Garis besar keamanan Azure untuk Azure Cloud Services

Garis besar keamanan ini menerapkan panduan dari Azure Security Benchmark versi 1.0 ke Microsoft Azure Cloud Services. Azure Security Benchmark memberikan rekomendasi tentang cara mengamankan solusi cloud di Azure. Konten dikelompokkan berdasarkan kontrol keamanan yang ditentukan oleh Kontrol Keamanan Azure dan panduan terkait yang berlaku untuk Cloud Services.

Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini, untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Azure Security Benchmark. Beberapa rekomendasi mungkin memerlukan paket Pertahanan Microsoft berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol yang tidak berlaku untuk Azure Cloud Services, atau yang tanggung jawabnya adalah Microsoft, telah dikecualikan. Untuk melihat cara Azure Cloud Services sepenuhnya memetakan ke Azure Security Benchmark, lihat file pemetaan garis besar keamanan Azure Cloud Services lengkap.

Keamanan Jaringan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Jaringan.

1.1: Melindungi sumber daya Azure dalam jaringan virtual

Panduan: Buat Jaringan Virtual Azure klasik dengan subnet publik dan pribadi terpisah untuk memberlakukan isolasi berdasarkan port dan rentang IP terpercaya. Jaringan virtual dan subnet ini harus menjadi sumber daya berbasis Jaringan Virtual (penyebaran klasik) klasik, dan bukan sumber daya Azure Resource Manager saat ini.

Mengizinkan atau menolak lalu lintas menggunakan grup keamanan jaringan, yang berisi aturan kontrol akses berdasarkan arah lalu lintas, protokol, alamat sumber dan port, serta alamat dan port tujuan. Aturan grup keamanan jaringan dapat diubah kapan saja, dan perubahan diterapkan ke semua instans terkait.

Microsoft Azure Cloud Services (Klasik) tidak dapat ditempatkan di jaringan virtual Azure Resource Manager. Namun, jaringan virtual berbasis Resource Manager dan jaringan virtual berbasis penyebaran klasik dapat dihubungkan melalui peering.

Tanggung Jawab: Pelanggan

1.2: Memantau dan mencatat konfigurasi dan lalu lintas jaringan virtual, subnet, dan NIC

Panduan: Dokumentasikan konfigurasi Azure Cloud Services Anda dan pantau perubahannya. File konfigurasi layanan menentukan jumlah instans peran yang akan disebarkan untuk setiap peran dalam layanan, nilai pengaturan konfigurasi apa pun, dan thumbprint untuk setiap sertifikat yang terkait dengan peran.

Jika layanan merupakan bagian dari Virtual Network, informasi konfigurasi untuk jaringan harus disediakan dalam file konfigurasi layanan, serta dalam file konfigurasi jaringan virtual. Ekstensi default untuk file konfigurasi layanan adalah .cscfg. Perhatikan bahwa Azure Policy tidak didukung untuk penyebaran Klasik untuk penerapan konfigurasi.

Atur nilai konfigurasi layanan awan dalam file konfigurasi layanan (.cscfg) dan definisi dalam file definisi layanan (.csdef). File definisi layanan mendefinisikan model layanan untuk suatu aplikasi. Tentukan peran, yang tersedia untuk layanan awan dan juga tentukan titik akhir layanan. Catat konfigurasi untuk Azure Cloud Services dengan file konfigurasi layanan. Konfigurasi ulang apa pun dapat dilakukan melalui file ServiceConfig.cscfg.

Definisi layanan juga berisi elemen opsional yang membatasi peran mana yang dapat berkomunikasi ke titik akhir internal yang ditentukan. Konfigurasikan node NetworkTrafficRules, elemen opsional dalam file definisi layanan, untuk menentukan bagaimana peran harus berkomunikasi satu sama lain. Ini membatasi peran mana yang dapat mengakses titik akhir internal pada peran tertentu. Perhatikan bahwa definisi layanan tidak dapat diubah.

Aktifkan log alur kelompok keamanan jaringan dan kirim log ke akun Azure Storage untuk diaudit. Mengirim log alur NSG ke ruang kerja Log Analytics dan menggunakan Traffic Analytics untuk memberikan insight tentang pola lalu lintas di penyewa Azure Anda. Beberapa keunggulan Traffic Analytics adalah kemampuan untuk memvisualisasikan aktivitas jaringan, mengidentifikasi hot spot dan ancaman keamanan, memahami pola arus lalu lintas, dan menentukan kesalahan konfigurasi jaringan.

Tanggung Jawab: Pelanggan

1.3: Melindungi aplikasi web penting

Panduan: Microsoft menggunakan protokol Transport Layer Security (TLS) v.1.2 untuk melindungi data saat bepergian antara layanan awan dan pelanggan. Pusat data Microsoft menegosiasikan koneksi TLS dengan sistem klien yang tersambung ke layanan Azure. TLS menyediakan autentikasi yang kuat, privasi pesan, dan integritas (memungkinkan deteksi perusakan pesan, penyadapan, dan pemalsuan), interoperabilitas, fleksibilitas algoritma, dan kemudahan penyebaran dan penggunaan.

Tanggung Jawab: Pelanggan

1.4: Menolak komunikasi dengan alamat IP yang diketahui berbahaya

Panduan: Azure Cloud menerapkan keamanan jaringan multilayer untuk melindungi layanan platformnya dari serangan denial-of-service (DDoS) terdistribusi. Azure DDoS Protection adalah bagian dari proses pemantauan berkelanjutan Azure Cloud, yang terus ditingkatkan melalui uji penetrasi. DDoS Protection ini dirancang untuk menahan tidak hanya serangan dari luar tetapi juga dari penyewa Azure lainnya.

Ada beberapa cara berbeda untuk memblokir atau menolak komunikasi selain perlindungan tingkat platform dalam Azure Cloud Services. Berikut peringatan tersebut:

  • Membuat tugas startup untuk memblokir beberapa alamat IP tertentu secara selektif
  • Membatasi akses peran web Azure ke sekumpulan alamat IP tertentu dengan memodifikasi file web.config IIS Anda

Mencegah lalu lintas masuk ke URL default atau nama Layanan Awan Anda, misalnya, .cloudapp.net. Atur header host ke nama DNS kustom, di bawah konfigurasi pengikatan situs dalam file definisi Cloud Services ( .csdef).

Mengonfigurasi aturan Tolak Terapkan ke tugas administrator langganan klasik. Secara default, setelah titik akhir internal ditentukan, komunikasi dapat mengalir dari peran apa pun ke titik akhir internal peran tanpa batasan apa pun. Untuk membatasi komunikasi, Anda harus menambahkan elemen NetworkTrafficRules ke elemen ServiceDefinition dalam file definisi layanan.

