Garis besar keamanan Azure untuk Container Instances

  • Artikel
  • 30 menit untuk membaca

Garis besar keamanan ini menerapkan panduan dari Azure Security Benchmark versi 1.0 ke Container Instances. Azure Security Benchmark memberikan rekomendasi tentang cara Anda mengamankan solusi cloud Anda di Azure. Konten dikelompokkan berdasarkan kontrol keamanan yang ditentukan oleh Azure Security Benchmark dan panduan terkait yang berlaku untuk Container Instances.

Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini, untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Azure Security Benchmark. Beberapa rekomendasi mungkin memerlukan paket Pertahanan Microsoft berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol yang tidak berlaku untuk Container Instances, dan kontrol dengan panduan global yang direkomendasikan secara verbatim, telah dikecualikan. Untuk melihat bagaimana Container Instances memetakan sepenuhnya ke Azure Security Benchmark, lihat file pemetaan garis besar keamanan Container Instances secara lengkap.

Keamanan Jaringan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Jaringan.

1.1: Melindungi sumber daya Azure dalam jaringan virtual

Panduan: Integrasikan grup kontainer Anda di Azure Container Instances dengan jaringan virtual Azure. Jaringan virtual Azure memungkinkan Anda menempatkan banyak sumber daya Azure Anda, seperti grup kontainer, di jaringan non-internet yang dapat dirutekan.

Kontrol akses jaringan keluar dari subnet yang didelegasikan ke Azure Container Instances dengan menggunakan Azure Firewall.

Tanggung Jawab: Pelanggan

1.2: Memantau dan mencatat konfigurasi dan lalu lintas jaringan virtual, subnet, dan antarmuka jaringan

Panduan: Menggunakan Microsoft Defender untuk Cloud dan ikuti rekomendasi perlindungan jaringan untuk membantu mengamankan sumber daya jaringan Anda di Azure. Aktifkan log alur NSG dan kirim log ke Akun Storage untuk audit lalu lintas. Anda juga dapat mengirim log alur NSG ke Ruang Kerja Analitik Log dan menggunakan Analitik Lalu Lintas untuk memberikan insight tentang arus lalu lintas di cloud Azure Anda. Beberapa keunggulan Analitik Lalu Lintas adalah kemampuan untuk memvisualisasikan aktivitas jaringan dan mengidentifikasi hot spot, mengidentifikasi ancaman keamanan, memahami pola alur lalu lintas, dan menentukan kesalahan konfigurasi jaringan.

Tanggung Jawab: Pelanggan

1.3: Melindungi aplikasi web penting

Panduan: Amankan aplikasi yang dapat diakses internet di ACI dengan menyebarkan azure Web Application Firewall (di Application Gateway) di depan aplikasi Anda. Dorong semua lalu lintas aplikasi keluar melalui perangkat Azure Firewall dan pantau log.

Tanggung Jawab: Pelanggan

1.4: Menolak komunikasi dengan alamat IP yang diketahui berbahaya

Panduan: Aktifkan perlindungan Standar DDoS pada jaringan virtual Anda untuk perlindungan dari serangan DDoS. Gunakan Inteligensi Ancaman Terintegrasi Microsoft Defender untuk Cloud untuk menolak komunikasi dengan alamat IP Internet berbahaya atau tidak digunakan yang diketahui. Terapkan Azure Firewall di setiap batas jaringan organisasi dengan Inteligensi Ancaman diaktifkan dan dikonfigurasikan ke "Peringatkan dan tolak" untuk lalu lintas jaringan yang berbahaya.

Anda dapat menggunakan akses Just In Time Network Microsoft Defender untuk Cloud untuk mengonfigurasikan NSG untuk membatasi paparan titik akhir ke alamat IP yang disetujui selama periode terbatas. Selain itu, gunakan Microsoft Defender for Cloud Adaptive Network Hardening untuk merekomendasikan konfigurasi NSG yang membatasi Port dan IP Sumber berdasarkan lalu lintas aktual dan inteligensi ancaman.

Tanggung Jawab: Pelanggan

1.5: Merekam paket jaringan

Panduan: Jika menggunakan registri privat berbasis cloud seperti registri kontainer Azure dengan Azure Container Instances, Anda dapat mengaktifkan log alur grup keamanan jaringan (NSG) untuk NSG yang dilampirkan ke subnet yang digunakan untuk melindungi registri kontainer Azure Anda. Anda kemudian dapat merekam log alur NSG di Akun Azure Storage. Jika diperlukan untuk menyelidiki aktivitas anomali, Anda juga dapat mengaktifkan penangkapan paket Azure Network Watcher.

