Garis besar keamanan Azure untuk Azure Bot Service

Garis besar keamanan ini menerapkan panduan dari Azure Security Benchmark versi 2.0 ke Microsoft Azure Bot Service. Azure Security Benchmark memberikan rekomendasi tentang cara Anda mengamankan solusi cloud Anda di Azure. Konten dikelompokkan berdasarkan kontrol keamanan yang ditentukan oleh Azure Security Benchmark dan panduan terkait yang berlaku untuk Azure Bot Service.

Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini, untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Azure Security Benchmark. Beberapa rekomendasi mungkin memerlukan paket Pertahanan Microsoft berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol tidak berlaku untuk Azure Bot Service, dan kontrol yang direkomendasikan oleh panduan global secara verbatim, telah dikecualikan. Untuk melihat bagaimana Azure Bot Service sepenuhnya memetakan ke Azure Security Benchmark, lihat file pemetaan garis besar keamanan Azure Bot Service lengkap.

Keamanan Jaringan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Jaringan.

NS-1: Menerapkan keamanan untuk lalu lintas internal

Panduan: Saat Anda menyebarkan sumber daya Azure Bot Service, Anda harus membuat atau menggunakan jaringan virtual yang ada. Pastikan bahwa semua jaringan virtual Azure mengikuti prinsip segmentasi perusahaan yang selaras dengan risiko bisnis. Sistem apa pun yang dapat menimbulkan risiko lebih tinggi bagi organisasi harus diisolasi dalam jaringan virtualnya sendiri dan diamankan dengan baik, dengan kelompok keamanan jaringan (NSG) dan/atau Azure Firewall.

Cara membuat grup keamanan jaringan dengan aturan keamanan:​ /azure/virtual-network/tutorial-filter-network-traffic​​

Cara menyebarkan dan mengonfigurasi Azure Firewall: /azure/firewall/tutorial-firewall-deploy-portal

Tanggung Jawab: Pelanggan

NS-2: Menyambungkan jaringan privat bersama-sama

Panduan: Gunakan Azure ExpressRoute atau Jaringan pribadi Maya (VPN) Azure untuk membuat koneksi pribadi antara pusat data Azure dan infrastruktur lokal di lingkungan kolokasi. Koneksi ExpressRoute tidak melalui internet publik, dan menawarkan lebih banyak keandalan, kecepatan yang lebih baik, dan latensi yang lebih rendah daripada koneksi internet pada umumnya. Untuk VPN titik-ke-situs dan VPN situs-ke-situs, Anda dapat menyambungkan perangkat atau jaringan lokal ke jaringan virtual menggunakan kombinasi opsi VPN ini dan Azure ExpressRoute.

Untuk menyambungkan dua atau lebih jaringan virtual di Azure bersama-sama, gunakan serekanan jaringan virtual. Lalu lintas jaringan antara jaringan virtual yang diserekankan bersifat privat dan disimpan di jaringan backbone Azure.

Tanggung Jawab: Pelanggan

NS-4: Melindungi aplikasi dan layanan dari serangan jaringan eksternal

Panduan: Lindungi sumber daya Azure Bot Service Anda dari serangan jaringan eksternal, termasuk Serangan penolakan layanan (DDoS) terdistribusi, serangan khusus aplikasi, dan lalu lintas internet yang tidak diminta dan berpotensi berbahaya. Gunakan Azure Firewall untuk melindungi aplikasi dan layanan dari lalu lintas yang berpotensi berbahaya dari internet dan lokasi eksternal lainnya. Lindungi aset dari serangan DDoS dengan mengaktifkan perlindungan standar DDoS di jaringan virtual Azure Anda. Gunakan Microsoft Defender untuk Cloud guna mendeteksi risiko kesalahan konfigurasi yang terkait dengan sumber daya terkait jaringan Anda.

Gunakan kemampuan Firewall Aplikasi Web (WAF) di gateway Aplikasi Azure, Azure Front Door, dan Jaringan Content Delivery Network (CDN) untuk melindungi aplikasi Anda yang berjalan di Azure Bot Service dari serangan lapisan aplikasi.