Tanggung Jawab: Pelanggan

1.5: Merekam paket jaringan

Panduan: Gunakan Azure Network Watcher, layanan pemantauan kinerja jaringan, diagnostik, dan analitik, yang memungkinkan pemantauan jaringan Azure. Ekstensi mesin virtual Network Watcher Agent adalah persyaratan untuk menangkap lalu lintas jaringan sesuai permintaan, dan fungsionalitas canggih lainnya di Azure Virtual Machines. Pasang ekstensi komputer virtual Agen Network Watcher, dan aktifkan log alur grup keamanan jaringan.

Mengonfigurasi pencatatan aliran pada grup keamanan jaringan. Tinjau detail tentang cara menggunakan ekstensi Network Watcher Virtual Machine ke Komputer Virtual yang ada yang digunakan melalui model penyebaran klasik.

Tanggung Jawab: Pelanggan

1.6: Menyebarkan sistem deteksi gangguan/pencegahan gangguan (IDS/IPS) berbasis jaringan

Panduan: Azure Cloud Services tidak memiliki kemampuan IDS atau IPS bawaan. Pelanggan dapat memilih dan menggunakan solusi IDS atau IPS berbasis jaringan tambahan dari Azure Marketplace berdasarkan persyaratan organisasi mereka. Saat menggunakan solusi pihak ketiga, pastikan untuk menguji solusi IDS atau IPS pilihan Anda secara menyeluruh dengan Azure Cloud Services untuk memastikan operasi dan fungsionalitas yang tepat.

Tanggung Jawab: Pelanggan

1.7: Mengelola lalu lintas ke aplikasi web

Panduan: Sertifikat layanan, yang dilampirkan ke Azure Cloud Services, memungkinkan komunikasi yang aman ke dan dari layanan. Sertifikat ini didefinisikan dalam definisi layanan dan secara otomatis digunakan ke komputer virtual yang menjalankan instans peran web. Sebagai contoh, untuk peran web, Anda dapat menggunakan sertifikat layanan yang dapat mengautentikasi titik akhir HTTPS yang diekspos.

Untuk memperbarui sertifikat, Anda hanya perlu mengunggah sertifikat baru dan mengubah nilai cap jempol dalam file konfigurasi layanan.

Gunakan protokol TLS 1.2, metode yang paling umum digunakan untuk mengamankan data untuk memberikan kerahasiaan dan perlindungan integritas.

Umumnya, untuk melindungi aplikasi web dan mengamankannya dari serangan seperti OWASP Top 10, Anda dapat menggunakan Azure Web Application Firewall-enabled Azure Application Gateway untuk melindungi aplikasi web.

Tanggung Jawab: Pelanggan

1.9: Mempertahankan konfigurasi keamanan standar untuk perangkat jaringan

Panduan: Dokumentasikan konfigurasi Azure Cloud Services Anda dan pantau perubahannya. File konfigurasi layanan menentukan jumlah instans peran yang akan disebarkan untuk setiap peran dalam layanan, nilai pengaturan konfigurasi apa pun, dan thumbprint untuk setiap sertifikat yang terkait dengan peran.

Jika layanan merupakan bagian dari Virtual Network, informasi konfigurasi untuk jaringan harus disediakan dalam file konfigurasi layanan, serta dalam file konfigurasi jaringan virtual. Ekstensi default untuk file konfigurasi layanan adalah .cscfg.

Perhatikan bahwa Azure Policy tidak didukung dengan Azure Cloud Services untuk penerapan konfigurasi.

Tanggung Jawab: Pelanggan

1.10: Mendokumentasikan aturan konfigurasi lalu lintas

Panduan: Grup keamanan jaringan Azure dapat digunakan untuk memfilter lalu lintas jaringan ke dan dari sumber daya Azure di Azure Virtual Network. Grup keamanan jaringan berisi aturan keamanan yang memungkinkan atau menolak lalu lintas jaringan masuk ke, atau, lalu lintas jaringan keluar dari, beberapa jenis sumber daya Azure. Untuk setiap aturan, Anda dapat menentukan sumber dan tujuan, port, dan protokol.

Gunakan bidang "Deskripsi" untuk aturan grup keamanan jaringan individual dalam Azure Cloud Services untuk mendokumentasikan aturan, yang memungkinkan lalu lintas, atau dari jaringan.

Tanggung Jawab: Pelanggan

1.11: Menggunakan alat otomatis untuk memantau konfigurasi sumber daya jaringan dan mendeteksi perubahan

Panduan: Gunakan pemantauan endpoint bawaan Azure Traffic Manager dan fitur failover titik akhir otomatis. Fitur ini membantu Anda memberikan aplikasi dengan ketersediaan tinggi, yang tahan terhadap kegagalan titik akhir dan wilayah Azure. Untuk mengonfigurasi pemantauan titik akhir, Anda harus menentukan pengaturan tertentu di profil Traffic Manager Anda.

Dapatkan wawasan dari log Aktivitas, sebuah log platform di Azure, ke dalam kejadian tingkat-langganan. Wawasan ini termasuk informasi seperti ketika sumber daya dimodifikasi atau ketika komputer virtual dihidupkan. Anda dapat melihat log Aktivitas di portal Microsoft Azure atau mengambil entri dengan PowerShell dan CLI.

Buat pengaturan diagnostik untuk mengirim log Aktivitas ke Azure Monitor, Azure Event Hubs untuk diteruskan di luar Azure, atau ke Microsoft Azure Storage untuk pengarsipan. Konfigurasikan Azure Monitor untuk peringatan pemberitahuan saat sumber daya penting di Azure Cloud Services Anda diubah.

Tanggung Jawab: Pelanggan

Pengelogan dan Pemantauan

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Pembuatan Log dan Pemantauan.

2.1: Menggunakan sumber sinkronisasi waktu yang disetujui

Panduan: Microsoft mempertahankan sumber waktu untuk sumber daya Azure untuk Azure Cloud Services. Pelanggan mungkin perlu membuat aturan jaringan untuk memungkinkan akses ke server waktu yang digunakan di lingkungan mereka, melalui port 123 dengan protokol UDP.

Tanggung Jawab: Bersama

2.2: Mengkonfigurasi manajemen log keamanan pusat

Panduan: Konsumsi data streaming layanan awan Anda secara terprogram dengan Azure Event Hubs. Integrasikan dan kirim semua data ini ke Microsoft Sentinel untuk memantau dan meninjau log Anda, atau menggunakan SIEM pihak ketiga. Untuk manajemen log keamanan pusat, konfigurasikan ekspor berkelanjutan data Microsoft Defender untuk Cloud pilihan Anda ke Azure Event Hubs dan siapkan konektor yang sesuai untuk SIEM Anda. Berikut adalah beberapa opsi untuk Microsoft Sentinel termasuk alat pihak ketiga:

  • Microsoft Sentinel - Gunakan konektor data peringatan Microsoft Defender untuk Cloud asli
  • Splunk - Gunakan add-on Azure Monitor untuk Splunk
  • IBM QRadar - Gunakan sumber log yang dikonfigurasi secara manual
  • ArcSight - Gunakan SmartConnector

Tinjau dokumentasi Microsoft Sentinel untuk detail tambahan tentang konektor yang tersedia dengan Microsoft Sentinel.

