Garis besar keamanan Azure untuk Cognitive Services

Garis besar keamanan ini menerapkan panduan dari Azure Security Benchmark versi 1.0 ke Cognitive Services. Azure Security Benchmark memberikan rekomendasi tentang cara Anda mengamankan solusi cloud Anda di Azure. Konten dikelompokkan berdasarkan kontrol keamanan yang ditentukan oleh Azure Security Benchmark dan panduan terkait yang berlaku untuk Cognitive Services.

Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini, untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Tolok Ukur Keamanan Azure. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol yang tidak berlaku untuk Cognitive Services, atau yang tanggung jawabnya adalah Microsoft, telah dikecualikan. Untuk melihat Cognitive Services melakukan pemetaan sepenuhnya ke Azure Security Benchmark, lihat file pemetaan garis besar keamanan Cognitive Services lengkap.

Keamanan Jaringan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Jaringan.

1.1: Melindungi sumber daya Azure dalam jaringan virtual

Panduan: Microsoft Azure Cognitive Services memberikan model keamanan berlapis. Model ini memungkinkan Anda untuk mengamankan akun Layanan Kognitif Anda ke subkumpulan jaringan tertentu. Ketika aturan jaringan dikonfigurasi, hanya aplikasi yang meminta data melalui rangkaian jaringan yang ditentukan yang dapat mengakses akun. Anda dapat membatasi akses ke sumber daya Anda dengan pemfilteran permintaan, yang hanya mengizinkan permintaan yang berasal dari alamat IP, rentang IP, atau dari daftar subnet di Azure Virtual Networks.

Dukungan titik akhir layanan dan jaringan virtual untuk Cognitive Services terbatas pada serangkaian wilayah tertentu.

Tanggung Jawab: Pelanggan

1.2: Memantau dan mencatat konfigurasi dan lalu lintas jaringan virtual, subnet, dan antarmuka jaringan

Panduan: Saat Virtual Machines disebarkan dalam jaringan virtual yang sama dengan kontainer Cognitive Services, Anda dapat menggunakan grup keamanan jaringan untuk mengurangi risiko penyelundupan data. Aktifkan log alur grup keamanan jaringan dan kirim log ke Akun Azure Storage untuk diaudit. Anda juga dapat mengirim log alur grup keamanan jaringan ke ruang kerja Analitik Log dan menggunakan Analitik Lalu Lintas untuk memberikan wawasan tentang arus lalu lintas di cloud Azure Anda. Beberapa keunggulan Traffic Analytics adalah kemampuannya untuk memvisualisasikan aktivitas jaringan dan mengidentifikasi hot spot, mengidentifikasi ancaman keamanan, memahami pola alur lalu lintas, dan menentukan kesalahan konfigurasi jaringan.

Tanggung Jawab: Pelanggan

1.3: Melindungi aplikasi web penting

Panduan: Jika Anda menggunakan Cognitive Services dalam kontainer, Anda dapat meningkatkan penyebaran kontainer Anda dengan solusi firewall aplikasi web depan yang memfilter lalu lintas berbahaya dan mendukung enkripsi TLS end-to-end, menjaga titik akhir kontainer tetap privat dan aman.

Perlu diingat bahwa diperlukan kontainer Cognitive Services untuk mengirimkan informasi pengukuran untuk keperluan penagihan. Satu-satunya pengecualian, adalah kontainer Offline karena mereka mengikuti metodologi penagihan yang berbeda. Kegagalan untuk mengizinkan daftar berbagai saluran jaringan yang diandalkan kontainer Cognitive Services akan mencegah kontainer bekerja. Host harus mengizinkan daftar port 443 dan domain berikut:

  • *.cognitive.microsoft.com
  • *.cognitiveservices.azure.com

Perlu diingat juga bahwa Anda harus menonaktifkan inspeksi paket mendalam untuk solusi firewall di saluran aman yang dibuat kontainer Cognitive Services ke server Microsoft. Kegagalan untuk melakukannya akan mencegah kontainer berfungsi dengan benar.

Tanggung Jawab: Pelanggan

1.4: Menolak komunikasi dengan alamat IP yang diketahui berbahaya

Panduan: Saat komputer virtual disebarkan dalam jaringan virtual yang sama dengan kontainer Cognitive Services, tentukan dan terapkan konfigurasi keamanan standar untuk sumber daya jaringan yang terkait dengan Azure Policy. Gunakan alias Azure Policy di namespace "Microsoft.CognitiveServices" dan "Microsoft.Network" untuk membuat kebijakan kustom untuk mengaudit atau menegakkan konfigurasi jaringan instans Cognitive Services Anda. Anda juga dapat menggunakan definisi kebijakan bawaan seperti:

  • Standar Azure DDoS Protection harus diaktifkan

Gunakan Azure Blueprints untuk menyederhanakan penyebaran Azure berskala besar dengan mengemas artefak lingkungan utama, seperti templat Azure Resource Manager, kontrol akses berbasis peran Azure (Azure RBAC), dan kebijakan dalam satu definisi cetak biru. Anda dapat menerapkan cetak biru ke langganan dan lingkungan baru, serta menyempurnakan kontrol dan manajemen melalui penerapan versi.

