Windows) atau 22 (Linux). Maka sumber luar tidak dapat terhubung ke atau menemukan akses jarak jauh ke node komputasi Batch Anda. Konfigurasikan port ini untuk akses dengan mekanisme JIT pada kelompok keamanan jaringan yang ditetapkan.

Apakah Anda memerlukan dukungan untuk tugas multi-instans dengan runtime MPI tertentu? Di Linux, mungkin Anda perlu mengaktifkan aturan port 22. Mengizinkan lalu lintas pada port ini tidak sepenuhnya diperlukan agar node komputasi kumpulan dapat digunakan.

• Cara membuat Kumpulan Azure Batch dalam Jaringan Virtual

• Cara membuat akun Azure Batch dengan akses jaringan dinonaktifkan

• Cara membuat titik akhir privat

• Cara menolak akses ke lalu lintas RDP/SSH

Tanggung Jawab: Pelanggan

NS-2: Menyambungkan jaringan privat bersama-sama

Panduan: Karena Anda dapat menyebarkan Azure Batch langsung ke jaringan virtual, Anda memiliki banyak cara untuk mengaktifkan akses sumber daya Batch dari jaringan lain.

Dengan Azure ExpressRoute atau jaringan privat maya (VPN) Azure, Anda dapat membuat koneksi pribadi antara pusat data Azure dan infrastruktur lokal. Koneksi ini berada dalam lingkungan kolokasi ke jaringan yang menghosting sumber daya Batch Anda. Koneksi ExpressRoute tidak melalui internet publik. Dibandingkan dengan koneksi internet pada umumnya, koneksi ExpressRoute menawarkan:

• Lebih dapat diandalkan
• Kecepatan lebih tinggi
• Latensi yang lebih rendah

Untuk VPN titik-ke-situs dan VPN situs-ke-situs, Anda dapat menyambungkan perangkat atau jaringan lokal ke jaringan virtual menggunakan kombinasi opsi VPN ini dan Azure ExpressRoute.

Untuk menghubungkan dua jaringan virtual atau lebih di Azure bersama-sama, gunakan peering jaringan virtual atau Private Link. Lalu lintas jaringan antara jaringan virtual yang diserekankan bersifat privat dan disimpan di jaringan backbone Azure.

• Apa itu model konektivitas Azure ExpressRoute

• Ringkasan VPN Azure

• Rekanan jaringan virtual

Tanggung Jawab: Pelanggan

NS-3: Membangun akses jaringan privat ke layanan Azure

Panduan: Dengan memprovisikan kumpulan tanpa alamat IP publik, Anda dapat membatasi akses ke node dan mengurangi kemampuan node agar tidak mudah ditemukan dari internet. Jika Anda memprovisikan kumpulan di subnet jaringan virtual Azure, node komputasi dapat berkomunikasi dengan aman dengan mesin virtual lain atau dengan jaringan lokal. Dengan Azure Private Link, Anda dapat mengaktifkan akses privat ke Batch dari jaringan virtual Anda tanpa melintasi internet. Layanan Azure Private Link diamankan. Layanan ini menerima koneksi hanya dari titik akhir privat yang diautentikasi dan diotorisasi. Mengonfigurasi titik akhir privat untuk Azure Batch lebih aman dan tidak membatasi kemampuan penawaran.

• Membuat kumpulan Azure Batch tanpa alamat IP publik

• Membatasi akses titik akhir jaringan

• Menggunakan titik akhir privat dengan akun Azure Batch

• Memahami Azure Private Link

Tanggung Jawab: Pelanggan

NS-4: Melindungi aplikasi dan layanan dari serangan jaringan eksternal

Panduan: Sumber daya Azure dilindungi dari serangan jaringan eksternal, seperti:

• Serangan penolakan layanan terdistribusi (DDoS).
• Serangan khusus aplikasi.
• Lalu lintas internet yang tidak diminta dan berpotensi berbahaya.

Dengan Azure Firewall, lindungi aplikasi dan layanan di jaringan virtual Anda. Hindari lalu lintas yang berpotensi berbahaya dari internet dan lokasi eksternal lainnya. Untuk melindungi aset Anda dari serangan DDoS, aktifkan perlindungan standar DDoS di jaringan virtual Azure Anda. Gunakan Microsoft Defender untuk Cloud untuk mendeteksi risiko salah konfigurasi ke sumber daya terkait jaringan Anda.

• Membatasi akses titik akhir jaringan

• Dokumentasi Azure Firewall

• Mengelola Standar Azure DDoS Protection menggunakan portal Microsoft Azure

• Rekomendasi Pertahanan Microsoft untuk Cloud

• Cara menyebarkan Azure Web Application Firewall (WAF)

Tanggung Jawab: Dibagikan

NS-6: Menyederhanakan aturan keamanan jaringan

Panduan: Di Azure Batch, gunakan Tag Layanan Azure Virtual Network bawaan untuk menentukan kontrol akses jaringan. Kontrol akses jaringan berlaku untuk NSG atau Azure Firewall yang dikonfigurasi untuk sumber daya Batch Anda.