Tanggung Jawab: Pelanggan

2.3: Mengaktifkan pengelogan audit untuk sumber daya Azure

Panduan: Mengonfigurasi Visual Studio untuk menyiapkan Diagnostik Azure untuk pemecahan masalah Azure Cloud Services yang menangkap data sistem dan pencatatan pada mesin virtual, termasuk instans komputer virtual yang menjalankan Azure Cloud Services Anda. Data Diagnostik ditransfer ke akun penyimpanan pilihan Anda. Aktifkan diagnostik di proyek Azure Cloud Services sebelum penyebarannya.

Lihat riwayat Ubah untuk beberapa peristiwa dalam log aktivitas dalam Azure Monitor. Audit perubahan apa yang terjadi selama periode waktu peristiwa. Pilih acara dari Log Aktivitas untuk pemeriksaan yang lebih mendalam dengan tab Ubah riwayat (Pratinjau). Kirim data diagnostik ke Application Insights saat Anda menerbitkan Azure Cloud Services dari Visual Studio. Buat sumber daya Application Insights Azure pada saat itu atau kirim data ke sumber daya Azure yang sudah ada.

Azure Cloud Services dapat dipantau oleh Application Insights untuk ketersediaan, kinerja, kegagalan, dan penggunaan. Bagan kustom dapat ditambahkan ke Application Insights sehingga Anda dapat melihat data yang paling penting. Data instans peran dapat dikumpulkan dengan menggunakan SDK Application Insights di proyek Azure Cloud Services Anda.

Tanggung Jawab: Pelanggan

2.5: mengkonfigurasikan retensi penyimpanan log keamanan

Panduan: Anda dapat menggunakan pemantauan lanjutan dengan Azure Cloud Services yang memungkinkan metrik tambahan dicicipi dan dikumpulkan dengan interval 5 menit, 1 jam, dan 12 jam. Data agregat disimpan di akun penyimpanan, dalam tabel, dan dihapus menyeluruh setelah 10 hari. Namun, akun penyimpanan yang digunakan dikonfigurasi berdasarkan peran dan Anda dapat menggunakan akun penyimpanan yang berbeda untuk peran yang berbeda. Ini dikonfigurasi dengan string koneksi dalam file .csdef dan .cscfg.

Perhatikan bahwa Pemantauan tingkat lanjut melibatkan penggunaan ekstensi Diagnostik Azure (Application Insights SDK bersifat opsional) pada peran yang ingin Anda pantau. Ekstensi diagnostik menggunakan file konfigurasi (per peran) bernama diagnostics.wadcfgx untuk mengonfigurasi metrik diagnostik yang dipantau. Ekstensi Diagnostik Azure mengumpulkan dan menyimpan data di akun Microsoft Azure Storage. Pengaturan ini dikonfigurasi dalam file .wadcfgx, .csdef, dan .cscfg.

Tanggung Jawab: Pelanggan

2.6: Memantau dan meninjau Log

Panduan: Mode pemantauan dasar atau lanjutan tersedia untuk Azure Cloud Services. Azure Cloud Services secara otomatis mengumpulkan data pemantauan dasar (persentase CPU, jaringan masuk/keluar, dan baca/tulis disk) dari komputer virtual host. Lihat data pemantauan yang dikumpulkan pada halaman gambaran umum dan metrik layanan awan di portal Microsoft Azure.

Aktifkan diagnostik di Azure Cloud Services untuk mengumpulkan data diagnostik seperti log aplikasi, penghitung kinerja, dan lainnya, saat menggunakan ekstensi Diagnostik Azure. Aktifkan atau perbarui konfigurasi diagnostik pada layanan awan yang sudah berjalan dengan cmdlet Set-AzureServiceDiagnosticsExtension atau terapkan layanan awan dengan ekstensi diagnostik secara otomatis. Secara opsional, instal SDK Application Insights. Kirim penghitung kinerja ke Azure Monitor.

Ekstensi Diagnostik Azure mengumpulkan dan menyimpan data di akun Microsoft Azure Storage. Transfer data Diagnostik ke Microsoft Azure Storage Emulator atau ke Penyimpanan Azure karena tidak disimpan secara permanen. Setelah di penyimpanan, dapat dilihat dengan salah satu dari beberapa alat yang tersedia, seperti Server Explorer di Visual Studio, Microsoft Azure Storage Explorer, Azure Management Studio. Ekstensi diagnostik menggunakan file konfigurasi (per peran) bernama diagnostics.wadcfgx untuk mengonfigurasi metrik diagnostik yang dipantau.

Tanggung Jawab: Pelanggan

2.7: Mengaktifkan pemberitahuan untuk aktivitas anomali

Panduan: Anda dapat memantau data log Azure Cloud Services berdasarkan integrasi dengan Microsoft Sentinel, atau dengan SIEM pihak ketiga, dengan mengaktifkan peringatan untuk aktivitas anomali.

Tanggung Jawab: Pelanggan

2.8: Sentralisasi pembuatan log anti-malware

Panduan: Microsoft Antimalware untuk Azure Cloud Services dan komputer virtual. Anda memiliki opsi untuk menggunakan solusi keamanan pihak ketiga selain itu, seperti dinding kebakaran aplikasi web, firewall jaringan, antimalware, sistem deteksi dan pencegahan intrusi (IDS atau IPS), dan banyak lagi.

Tanggung Jawab: Pelanggan

Identitas dan Layanan Kontrol Akses

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Identitas dan Kontrol Akses.

3.1: Mempertahankan inventaris akun administratif

Panduan: Microsoft menyarankan Agar Anda mengelola akses ke sumber daya Azure menggunakan kontrol akses berbasis peran Azure (Azure RBAC). Namun, Azure Cloud Services tidak mendukung model RBAC Azure, karena ini bukan layanan berbasis Azure Resource Manager dan Anda harus menggunakan langganan klasik

Secara default, Administrator Akun, Administrator Layanan, dan Co-Administrator adalah tiga peran administrator langganan klasik di Azure.

Admin langganan klasik memiliki akses penuh ke langganan Azure dan dapat mengelola sumber daya. Mereka dapat mengelola sumber daya menggunakan portal Microsoft Azure, API Azure Resource Manager, dan API model penerapan klasik. Akun yang digunakan untuk mendaftar Azure secara otomatis diatur sebagai Admin Akun dan Administrator Layanan. Kemudian, Co-Admin tambahan dapat ditambahkan.