Tanggung Jawab: Pelanggan

NS-6: Menyederhanakan aturan keamanan jaringan

Panduan: Gunakan Tag Layanan Jaringan Virtual untuk menentukan kontrol akses jaringan di Grup Keamanan Jaringan atau Azure Firewall yang dikonfigurasi untuk sumber daya Azure Bot Service Anda. Anda dapat menggunakan tag layanan sebagai pengganti alamat IP tertentu saat membuat aturan keamanan. Dengan menentukan nama tag layanan (Misalnya: AzureBotService) di bidang aturan sumber atau tujuan yang sesuai, Anda dapat mengizinkan atau menolak lalu lintas untuk layanan terkait. Microsoft mengelola awalan alamat yang dicakup oleh tag layanan dan secara otomatis memperbarui tag layanan saat alamat berubah.

Tanggung Jawab: Pelanggan

Manajemen Identitas

Untuk informasi lebih lanjut, lihat Azure Security Benchmark : Manajemen Identitas.

IM-1: Menstandarkan Microsoft Azure Active Directory sebagai pusat sistem identitas dan autentikasi

Panduan: Azure Bot Service menggunakan Azure Active Directory (Microsoft Azure AD) sebagai layanan manajemen akses dan identitas default. Standarisasi pada Microsoft Azure AD untuk mengatur identitas organisasi Anda dan manajemen akses di:- Sumber daya cloud Microsoft, seperti portal Microsoft Azure, Azure Storage, Azure Virtual Machines (Linux dan Windows), Azure Key Vault, PaaS, dan aplikasi SaaS.

  • Sumber daya organisasi Anda, seperti aplikasi di Azure atau sumber daya jaringan perusahaan Anda.

Mengamankan Microsoft Azure Active Directory harus menjadi prioritas tinggi dalam praktik keamanan cloud organisasi Anda. Microsoft Azure AD menyediakan skor aman identitas untuk membantu Anda menilai postur keamanan identitas relatif terhadap rekomendasi praktik terbaik Microsoft. Gunakan skor untuk mengukur seberapa dekat konfigurasi Anda cocok dengan rekomendasi praktik terbaik, dan untuk melakukan peningkatan dalam postur keamanan Anda.

Catatan: Microsoft Azure AD mendukung penyedia identitas eksternal, yang memungkinkan pengguna tanpa akun Microsoft untuk masuk ke aplikasi dan sumber daya mereka dengan identitas eksternal.

Tanggung Jawab: Pelanggan

IM-3: Menggunakan akses menyeluruh (SSO) Microsoft Azure AD untuk akses aplikasi

Panduan: Azure Active Directory (Microsoft Azure AD) menyediakan manajemen akses dan identitas ke sumber daya Azure, aplikasi cloud, dan aplikasi lokal. Manajemen identitas dan akses berlaku untuk identitas perusahaan seperti karyawan, serta identitas eksternal seperti mitra, vendor, dan pemasok.

Gunakan akses menyeluruh (SSO) Microsoft Azure AD untuk mengelola dan mengamankan akses ke data dan sumber daya organisasi Anda di tempat dan di cloud. Hubungkan semua pengguna, aplikasi, dan perangkat Anda ke Microsoft Azure AD untuk akses yang lancar, aman, serta visibilitas dan kontrol yang lebih besar.

Tanggung Jawab: Pelanggan

IM-7: Menghapus paparan informasi masuk yang tidak diinginkan

Panduan: Azure Bot Service memungkinkan pelanggan untuk menyebarkan/menjalankan kode atau konfigurasi atau data yang disimpan secara potensial dengan identitas/rahasia, disarankan untuk menyebarkan Pemindai Info masuk untuk mengidentifikasi info masuk dalam kode atau konfigurasi atau data yang disimpan. Pemindai Info masuk juga akan mendorong pemindahan info masuk yang ditemukan ke lokasi yang lebih aman seperti Azure Key Vault.

Untuk GitHub, Anda dapat menggunakan fitur pemindaian rahasia asli untuk mengidentifikasi info masuk atau bentuk rahasia lain dalam kode.

Tanggung Jawab: Pelanggan

Akses dengan Hak Istimewa

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Akses dengan Hak Istimewa.