Jika Anda menggunakan Cognitive Services dalam kontainer, Anda dapat meningkatkan penyebaran kontainer Anda dengan solusi firewall aplikasi web depan yang memfilter lalu lintas berbahaya dan mendukung enkripsi TLS end-to-end, menjaga titik akhir kontainer tetap privat dan aman.

Tanggung Jawab: Pelanggan

1.5: Merekam paket jaringan

Panduan: Saat Virtual Machines disebarkan dalam jaringan virtual yang sama dengan kontainer Cognitive Services, Anda dapat menggunakan grup keamanan jaringan untuk mengurangi risiko penyelundupan data. Aktifkan log alur grup keamanan jaringan dan kirim log ke Akun Azure Storage untuk diaudit. Anda juga dapat mengirim log alur grup keamanan jaringan ke ruang kerja Analitik Log dan menggunakan Analitik Lalu Lintas untuk memberikan wawasan tentang arus lalu lintas di cloud Azure Anda. Beberapa keunggulan Traffic Analytics adalah kemampuannya untuk memvisualisasikan aktivitas jaringan dan mengidentifikasi hot spot, mengidentifikasi ancaman keamanan, memahami pola alur lalu lintas, dan menentukan kesalahan konfigurasi jaringan.

Tanggung Jawab: Pelanggan

1.6: Menyebarkan sistem deteksi gangguan/pencegahan gangguan (IDS/IPS) berbasis jaringan

Guidance: Jika Anda menggunakan Cognitive Services dalam kontainer, Anda dapat meningkatkan penyebaran kontainer Anda dengan solusi firewall aplikasi web depan yang memfilter lalu lintas berbahaya dan mendukung enkripsi TLS end-to-end, menjaga titik akhir kontainer tetap privat dan aman. Anda dapat memilih penawaran dari Azure Marketplace yang mendukung fungsi IDS/IPS dengan kemampuan untuk menonaktifkan pemeriksaan payload.

Perlu diingat bahwa diperlukan kontainer Cognitive Services untuk mengirimkan informasi pengukuran untuk keperluan penagihan. Satu-satunya pengecualian adalah kontainer Offline karena mereka mengikuti metodologi penagihan yang berbeda. Kegagalan untuk mengizinkan daftar berbagai saluran jaringan yang diandalkan kontainer Cognitive Services akan mencegah kontainer bekerja. Host harus mengizinkan daftar port 443 dan domain berikut:

  • *.cognitive.microsoft.com
  • *.cognitiveservices.azure.com

Perlu diingat juga bahwa Anda harus menonaktifkan inspeksi paket mendalam untuk solusi firewall di saluran aman yang dibuat kontainer Cognitive Services ke server Microsoft. Kegagalan untuk melakukannya akan mencegah kontainer berfungsi dengan benar.

Tanggung Jawab: Pelanggan

1.7: Mengelola lalu lintas ke aplikasi web

Guidance: Jika Anda menggunakan Cognitive Services dalam kontainer, Anda dapat meningkatkan penyebaran kontainer Anda dengan solusi firewall aplikasi web depan yang memfilter lalu lintas berbahaya dan mendukung enkripsi TLS end-to-end, menjaga titik akhir kontainer tetap privat dan aman.

Perlu diingat bahwa diperlukan kontainer Cognitive Services untuk mengirimkan informasi pengukuran untuk keperluan penagihan. Satu-satunya pengecualian, adalah kontainer Offline karena mereka mengikuti metodologi penagihan yang berbeda. Kegagalan untuk mengizinkan daftar berbagai saluran jaringan yang diandalkan kontainer Cognitive Services akan mencegah kontainer bekerja. Host harus mengizinkan daftar port 443 dan domain berikut:

  • *.cognitive.microsoft.com
  • *.cognitiveservices.azure.com

Perlu diingat juga bahwa Anda harus menonaktifkan inspeksi paket mendalam untuk solusi firewall di saluran aman yang dibuat kontainer Cognitive Services ke server Microsoft. Kegagalan untuk melakukannya akan mencegah kontainer berfungsi dengan benar.

Tanggung Jawab: Pelanggan

1.8: Perkecil kompleksitas dan biaya tambahan administrasi pada aturan keamanan jaringan

Panduan: Gunakan Tag Layanan jaringan virtual untuk menentukan kontrol akses jaringan pada Kelompok Keamanan Jaringan atau Azure Firewall. Anda dapat menggunakan tag layanan sebagai pengganti alamat IP tertentu saat membuat aturan keamanan. Dengan menentukan nama tag layanan (misalnya, ApiManagement) di bidang sumber atau tujuan yang sesuai dari suatu aturan, Anda dapat mengizinkan atau menolak lalu lintas untuk layanan yang sesuai. Microsoft mengelola awalan alamat yang dicakup oleh tag layanan dan secara otomatis memperbarui tag layanan saat alamat berubah.

Anda juga dapat menggunakan grup keamanan aplikasi untuk membantu menyederhanakan konfigurasi keamanan yang kompleks. Kelompok keamanan aplikasi memungkinkan Anda mengonfigurasi keamanan jaringan sebagai perpanjangan alami dari struktur aplikasi, mengizinkan Anda mengelompokkan komputer virtual dan menentukan kebijakan keamanan jaringan berdasarkan kelompok tersebut.