Administrator Layanan dan Co-Admin memiliki akses yang setara dari pengguna yang telah ditetapkan peran Pemilik (peran Azure) di cakupan langganan. Kelola Co-Administrators atau tampilkan Administrator Layanan dengan menggunakan tab Administrator klasik di portal Azure.

Daftar penetapan peran untuk administrator layanan klasik dan rekan kerja dengan PowerShell dengan perintah:

Get-AzRoleAssignment -IncludeClassicAdministrators

Tanggung Jawab: Pelanggan

3.3: Menggunakan akun administratif khusus

Panduan: Disarankan untuk membuat prosedur operasi standar seputar penggunaan akun administratif khusus, berdasarkan peran yang tersedia dan izin yang diperlukan untuk mengoperasikan dan mengelola sumber daya Azure Cloud Services.

Tanggung Jawab: Pelanggan

3.4: Gunakan akses menyeluruh (SSO) dengan Azure Active Directory

Panduan: Hindari mengelola identitas terpisah untuk aplikasi yang berjalan di Azure Cloud Services. Terapkan masuk tunggal untuk menghindari pengguna yang mengharuskan pengguna mengelola beberapa identitas dan kredensial.

Tanggung Jawab: Pelanggan

3.6: Gunakan komputer khusus (Stasiun Kerja Akses Istimewa) untuk semua tugas administratif

Panduan: Disarankan untuk menggunakan stasiun kerja yang dikelola Azure yang aman (juga dikenal sebagai Stasiun Kerja Akses Istimewa) untuk tugas administratif, yang memerlukan hak istimewa yang ditingkatkan.

Tanggung Jawab: Pelanggan

Perlindungan Data

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Perlindungan Data.

4.1: Mempertahankan inventaris Informasi yang sensitif

Panduan: Gunakan API REST Azure Cloud Service untuk menginventarisasi sumber daya Azure Cloud Service Anda untuk informasi sensitif. Polling sumber daya layanan cloud yang diterapkan untuk mendapatkan konfigurasi dan sumber daya .pkg.

Sebagai contoh, beberapa API tercantum di bawah ini:

  • Dapatkan Penyebaran - Operasi Dapatkan Penerapan mengembalikan informasi konfigurasi, status, dan properti sistem untuk penyebaran.
  • Dapatkan Paket - Operasi Dapatkan Paket mengambil paket layanan awan untuk penyebaran dan menyimpan file paket di penyimpanan Microsoft Azure Blob
  • Dapatkan Properti Layanan Awan - Operasi Dapatkan Properti Layanan Awan mengambil properti untuk layanan awan yang ditentukan

Tinjau dokumentasi Azure Cloud Service REST API dan buat proses untuk perlindungan data informasi sensitif, berdasarkan persyaratan organisasi Anda.

Tanggung Jawab: Pelanggan

4.2: Memisahkan sistem yang menyimpan atau memproses informasi sensitif

Panduan: Menerapkan isolasi menggunakan langganan terpisah dan grup manajemen untuk domain keamanan individual seperti tipe lingkungan dan tingkat sensitivitas data untuk Azure Cloud Services.

Anda juga dapat mengedit "izinLevel" di elemen Sertifikat Azure Cloud Service untuk menentukan izin akses yang diberikan untuk proses peran. Jika Anda hanya ingin proses yang ditinggikan untuk dapat mengakses kunci pribadi, lalu tentukan izin yang ditinggikan. Izin limitedOrElevated memungkinkan semua proses peran untuk mengakses kunci pribadi. Nilai yang mungkin dibatasiOrElevated atau ditinggikan. Nilai default adalah limitedOrElevated.

Tanggung Jawab: Pelanggan

4.3: Memantau dan memblokir transfer informasi sensitif yang tidak sah

Panduan: Disarankan untuk menggunakan solusi pihak ketiga dari Azure Marketplace di perimeter jaringan untuk memantau transfer informasi sensitif yang tidak sah dan memblokir transfer tersebut sambil memberi tahu profesional keamanan informasi.

Tanggung Jawab: Bersama

4.4: Mengenkripsi semua informasi sensitif saat transit

Panduan: Mengonfigurasi TLS v2 untuk Azure Cloud Services. Gunakan portal Microsoft Azure untuk menambahkan sertifikat ke penyebaran Azure Cloud Services yang dipentaskan dan menambahkan informasi sertifikat ke file CSDEF dan CSCFG layanan. Paket ulang aplikasi Anda, dan perbarui penyebaran yang dipentaskan untuk menggunakan paket baru.

Gunakan sertifikat layanan, yang dilampirkan ke Azure Cloud Services, memungkinkan komunikasi yang aman ke dan dari layanan. Menyediakan sertifikat yang bisa mengautentikasi titik akhir HTTPS yang terekspos. Tentukan sertifikat Layanan dalam definisi layanan awan, dan secara otomatis menyebarkannya ke Komputer Virtual, menjalankan contoh peran Anda.

Otentikasi dengan API manajemen dengan sertifikat manajemen) Sertifikat manajemen memungkinkan Anda untuk mengautentikasi dengan model penyebaran klasik. Banyak program dan alat (seperti Visual Studio atau Azure SDK) menggunakan sertifikat ini untuk mengotomatiskan konfigurasi dan penerapan berbagai layanan Azure.

Untuk referensi tambahan, API model penyebaran klasik menyediakan akses terprogram ke fungsionalitas model penerapan klasik yang tersedia melalui portal Microsoft Azure. Azure SDK untuk Python dapat digunakan untuk mengelola akun Azure Cloud Services dan Azure Storage. Azure SDK for Python membungkus API model penyebaran klasik, API REST. Semua operasi API dilakukan melalui TLS dan saling diautentikasi dengan menggunakan sertifikat X.509 v3. Layanan manajemen dapat diakses dari dalam layanan yang berjalan di Azure. Ini juga dapat diakses langsung melalui Internet dari aplikasi apa pun yang dapat mengirim permintaan HTTPS dan menerima respons HTTPS.

Tanggung Jawab: Bersama

4.5: Menggunakan alat penemuan aktif untuk mengidentifikasi data sensitif

Panduan: Gunakan alat penemuan aktif pihak ketiga untuk mengidentifikasi semua informasi sensitif yang disimpan, diproses, atau ditransmisikan oleh sistem teknologi organisasi, termasuk yang terletak di lokasi atau di penyedia layanan jarak jauh dan memperbarui inventaris informasi organisasi yang sensitif.

Tanggung Jawab: Bersama

4.7: Menggunakan pencegahan kehilangan data berbasis host untuk menegakkan kontrol akses

Panduan: Tidak berlaku untuk layanan awan (Klasik). Ini tidak memberlakukan pencegahan kehilangan data.