PA-3: Tinjau dan rekonsiliasi akses pengguna secara teratur

Panduan: Azure Bot Service menggunakan akun Azure Active Directory (Microsoft Azure AD) untuk mengelola sumber dayanya, meninjau akun pengguna, dan mengakses penetapan secara teratur untuk memastikan akun dan tingkat aksesnya valid. Anda dapat menggunakan tinjauan akses Azure Active Directory untuk meninjau keanggotaan grup, akses ke aplikasi perusahaan, dan penetapan peran. Pelaporan Azure Active Directory dapat menyediakan log untuk membantu menemukan akun basi. Anda juga dapat menggunakan Azure Active Directory Privileged Identity Management untuk membuat alur kerja laporan tinjauan akses yang memfasilitasi proses peninjauan.

Selain itu, Azure Privileged Identity Management dapat dikonfigurasi untuk memberi tahu saat jumlah akun administrator yang dibuat berlebihan, dan untuk mengidentifikasi akun administrator yang basi atau tidak dikonfigurasi dengan benar. Catatan: Beberapa layanan Azure mendukung pengguna dan peran lokal yang tidak dikelola melalui Azure Active Directory. Anda harus mengelola pengguna ini secara terpisah.

Tanggung Jawab: Pelanggan

PA-6: Menggunakan stasiun kerja akses hak istimewa

Panduan: Stasiun kerja yang aman dan terisolasi sangat penting untuk keamanan peran sensitif seperti administrator, pengembang, dan operator layanan penting. Gunakan stasiun kerja pengguna yang sangat aman dan/atau Azure Bastion untuk tugas administratif. Gunakan Azure Active Directory (Microsoft Azure AD), Microsoft Defender Advanced Threat Protection (ATP), dan/atau Microsoft Intune untuk menyebarkan stasiun kerja pengguna yang aman dan terkelola untuk tugas administratif. Stasiun kerja yang aman dapat dikelola secara terpusat untuk menerapkan konfigurasi aman termasuk autentikasi yang kuat, garis besar perangkat lunak dan perangkat keras, akses logis serta jaringan yang dibatasi.

Tanggung Jawab: Pelanggan

PA-7: Ikuti administrasi secukupnya (prinsip hak istimewa terkecil)

Panduan: Azure Bot Service terintegrasi dengan kontrol akses berbasis peran (RBAC) Azure untuk mengelola sumber dayanya. Azure RBAC memungkinkan Anda mengelola akses sumber daya Azure melalui penetapan peran. Anda dapat menetapkan peran ini kepada pengguna, mengelompokkan perwakilan layanan, dan identitas terkelola. Ada peran bawaan yang telah ditentukan sebelumnya untuk sumber daya tertentu, dan peran tersebut dapat disimpan di inventaris atau dikueri melalui alat seperti Azure CLI, Azure PowerShell, atau portal Microsoft Azure. Hak istimewa yang Anda tetapkan ke sumber daya melalui RBAC Azure harus selalu dibatasi pada apa yang diperlukan oleh peran. Hal ini melengkapi pendekatan just-in-time (JIT) Azure Active Directory (Azure AD) Privileged Identity Management (PIM) dan harus ditinjau secara berkala.

Jika memungkinkan, gunakan peran bawaan untuk mengalokasikan izin dan hanya buat peran kustom saat diperlukan.

Apa itu kontrol akses berbasis peran Azure (Azure RBAC) /Azure/kontrol akses berbasis peran/Gambaran umum

Tanggung Jawab: Pelanggan

Perlindungan Data

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Perlindungan Data.

DP-2: Melindungi data sensitif

Panduan: Lindungi data sensitif dengan membatasi akses menggunakan Azure Role Based Access Control (Azure RBAC), kontrol akses berbasis jaringan, dan kontrol spesifik dalam layanan Azure (seperti enkripsi di SQL dan database lainnya).

Semua jenis kontrol akses harus diselaraskan dengan strategi segmentasi perusahaan Anda untuk memastikan kontrol akses yang konsisten. Strategi segmentasi perusahaan juga harus diinformasikan oleh lokasi data dan sistem penting sensitif atau bisnis.