Tanggung Jawab: Pelanggan

1.9: Mempertahankan konfigurasi keamanan standar untuk perangkat jaringan

Panduan: Tentukan dan terapkan konfigurasi keamanan standar untuk sumber daya jaringan yang berkaitan dengan kontainer Cognitive Services dengan Azure Policy. Gunakan alias Azure Policy di namespace "Microsoft.CognitiveServices" dan "Microsoft.Network" untuk membuat kebijakan kustom untuk mengaudit atau menegakkan konfigurasi jaringan instans Cognitive Services Anda.

Anda juga dapat menggunakan Azure Blueprints untuk menyederhanakan penyebaran Azure berskala besar dengan mengemas artefak lingkungan utama, seperti templat Azure Resource Manager, kontrol akses berbasis peran Azure (Azure RBAC), dan kebijakan dalam satu definisi cetak biru. Anda dapat menerapkan cetak biru ke langganan dan lingkungan baru, serta menyempurnakan kontrol dan manajemen melalui penerapan versi.

Tanggung Jawab: Pelanggan

1.10: Mendokumentasikan aturan konfigurasi lalu lintas

Panduan: Gunakan tag untuk sumber daya jaringan yang terkait dengan kontainer Cognitive Services Anda untuk mengaturnya secara logis ke dalam taksonomi.

Tanggung Jawab: Pelanggan

1.11: Menggunakan alat otomatis untuk memantau konfigurasi sumber daya jaringan dan mendeteksi perubahan

Panduan: Gunakan log Aktivitas Azure untuk memantau konfigurasi sumber daya jaringan dan mendeteksi perubahan untuk sumber daya jaringan yang berkaitan dengan kontainer Cognitive Services. Buat pemberitahuan dalam Azure Monitor yang akan memicu saat perubahan pada sumber daya jaringan penting terjadi.

Tanggung Jawab: Pelanggan

Pengelogan dan Pemantauan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pengelogan dan Pemantauan.

2.2: Mengonfigurasi manajemen log keamanan pusat

Panduan: Aktifkan pengaturan diagnostik Log Aktivitas Azure dan kirim log ke ruang kerja Log Analytics, hub peristiwa Azure, atau akun penyimpanan Azure untuk arsip. Log aktivitas memberikan wawasan tentang operasi yang dilakukan pada kontainer Cognitive Services Anda di tingkat sarana kontrol. Dengan menggunakan data Azure Activity Log, Anda dapat menentukan "apa, siapa, dan kapan" untuk setiap operasi tulis (PUT, POST, DELETE) yang dilakukan pada tingkat sarana kontrol untuk instans Cognitive Services Anda.

Tanggung Jawab: Pelanggan

2.3: Mengaktifkan pengelogan audit untuk sumber daya Azure

Panduan: Untuk pembuatan log audit sarana kontrol, aktifkan pengaturan diagnostik Log Aktivitas Azure dan kirim log ke ruang kerja Analitik Log, hub peristiwa Azure, atau akun penyimpanan Azure untuk arsip. Menggunakan data Log Aktivitas Azure, Anda dapat menentukan "apa, siapa, dan kapan" untuk setiap operasi penulisan (PUT, POST, DELETE) yang dilakukan pada tingkat sarana kontrol untuk sumber daya Azure Anda.

Selain itu, Cognitive Services mengirimkan peristiwa diagnostik yang dapat dikumpulkan dan digunakan untuk tujuan analisis, pemberitahuan, dan pelaporan. Anda dapat mengonfigurasi pengaturan diagnostik untuk kontainer Cognitive Services melalui portal Azure. Anda dapat mengirim satu atau beberapa peristiwa diagnostik ke Akun Penyimpanan, Hub Peristiwa, atau ruang kerja Analitik Log.

Tanggung Jawab: Pelanggan

2.5: Mengkonfigurasi retensi penyimpanan log keamanan

Panduan: Dalam Azure Monitor, tetapkan periode retensi Ruang Kerja Analitik Log sesuai dengan peraturan kepatuhan organisasi Anda. Gunakan akun Azure Storage untuk penyimpanan jangka panjang/arsip.

Tanggung Jawab: Pelanggan

2.6: Memantau dan meninjau log

Panduan: Aktifkan pengaturan diagnostik Log Aktivitas Azure dan kirim log ke ruang kerja Log Analytics. Log ini menyediakan data yang kaya dan sering kali tentang pengoperasian sumber daya yang digunakan untuk identifikasi masalah dan penelusuran kesalahan. Lakukan kueri di Analitik Log untuk mencari istilah, mengidentifikasi tren, menganalisis pola, dan memberikan banyak wawasan lainnya berdasarkan Data Log Aktivitas yang mungkin telah dikumpulkan untuk Azure Cognitive Services.

Tanggung Jawab: Pelanggan

2.7: Mengaktifkan pemberitahuan untuk aktivitas anomali

Panduan: Anda dapat mengaktifkan pemberitahuan pada metrik yang didukung di Cognitive Services dengan masuk ke bagian Pemberitahuan dan Metrik di Azure Monitor.