Disarankan untuk menerapkan alat pihak ketiga seperti solusi pencegahan kehilangan data berbasis host otomatis untuk menegakkan kontrol akses pada data bahkan ketika data disalin dari sistem.

Untuk platform yang mendasarinya yang dikelola oleh Microsoft, Microsoft memperlakukan semua konten pelanggan sebagai hal yang sensitif dan berusaha keras untuk melindungi pelanggan dari kehilangan dan paparan data. Untuk memastikan keamanan data pelanggan dalam Azure, Microsoft telah menerapkan dan memelihara serangkaian kontrol dan kemampuan perlindungan data yang kuat.

Tanggung Jawab: Bersama

4.8: Mengeknripsi informasi sensitif yang tidak aktif

Panduan: Azure Cloud Services tidak mendukung enkripsi saat istirahat. Ini karena Azure Cloud Services dirancang agar tidak bernegara. Azure Cloud Services mendukung penyimpanan eksternal, misalnya, Microsoft Azure Storage, yang secara default, dienkripsi saat istirahat.

Data aplikasi yang disimpan di disk sementara tidak dienkripsi. Pelanggan bertanggung jawab untuk mengelola dan mengenkripsi data ini, sesuai kebutuhan.

Tanggung Jawab: Pelanggan

4.9: Mencatat dan beritahukan tentang perubahan pada sumber daya Azure yang penting

Panduan: Anda dapat menggunakan peringatan metrik klasik di Azure Monitor untuk mendapatkan pemberitahuan saat salah satu metrik Anda diterapkan ke sumber daya penting melewati ambang batas. Peringatan metrik klasik adalah fungsionalitas lama yang memungkinkan peringatan hanya pada metrik non-dimensi. Ada fungsionalitas yang lebih baru yang disebut Peringatan metrik yang telah meningkatkan fungsionalitas melalui peringatan metrik klasik.

Azure Cloud Services dapat dipantau oleh Application Insights untuk ketersediaan, kinerja, kegagalan, dan penggunaan. Ini menggunakan data gabungan dari SDK Application Insights dengan data Diagnostik Azure dari Azure Cloud Services Anda.

Tanggung Jawab: Pelanggan

Manajemen Kerentanan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pengelolaan Kerentanan.

5.2: Menyebarkan solusi pengelolaan patch sistem operasi otomatis

Panduan: Perhatikan bahwa informasi ini berkaitan dengan sistem operasi Azure Guest untuk pekerja Azure Cloud Services dan peran web dengan Platform as a Service (PaaS). Namun tidak berlaku untuk Komputer Virtual dengan Infrastruktur sebagai layanan (IaaS).

Secara default, Azure secara berkala memperbarui sistem operasi tamu pelanggan ke gambar terbaru yang didukung dalam keluarga sistem operasi yang telah mereka tentukan dalam konfigurasi layanan mereka (.cscfg), seperti, Windows Server 2016.

Saat pelanggan memilih versi sistem operasi tertentu untuk penyebaran Layanan Cloud Azure mereka, pelanggan akan menonaktifkan pembaruan sistem operasi otomatis dan membuat patching tanggung jawab mereka. Pelanggan harus memastikan bahwa instans peran mereka menerima pembaruan atau mereka dapat mengekspos aplikasi mereka ke kerentanan keamanan.

Tanggung Jawab: Bersama

5.3: Menerapkan solusi manajemen tambalan otomatis untuk judul perangkat lunak pihak ketiga

Panduan: Gunakan solusi manajemen patch pihak ketiga. Pelanggan yang sudah menggunakan Configuration Manager di lingkungan mereka juga dapat menggunakan Penerbit Pembaruan Pusat Sistem, yang memungkinkan mereka menerbitkan pembaruan kustom ke dalam Layanan Pembaruan Windows Server.

Hal ini memungkinkan Pengelolaan Pembaruan untuk menambal mesin yang menggunakan Configuration Manager sebagai repositori pembaruan mereka dengan perangkat lunak pihak ketiga.

Tanggung Jawab: Pelanggan

5.5: Menggunakan proses peringkat risiko untuk mengutamakan perbaikan kerentanan yang ditemukan

Panduan: Disarankan bagi pelanggan untuk memahami ruang lingkup risiko mereka dari serangan DDoS secara berkelanjutan.

Kami menyarankan untuk berpikir melalui skenario ini:

  • Apa sumber daya Azure baru yang tersedia untuk umum yang memerlukan perlindungan?
  • Apakah ada satu titik kegagalan dalam layanan?
  • Bagaimana layanan dapat diisolasi untuk membatasi dampak serangan dengan tetap membuat layanan tersedia bagi pelanggan yang valid?
  • Apakah ada jaringan virtual di mana DDoS Protection Standard harus diaktifkan tetapi tidak?
  • Apakah layanan saya aktif/aktif dengan failover di beberapa wilayah?

Dokumentasi pendukung:

Tanggung Jawab: Pelanggan

Manajemen Inventaris dan Aset

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Inventaris dan Aset.

6.1: Menggunakan solusi penemuan aset otomatis

Panduan: Tidak berlaku untuk layanan awan (Klasik). Rekomendasi ini berlaku untuk sumber daya komputasi IaaS.

Tanggung Jawab: Pelanggan

6.3: Menghapus sumber daya Azure yang tidak sah

Panduan: Direkomendasikan untuk menyesuaikan inventaris secara teratur dan pastikan sumber daya yang tidak sah dihapus dari langganan secara tepat waktu.

Tanggung Jawab: Pelanggan

6.4: Menentukan dan memelihara inventaris sumber daya Azure yang disetujui

Panduan: Pelanggan harus menentukan sumber daya Azure yang disetujui dan perangkat lunak yang disetujui untuk sumber daya komputasi.

Tanggung Jawab: Pelanggan

6.5: Memantau sumber daya Azure yang tidak disetujui

Panduan: Menggunakan fitur Kontrol Aplikasi Adaptif, tersedia di Microsoft Defender untuk Cloud. Ini adalah solusi menyeluruh yang cerdas, otomatis, dari Microsoft Defender untuk Cloud yang membantu Anda mengontrol aplikasi mana yang dapat berjalan di Windows dan mesin Linux, Azure, dan non-Azure Anda. Ini juga membantu mengeraskan mesin Anda terhadap malware.

Fitur ini tersedia untuk mesin Windows Azure dan non-Azure (semua versi, klasik, atau Azure Resource Manager) dan Linux.