Pada penyebaran yang didedikasikan untuk Azure Batch, apakah Anda perlu membuat aturan keamanan jaringan untuk lalu lintas manajemen? Kemudian gunakan tag layanan 'BatchNodeManagement' sebagai pengganti alamat IP tertentu. Sembari Anda mengakses layanan Azure yang memiliki titik akhir publik, Anda juga mencapai isolasi jaringan. Dan lindungi sumber daya Azure dari internet umum.

Dengan menentukan nama tag layanan di sumber atau tujuan aturan, Anda dapat mengizinkan atau menolak lalu lintas untuk layanan terkait. Microsoft mengelola awalan alamat yang dicakup oleh tag layanan. Microsoft memperbarui tag layanan saat alamat berubah secara otomatis.

• Tag layanan yang tersedia

NSG membantu menentukan aturan lalu lintas masuk dan keluar. Gunakan tag untuk NSG atau keamanan jaringan terkait lainnya dan arus lalu lintas yang terkait dengan kumpulan batch Azure. Protokol IP yang digunakan dalam layanan batch Azure adalah IPv4 dan Pv6.

• Memahami dan menggunakan tag layanan

• Memahami dan menggunakan Kelompok Keamanan Aplikasi

Tanggung Jawab: Pelanggan

NS-7: Layanan Nama Domain (DNS) yang Aman

Panduan: Saat Anda menggunakan Azure DNS sebagai layanan DNS otoritatif Anda, lindungi zona DNS dan catatan dari modifikasi yang tidak disengaja atau berbahaya dengan menggunakan kontrol akses berbasis peran Azure (Azure RBAC) dan kunci sumber daya. Anda dapat memantau log Aktivitas Azure untuk mengetahui cara pengguna di organisasi Anda memodifikasi sumber daya. Atau log dapat membantu Anda menemukan kesalahan saat memecahkan masalah. Saat Anda menggunakan titik akhir privat dengan Azure Batch, sebaiknya integrasikan titik akhir privat Anda dengan zona DNS privat. Anda dapat menggunakan server DNS Anda sendiri atau Anda dapat membuat catatan DNS dengan menggunakan file host di mesin virtual Anda.

• Mengonfigurasi Zona DNS Privat dengan Azure Batch

• Ringkasan Azure DNS

• Panduan Penyebaran Sistem Nama Domain (DNS) Aman

• Mencegah entri DNS yang menggantung dan hindari pengambilalihan subdomain

Tanggung Jawab: Pelanggan

Manajemen Identitas

Untuk informasi lebih lanjut, lihat Azure Security Benchmark : Manajemen Identitas.

IM-1: Menstandarkan Microsoft Azure Active Directory sebagai pusat sistem identitas dan autentikasi

Panduan: Azure Active Directory (Azure AD) digunakan sebagai sistem autentikasi dan otorisasi default Batch. Lakukan standardisasi pada Azure Active Directory untuk mengelola identitas dan manajemen akses organisasi Anda. Akses akun Batch mendukung dua metode autentikasi: Kunci Bersama dan Azure Active Directory (Azure AD). Kami sangat menyarankan penggunaan Azure Active Directory untuk autentikasi akun Batch. Beberapa kemampuan Batch memerlukan metode autentikasi ini, termasuk banyak fitur terkait keamanan.

Mengamankan Azure Active Directory harus menjadi prioritas utama dalam praktik keamanan cloud organisasi Anda. Dengan skor keamanan identitas Azure AD, Anda dapat membandingkan postur keamanan identitas dengan rekomendasi praktik terbaik Microsoft. Untuk meningkatkan postur keamanan Anda, gunakan skor untuk mengukur seberapa cocok konfigurasi Anda dengan rekomendasi praktik terbaik.

• Penyewaan di Azure Active Directory

• Cara membuat dan mengonfigurasikan instans Azure AD

• Peran kustom untuk memberikan izin ke Azure AD

• Autentikasi Akun Batch

• Menetapkan Azure RBAC ke aplikasi Anda

Tanggung Jawab: Pelanggan

IM-2: Mengelola identitas aplikasi dengan aman dan otomatis

Panduan: Azure Batch mendukung identitas terkelola untuk sumber daya Azure-nya. Alih-alih membuat perwakilan layanan untuk mengakses sumber daya lain, Anda dapat menggunakan identitas terkelola dengan Batch. Batch dapat mengautentikasi secara asli ke layanan dan sumber daya Azure yang mendukung autentikasi Azure AD. Autentikasi ini melewati aturan pemberian akses yang telah ditentukan tanpa menggunakan info masuk yang dikodekan dalam kode sumber atau file konfigurasi.

Batch merekomendasikan penggunaan Azure AD untuk membuat perwakilan layanan dengan izin terbatas di tingkat sumber daya. Konfigurasikan perwakilan layanan ini dengan info masuk sertifikat dan kembali ke rahasia klien. Dalam kedua kasus tersebut, Azure Key Vault dapat digunakan dengan identitas yang dikelola Azure. Kemudian lingkungan runtime (seperti kumpulan Azure Batch) dapat mengambil info masuk dari brankas kunci.