Untuk platform dasar, yang dikelola oleh Microsoft, Microsoft memperlakukan semua konten pelanggan sebagai hal yang sensitif dan menjaga dari kehilangan dan paparan data pelanggan. Untuk memastikan data pelanggan di dalam Azure tetap aman, Microsoft telah menerapkan beberapa kontrol dan kemampuan perlindungan data default.

Tanggung Jawab: Bersama

DP-3: Memantau transfer data sensitif yang tidak sah

Panduan: Pantau transfer data yang tidak sah ke lokasi di luar visibilitas dan kontrol perusahaan. Ini biasanya melibatkan pemantauan untuk aktivitas anomali (transfer besar atau tidak biasa) yang dapat menunjukkan eksfiltrasi data yang tidak sah. Azure Storage Advanced Threat Protection (ATP) dan Azure SQL ATP dapat memperingatkan transfer informasi anomali yang mungkin menunjukkan transfer informasi sensitif yang tidak sah. Perlindungan Informasi Azure (AIP) menyediakan kemampuan pemantauan untuk informasi yang telah diklasifikasikan dan diberi label. Jika diperlukan untuk kepatuhan pencegahan kehilangan data (DLP), Anda dapat menggunakan solusi DLP berbasis host untuk menegakkan kontrol detektif dan/atau pencegahan untuk mencegah penyelundupan data.

Tanggung Jawab: Pelanggan

DP-4: Mengenkripsi informasi sensitif saat transit

Panduan: Semua titik akhir Azure Bot Service diekspos melalui HTTP menegakkan TLS 1.2. Dengan protokol keamanan yang diberlakukan, konsumen yang mencoba menelepon titik akhir Azure Bot Service harus mematuhi pedoman ini:

  • Sistem Operasi (OS) klien perlu mendukung TLS 1.2.- Bahasa (dan platform) yang digunakan untuk membuat panggilan HTTP perlu menentukan TLS 1.2 sebagai bagian dari permintaan. Tergantung pada bahasa dan platform, menentukan TLS dilakukan baik secara implisit atau eksplisit. Untuk melengkapi kontrol akses, data dalam perjalanan harus dilindungi dari serangan 'out of band' (misalnya, pengambilan lalu lintas) menggunakan enkripsi untuk memastikan bahwa penyerang tidak dapat dengan mudah membaca atau memodifikasi datanya. Meskipun bersifat opsional untuk lalu lintas pada jaringan privat, ini sangat penting untuk lalu lintas di jaringan eksternal dan publik. Untuk lalu lintas HTTP, pastikan setiap klien yang terhubung ke sumber daya Azure Anda dapat menegosiasikan TLS v1.2 atau yang lebih besar. Untuk manajemen jarak jauh, gunakan SSH (untuk Linux) atau RDP/TLS (untuk Windows) alih-alih protokol yang tidak terenkripsi. Versi dan protokol SSL, TLS, dan SSH yang kedaluwarsa, dan sandi yang lemah harus dinonaktifkan.

Secara default, Microsoft Azure menyediakan enkripsi untuk data saat transit di antara pusat data Microsoft Azure.

Tanggung Jawab: Bersama

DP-5: Mengenkripsi data sensitif yang tidak aktif

Panduan: Untuk melengkapi kontrol akses, data tidak aktif harus dilindungi dari serangan 'luar pita' (seperti mengakses penyimpanan yang mendasarinya) menggunakan enkripsi. Perlindungan ini membantu memastikan bahwa penyerang tidak dapat dengan mudah membaca atau merubah data.

Azure memberikan enkripsi data tidak aktif secara default. Untuk data yang sangat sensitif, Anda memiliki opsi untuk menerapkan enkripsi tambahan saat tidak aktif ke semua sumber daya Microsoft Azure jika tersedia. Microsoft Azure mengelola kunci enkripsi Anda secara default, tetapi Microsoft Azure menyediakan opsi untuk mengelola kunci Anda sendiri (kunci yang dikelola pelanggan) untuk layanan Microsoft Azure tertentu.

Jika diperlukan untuk kepatuhan pada sumber daya komputasi, terapkan alat pihak ketiga, seperti solusi Pencegahan Kehilangan Data berbasis host otomatis, untuk memberlakukan kontrol akses ke data bahkan ketika data disalin dari sistem.