Microsoft Defender untuk Cloud menggunakan pembelajaran mesin untuk menganalisis aplikasi yang berjalan di mesin Anda dan membuat daftar izinkan dari kecerdasan ini. Kemampuan ini sangat menyederhanakan proses konfigurasi dan memelihara aplikasi memungkinkan kebijakan daftar, memungkinkan Anda untuk:

  • Memblokir atau memberi peringatan tentang upaya menjalankan aplikasi berbahaya, termasuk aplikasi yang mungkin terlewatkan oleh solusi antimalware.

  • Mematuhi kebijakan keamanan organisasi Anda yang menentukan penggunaan hanya perangkat lunak berlisensi.

  • Hindari piranti lunak yang tidak diinginkan untuk digunakan di lingkungan Anda.

  • Hindari aplikasi lama dan tidak didukung untuk dijalankan.

  • Cegah alat perangkat lunak tertentu yang tidak diizinkan di organisasi Anda.

  • Aktifkan TI untuk mengontrol akses ke data sensitif melalui penggunaan aplikasi.

Detail lebih lengkap tersedia di link referensi.

Tanggung Jawab: Pelanggan

6.6: Memantau untuk aplikasi perangkat lunak yang tidak disetujui dalam sumber daya komputasi

Panduan: Menggunakan fitur Kontrol Aplikasi Adaptif, tersedia di Microsoft Defender untuk Cloud. Ini adalah solusi menyeluruh yang cerdas, otomatis, dari Microsoft Defender untuk Cloud yang membantu Anda mengontrol aplikasi mana yang dapat berjalan di Windows dan mesin Linux, Azure, dan non-Azure Anda. Ini juga membantu mengeraskan mesin Anda terhadap malware.

Fitur ini tersedia untuk mesin Windows Azure dan non-Azure (semua versi, klasik, atau Azure Resource Manager) dan Linux.

Microsoft Defender untuk Cloud menggunakan pembelajaran mesin untuk menganalisis aplikasi yang berjalan di mesin Anda dan membuat daftar izinkan dari kecerdasan ini. Kemampuan ini sangat menyederhanakan proses konfigurasi dan memelihara aplikasi memungkinkan kebijakan daftar, memungkinkan Anda untuk:

  • Memblokir atau memberi peringatan tentang upaya menjalankan aplikasi berbahaya, termasuk aplikasi yang mungkin terlewatkan oleh solusi antimalware.

  • Mematuhi kebijakan keamanan organisasi Anda yang menentukan penggunaan hanya perangkat lunak berlisensi.

  • Hindari piranti lunak yang tidak diinginkan untuk digunakan di lingkungan Anda.

  • Hindari aplikasi lama dan tidak didukung untuk dijalankan.

  • Cegah alat perangkat lunak tertentu yang tidak diizinkan di organisasi Anda.

  • Aktifkan TI untuk mengontrol akses ke data sensitif melalui penggunaan aplikasi.

Detail lebih lengkap tersedia di link referensi.

Tanggung Jawab: Pelanggan

6.7: Menghapus sumber daya dan aplikasi perangkat lunak Azure yang tidak disetujui

Panduan: Menggunakan fitur Kontrol Aplikasi Adaptif, tersedia di Microsoft Defender untuk Cloud. Ini adalah solusi menyeluruh yang cerdas, otomatis, dari Microsoft Defender untuk Cloud yang membantu Anda mengontrol aplikasi mana yang dapat berjalan di Windows dan mesin Linux, Azure, dan non-Azure Anda. Ini juga membantu mengeraskan mesin Anda terhadap malware.

Fitur ini tersedia untuk mesin Windows Azure dan non-Azure (semua versi, klasik, atau Azure Resource Manager) dan Linux.

Microsoft Defender untuk Cloud menggunakan pembelajaran mesin untuk menganalisis aplikasi yang berjalan di mesin Anda dan membuat daftar izinkan dari kecerdasan ini. Kemampuan ini sangat menyederhanakan proses konfigurasi dan memelihara aplikasi memungkinkan kebijakan daftar, memungkinkan Anda untuk:

  • Memblokir atau memberi peringatan tentang upaya menjalankan aplikasi berbahaya, termasuk aplikasi yang mungkin terlewatkan oleh solusi antimalware.

  • Mematuhi kebijakan keamanan organisasi Anda yang menentukan penggunaan hanya perangkat lunak berlisensi.

  • Hindari piranti lunak yang tidak diinginkan untuk digunakan di lingkungan Anda.

  • Hindari aplikasi lama dan tidak didukung untuk dijalankan.

  • Cegah alat perangkat lunak tertentu yang tidak diizinkan di organisasi Anda.

  • Aktifkan TI untuk mengontrol akses ke data sensitif melalui penggunaan aplikasi.

Detail lebih lengkap tersedia di link referensi.

Tanggung Jawab: Pelanggan

6.8: Menggunakan hanya aplikasi yang disetujui

Panduan: Menggunakan fitur Kontrol Aplikasi Adaptif, tersedia di Microsoft Defender untuk Cloud. Ini adalah solusi menyeluruh yang cerdas, otomatis, dari Microsoft Defender untuk Cloud yang membantu Anda mengontrol aplikasi mana yang dapat berjalan di Windows dan mesin Linux, Azure, dan non-Azure Anda. Ini juga membantu mengeraskan mesin Anda terhadap malware.

Fitur ini tersedia untuk mesin Windows Azure dan non-Azure (semua versi, klasik, atau Azure Resource Manager) dan Linux.

Microsoft Defender untuk Cloud menggunakan pembelajaran mesin untuk menganalisis aplikasi yang berjalan di mesin Anda dan membuat daftar izinkan dari kecerdasan ini. Kemampuan ini sangat menyederhanakan proses konfigurasi dan memelihara aplikasi memungkinkan kebijakan daftar, memungkinkan Anda untuk:

  • Memblokir atau memberi peringatan tentang upaya menjalankan aplikasi berbahaya, termasuk aplikasi yang mungkin terlewatkan oleh solusi antimalware.

  • Mematuhi kebijakan keamanan organisasi Anda yang menentukan penggunaan hanya perangkat lunak berlisensi.

  • Hindari piranti lunak yang tidak diinginkan untuk digunakan di lingkungan Anda.

  • Hindari aplikasi lama dan tidak didukung untuk dijalankan.

  • Cegah alat perangkat lunak tertentu yang tidak diizinkan di organisasi Anda.

  • Aktifkan TI untuk mengontrol akses ke data sensitif melalui penggunaan aplikasi.

Detail lebih lengkap tersedia di link referensi.

Tanggung Jawab: Pelanggan

6.10: Mempertahankan inventaris dari judul perangkat lunak yang disetujui

Panduan: Menggunakan fitur Kontrol Aplikasi Adaptif, tersedia di Microsoft Defender untuk Cloud. Ini adalah solusi menyeluruh yang cerdas, otomatis, dari Microsoft Defender untuk Cloud yang membantu Anda mengontrol aplikasi mana yang dapat berjalan di Windows dan mesin Linux, Azure, dan non-Azure Anda. Ini juga membantu mengeraskan mesin Anda terhadap malware.