Tanggung Jawab: Pelanggan

1.6: Menyebarkan sistem deteksi intrusi /pencegahan intrusi berbasis jaringan (IDS/IPS)

Panduan: Pilih penawaran yang sesuai dari Azure Marketplace yang mendukung fungsionalitas IDS/IPS dengan kemampuan pemeriksaan payload. Jika deteksi intrusi dan/atau pencegahan berdasarkan pemeriksaan muatan bukanlah persyaratan, Azure Firewall dengan Threat Intelligence dapat digunakan. Pemfilteran berbasis Inteligensi Ancaman Azure Firewall dapat memperingatkan atau menolak lalu lintas ke dan dari alamat IP dan domain berbahaya yang diketahui. Alamat IP dan domain bersumber dari umpan Inteligensi Ancaman Microsoft.

Terapkan solusi firewall pilihan Anda di tiap batas jaringan organisasi Anda untuk mendeteksi dan/atau menolak lalu lintas berbahaya.

Tanggung Jawab: Pelanggan

1.7: Mengelola lalu lintas ke aplikasi web

Panduan: Jika menggunakan Azure Container Instances untuk menghosting aplikasi web, Anda dapat menyebarkan Azure Application Gateway dengan HTTPS/SSL yang diaktifkan untuk sertifikat tepercaya. Kemudian Anda dapat mengarahkan lalu lintas web aplikasi melalui Application Gateway ke grup kontainer.

Tanggung Jawab: Pelanggan

1.8: Memperkecil kompleksitas dan biaya tambahan administrasi pada aturan keamanan jaringan

Panduan: Jika menggunakan registri privat berbasis cloud seperti registri kontainer Azure dengan Azure Container Instances, untuk sumber daya yang memerlukan akses ke registri kontainer Anda, gunakan tag layanan jaringan virtual untuk layanan Azure Container Registry untuk menentukan kontrol akses jaringan pada Grup Keamanan Jaringan atau Azure Firewall. Anda dapat menggunakan tag layanan sebagai pengganti alamat IP tertentu saat membuat aturan keamanan. Dengan menentukan nama tag layanan "AzureContainerRegistry" di bidang sumber atau tujuan yang sesuai dari sebuah aturan, Anda dapat mengizinkan atau menolak lalu lintas untuk layanan yang sesuai. Microsoft mengelola awalan alamat yang dicakup oleh tag layanan dan secara otomatis memperbarui tag layanan saat alamat berubah.

Tanggung Jawab: Pelanggan

1.9: Mempertahankan konfigurasi keamanan standar untuk perangkat jaringan

Panduan: Saat menggunakan Azure Container Registry dengan Azure Container Instances, kami sarankan Anda menentukan dan menerapkan konfigurasi keamanan standar untuk sumber daya jaringan yang terkait dengan registri kontainer Azure Anda.

Gunakan alias Azure Policy di namespace layanan Microsoft.ContainerRegistry dan Microsoft.Network untuk membuat kebijakan kustom guna mengaudit atau menerapkan konfigurasi jaringan registri kontainer Anda.

Anda juga dapat menggunakan Azure Blueprints untuk menyederhanakan penyebaran Azure berskala besar dengan mengemas artefak lingkungan utama, seperti templat Azure Resource Manager, kontrol Azure RBAC, dan definisi kebijakan dalam satu definisi cetak biru. Terapkan cetak biru dengan mudah ke langganan baru dan sempurnakan kontrol dan manajemen melalui penerapan versi.

Tanggung Jawab: Pelanggan

1.10: Mendokumentasikan aturan konfigurasi lalu lintas

Panduan: Pelanggan dapat menggunakan Azure Blueprints untuk menyederhanakan penyebaran Azure skala besar dengan mengemas artefak lingkungan kunci, seperti templat Azure Resource Manager, kontrol Azure RBAC, dan kebijakan, dalam definisi cetak biru tunggal. Terapkan cetak biru dengan mudah ke langganan baru dan sempurnakan kontrol dan manajemen melalui penerapan versi.