Tanggung Jawab: Pelanggan

Manajemen Aset

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Aset.

AM-1: Memastikan tim keamanan memiliki visibilitas terhadap risiko aset

Panduan: Pastikan tim keamanan diberikan izin Pembaca Keamanan di penyewa dan langganan Azure Anda sehingga mereka dapat memantau risiko keamanan menggunakan Microsoft Defender untuk Cloud.

Tergantung pada susunan tanggung jawab tim keamanan, pemantauan untuk risiko keamanan bisa menjadi tanggung jawab tim keamanan pusat atau tim lokal. Meskipun demikian, wawasan dan risiko keamanan harus selalu dikumpulkan secara terpusat dalam organisasi.

Izin Pembaca Keamanan dapat diterapkan secara luas ke seluruh penyewa (Root Management Group) atau dicakup ke grup manajemen atau langganan tertentu.

Catatan: Izin tambahan mungkin diperlukan untuk mendapatkan visibilitas ke dalam beban kerja dan layanan.

Tanggung Jawab: Pelanggan

AM-2: Memastikan tim keamanan memiliki akses ke inventaris aset dan metadata

Panduan: Menerapkan tag ke sumber daya Azure, grup sumber daya, dan langganan Anda untuk mengaturnya secara logis ke dalam taksonomi. Setiap tag terdiri dari nama dan pasangan nilai. Misalnya, Anda dapat menerapkan nama "Lingkungan" dan nilai "Produksi" ke semua sumber daya dalam produksi.

Azure Bot Service tidak menawarkan dukungan untuk penyebaran dan penemuan sumber daya berbasis Azure Resource Manager dengan Azure Resource Graph.

Tanggung Jawab: Pelanggan

AM-3: Hanya gunakan layanan Azure yang disetujui

Panduan: Gunakan Azure Policy untuk mengaudit dan membatasi layanan yang dapat disediakan pengguna di lingkungan Anda. Gunakan Azure Resource Graph untuk mengkueri dan menemukan sumber daya dalam langganan pengguna. Anda juga dapat menggunakan Azure Monitor untuk membuat aturan sebagi pemicu pemberitahuan saat terdeteksi adanya layanan yang tidak disetujui.

Tanggung Jawab: Pelanggan

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pencatatan dan Deteksi Ancaman.

LT-1: Mengaktifkan deteksi ancaman untuk sumber daya Azure

Panduan: Azure Bot Service tidak menyediakan kemampuan asli untuk memantau ancaman keamanan yang terkait dengan sumber dayanya.

Teruskan log apa pun dari Azure Bot Service ke SIEM Anda yang dapat digunakan untuk menyiapkan deteksi ancaman kustom. Pastikan Anda memantau berbagai jenis aset Azure untuk potensi ancaman dan anomali. Fokus pada mendapatkan peringatan berkualitas tinggi untuk mengurangi positif palsu bagi analis untuk diurutkan. Peringatan dapat bersumber dari data log, agen, atau data lainnya.

Tanggung Jawab: Pelanggan

LT-2: Mengaktifkan deteksi ancaman untuk identitas Azure dan manajemen akses

Panduan: Azure Active Directory (Azure AD) menyediakan log pengguna berikut yang dapat dilihat dalam laporan Azure AD atau terintegrasi dengan Azure Monitor, Microsoft Sentinel, atau alat pemantauan/SIEM lainnya untuk kasus penggunaan dalam pemantauan dan analitik yang lebih canggih :

  • Masuk - Laporan masuk memberikan informasi tentang penggunaan aplikasi terkelola dan aktivitas masuk pengguna.
  • Log audit - Memberikan ketertelusuran melalui log untuk semua perubahan yang dilakukan oleh berbagai fitur dalam Azure Active Directory. Contoh log audit mencakup perubahan yang dibuat pada sumber daya apa pun dalam Microsoft Azure Active Directory seperti menambahkan atau menghapus pengguna, aplikasi, grup, peran, dan kebijakan.
  • Proses masuk riskan - Proses masuk riskan adalah indikator dari upaya rincian masuk yang mungkin telah dilakukan oleh seseorang yang bukan pemilik akun pengguna yang sah.
  • Pengguna yang ditandai berisiko - Pengguna berisiko adalah indikator untuk akun pengguna yang mungkin telah disusupi.