• Mengonfigurasi identitas terkelola di kumpulan Batch

• Identitas terkelola Azure

• Perwakilan layanan Azure

• Menggunakan Azure Key Vault untuk pendaftaran perwakilan keamanan

Tanggung Jawab: Pelanggan

IM-6: Membatasi akses sumber daya Azure berdasarkan kondisi

Panduan: Untuk membatasi pengelolaan sumber daya Azure Batch Anda, gunakan akses bersyarat Azure AD untuk kontrol akses yang lebih terperinci berdasarkan kondisi yang ditentukan pengguna. Misalnya, Anda mungkin ingin meminta kredensial masuk pengguna dari rentang IP tertentu untuk menggunakan MFA. Anda juga dapat menggunakan manajemen sesi autentikasi granular melalui kebijakan akses bersyarat Azure AD untuk kasus penggunaan yang berbeda. Akses bersyarat ini tidak akan berlaku untuk kunci bersama apa pun yang digunakan untuk autentikasi klien ke akun Batch. Sebaiknya gunakan Azure AD dan bukan tombol ini.

• Autentikasi akun Batch

• Ringkasan Akses Bersyarat Azure

Tanggung Jawab: Pelanggan

IM-7: Menghapus paparan informasi masuk yang tidak diinginkan

Panduan: Azure Batch memungkinkan pelanggan menjalankan kode yang berpotensi dengan identitas atau rahasia. Untuk mengidentifikasi info masuk dalam kode Azure Batch atau konfigurasi Anda, disarankan untuk menerapkan Pemindai Info Masuk. Pemindai Info Masuk juga akan mendorong pemindahan informasi masuk yang ditemukan ke lokasi yang lebih aman, seperti Azure Key Vault.

Untuk GitHub, Anda dapat menggunakan fitur pemindaian rahasia asli untuk mengidentifikasi info masuk atau bentuk rahasia lain dalam kode.

• Menyiapkan Pemindai Info Masuk

• Pemindaian rahasia GitHub

Tanggung Jawab: Pelanggan

Akses dengan Hak Istimewa

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Akses dengan Hak istimewa.

PA-1: Melindungi dan membatasi pengguna dengan hak sangat istimewa

Panduan: Integrasikan autentikasi untuk aplikasi Azure Batch dengan Azure Active Directory. Buat kebijakan dan prosedur yang menggunakan peran dan izin administratif khusus.

Akun pengguna yang menjalankan tugas dapat diatur ke tingkat yang menunjukkan apakah tugas berjalan dengan akses tinggi. Akun pengguna otomatis dan akun pengguna bernama dapat berjalan dengan akses yang ditinggikan. Dua opsi untuk tingkat elevasi adalah:

• NonAdmin: Tugas berjalan sebagai pengguna standar tanpa akses yang ditinggikan. Tingkat elevasi default untuk akun pengguna Batch selalu NonAdmin.

• Admin: Tugas berjalan sebagai pengguna dengan akses yang ditinggikan dan beroperasi dengan izin Administrator penuh.

Atur cakupan elevasi tugas Azure Batch Anda dengan tepat. Hindari menggunakan izin tingkat Admin permanen jika memungkinkan.

• Akses yang lebih tinggi untuk Batch

• Cara mengautentikasi aplikasi Batch dengan Microsoft Azure Active Directory

• Cara memantau identitas dan akses dengan Microsoft Defender untuk Cloud

Tanggung Jawab: Pelanggan

PA-3: Tinjau dan rekonsiliasi akses pengguna secara teratur

Panduan: Azure Batch menggunakan Azure AD untuk menyediakan autentikasi guna mengelola sumber dayanya. Untuk memastikan akun dan aksesnya valid, tinjau akun pengguna dan akses penugasan secara teratur. Anda dapat menggunakan Azure AD dan tinjauan akses untuk meninjau:

• Keanggotaan grup
• Akses ke aplikasi perusahaan
• Penetapan peran

Pelaporan Microsoft Azure Active Directory dapat menyediakan log untuk membantu menemukan akun yang kedaluwarsa. Untuk meningkatkan proses peninjauan, Anda juga dapat menggunakan Azure AD Privileged Identity Management (PIM) untuk membuat alur kerja laporan dari tinjauan akses.

Anda dapat mengonfigurasi PIM Azure AD untuk memberi tahu Anda saat jumlah akun administrator yang berlebihan dibuat. Atau Anda dapat mengonfigurasinya untuk mengidentifikasi akun administrator yang kedaluwarsa atau dikonfigurasi dengan tidak benar.

Catatan: Beberapa layanan Azure mendukung pengguna dan peran lokal yang tidak dikelola melalui Azure AD, seperti kunci bersama Azure Batch. Sebagai gantinya gunakan Azure AD jika memungkinkan, karena Anda harus mengelola kunci ini secara terpisah saat digunakan.