Tanggung Jawab: Pelanggan

1.11: Menggunakan alat otomatis untuk memantau konfigurasi sumber daya jaringan dan mendeteksi perubahan

Panduan: Gunakan Log Aktivitas Azure untuk memantau konfigurasi sumber daya jaringan dan mendeteksi perubahan untuk sumber daya jaringan yang terkait dengan registri kontainer Anda. Buat pemberitahuan dalam Azure Monitor yang akan memicu saat perubahan pada sumber daya jaringan penting terjadi.

Tanggung Jawab: Pelanggan

Pengelogan dan Pemantauan

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Pembuatan Log dan Pemantauan.

2.1: Menggunakan sumber sinkronisasi waktu yang disetujui

Panduan: Microsoft mempertahankan sumber waktu untuk sumber daya Azure, namun, Anda memiliki opsi untuk mengelola pengaturan sinkronisasi waktu untuk sumber daya komputasi Anda.

Tanggung Jawab: Microsoft

2.2: Mengonfigurasi manajemen log keamanan pusat

Panduan: Serap log melalui Azure Monitor untuk mengagregasi data keamanan yang dihasilkan oleh Instans kontainer Azure. Dalam Azure Monitor, gunakan ruang kerja Analitik Log Azure untuk kueri dan melakukan analitik, dan menggunakan Akun Azure Storage untuk penyimpanan arsip/jangka panjang.

Tanggung Jawab: Pelanggan

2.3: Mengaktifkan pengelogan audit untuk sumber daya Azure

Panduan: Azure Monitor mengumpulkan log sumber daya (sebelumnya disebut log diagnostik) untuk peristiwa yang digerakkan oleh pengguna. Kumpulkan dan konsumsi data ini untuk mengaudit peristiwa autentikasi kontainer dan memberikan jejak aktivitas lengkap pada artefak seperti peristiwa penarikan dan pendorongan sehingga Anda dapat mendiagnosis masalah keamanan dengan grup kontainer Anda.

Tanggung Jawab: Pelanggan

2.5: mengkonfigurasikan retensi penyimpanan log keamanan

Panduan: Dalam Azure Monitor, tetapkan periode penyimpanan ruang kerja Log Analytics Anda sesuai dengan peraturan kepatuhan organisasi Anda. Gunakan Akun Azure Storage untuk penyimpanan jangka panjang/arsip.

Tanggung Jawab: Pelanggan

2.6: Memantau dan meninjau log

Panduan: Analisis dan pantau log Azure Container Instances untuk perilaku anomali dan meninjau hasilnya secara rutin. Gunakan ruang kerja Analitik Log Azure Monitor untuk mengulas log dan melakukan kueri pada data log.

Tanggung Jawab: Pelanggan

2.7: Mengaktifkan pemberitahuan untuk aktivitas anomali

Panduan: Gunakan ruang kerja Azure Log Analytics untuk memantau dan memberi tahu aktivitas anomali dalam log keamanan dan peristiwa yang terkait dengan Azure Container Instances atau Azure Container Registries Anda.

Tanggung Jawab: Pelanggan

2.8: Sentralisasi pembuatan log anti-malware

Panduan: Azure Container Instances adalah penawaran PaaS yang dikelola sepenuhnya dan Microsoft bertanggung jawab untuk menginstal dan mengelola pengelogan perlindungan & anti-malware.

Tanggung jawab: Microsoft

2.9: Mengaktifkan pembuatan log kueri DNS

Panduan: Azure Container Instances tidak mengekspos konfigurasi DNS yang mendasar, pengaturan ini dikelola oleh Microsoft.

Tanggung jawab: Microsoft

Identitas dan Layanan Kontrol Akses

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Identitas dan Kontrol Akses.

3.1: Memelihara inventaris akun administratif

Panduan: Azure Active Directory (Azure AD) memiliki peran bawaan yang harus ditetapkan secara eksplisit dan dapat dikueri. Gunakan modul Azure Active Directory PowerShell untuk melakukan kueri ad hoc untuk menemukan akun yang merupakan anggota grup administratif.

Jika menggunakan registri privat berbasis cloud seperti registri kontainer Azure dengan Azure Container Instances, untuk setiap registri kontainer Azure, lacak apakah akun admin bawaan diaktifkan atau dinonaktifkan. Nonaktifkan akun saat tidak digunakan.