Fitur ini tersedia untuk mesin Windows Azure dan non-Azure (semua versi, klasik, atau Azure Resource Manager) dan Linux.

Microsoft Defender untuk Cloud menggunakan pembelajaran mesin untuk menganalisis aplikasi yang berjalan di mesin Anda dan membuat daftar izinkan dari kecerdasan ini. Kemampuan ini sangat menyederhanakan proses konfigurasi dan memelihara aplikasi memungkinkan kebijakan daftar, memungkinkan Anda untuk:

  • Memblokir atau memberi peringatan tentang upaya menjalankan aplikasi berbahaya, termasuk aplikasi yang mungkin terlewatkan oleh solusi antimalware.

  • Mematuhi kebijakan keamanan organisasi Anda yang menentukan penggunaan hanya perangkat lunak berlisensi.

  • Hindari piranti lunak yang tidak diinginkan untuk digunakan di lingkungan Anda.

  • Hindari aplikasi lama dan tidak didukung untuk dijalankan.

  • Cegah alat perangkat lunak tertentu yang tidak diizinkan di organisasi Anda.

  • Aktifkan TI untuk mengontrol akses ke data sensitif melalui penggunaan aplikasi.

Detail lebih lengkap tersedia di link referensi.

Tanggung Jawab: Pelanggan

6.12: Membatasi kemampuan pengguna untuk mengeksekusi skrip dalam sumber daya komputasi

Panduan: Menggunakan fitur Kontrol Aplikasi Adaptif, tersedia di Microsoft Defender untuk Cloud. Ini adalah solusi menyeluruh yang cerdas, otomatis, dari Microsoft Defender untuk Cloud yang membantu Anda mengontrol aplikasi mana yang dapat berjalan di Windows dan mesin Linux, Azure, dan non-Azure Anda. Ini juga membantu mengeraskan mesin Anda terhadap malware.

Fitur ini tersedia untuk mesin Windows Azure dan non-Azure (semua versi, klasik, atau Azure Resource Manager) dan Linux.

Microsoft Defender untuk Cloud menggunakan pembelajaran mesin untuk menganalisis aplikasi yang berjalan di mesin Anda dan membuat daftar izinkan dari kecerdasan ini. Kemampuan ini sangat menyederhanakan proses konfigurasi dan memelihara aplikasi memungkinkan kebijakan daftar, memungkinkan Anda untuk:

  • Memblokir atau memberi peringatan tentang upaya menjalankan aplikasi berbahaya, termasuk aplikasi yang mungkin terlewatkan oleh solusi antimalware.

  • Mematuhi kebijakan keamanan organisasi Anda yang menentukan penggunaan hanya perangkat lunak berlisensi.

  • Hindari piranti lunak yang tidak diinginkan untuk digunakan di lingkungan Anda.

  • Hindari aplikasi lama dan tidak didukung untuk dijalankan.

  • Cegah alat perangkat lunak tertentu yang tidak diizinkan di organisasi Anda.

  • Aktifkan TI untuk mengontrol akses ke data sensitif melalui penggunaan aplikasi.

Detail lebih lengkap tersedia di link referensi.

Tanggung Jawab: Pelanggan

6.13: Mengumpulkan aplikasi berisiko tinggi secara fisik atau logis

Panduan: Untuk aplikasi sensitif atau berisiko tinggi dengan Azure Cloud Services, terapkan langganan terpisah, atau grup manajemen untuk menyediakan isolasi.

Gunakan grup keamanan jaringan, buat aturan keamanan masuk, pilih layanan seperti http, pilih port kustom juga, beri prioritas dan nama. Prioritas mempengaruhi urutan diterapkannya aturan, semakin rendah nilai numerik, semakin awal aturan diterapkan. Anda harus mengaitkan grup keamanan jaringan Anda ke subnet atau antarmuka jaringan tertentu untuk mengisolasi atau mengelompokkan lalu lintas jaringan berdasarkan kebutuhan bisnis Anda.

Detail lebih lengkap tersedia di link referensi.

Tanggung Jawab: Pelanggan

Konfigurasi Aman

Untuk mengetahui informasi lebih lanjut, lihat Azure Security Benchmark: Konfigurasi Aman.

7.1: Menetapkan konfigurasi aman untuk semua sumber daya Azure

Panduan: Menggunakan rekomendasi dari Microsoft Defender untuk Cloud sebagai garis besar konfigurasi yang aman untuk sumber daya Azure Cloud Services Anda.

Di portal Azure, pilih Microsoft Defender untuk Cloud, lalu Komputasi & Aplikasi, dan Azure Cloud Services untuk melihat rekomendasi yang berlaku untuk sumber daya layanan Anda.

Tanggung Jawab: Pelanggan

7.3: Mempertahankan konfigurasi sumber daya Azure yang aman

Panduan: Tidak berlaku untuk layanan awan (Klasik). Ini didasarkan pada model penyebaran klasik. Disarankan untuk menggunakan solusi pihak ketiga untuk mempertahankan konfigurasi sumber daya Azure yang aman

Tanggung Jawab: Pelanggan

7.5: Menyimpan konfigurasi sumber daya Azure dengan aman

Panduan: File konfigurasi Azure Cloud Service menyimpan atribut operasi untuk sumber daya. Anda dapat menyimpan salinan file konfigurasi ke akun penyimpanan aman.

Tanggung Jawab: Pelanggan

7.7: Menyebarkan alat manajemen konfigurasi untuk sumber daya Azure

Panduan: Tidak berlaku untuk layanan awan (Klasik). Ini didasarkan pada model penyebaran klasik dan tidak dapat dikelola oleh alat konfigurasi berbasis penyebaran Azure Resource Manager.

Tanggung Jawab: Pelanggan

7.8: Menyebarkan alat manajemen konfigurasi untuk sistem operasi

Panduan: Tidak berlaku untuk layanan awan (Klasik). Rekomendasi ini berlaku untuk sumber daya komputasi berbasis Infrastruktur sebagai layanan (IaaS).

Tanggung Jawab: Pelanggan

7.9: Mengimplementasikan pemantauan konfigurasi otomatis untuk sumber daya Azure

Panduan: Menggunakan Microsoft Defender untuk Cloud untuk melakukan pemindaian garis besar untuk Sumber Daya Azure Anda.

Tanggung Jawab: Pelanggan

7.10: Menerapkan pemantauan konfigurasi otomatis untuk sistem operasi

Panduan: Di Microsoft Defender untuk Cloud, pilih fitur Komputasi & Aplikasi, dan ikuti rekomendasi untuk mesin virtual, server, dan kontainer.