• Autentikasi akun Batch

• Membuat tinjauan akses peran sumber daya Azure di Privileged Identity Management (PIM)

• Cara menggunakan identitas Azure Active Directory dan tinjauan akses

• Azure AD dengan peran kustom untuk layanan Batch

Tanggung Jawab: Pelanggan

PA-7: Ikuti administrasi secukupnya (prinsip hak istimewa terkecil)

Panduan: Azure Batch terintegrasi dengan Azure RBAC untuk mengelola sumber dayanya. Dengan Azure RBAC, Anda dapat mengelola akses sumber daya Azure melalui penetapan peran. Anda dapat menetapkan peran ini ke:

• Pengguna
• Grup
• Perwakilan layanan
• Identitas Terkelola

Ada peran bawaan yang telah ditentukan untuk sumber daya tertentu. Peran ini dapat diinventarisasi atau dikueri melalui alat seperti:

• Azure CLI
• Azure PowerShell
• portal Microsoft Azure

Hak istimewa yang Anda tetapkan ke sumber daya melalui Azure RBAC harus selalu dibatasi pada apa yang diperlukan oleh peran. Hak istimewa ini melengkapi pendekatan just-in-time (JIT) dari Azure AD Privileged Identity Management (PIM) dan harus sesekali ditinjau.

Gunakan peran bawaan untuk memberikan izin ke sumber daya Azure Batch Anda. Dengan Azure Batch, pengguna dapat membuat peran Azure RBAC kustom yang didasarkan pada operasi Batch agar sesuai dengan kebutuhan izin Anda. Alih-alih membuat peran khusus, gunakan peran bawaan bila memungkinkan.

• Peran kustom Azure Batch

• Apa yang dimaksud dengan kontrol akses berbasis peran Azure (Azure RBAC)

• Cara mengonfigurasi RBAC di Azure

• Cara menggunakan identitas Azure Active Directory dan tinjauan akses

Tanggung Jawab: Pelanggan

PA-8: Memilih proses persetujuan untuk dukungan Microsoft

Panduan: Batch tidak mendukung kotak kunci pelanggan. Untuk mengakses data pelanggan yang terkait dengan sumber daya Azure Batch, Microsoft dapat bekerja sama dengan pelanggan dalam skenario dukungan untuk mendapatkan persetujuan melalui metode lain.

Tanggung Jawab: Pelanggan

Perlindungan Data

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Perlindungan Data.

DP-1: Menemukan, mengklasifikasi, dan memberi label pada data sensitif

Panduan: Anda mungkin memiliki akun Azure Storage yang terkait dengan kumpulan Azure Batch. Jika akun ini berisi output pekerjaan dan tugas yang memiliki informasi sensitif, tandai mereka sebagai sensitif menggunakan tag. Amankan akun tersebut dengan praktik terbaik Azure.

Fitur berikut belum tersedia untuk sumber daya Azure Storage atau komputasi:

• Identifikasi data
• Klasifikasi
• Pencegahan kerugian

Terapkan solusi pihak ketiga untuk fitur tersebut jika perlu, untuk tujuan kepatuhan.

Jika Microsoft mengelola platform Azure Batch yang mendasarinya, Microsoft memperlakukan semua konten pelanggan sebagai sensitif. Microsoft berusaha keras untuk menjaga agar tidak terjadi kehilangan dan pemaparan data pelanggan. Untuk memastikan data pelanggan dalam Azure tetap aman, Microsoft telah menerapkan dan mempertahankan serangkaian kontrol dan kemampuan perlindungan data yang kuat.

• Mempertahankan tugas Azure Batch dan output tugas

• Pahami perlindungan data pelanggan di Azure

• Cara mengamankan Azure Storage Accounts

Tanggung Jawab: Dibagikan

DP-2: Melindungi data sensitif

Panduan: Azure Batch memungkinkan pelanggan mengelola konten output pekerjaan dan tugas mereka. Lindungi data sensitif dengan membatasi akses menggunakan Azure RBAC. Batch mendukung Azure RBAC untuk mengelola akses ke jenis sumber daya ini:

• Akun
• Pekerjaan
• Tugas
• Kumpulan

Untuk membuat kontrol akses lebih konsisten, sejajarkan semua jenis kontrol akses dengan strategi segmentasi perusahaan Anda. Rencanakan strategi segmentasi perusahaan Anda menggunakan lokasi data dan sistem yang sensitif atau penting bagi bisnis. Menerapkan langganan terpisah atau grup manajemen untuk:

• Pengembangan
• Uji
• Produksi

Pisahkan kumpulan Azure Batch Anda dengan jaringan virtual yang berbeda. Berikan tag jaringan virtual ini dengan tepat, dan amankan dengan kelompok keamanan jaringan (NSG). Letakkan data Azure Batch dalam akun Azure Storage yang aman.

Untuk platform yang mendasarinya (dikelola oleh Microsoft), Microsoft memperlakukan semua konten pelanggan sebagai sensitif. Hal ini menjaga agar tidak kehilangan dan pemaparan data pelanggan. Untuk memastikan data pelanggan dalam Azure tetap aman, Microsoft memiliki beberapa kontrol dan kemampuan perlindungan data default.

• Cara membuat kumpulan Azure Batch dalam jaringan virtual

• Cara mengamankan akun Azure Storage

Tanggung Jawab: Pelanggan

DP-3: Memantau transfer data sensitif yang tidak sah

Panduan: Anda mungkin memiliki akun Azure Storage yang terkait dengan kumpulan Azure Batch Anda. Jika akun ini berisi informasi sensitif, tandai sebagai sensitif menggunakan Tag. Amankan akun tersebut dengan praktik terbaik Azure.

Fitur berikut belum tersedia untuk sumber daya Azure Storage atau komputasi:

• Identifikasi data
• Klasifikasi
• Pencegahan

Terapkan solusi pihak ketiga jika diperlukan untuk tujuan kepatuhan.