Konfigurasikan pengaturan diagnostik untuk kontainer Cognitive Services Anda dan kirim log ke ruang kerja Analitik Log. Dalam ruang kerja Analitik Log Anda, konfigurasikan pemberitahuan yang akan dilakukan saat set kondisi yang telah ditentukan sebelumnya berlangsung. Selain itu, Anda dapat mengaktifkan dan melakukan on-board data ke Microsoft Sentinel atau SIEM pihak ketiga.

Tanggung Jawab: Pelanggan

Identitas dan Layanan Kontrol Akses

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Identitas dan Kontrol Akses.

3.1: Memelihara inventaris akun administratif

Panduan: Azure Active Directory (Azure AD) memiliki peran bawaan yang harus ditetapkan secara eksplisit dan dapat dikueri. Gunakan modul Azure Active Directory PowerShell untuk melakukan kueri ad hoc untuk menemukan akun yang merupakan anggota grup administratif.

Tanggung Jawab: Pelanggan

3.2: Mengubah kata sandi default jika memungkinkan

Panduan: Akses sarana kontrol ke Cognitive Services dikontrol melalui Azure Active Directory (Azure AD). Azure Active Directory tidak memiliki konsep kata sandi default.

Akses sarana data ke Cognitive Services dikontrol melalui kunci akses. Kunci ini digunakan oleh klien yang terhubung ke cache Anda dan dapat diregenerasi kapan saja.

Anda tidak disarankan untuk membuat kata sandi default ke dalam aplikasi Anda. Sebagai gantinya, Anda dapat menyimpan kata sandi di Azure Key Vault lalu menggunakan Azure AD untuk mengambilnya.

Tanggung Jawab: Pelanggan

3.3: Menggunakan akun administratif khusus

Panduan: Buat prosedur operasi standar seputar penggunaan akun administratif khusus. Gunakan Manajemen Akses dan Identitas Microsoft Defender untuk Cloud untuk memantau jumlah akun administratif.

Selain itu, untuk membantu Anda melacak akun administratif khusus, Anda dapat menggunakan rekomendasi dari Microsoft Defender untuk Cloud atau Kebijakan Azure bawaan, seperti:

Tanggung Jawab: Pelanggan

3.4: Menggunakan akses menyeluruh (SSO) Azure Active Directory

Panduan: Cognitive Services menggunakan kunci akses untuk mengautentikasi pengguna dan tidak mendukung akses menyeluruh (SSO) di tingkat sarana data. Akses ke sarana kontrol untuk Cognitive Services tersedia melalui REST API dan mendukung SSO. Untuk mengautentikasi, atur header Otorisasi untuk permintaan Anda ke JSON (JavaScript Object Notation) Web Token yang Anda peroleh dari Azure Active Directory (Azure AD).

Tanggung Jawab: Pelanggan

3.5: Menggunakan autentikasi multifaktor untuk semua akses berbasis Azure Active Directory

Panduan: Mengaktifkan autentikasi multifaktor Azure Active Directory (Azure AD) dan ikuti rekomendasi Manajemen Akses dan Identitas Microsoft Defender untuk Cloud.

Tanggung Jawab: Pelanggan

3.6: Menggunakan tempat kerja yang aman dan dikelola Azure untuk tugas administratif

Panduan: Gunakan stasiun kerja akses istimewa (PAW) dengan autentikasi multifaktor yang dikonfigurasi untuk masuk dan mengonfigurasi sumber daya Azure.

Tanggung Jawab: Pelanggan

3.7: Mencatat dan memberitahu aktivitas mencurigakan dari akun administratif

Panduan: Gunakan Azure Active Directory (Azure AD) Privileged Identity Management (PIM) untuk membuat log dan pemberitahuan ketika kegiatan yang mencurigakan atau tidak aman terjadi dalam lingkungan.

Selain itu, gunakan deteksi risiko Azure AD untuk menampilkan pemberitahuan dan laporan tentang perilaku pengguna yang berisiko.

Tanggung Jawab: Pelanggan

3.8: Mengelola sumber daya Azure hanya dari lokasi yang disetujui

Panduan: Konfigurasikan lokasi bernama di Akses Bersyarat Azure Active Directory (Azure AD) untuk mengizinkan akses hanya dari pengelompokan logika tertentu dari rentang alamat IP atau negara dan wilayah.

Tanggung Jawab: Pelanggan

3.9: Menggunakan Azure Active Directory

Panduan: Gunakan Azure Active Directory (Azure AD) sebagai sistem autentikasi dan otorisasi pusat. Azure AD melindungi data menggunakan enkripsi yang kuat untuk data tidak aktif dan saat transit, dan juga melakukan salt, hash, dan menyimpan info masuk pengguna dengan aman. Jika kasus penggunaan Anda mendukung autentikasi AD, gunakan Azure AD untuk mengautentikasi permintaan ke API Cognitive Services.

Saat ini, hanya Computer Vision API, Face API, Text Analytics API, Immersive Reader, Form Recognizer, Anomaly Detector, dan semua layanan Bing kecuali autentikasi dukungan Pencarian Kustom Bing menggunakan Azure AD.