Microsoft Defender untuk Cloud juga dapat memperingatkan aktivitas mencurigakan tertentu seperti jumlah upaya autentikasi yang gagal dalam jumlah berlebihan, dan akun yang tidak digunakan lagi dalam langganan. Selain pemantauan kebersihan keamanan dasar, modul Perlindungan Ancaman Microsoft Defender untuk Cloud juga dapat mengumpulkan peringatan keamanan yang lebih mendalam dari sumber daya komputasi Azure individu (seperti mesin virtual, kontainer, layanan aplikasi), sumber daya data (seperti SQL DB dan penyimpanan), dan lapisan layanan Azure. Kemampuan ini memungkinkan Anda melihat anomali akun di dalam masing-masing sumber daya.

Tanggung Jawab: Pelanggan

LT-3: Mengaktifkan pengelogan untuk aktivitas jaringan Azure

Panduan: Mengaktifkan dan mengumpulkan log sumber daya grup keamanan jaringan (NSG), log aliran NSG, log Azure Firewall, dan log Web Application Firewall (WAF) untuk analisis keamanan untuk mendukung penyelidikan insiden, perburuan ancaman, dan pembuatan peringatan keamanan. Anda dapat mengirim log alur ke ruang kerja Log Analitik Azure Monitor dan kemudian menggunakan Analitik Lalu Lintas untuk memberikan wawasan.

Azure Bot Service tidak menghasilkan atau memproses log kueri DNS yang perlu diaktifkan.

Tanggung Jawab: Pelanggan

LT-4: Mengaktifkan pengelogan untuk sumber daya Azure

Panduan: Log aktivitas, yang tersedia secara otomatis, berisi semua operasi tulis (PUT, POST, DELETE) untuk sumber daya Azure Bot Services Anda kecuali operasi baca (GET). Anda dapat menggunakan log aktivitas untuk menemukan kesalahan saat memecahkan masalah atau memantau bagaimana pengguna di organisasi Anda mengubah sumber daya.

Azure Bot Service saat ini tidak menghasilkan log sumber daya Azure.

Tanggung Jawab: Pelanggan

LT-5: Memusatkan manajemen dan analisis log keamanan

Panduan: Memusatkan penyimpanan pengelogan, dan analisis untuk mengaktifkan korelasi. Untuk setiap sumber log, pastikan Anda telah menetapkan pemilik data, panduan akses, lokasi penyimpanan, alat yang digunakan untuk memproses dan mengakses data, dan persyaratan retensi data. Pastikan Anda mengintegrasikan log aktivitas Azure ke dalam pengelogan pusat Anda. Menyerap log melalui Azure Monitor untuk mengagregasi data keamanan yang dihasilkan oleh perangkat titik akhir, sumber daya jaringan, dan sistem keamanan lainnya. Di Azure Monitor, gunakan ruang kerja Analitik Log untuk mengkueri dan melakukan analitik, serta menggunakan akun Azure Storage untuk penyimpanan dan arsip jangka panjang.

Selain itu, aktifkan dan lakukan onboard data ke Microsoft Sentinel atau SIEM pihak ketiga.

Banyak organisasi memilih untuk menggunakan Microsoft Sentinel untuk data "panas" yang sering digunakan dan Azure Storage untuk data "dingin" yang lebih jarang digunakan.

Tanggung Jawab: Pelanggan

LT-6: Mengonfigurasi retensi penyimpanan log

Panduan: Pastikan bahwa setiap akun penyimpanan atau ruang kerja Analitik Log yang digunakan untuk menyimpan log Azure Bot Service memiliki periode penyimpanan log yang disetel sesuai dengan peraturan kepatuhan organisasi Anda.

Di Azure Monitor, Anda dapat mengatur periode retensi ruang kerja Analitik Log sesuai dengan peraturan kepatuhan organisasi Anda. Gunakan akun ruang kerja Azure Storage, Data Lake, atau Analitik Log untuk penyimpanan jangka panjang dan arsip.