Jika Microsoft mengelola platform yang mendasarinya, Microsoft memperlakukan semua konten pelanggan sebagai sensitif. Microsoft berusaha keras untuk menjaga agar tidak terjadi kehilangan dan pemaparan data pelanggan. Untuk memastikan data pelanggan dalam Azure tetap aman, Microsoft telah menerapkan dan mempertahankan serangkaian kontrol dan kemampuan perlindungan data yang kuat.

• Memahami perlindungan data pelanggan di Azure

• Cara mengamankan akun Azure Storage

Tanggung Jawab: Dibagikan

DP-4: Mengenkripsi informasi sensitif saat transit

Panduan: Mengenkripsi semua informasi yang bersifat sensitif saat transit. Microsoft Azure akan menegosiasikan Keamanan Lapisan Transportasi (TLS) 1.2 secara default. Jika klien terhubung ke kumpulan Azure Batch atau penyimpanan data (akun Azure Storage), pastikan klien dapat menegosiasikan TLS 1.2 atau lebih tinggi.

Pastikan juga HTTPS diperlukan untuk mengakses akun penyimpanan yang berisi data Azure Batch Anda.

• Memahami enkripsi akun Azure Storage saat transit

Tanggung Jawab: Dibagikan

DP-5: Mengenkripsi data sensitif yang tidak aktif

Panduan: Untuk melengkapi kontrol akses, Batch mengenkripsi data tidak aktif, yang melindungi dari serangan 'out of band' (seperti mengakses penyimpanan yang mendasarinya) menggunakan enkripsi. Praktik ini membantu memastikan bahwa penyerang tidak dapat dengan mudah membaca atau mengubah data.

Microsoft Azure menyediakan enkripsi untuk data yang tidak aktif secara default. Untuk data yang sangat sensitif, Anda dapat menerapkan enkripsi ekstra saat tidak aktif di semua sumber daya Azure jika tersedia. Azure mengelola kunci enkripsi Anda secara default. Untuk memenuhi persyaratan peraturan, Azure juga menyediakan opsi untuk mengelola kunci Anda sendiri (kunci yang dikelola pelanggan) untuk layanan Azure tertentu.

• Cara mengelola kunci enkripsi untuk Akun Azure Storage

• Cara mengonfigurasi kunci enkripsi yang dikelola pelanggan

• Cara membuat kumpulan dengan enkripsi disk diaktifkan

Tanggung Jawab: Pelanggan

Manajemen Aset

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Aset.

AM-2: Pastikan tim keamanan dapat mengakses inventaris aset dan metadata

Panduan: Biarkan tim keamanan mengakses inventaris aset yang terus diperbarui di Azure, seperti Batch. Tim keamanan membutuhkan inventaris ini untuk mengevaluasi potensi pemaparan organisasi mereka terhadap risiko yang muncul. Tim-tim ini juga menggunakan inventaris sebagai input untuk meningkatkan keamanan berkelanjutan.

Buat grup Azure AD untuk berisi tim keamanan resmi organisasi Anda. Tetapkan akses baca ke grup untuk semua sumber daya Batch. Anda dapat menyederhanakan akses ke satu penetapan peran tingkat tinggi dalam langganan Anda. Terapkan tag ke sumber daya Azure Batch untuk menambahkan metadata yang lebih diperlukan secara organisasi. Tag membantu mengatur sumber daya Batch secara logis di bawah taksonomi. Di tingkat akun Batch, Anda dapat menambahkan tag metadata untuk metadata keamanan penting. Namun, kumpulan atau sumber daya batch lainnya tidak mewarisi tag ini.

• Panduan keputusan penamaan dan pemberian tag sumber daya

Tanggung Jawab: Pelanggan

AM-3: Hanya gunakan layanan Azure yang disetujui

Panduan: Dengan Azure Policy, audit, dan batasi layanan mana (seperti Azure Batch) yang dapat diprovisikan pengguna di lingkungan Anda. Gunakan Azure Resource Graph untuk mengkueri dan menemukan sumber daya dalam langganan pengguna. Gunakan Azure Monitor untuk membuat aturan untuk memicu peringatan saat layanan yang tidak disetujui terdeteksi.

• Cara mengonfigurasi dan mengelola Azure Policy

• Cara menolak jenis sumber daya tertentu dengan Azure Policy

• Cara membuat kueri dengan Azure Resource Graph Explorer

Tanggung Jawab: Pelanggan

AM-6: Hanya gunakan aplikasi yang disetujui dalam sumber daya komputasi

Panduan: Dengan Azure Batch, pengguna dapat memasang perangkat lunak pada node komputasinya. Saat ini Batch tidak dapat membatasi atau membuat 'allowlist' perangkat lunak yang dapat dijalankan di node-nya. Anda dapat mengelola dan memasang perangkat lunak di Batch melalui portal Azure atau API Manajemen Batch. Untuk mencegah pemasangan aplikasi berbahaya, pelanggan harus menentukan akses yang tepat melalui Azure RBAC untuk membatasi siapa yang dapat memperbarui node Batch.