Tanggung Jawab: Pelanggan

3.10: Meninjau dan selaraskan akses pengguna secara teratur

Panduan: Azure Active Directory (Azure AD) menyediakan log untuk membantu menemukan akun yang telah kadaluwarsa. Pelanggan dapat menggunakan Tinjauan Akses Identitas Azure untuk mengelola keanggotaan grup secara efisien, akses ke aplikasi perusahaan, dan penetapan peran. Akses pengguna dapat ditinjau secara teratur untuk memastikan hanya pengguna aktif yang memiliki akses secara berkelanjutan.

Pelanggan dapat memelihara inventaris akun pengguna API Management dan menyelaraskan akses sesuai kebutuhan. Di API Management, pengembang adalah pengguna API yang Anda ekspos menggunakan API Management. Secara default, akun developer yang baru dibuat adalah akun Aktif, dan terkait dengan grup Pengembang. Akun pengembang yang dalam status aktif dapat digunakan untuk mengakses semua API yang memiliki langganan.

Tanggung Jawab: Pelanggan

3.11: Memantau percobaan untuk mengakses info masuk yang dinonaktifkan

Panduan: Anda memiliki akses ke aktivitas masuk, audit, dan sumber log peristiwa risiko Azure Active Directory (Azure AD), yang memungkinkan Anda mengintegrasikan dengan Microsoft Sentinel atau SIEM pihak ketiga.

Anda dapat mempermudah proses ini dengan membuat pengaturan diagnostik untuk akun pengguna Azure AD dan mengirim log audit dan log rincian masuk ke ruang kerja Log Analytics. Anda dapat mengonfigurasikan pemberitahuan log yang diinginkan dalam Log Analytics.

Tanggung Jawab: Pelanggan

3.12: Memberitahukan pada penyimpangan perilaku masuk akun

Panduan: Untuk penyimpangan perilaku masuk akun pada sarana kontrol, gunakan fitur deteksi risiko dan Perlindungan Identitas Azure Active Directory (Azure AD) untuk mengonfigurasikan respons otomatis terhadap tindakan mencurigakan yang terdeteksi terkait dengan identitas pengguna. Anda juga dapat menyerap data ke Microsoft Sentinel untuk penyelidikan lebih lanjut.

Tanggung Jawab: Pelanggan

3.13: Memberikan Microsoft akses ke data pelanggan yang relevan selama skenario dukungan

Panduan: Tidak tersedia untuk Cognitive Services. Customer Lockbox belum didukung untuk Cognitive Services.

Tanggung Jawab: Pelanggan

Perlindungan Data

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Perlindungan Data.

4.1: Mempertahankan inventaris Informasi yang sensitif

Panduan: Gunakan tag untuk membantu melacak sumber daya Azure yang menyimpan atau memproses informasi sensitif.

Tanggung Jawab: Pelanggan

4.2: Memisahkan sistem yang menyimpan atau memproses informasi sensitif

Panduan: Implementasikan langganan terpisah atau grup manajemen untuk pengembangan, pengujian, dan produksi. Sumber daya harus dipisahkan oleh subnet atau Virtual Network, ditandai dengan tepat, dan diamankan oleh grup keamanan jaringan atau Azure Firewall. Sumber daya yang menyimpan atau memproses data sensitif harus diisolasi secukupnya. Bagi Virtual Machines yang menyimpan atau memproses data yang sensitif, terapkan kebijakan dan prosedur untuk mematikannya saat tidak digunakan.

Tanggung Jawab: Pelanggan

4.3: Memantau dan memblokir transfer informasi sensitif yang tidak sah

Panduan: Belum tersedia. Fitur identifikasi, klasifikasi, dan pencegahan kehilangan data belum tersedia untuk Cognitive Services.

Microsoft mengelola infrastruktur yang mendasari untuk Cognitive Services dan telah menerapkan kontrol ketat untuk mencegah kehilangan atau pemaparan data pelanggan.

Tanggung Jawab: Pelanggan

4.4: Mengenkripsi semua informasi sensitif saat transit

Panduan: Semua titik akhir Cognitive Services yang diekspos melalui HTTP memberlakukan TLS 1.2. Dengan protokol keamanan yang diberlakukan, konsumen yang mencoba memanggil titik akhir Layanan Kognitif harus mematuhi pedoman ini:

Tanggung Jawab: Dibagikan

4.5: Menggunakan alat penemuan aktif untuk mengidentifikasi data sensitif

Panduan: Fitur identifikasi, klasifikasi, dan pencegahan kehilangan data belum tersedia untuk Cognitive Services. Tandai instans yang mengandung informasi sensitif seperti itu dan terapkan solusi pihak ketiga jika diperlukan untuk tujuan kepatuhan.

Microsoft mengelola platform yang mendasarinya dan memperlakukan semua konten pelanggan sebagai sensitif dan berusaha keras untuk melindungi pelanggan dari kehilangan dan paparan data. Untuk memastikan keamanan data pelanggan dalam Azure, Microsoft telah menerapkan dan memelihara serangkaian kontrol dan kemampuan perlindungan data yang kuat.

Tanggung Jawab: Bersama

4.6: Menggunakan Azure RBAC untuk mengontrol akses ke sumber daya

Panduan: Gunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk mengontrol akses ke sarana kontrol Cognitive Services (yaitu, portal Azure).