Tanggung Jawab: Pelanggan

3.2: Ubah kata sandi default jika berlaku

Panduan: Azure Active Directory (Azure AD) tidak memiliki konsep kata sandi default. Sumber daya Azure lainnya yang memerlukan kata sandi memaksa kata sandi dibuat dengan persyaratan kompleksitas dan panjang kata sandi minimum, yang berbeda tergantung pada layanan. Anda bertanggung jawab atas aplikasi pihak ketiga dan layanan Marketplace Microsoft Azure yang dapat menggunakan kata sandi default.

Jika menggunakan registri privat berbasis cloud seperti registri kontainer Azure dengan Azure Container Instances, jika akun admin default registri kontainer Azure diaktifkan, kata sandi kompleks secara otomatis dibuat dan harus diputar. Nonaktifkan akun saat tidak digunakan.

Tanggung Jawab: Pelanggan

3.3: Menggunakan akun administratif khusus

Panduan: Buat prosedur operasi standar seputar penggunaan akun administratif khusus. Gunakan Manajemen Akses dan Identitas Microsoft Defender untuk Cloud untuk memantau jumlah akun administratif.

Jika menggunakan registri privat berbasis cloud seperti registri kontainer Azure dengan Azure Container Instances, buat prosedur untuk mengaktifkan akun admin bawaan registri kontainer. Nonaktifkan akun saat tidak digunakan.

Tanggung Jawab: Pelanggan

3.4: Menggunakan akses menyeluruh (SSO) Azure Active Directory

Panduan: Sedapat mungkin, gunakan SSO Azure Active Directory (Azure AD) daripada mengonfigurasi kredensial mandiri individu per layanan. Gunakan rekomendasi Manajemen Identitas dan Akses Microsoft Defender untuk Cloud.

Tanggung Jawab: Pelanggan

3.5: Menggunakan autentikasi multifaktor untuk semua akses berbasis Azure Active Directory

Panduan: Aktifkan autentikasi multifaktor Azure Active Directory (Azure AD) dan ikuti rekomendasi Microsoft Defender for Cloud Identity and Access Management.

Tanggung Jawab: Pelanggan

3.6: Gunakan komputer khusus (Stasiun Kerja Akses Istimewa) untuk semua tugas administratif

Panduan: Gunakan PAW (stasiun kerja akses istimewa) dengan autentikasi multifaktor yang dikonfigurasi untuk masuk dan mengonfigurasi sumber daya Azure.

Tanggung Jawab: Pelanggan

3.7: Catat dan beri tahu aktivitas mencurigakan dari akun administratif

Panduan: Gunakan laporan keamanan Microsoft Azure Active Directory (Azure AD) untuk pembuatan log dan pemberitahuan saat aktivitas mencurigakan atau tidak aman terjadi di lingkungan. Gunakan Microsoft Defender untuk Cloud untuk memantau aktivitas identitas dan akses.

Tanggung Jawab: Pelanggan

3.8: Mengelola sumber daya Azure hanya dari lokasi yang disetujui

Panduan: Gunakan Akses Bersyarat untuk memungkinkan akses hanya dari pengelompokan logis tertentu dari rentang alamat IP atau negara/wilayah.

Tanggung Jawab: Pelanggan

3.9: Menggunakan Azure Active Directory

Panduan: Gunakan Azure Active Directory (Azure AD) sebagai sistem autentikasi dan otorisasi pusat. Azure Active Directory melindungi data dengan menggunakan enkripsi yang kuat untuk data tidak aktif dan dalam transit. Azure Active Directory juga melakukan salt, hash, dan menyimpan informasi masuk pengguna dengan aman.

Tanggung Jawab: Pelanggan

3.10: Meninjau dan selaraskan akses pengguna secara teratur

Panduan: Azure Active Directory (Azure AD) menyediakan log untuk membantu menemukan akun yang telah kadaluwarsa. Selain itu, gunakan Tinjauan Akses Identitas Azure untuk secara efisien mengelola keanggotaan grup, akses ke aplikasi perusahaan, dan penetapan peran. Akses pengguna dapat ditinjau secara berkala untuk memastikan hanya Pengguna yang tepat yang memiliki akses berkelanjutan.

Tanggung Jawab: Pelanggan

3.11: Memantau percobaan untuk mengakses info masuk yang dinonaktifkan

Panduan: Anda memiliki akses ke aktivitas masuk Azure Active Directory (Azure AD), Audit dan sumber log Kejadian Risiko, yang memungkinkan Anda untuk berintegrasi dengan semua Security Information and Event Management (SIEM)/alat Pemantauan.