• Mengunggah dan mengelola aplikasi

Tanggung Jawab: Pelanggan

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pencatatan dan Deteksi Ancaman.

LT-1: Mengaktifkan deteksi ancaman untuk sumber daya Azure

Panduan: Teruskan log diagnostik dan aktivitas apa pun dari Azure Batch ke solusi SIEM Anda. Anda dapat menggunakan SIEM untuk menyiapkan deteksi ancaman khusus. Pantau berbagai jenis aset Azure untuk potensi ancaman dan anomali. Dapatkan peringatan berkualitas tinggi untuk mengurangi kesalahan positif yang dapat diurutkan oleh analis. Peringatan dapat bersumber dari data log, agen, atau data lainnya.

Microsoft Defender untuk Cloud tidak memberikan penilaian kerentanan untuk sumber daya Azure Batch melalui Microsoft Defender. Microsoft Defender untuk Cloud memberikan rekomendasi berbasis keamanan untuk Batch.

• Metrik batch, pemberitahuan, dan log untuk evaluasi dan pemantauan diagnostik

• Cakupan Fitur Microsoft Defender untuk Cloud untuk layanan PaaS Azure

• Inteligensi ancaman cyber di Microsoft Azure Sentinel

• Mengonfigurasi peringatan metrik Azure Batch

• Membuat aturan analitik kustom untuk mendeteksi ancaman

Tanggung Jawab: Pelanggan

LT-4: Mengaktifkan pengelogan untuk sumber daya Azure

Panduan: Log aktivitas berisi semua operasi tulis (PUT, POST, dan DELETE) yang tersedia secara otomatis untuk sumber daya Azure Batch Anda. Log tidak berisi operasi baca (GET). Anda dapat menggunakan log aktivitas untuk menemukan kesalahan saat memecahkan masalah. Atau log dapat membantu Anda memantau bagaimana pengguna di organisasi Anda memodifikasi sumber daya.

Aktifkan log sumber daya Azure untuk Azure Batch untuk jenis log berikut: ServiceLog dan AllMetrics. Dengan menggunakan log ini, Anda dapat menyelidiki insiden keamanan dan melakukan latihan forensik. Aktifkan log ini secara eksplisit untuk setiap akun Batch yang ingin Anda pantau. Atau Anda dapat menggunakan Azure Policy untuk mengaktifkan log sumber daya dan pengumpulan data log dalam skala besar.

• Cara mengumpulkan log dan metrik platform dengan Azure Monitor

Untuk pemantauan tingkat sumber daya Azure Batch, gunakan API Azure Batch untuk memantau atau mengkueri status sumber daya Anda termasuk:

• Pekerjaan
• Tugas
• Node
• Kumpulan

Untuk informasi lebih lanjut, lihat Catatan SAP berikut ini:

• Cara mengonfigurasi pemantauan dan pengelogan tingkat akun Azure Batch

• Memahami pemantauan tingkat sumber daya Batch

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Batch:

Nama (portal Microsoft Azure)	Deskripsi	Efek	Versi (GitHub)
Log sumber daya di akun Azure Batch harus diaktifkan	Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi	AuditIfNotExists, Dinonaktifkan	5.0.0

LT-6: Mengonfigurasi retensi penyimpanan log

Panduan: Apakah Anda memiliki akun penyimpanan atau ruang kerja Log Analytics yang digunakan untuk menyimpan log Azure Batch? Kemudian atur periode retensi log sesuai dengan peraturan kepatuhan organisasi Anda.

• Cara mengonfigurasi Periode Retensi Ruang Kerja Log Analytics

• Menyimpan log sumber daya di Akun Azure Storage

• Metrik batch, pemberitahuan, dan log untuk evaluasi dan pemantauan diagnostik

Tanggung Jawab: Pelanggan

LT-7: Menggunakan sumber sinkronisasi waktu yang disetujui

Panduan: Batch tidak mendukung konfigurasi sumber sinkronisasi dengan waktu Anda sendiri.

Layanan Batch bergantung pada sumber sinkronisasi waktu Microsoft. Hal ini tidak dapat dikonfigurasi pelanggan.

Tanggung jawab: Microsoft

Manajemen Postur dan Kerentanan

Untuk mengetahui informasi selengkapnya, lihat Tolok Ukur Keamanan Azure: Manajemen Postur dan Kerentanan.

PV-1: Membuat konfigurasi aman untuk layanan Azure

Panduan: Untuk mengaudit dan menerapkan konfigurasi sumber daya Batch Anda, gunakan Microsoft Defender untuk Cloud untuk mengonfigurasi Azure Policy bawaan untuk Azure Batch.

Untuk skenario ketika definisi kebijakan bawaan tidak ada, Anda dapat menggunakan alias Azure Policy di namespace layanan "Microsoft.Batch". Gunakan alias ini untuk membuat kebijakan kustom untuk diaudit. Atau gunakan alias untuk menerapkan konfigurasi akun dan kumpulan Azure Batch Anda.