Tanggung Jawab: Pelanggan

4.8: Mengeknripsi informasi sensitif yang tidak aktif

Panduan: Enkripsi yang tidak aktif untuk Cognitive Services tergantung pada layanan khusus yang digunakan. Dalma kebanyakan kasus, data dienkripsi dan didekripsi menggunakan enkripsi AES 256-bit yang mematuhi FIPS 140-2. Enkripsi dan dekripsi bersifat transparan, yang berarti enkripsi dan akses dikelola untuk pelanggan oleh Microsoft. Data pelanggan aman secara default, dan mereka tidak perlu mengubah kode atau aplikasi untuk memanfaatkan enkripsi.

Anda dapat menggunakan Azure Key Vault untuk menyimpan kunci yang dikelola pelanggan Anda. Anda dapat membuat kunci Anda sendiri dan menyimpannya di brankas kunci, atau Anda dapat menggunakan Azure Key Vault API untuk membuat kunci.

Tanggung Jawab: Pelanggan

4.9: Mencatat dan beritahukan tentang perubahan pada sumber daya Azure yang penting

Panduan: Gunakan Azure Monitor dengan log Aktivitas Azure untuk membuat pemberitahuan saat terjadi perubahan pada instans produksi Cognitive Services dan sumber daya penting atau terkait lainnya.

Tanggung Jawab: Pelanggan

Manajemen Inventaris dan Aset

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Inventaris dan Aset.

6.1: Menggunakan solusi penemuan aset otomatis

Panduan: Gunakan Azure Resource Graph untuk membuat kueri atau menemukan semua sumber daya, (seperti komputasi, penyimpanan, jaringan, port, protokol, dan sebagainya) dalam langganan Anda. Pastikan Anda memiliki izin (baca) yang sesuai di penyewa Anda dan hitung semua langganan Azure serta sumber daya dalam langganan Anda.

Meskipun sumber daya Azure klasik dapat ditemukan melalui Resource Graph, sebaiknya buat dan gunakan sumber daya Azure Resource Manager di masa mendatang.

Tanggung Jawab: Pelanggan

6.2: Memelihara metadata aset

Panduan: Terapkan tag ke sumber daya Azure yang memberikan metadata untuk mengaturnya secara logika ke dalam suatu taksonomi.

Tanggung Jawab: Pelanggan

6.3: Menghapus sumber daya Azure yang tidak sah

Panduan: Gunakan pemberian tag, grup manajemen, dan langganan terpisah, jika sesuai, untuk mengatur dan melacak instans Cognitive Services dan sumber daya terkait. Sesuaikan inventaris secara teratur dan pastikan sumber daya yang tidak sah dihapus dari langganan tepat waktu.

Selain itu, gunakan Azure Policy untuk memberikan batasan pada jenis sumber daya yang dapat dibuat dalam langganan pelanggan menggunakan definisi kebijakan bawaan berikut ini:

Tanggung Jawab: Pelanggan

6.5: Memantau sumber daya Azure yang tidak disetujui

Panduan: Gunakan Azure Policy untuk memberikan batasan pada jenis sumber daya yang dapat dibuat dalam langganan pelanggan menggunakan definisi kebijakan bawaan berikut ini:

  • Jenis sumber daya yang tidak diizinkan
  • Jenis sumber daya yang diizinkan

Selain itu, gunakan Azure Resource Graph untuk meng-kueri dan menemukan sumber daya dalam langganan.

Tanggung Jawab: Pelanggan

6.9: Hanya gunakan layanan Azure yang disetujui

Panduan: Gunakan Azure Policy untuk memberikan batasan pada jenis sumber daya yang dapat dibuat dalam langganan pelanggan menggunakan definisi kebijakan bawaan berikut ini:

Tanggung Jawab: Pelanggan

6.11: Membatasi kemampuan pengguna untuk berinteraksi dengan Azure Resource Manager

Panduan: Konfigurasikan Akses Bersyarat Azure untuk membatasi kemampuan pengguna untuk berinteraksi dengan Azure Resource Manager dengan mengonfigurasi "Blokir akses" untuk Aplikasi "Microsoft Azure Management".

Tanggung Jawab: Pelanggan

Konfigurasi Aman

Untuk mengetahui informasi lebih lanjut, lihat Azure Security Benchmark: Konfigurasi Aman.

7.1: Menetapkan konfigurasi aman untuk semua sumber daya Azure

Panduan: Tentukan dan terapkan konfigurasi keamanan standar untuk kontainer Cognitive Services dengan Azure Policy. Gunakan alias Azure Policy di namespace layanan "Microsoft.CognitiveServices" untuk membuat kebijakan kustom untuk mengaudit atau menerapkan konfigurasi instans Cognitive Services Anda.

Tanggung Jawab: Pelanggan

7.3: Mempertahankan konfigurasi sumber daya Azure yang aman

Panduan: Gunakan efek [tolak] dan [sebarkan jika tidak ada] Azure Policy untuk menerapkan pengaturan yang aman di seluruh sumber daya Azure Anda.