Anda dapat menyederhanakan proses ini dengan membuat Pengaturan Diagnostik untuk akun pengguna Microsoft Azure Active Directory dan mengirimkan log audit dan log masuk ke Ruang Kerja Analitik Log. Anda dapat mengonfigurasi pemberitahuan yang diinginkan dalam Ruang Kerja Analitik Log.

Tanggung Jawab: Pelanggan

3.12: Pemberitahuan pada penyimpangan perilaku masuk akun

Panduan: Gunakan fitur Perlindungan Risiko dan Identitas Azure Active Directory (Azure AD) untuk mengonfigurasi respons otomatis terhadap tindakan mencurigakan yang terdeteksi terkait dengan identitas pengguna.

Tanggung Jawab: Pelanggan

3.13: Memberikan Microsoft akses ke data pelanggan yang relevan selama skenario dukungan

Panduan: Tidak tersedia; Customer Lockbox saat ini tidak didukung untuk Azure Container Instances.

Tanggung Jawab: Pelanggan

Perlindungan Data

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Perlindungan Data.

4.1: Mempertahankan inventaris Informasi yang sensitif

Panduan: Gunakan tag sumber daya untuk membantu melacak registri kontainer Azure yang menyimpan atau memproses informasi sensitif.

Tag dan versi gambar kontainer atau artefak lain dalam registri, dan kunci gambar atau repositori, untuk membantu melacak gambar yang menyimpan atau memproses informasi sensitif.

Tanggung Jawab: Pelanggan

4.2: Memisahkan sistem yang menyimpan atau memproses informasi sensitif

Panduan: Menerapkan langganan registri kontainer terpisah dan/atau grup manajemen untuk pengembangan, pengujian, dan produksi. Sumber daya yang menyimpan atau memproses data sensitif harus diisolasi secukupnya.

Sumber daya harus dipisahkan oleh jaringan virtual atau subnet, ditandai dengan tepat, dan diamankan oleh kelompok keamanan jaringan (NSG) atau Azure Firewall.

Tanggung Jawab: Pelanggan

4.3: Memantau dan memblokir transfer informasi sensitif yang tidak sah

Panduan: Sebarkan alat otomatis pada perimeter jaringan yang memantau transfer informasi sensitif yang tidak sah dan memblokir transfer tersebut sambil memperingatkan para profesional keamanan informasi.

Untuk platform yang mendasarinya, yang dikelola oleh Microsoft, Microsoft memperlakukan semua data pelanggan sebagai data sensitif dan berusaha keras untuk melindungi dari kehilangan dan keterpaparan data pelanggan. Untuk memastikan keamanan data pelanggan dalam Azure, Microsoft telah menerapkan dan memelihara serangkaian kontrol dan kemampuan perlindungan data yang kuat.

Tanggung Jawab: Bersama

4.4: Mengenkripsi semua informasi sensitif saat transit

Panduan: Pastikan bahwa setiap klien yang terhubung ke Azure Container Registry Anda dapat menegosiasikan TLS 1.2 atau yang lebih besar. Sumber daya Microsoft Azure akan menegosiasikan TLS 1.2 secara default.

Ikuti rekomendasi Microsoft Defender untuk Cloud untuk enkripsi saat tidak aktif dan enkripsi saat transit, jika berlaku.

Tanggung Jawab: Bersama

4.5: Menggunakan alat penemuan aktif untuk mengidentifikasi data sensitif

Panduan: Jika menggunakan registri privat berbasis cloud seperti registri kontainer Azure dengan Azure Container Instances, identifikasi data, klasifikasi, dan fitur pencegahan kerugian belum tersedia untuk Azure Container Registry. Gunakan solusi pihak ketiga jika diperlukan untuk tujuan kepatuhan.

Untuk platform yang mendasarinya, yang dikelola oleh Microsoft, Microsoft memperlakukan semua data pelanggan sebagai data sensitif dan berusaha keras untuk melindungi dari kehilangan dan keterpaparan data pelanggan. Untuk memastikan keamanan data pelanggan dalam Azure, Microsoft telah menerapkan dan memelihara serangkaian kontrol dan kemampuan perlindungan data yang kuat.

Tanggung Jawab: Bersama

4.6: Menggunakan kontrol akses berbasis Peran untuk mengontrol akses ke sumber daya

Panduan: Jika menggunakan registri privat berbasis cloud seperti Azure Container Registry dengan Azure Container Instances, gunakan kontrol akses berbasis peran Azure (Azure RBAC) mengelola akses ke data dan sumber daya dalam registri kontainer Azure.