Anda dapat menggunakan Azure Blueprints untuk mengotomatiskan penyebaran dan konfigurasi layanan dan lingkungan aplikasi. Dalam definisi cetak biru tunggal, Anda dapat mengotomatiskan:

• Templat Azure Resource Manager
• Kontrol Azure RBAC
• Kebijakan

Untuk mengetahui informasi selengkapnya, lihat artikel berikut ini:

• Cara menampilkan alias Azure Policy yang tersedia

• Tutorial: Membuat dan mengelola kebijakan untuk menegakkan kepatuhan

• Azure Blueprints

• Kebijakan bawaan Azure

Tanggung Jawab: Pelanggan

PV-2: Membuat konfigurasi aman secara berkelanjutan untuk layanan Azure

Panduan: Untuk menerapkan pengaturan aman untuk sumber daya Azure yang terkait dengan akun dan kumpulan Batch Anda, gunakan definisi bawaan Azure Policy untuk [Deny] dan [DeployIfNotExists]. Sumber daya ini dapat mencakup:

• Jaringan virtual
• Subnet
• Azure Firewall
• Akun Azure Storage

Anda dapat menggunakan alias Azure Policy dari namespace layanan berikut untuk membuat kebijakan kustom:

• Microsoft.Batch

• Microsoft.Storage

• Microsoft.Network

Untuk mengetahui informasi selengkapnya, lihat artikel berikut ini:

• Buat dan kelola kebijakan untuk menegakkan kepatuhan

• Kebijakan bawaan Azure

Tanggung Jawab: Pelanggan

PV-3: Menetapkan konfigurasi yang aman untuk sumber daya komputasi

Panduan: Pelanggan dapat menggunakan gambar sistem operasi khusus untuk Azure Batch. Batch memungkinkan pengguna memasang dan memuat perangkat lunak arbitrer pada node komputasinya.

Saat menggunakan konfigurasi mesin virtual untuk Azure Batch Anda, kumpulan menggunakan gambar kustom yang diperketat sesuai dengan kebutuhan organisasi Anda. Untuk manajemen siklus hidup, kumpulan menyimpan gambar di galeri gambar bersama. Anda dapat menyiapkan proses pembuatan gambar yang aman menggunakan alat otomatisasi Azure, seperti Azure Image Builder.

• Gunakan Shared Image Gallery (Galeri Citra Bersama) untuk membuat kumpulan citra kustom

• Citra khusus untuk kumpulan Komputer Virtual

• Ringkasan Azure Image Builder

Tanggung Jawab: Pelanggan

PV-4: Mempertahankan konfigurasi yang aman untuk sumber daya komputasi

Panduan: Pelanggan dapat menggunakan gambar sistem operasi khusus untuk Batch. Azure Batch memungkinkan pengguna memasang dan memuat perangkat lunak arbitrer pada node komputasinya.

Buat kebijakan untuk mewajibkan kumpulan Azure Batch Anda hanya menggunakan gambar aman yang disetujui. Tindakan ini menopang sumber daya komputasi Anda yang dikonfigurasi dengan aman di Azure Batch. Untuk memindai sumber daya Azure Batch yang tidak disetujui atau salah dikonfigurasi, Anda juga dapat menerapkan Azure API atau Azure CLI pada runbook Azure Automation yang berulang.

• Perintah Azure Batch CLI - az batch pool list

• Perintah CLI Azure Batch - az batch application

• Citra khusus untuk kumpulan Komputer Virtual

• Mengelola Jadwal di Azure Automation

Tanggung Jawab: Pelanggan

PV-5: Menyimpan sistem operasi kustom dan gambar kontainer dengan aman

Panduan: Jika Anda menggunakan gambar kustom untuk kumpulan Azure Batch Anda, gunakan Azure RBAC untuk memastikan hanya pengguna yang berwenang yang dapat mengakses gambar. Simpan gambar kontainer di Azure Container Registry. Gunakan Azure RBAC untuk memastikan bahwa hanya pengguna yang berwenang yang memiliki akses.

• Memahami Azure RBAC

• Memahami Azure RBAC untuk Container Registry

• Ringkasan Shared Image Gallery

Tanggung Jawab: Pelanggan

PV-6: Lakukan penilaian kerentanan perangkat lunak

Panduan: Untuk node kumpulan Azure Batch, Anda bertanggung jawab untuk mengelola solusi manajemen kerentanan apa pun yang digunakan. Azure Batch tidak menyediakan kemampuan untuk penilaian kerentanan asli.

Apakah Anda memiliki langganan Rapid7, Qualys, atau platform pengelolaan kerentanan lainnya? Anda dapat memasang agen penilaian kerentanan secara manual di node kumpulan Batch. Kemudian kelola node melalui portal masing-masing.

• Menyebarkan solusi bawa lisensi Anda sendiri (BYOL) menggunakan PowerShell dan REST API

Tanggung Jawab: Pelanggan

PV-7: Memperbaiki kerentanan perangkat lunak dengan cepat dan otomatis

Guidance: Tekankan penggunaan program penilaian risiko umum (misalnya, Sistem Skor Kerentanan Umum) atau peringkat risiko default yang disediakan oleh alat pemindaian pihak ketiga Anda. Kemudian sesuaikan lingkungan Anda menggunakan konteks untuk menentukan aplikasi mana:

• Menghadirkan risiko keamanan yang tinggi
• Memerlukan waktu aktif tinggi

Azure Batch saat ini tidak memiliki pemindaian kerentanan asli yang dihadapi pelanggan. Untuk platform yang mendasari yang menghosting Batch, Microsoft memastikan kerentanan telah diperbaiki. Untuk perangkat lunak yang berjalan di atas Batch, Anda dapat menerapkan Azure API atau Azure CLI pada runbook Azure Automation yang berulang. Tindakan ini memindai dan memperbarui perangkat lunak yang berpotensi rentan, yang berjalan di node Azure Batch Anda.