Tanggung Jawab: Pelanggan

7.11: Mengelola rahasia Azure dengan aman

Panduan: Azure Cloud Services didasarkan pada model penerapan klasik dan tidak terintegrasi dengan Azure Key Vault.

Anda dapat mengamankan rahasia seperti kredensial yang digunakan di Azure Cloud Services sehingga Anda tidak perlu mengetikkan kata sandi setiap kali. Untuk memulainya, tentukan kata sandi teks biasa, konversikan ke string aman menggunakan perintah convertTo-SecureString, PowerShell. Selanjutnya, konversikan string aman ini menjadi string standar terenkripsi menggunakan ConvertFrom-SecureString. Anda sekarang dapat menyimpan string standar terenkripsi ini ke file menggunakan Set-Content.

Selain itu, disarankan untuk menyimpan kunci pribadi untuk sertifikat yang digunakan di Azure Cloud Services ke penyimpanan yang aman.

Tanggung Jawab: Pelanggan

7.13: Menghilangkan paparan info masuk yang tidak diinginkan

Panduan: Anda dapat mengamankan rahasia seperti kredensial yang digunakan di Azure Cloud Services sehingga Anda tidak perlu mengetikkan kata sandi setiap kali.

Untuk memulainya, tentukan kata sandi teks biasa, konversikan ke string aman menggunakan perintah convertTo-SecureString, PowerShell. Selanjutnya, konversikan string aman ini menjadi string standar terenkripsi menggunakan ConvertFrom-SecureString. Anda sekarang dapat menyimpan string standar terenkripsi ini ke file menggunakan perintah Set-Content.

Selain itu, disarankan untuk menyimpan kunci pribadi untuk sertifikat yang digunakan di Azure Cloud Services ke penyimpanan yang aman.

Tanggung Jawab: Pelanggan

Pertahanan Malware

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pertahanan Malware.

8.1: Menggunakan perangkat lunak anti-malware yang dikelola secara terpusat

Panduan: Microsoft Antimalware untuk Azure tersedia untuk Azure Cloud Services dan Virtual Machines. Ini adalah perlindungan real-time gratis yang membantu mengidentifikasi dan menghapus virus, spyware, dan perangkat lunak berbahaya lainnya. Ini menghasilkan peringatan ketika diketahui perangkat lunak jahat atau yang tidak diinginkan mencoba menginstal dirinya sendiri atau berjalan pada sistem Azure Anda.

Gunakan cmdlet Antimalware berbasis PowerShell untuk mendapatkan konfigurasi Antimalware, dengan "Get-AzureServiceAntimalwareConfig".

Aktifkan ekstensi Antimalware dengan skrip PowerShell di Tugas Startup di Azure Cloud Services.

Pilih fitur kontrol aplikasi Adaptif di Microsoft Defender untuk Cloud, solusi menyeluruh yang cerdas dan otomatis. Ini membantu mengeraskan komputer Anda terhadap malware dan memungkinkan Anda untuk memblokir atau memperingatkan upaya untuk menjalankan aplikasi berbahaya, termasuk yang mungkin terlewatkan oleh solusi antimalware.

Tanggung Jawab: Pelanggan

Respons Insiden

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Respons Insiden.

10.1: Membuat panduan tanggap insiden

Panduan: Buat panduan respons insiden untuk organisasi Anda. Pastikan terdapat rencana respons insiden tertulis yang menentukan semua peran personel serta fase penanganan/manajemen insiden dari deteksi hingga ulasan pasca-insiden.

Tanggung Jawab: Pelanggan

10.2: Membuat prosedur penilaian dan prioritas insiden

Panduan: Microsoft Defender untuk Cloud menetapkan tingkat keparahan untuk setiap pemberitahuan guna membantu Anda memprioritaskan pemberitahuan yang harus diselidiki terlebih dahulu. Tingkat keparahan didasarkan pada seberapa yakin Microsoft Defender untuk Cloud dalam temuan atau analitik yang digunakan untuk menerbitkan peringatan sekaligus tingkat keyakinan bahwa terdapat niat jahat di balik aktivitas yang mengarah pada peringatan tersebut.

Tandai langganan dengan jelas (misalnya, produksi, non-produksi) dan buat sistem penamaan untuk mengidentifikasi dan mengkategorikan sumber daya Azure dengan jelas.

Tanggung Jawab: Pelanggan

10.3: Menguji prosedur respons keamanan

Panduan: Lakukan latihan untuk menguji kemampuan respons insiden sistem Anda dalam interval reguler. Identifikasi titik lemah dan celah, lalu revisi rencana sesuai kebutuhan.

Tanggung Jawab: Pelanggan

10.4: Memberikan detail kontak insiden keamanan dan konfigurasi notifikasi peringatan untuk insiden keamanan

Panduan: Informasi kontak insiden keamanan akan digunakan oleh Microsoft untuk menghubungi Anda jika Microsoft Security Response Center (MSRC) mendapati bahwa data pelanggan telah diakses oleh pihak yang melanggar hukum atau tidak berwenang. Tinjau insiden setelah fakta untuk memastikan bahwa masalah terselesaikan.

Tanggung Jawab: Pelanggan

10.5: Menggabungkan pemberitahuan keamanan ke dalam sistem respons insiden Anda

Panduan: Mengekspor pemberitahuan dan rekomendasi Microsoft Defender untuk Cloud Anda menggunakan fitur Ekspor Berkelanjutan. Ekspor Berkelanjutan memungkinkan Anda untuk mengekspor pemberitahuan dan rekomendasi baik secara manual maupun berkelanjutan. Anda dapat menggunakan konektor data Microsoft Defender untuk Cloud guna mengalirkan peringatan ke Microsoft Sentinel.

Tanggung Jawab: Pelanggan

10.6: Mengotomatiskan respons terhadap pemberitahuan keamanan

Panduan: Menggunakan fitur Automasi Alur Kerja di Microsoft Defender untuk Cloud guna memicu respons secara otomatis melalui "Logic Apps" terhadap pemberitahuan dan rekomendasi keamanan.

Tanggung Jawab: Pelanggan

Uji Penetrasi dan Latihan Red Team

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Uji Penetrasi dan Latihan Red Team.

11.1: Melakukan uji penetrasi rutin sumber daya Azure Anda dan memastikan remediasi semua temuan keamanan yang penting

Panduan: Ikuti Aturan Keterlibatan Uji Penetrasi Microsoft Cloud untuk memastikan bahwa uji penetrasi Anda tidak melanggar kebijakan Microsoft. Gunakan strategi Microsoft dan eksekusi Red Team, serta uji penetrasi langsung terhadap infrastruktur, layanan, dan aplikasi cloud yang dikelola Microsoft.

Tanggung Jawab: Bersama

Langkah berikutnya