Tanggung Jawab: Pelanggan

LT-7: Menggunakan sumber sinkronisasi waktu yang disetujui

Panduan: Microsoft mengelola sumber waktu untuk sebagian besar layanan Azure PaaS dan SaaS. Untuk komputer virtual Anda, gunakan server NTP default Microsoft untuk sinkronisasi waktu kecuali Anda memiliki persyaratan tertentu. Jika perlu mendirikan server protokol waktu jaringan (NTP) Anda sendiri, pastikan Anda mengamankan port layanan UDP 123. Semua log yang dihasilkan oleh sumber daya dalam Azure menyediakan stempel waktu dengan zona waktu yang ditentukan secara default.

Tanggung jawab: Microsoft

Manajemen Postur dan Kerentanan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Postur dan Kerentanan.

PV-8: Melakukan simulasi serangan rutin

Panduan: Sebagaimana diperlukan, lakukan uji penetrasi atau aktivitas read team pada sumber daya Azure Anda dan pastikan remediasi pada semua temuan keamanan penting. Ikuti Aturan Keterlibatan Uji Penetrasi Microsoft Cloud untuk memastikan bahwa uji penetrasi Anda tidak melanggar kebijakan Microsoft. Gunakan strategi Microsoft dan eksekusi Red Team, serta uji penetrasi langsung terhadap infrastruktur, layanan, dan aplikasi cloud yang dikelola Microsoft.

Tanggung Jawab: Bersama

Microsoft Azure Backup dan Pemulihan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Microsoft Azure Backup dan Pemulihan.

BR-1: Pastikan pencadangan otomatis secara rutin

Panduan: Pastikan Anda mencadangkan sistem dan data untuk menjaga kelangsungan bisnis setelah peristiwa yang tidak terduga. Hal ini harus ditentukan dengan tujuan apa pun untuk Tujuan Titik Pemulihan (RPO) dan Tujuan Waktu Pemulihan (RTO). Aktifkan Azure Backup dan konfigurasikan sumber cadangan (misalnya Azure VMs, SQL Server, database HANA, atau Berbagi File), serta frekuensi dan periode penyimpanan yang diinginkan.

Untuk tingkat perlindungan yang lebih tinggi, Anda dapat mengaktifkan opsi penyimpanan geo-redundan untuk mereplikasi data cadangan ke wilayah sekunder dan memulihkan menggunakan pemulihan lintas wilayah.

Tanggung Jawab: Pelanggan

BR-2: Mengenkripsi data cadangan

Panduan: Pastikan cadangan Anda terlindungi dari serangan. Hal ini harus menyertakan enkripsi cadangan untuk melindungi terhadap hilangnya kerahasiaan.

Untuk cadangan lokal yang menggunakan Azure Backup, enkripsi yang sedang tidak digunakan disediakan menggunakan frasa sandi yang Anda berikan. Untuk pencadangan layanan Azure regular, data pencadangan akan otomatis dienkripsi menggunakan kunci yang dikelola platform Azure. Anda dapat memilih untuk mengenkripsi cadangan menggunakan kunci yang dikelola pelanggan. Dalam hal ini, pastikan kunci yang dikelola pelanggan ini di brankas utama juga berada dalam lingkup cadangan.

Gunakan kontrol akses berbasis peran di Azure Backup, Azure Key Vault, atau sumber daya lainnya untuk melindungi cadangan dan kunci yang dikelola pelanggan. Selain itu, Anda dapat mengaktifkan fitur keamanan tingkat lanjut untuk memerlukan autentikasi multifaktor sebelum cadangan dapat diubah atau dihapus.

Tanggung Jawab: Pelanggan

BR-3: Memvalidasi semua cadangan termasuk kunci yang dikelola pelanggan

Panduan: Secara berkala memastikan bahwa Anda dapat memulihkan kunci yang dikelola pelanggan yang dicadangkan.

Tanggung Jawab: Pelanggan

BR-4: Mengurangi risiko kehilangan kunci

Panduan: Memastikan Anda memiliki ukuran untuk mencegah dan memulihkan kehilangan kunci. Aktifkan perlindungan penghapusan sementara dan penghapusan menyeluruh di Azure Key Vault untuk melindungi kunci dari penghapusan yang tidak disengaja atau berbahaya.

Tanggung Jawab: Pelanggan

Langkah berikutnya