• Perintah Azure Batch CLI - az batch pool list

• Perintah CLI Azure Batch - az batch application

• Mengunggah dan mengelola aplikasi

Tanggung Jawab: Dibagikan

Keamanan titik akhir

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Titik Akhir.

ES-2: Menggunakan perangkat lunak anti-malware modern yang dikelola secara terpusat

Guidance: Node Azure Batch dapat menjalankan skrip yang dapat dijalankan atau skrip apa pun yang didukung oleh lingkungan sistem operasi node. Untuk sistem operasi Windows, gunakan Windows Defender pada node kumpulan Azure Batch individual Anda. Untuk Linux, berikan solusi antimalware Anda sendiri.

• Simpul dan kumpulan di Microsoft Azure Batch

• Microsoft Antimalware untuk Azure Cloud Services dan Virtual Machines

Tanggung Jawab: Dibagikan

ES-3: Pastikan perangkat lunak anti-malware dan tanda tangan diperbarui

Panduan: Pastikan untuk memperbarui tanda tangan antimalware dengan cepat dan konsisten. Ikuti rekomendasi di Microsoft Defender untuk Cloud "Aplikasi & Komputasi" untuk memastikan semua titik akhir diperbarui dengan tanda tangan terbaru. Node Azure Batch dapat menjalankan skrip yang dapat dijalankan atau skrip apa pun yang didukung oleh lingkungan sistem operasi node. Untuk sistem operasi Windows, gunakan Windows Defender pada node kumpulan Azure Batch individual Anda, dan aktifkan pembaruan otomatis. Microsoft Antimalware akan otomatis memasang tanda tangan terbaru dan pembaruan mesin secara default. Untuk Linux, gunakan solusi antimalware pihak ketiga.

• Simpul dan kumpulan di Microsoft Azure Batch

• Cara menyebarkan Microsoft Antimalware untuk Azure Cloud Services dan Virtual Machines

• Penilaian dan rekomendasi perlindungan titik akhir di Microsoft Defender untuk Cloud

Tanggung Jawab: Pelanggan

Microsoft Azure Backup dan Pemulihan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Microsoft Azure Backup dan Pemulihan.

BR-1: Pastikan pencadangan otomatis secara rutin

Panduan: Saat Anda menggunakan akun Azure Storage untuk penyimpanan data kumpulan Azure Batch, pilih opsi redundansi yang sesuai:

• Penyimpanan redundan secara lokal (LRS)
• Penyimpanan lewah zona (ZRS)
• Penyimpanan lewah geo (GRS)
• Penyimpanan lewah geo akses baca (RA-GRS)

Cadangkan akun penyimpanan Anda di Vault Azure Backup secara teratur.

• Mencadangkan semua blob Azure di dalam akun penyimpanan menggunakan Azure PowerShell

• Cara mengonfigurasi redundansi penyimpanan untuk Akun Azure Storage

Tanggung Jawab: Pelanggan

BR-2: Mengenkripsi data cadangan

Panduan: Saat Anda menggunakan akun Azure Storage untuk penyimpanan data kumpulan Azure Batch, akun tersebut dienkripsi secara otomatis saat tidak aktif dengan kunci yang dikelola Microsoft. Jika organisasi memiliki kebutuhan peraturan untuk menggunakan kunci yang dikelola pelanggannya sendiri untuk mengenkripsi penyimpanan Azure Batch, Azure menyimpan kunci ini di Azure Key Vault.

• Cara mencadangkan kunci brankas kunci di Azure

• Ringkasan fitur keamanan di Azure Backup

• Enkripsi data pencadangan menggunakan kunci yang dikelola pelanggan

Tanggung Jawab: Pelanggan

BR-3: Memvalidasi semua cadangan termasuk kunci yang dikelola pelanggan

Panduan: Jika Anda mengelola kunci Anda sendiri untuk akun Azure Storage (atau sumber daya lain apa pun yang terkait dengan implementasi Azure Batch Anda), uji pemulihan kunci yang dicadangkan secara berkala.

• Cara mencadangkan kunci brankas kunci di Azure

• Cara memulihkan kunci Key Vault di Azure

Tanggung Jawab: Pelanggan

BR-4: Mengurangi risiko kehilangan kunci

Panduan: Jika Azure Key Vault digunakan untuk menyimpan kunci apa pun yang terkait dengan Akun Penyimpanan Kumpulan Azure Batch, aktifkan Penghapusan Sementara di Azure Key Vault guna melindungi kunci dari penghapusan yang tidak disengaja atau berbahaya.

• Cara mengaktifkan perlindungan penghapusan sementara dan menyeluruh di Key Vault

Tanggung Jawab: Pelanggan

Langkah berikutnya

• Lihat Gambaran umum Azure Security Benchmark V2
• Pelajari selengkapnya tentang Garis besar keamanan Azure