Tanggung Jawab: Pelanggan

7.5: Menyimpan konfigurasi sumber daya Azure dengan aman

Panduan: Jika Anda menggunakan definisi Azure Policy kustom atau templat Azure Resource Manager untuk kontainer Cognitive Services Anda dan sumber daya terkait, gunakan Azure Repos untuk menyimpan dan mengelola kode Anda dengan aman.

Tanggung Jawab: Pelanggan

7.7: Menyebarkan alat manajemen konfigurasi untuk sumber daya Azure

Panduan: Gunakan alias Azure Policy di namespace layanan "Microsoft.Cache" guna membuat kebijakan kustom untuk memberitahukan, mengaudit, dan menegakkan konfigurasi sistem. Selain itu, kembangkan proses dan alur untuk mengelola pengecualian kebijakan.

Tanggung Jawab: Pelanggan

7.9: Mengimplementasikan pemantauan konfigurasi otomatis untuk sumber daya Azure

Panduan: Gunakan alias Azure Policy di namespace "Microsoft.CognitiveServices" guna membuat kebijakan kustom untuk pemberitahuan, audit, dan penegakan konfigurasi sistem. Gunakan efek Azure Policy [audit], [deny], dan [deploy if not exist], untuk secara otomatis menerapkan konfigurasi untuk instans Cognitive Services dan sumber daya terkait Anda.

Tanggung Jawab: Pelanggan

7.11: Mengelola rahasia Azure dengan aman

Panduan: Untuk komputer virtual Azure atau aplikasi web yang berjalan di Azure App Service yang digunakan untuk mengakses API Cognitive Services, gunakan Identitas Layanan Terkelola bersama dengan Azure Key Vault untuk menyederhanakan dan mengamankan manajemen kunci Cognitive Services. Pastikan penghapusan sementara Key Vault diaktifkan.

Tanggung Jawab: Pelanggan

7.12: Mengelola identitas dengan aman dan otomatis

Panduan: Untuk komputer virtual Azure atau aplikasi web yang berjalan di Azure App Service yang digunakan untuk mengakses API Cognitive Services, gunakan Identitas Layanan Terkelola bersama dengan Azure Key Vault untuk menyederhanakan dan mengamankan manajemen kunci Cognitive Services. Pastikan Penghapusan Sementara Key Vault diaktifkan.

Gunakan Identitas Terkelola untuk menyediakan layanan Azure dengan identitas terkelola secara otomatis di Azure Active Directory (Azure AD). Identitas Terkelola memungkinkan Anda mengautentikasi ke layanan yang mendukung autentikasi Azure AD, termasuk Azure Key Vault, tanpa memerlukan kredensial apa pun dalam kode Anda.

Tanggung Jawab: Pelanggan

7.13: Menghilangkan paparan info masuk yang tidak diinginkan

Panduan: Terapkan Pemindai Informasi masuk untuk mengidentifikasi informasi masuk dalam kode. Pemindai informasi masuk juga akan mendorong pemindahan informasi masuk yang ditemukan ke lokasi yang lebih aman seperti Azure Key Vault.

Tanggung Jawab: Pelanggan

Pertahanan Malware

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pertahanan Malware.

8.2: Lakukan pemindaian terlebih dahulu pada file yang akan diunggah ke sumber daya Azure non-komputasi

Panduan:Antimalware Microsoft diaktifkan pada host yang mendasarinya yang mendukung layanan Azure (misalnya, Cognitive Services), tetapi tidak berjalan pada konten pelanggan.

Pindai terlebih dulu konten apa pun yang akan diunggah ke sumber daya Azure non-komputasi, seperti App Service, Data Lake Storage, Blob Storage, Azure Database for PostgreSQL, dan sebagainya. Microsoft tidak dapat mengakses data Anda dalam instans ini.

Tanggung Jawab: Pelanggan

Pemulihan Data

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pemulihan Data.

9.1: Memastikan pencadangan teratur secara otomatis

Panduan: Data di akun penyimpanan Microsoft Azure Anda selalu direplikasi secara otomatis untuk memastikan ketahanan dan ketersediaan tinggi. Penyimpanan Azure menyalin data Anda sehingga terlindung dari peristiwa yang direncanakan dan tidak direncanakan, termasuk kegagalan perangkat keras sementara, jaringan atau pemadaman listrik, dan bencana alam besar-besaran. Anda dapat memilih untuk mereplikasi data Anda dalam pusat data yang sama, di seluruh pusat data zona dalam wilayah yang sama, atau di seluruh wilayah yang dipisahkan secara geografis.

Anda juga dapat menggunakan fitur manajemen siklus hidup untuk mencadangkan data ke tingkat Arsip. Selain itu, aktifkan penghapusan lunak untuk cadangan Anda yang disimpan di akun Penyimpanan.

Tanggung Jawab: Pelanggan

9.2: Melakukan pencadangan sistem lengkap dan cadangkan kunci yang dikelola pelanggan

Panduan: Gunakan Azure Resource Manager untuk menyebarkan Cognitive Services dan sumber daya terkait. Azure Resource Manager memberikan kemampuan untuk mengekspor templat, sehingga Anda dapat menyebarkan ulang solusi sepanjang siklus hidup pengembangan dan memiliki keyakinan bahwa sumber daya Anda disebarkan dalam keadaan konsisten. Gunakan Azure Automation untuk memanggil API ekspor templat Azure Resource Manager secara teratur. Cadangkan kunci yang dibagikan sebelumnya dalam Azure Key Vault.

Tanggung Jawab: Pelanggan

9.3: Memvalidasi semua cadangan termasuk kunci yang dikelola pelanggan

Panduan: Pastikan kemampuan untuk secara berkala melakukan penyebaran templat Azure Resource Manager secara teratur ke langganan yang terisolasi jika diperlukan. Uji pemulihan cadangan kunci yang dibagikan sebelumnya.

Tanggung Jawab: Pelanggan

9.4: Memastikan adanya perlindungan cadangan dan kunci yang dikelola pelanggan

Panduan: Gunakan Azure DevOps untuk menyimpan dan mengelola templat Azure Resource Manager Anda dengan aman. Untuk melindungi sumber daya yang dikelola di Azure DevOps, Anda bisa memberikan atau menolak izin untuk pengguna tertentu, grup keamanan bawaan, atau grup yang ditentukan di Azure Active Directory (Azure AD) jika terintegrasi dengan Azure DevOps, atau Active Directory jika terintegrasi dengan Team Foundation Server.

Gunakan kontrol akses berbasis peran Azure untuk melindungi kunci yang dikelola oleh pelanggan. Aktifkan penghapusan sementara di Azure Key Vault untuk melindungi kunci dari penghapusan yang tidak disengaja atau berbahaya.

Tanggung Jawab: Pelanggan

Respons Insiden

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Respons Insiden.

10.1: Membuat panduan tanggap insiden

Panduan: Buat panduan respons insiden untuk organisasi Anda. Pastikan terdapat rencana respons insiden tertulis yang menentukan semua peran personel serta fase penanganan/manajemen insiden dari deteksi hingga ulasan pasca-insiden.

Tanggung Jawab: Pelanggan

10.2: Membuat prosedur penilaian dan prioritas insiden

Panduan: Microsoft Defender untuk Cloud menetapkan tingkat keparahan untuk setiap pemberitahuan guna membantu Anda memprioritaskan pemberitahuan yang harus diselidiki terlebih dahulu. Tingkat keparahan didasarkan pada seberapa yakin Microsoft Defender untuk Cloud dalam temuan atau analitik yang digunakan untuk menerbitkan peringatan sekaligus tingkat keyakinan bahwa terdapat niat jahat di balik aktivitas yang mengarah pada peringatan tersebut.

Selain itu, tandai langganan dengan jelas (misalnya, produksi, non-produksi) dan buat sistem penamaan untuk mengidentifikasi dan mengategorikan sumber daya Azure dengan jelas.

Tanggung Jawab: Pelanggan

10.3: Menguji prosedur respons keamanan

Panduan: Lakukan latihan untuk menguji kemampuan respons insiden sistem Anda dalam interval reguler. Identifikasi titik lemah dan celah, lalu revisi rencana sesuai kebutuhan.

Tanggung Jawab: Pelanggan

10.4: Memberikan detail kontak insiden keamanan dan konfigurasi notifikasi peringatan untuk insiden keamanan

Panduan: Informasi kontak insiden keamanan akan digunakan oleh Microsoft untuk menghubungi Anda jika Microsoft Security Response Center (MSRC) mendapati bahwa data pelanggan telah diakses oleh pihak yang melanggar hukum atau tidak berwenang. Tinjau insiden setelah fakta untuk memastikan bahwa masalah terselesaikan.

Tanggung Jawab: Pelanggan

10.5: Menggabungkan pemberitahuan keamanan ke dalam sistem respons insiden Anda

Panduan: Mengekspor pemberitahuan dan rekomendasi Microsoft Defender untuk Cloud Anda menggunakan fitur Ekspor Berkelanjutan. Ekspor Berkelanjutan memungkinkan Anda untuk mengekspor pemberitahuan dan rekomendasi baik secara manual maupun berkelanjutan. Anda dapat menggunakan konektor data Microsoft Defender untuk Cloud guna mengalirkan peringatan ke Microsoft Sentinel.

Tanggung Jawab: Pelanggan

10.6: Mengotomatiskan respons terhadap pemberitahuan keamanan

Panduan: Menggunakan fitur Automasi Alur Kerja di Microsoft Defender untuk Cloud guna memicu respons secara otomatis melalui "Logic Apps" terhadap pemberitahuan dan rekomendasi keamanan.

Tanggung Jawab: Pelanggan

Uji Penetrasi dan Latihan Red Team

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Uji Penetrasi dan Latihan Red Team.

11.1: Melakukan uji penetrasi rutin sumber daya Azure Anda dan memastikan remediasi semua temuan keamanan yang penting

Panduan: Ikuti Aturan Keterlibatan Uji Penetrasi Microsoft Cloud untuk memastikan bahwa uji penetrasi Anda tidak melanggar kebijakan Microsoft. Gunakan strategi Microsoft dan eksekusi Red Team, serta uji penetrasi langsung terhadap infrastruktur, layanan, dan aplikasi cloud yang dikelola Microsoft.

Tanggung Jawab: Bersama

Langkah berikutnya