Tanggung Jawab: Pelanggan

4.7: Menggunakan pencegahan kehilangan data berbasis host untuk menegakkan kontrol akses

Panduan: Jika diperlukan untuk kepatuhan pada sumber daya komputasi, terapkan alat pihak ketiga, seperti solusi pencegahan kehilangan data berbasis host otomatis, untuk memberlakukan kontrol akses ke data bahkan ketika data disalin dari sistem.

Untuk platform yang mendasarinya, yang dikelola oleh Microsoft, Microsoft memperlakukan semua data pelanggan sebagai data sensitif dan berusaha keras untuk melindungi dari kehilangan dan keterpaparan data pelanggan. Untuk memastikan keamanan data pelanggan dalam Azure, Microsoft telah menerapkan dan memelihara serangkaian kontrol dan kemampuan perlindungan data yang kuat.

Tanggung Jawab: Bersama

4.8: Mengenkripsi informasi sensitif tidak aktif

Panduan: Gunakan enkripsi sebagai istirahat pada semua sumber daya Azure. Jika menggunakan registri privat berbasis cloud seperti registri kontainer Azure dengan Azure Container Instances, secara default, semua data dalam registri kontainer Azure dienkripsi saat tidak aktif menggunakan kunci yang dikelola Microsoft.

Tanggung Jawab: Pelanggan

4.9: Mencatat dan beritahukan tentang perubahan pada sumber daya Azure yang penting

Panduan: Ruang kerja Analitik Log menyediakan lokasi terpusat untuk menyimpan dan mengkueri data log tidak hanya dari sumber daya Azure, tetapi juga sumber daya lokal dan sumber daya di cloud lain. Azure Container Instances menyertakan dukungan bawaan untuk mengirim log dan data peristiwa ke log Azure Monitor.

Tanggung Jawab: Pelanggan

Manajemen Kerentanan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pengelolaan Kerentanan.

5.1: Menjalankan alat pemindaian kerentanan otomatis

Panduan: Manfaatkan solusi untuk memindai gambar kontainer dalam registri pribadi dan mengidentifikasi potensi kerentanan. Penting untuk memahami kedalaman deteksi ancaman yang disediakan oleh berbagai solusi yang berbeda. Ikuti rekomendasi dari Microsoft Defender untuk Cloud untuk melakukan penilaian kerentanan pada citra kontainer. Secara opsional sebarkan solusi pihak ketiga dari Azure Marketplace untuk melakukan penilaian kerentanan gambar.

Tanggung Jawab: Pelanggan

5.2: Menyebarkan solusi manajemen patch sistem operasi otomatis

Panduan: Mengotomatiskan pembaruan gambar kontainer saat pembaruan pada gambar dasar dari sistem operasi dan patch lainnya terdeteksi.

Microsoft melakukan manajemen patch untuk sistem dasar yang mendukung menjalankan Azure Container Instances.

Tanggung Jawab: Dibagikan

5.3: Menyebarkan solusi manajemen patch otomatis untuk judul perangkat lunak pihak ketiga

Panduan: Anda dapat menggunakan solusi pihak ketiga untuk mem-patch gambar aplikasi. Selain itu, jika menggunakan registri pribadi berbasis cloud seperti registri kontainer Azure dengan Azure Container Instances, Anda dapat menjalankan tugas Azure Container Registry untuk mengotomatiskan pembaruan pada gambar aplikasi dalam registri kontainer berdasarkan patch keamanan atau pembaruan lainnya dalam gambar dasar.

Tanggung Jawab: Pelanggan

5.4: Membandingkan pemindaian kerentanan bolak-balik

Panduan: Jika menggunakan registri privat berbasis cloud seperti registri kontainer Azure dengan Azure Container Instances, integrasikan registri kontainer Azure (ACR) dengan Microsoft Defender untuk Cloud untuk mengaktifkan pemindaian citra kontainer secara berkala untuk kerentanan. Secara opsional sebarkan solusi pihak ketiga dari Azure Marketplace untuk melakukan penilaian kerentanan gambar secara berkala.

Tanggung Jawab: Pelanggan

5.5: Menggunakan proses peringkat risiko untuk mengutamakan perbaikan kerentanan yang ditemukan

Panduan: Jika menggunakan registri privat berbasis cloud seperti registri kontainer Azure dengan Azure Container Instances, integrasikan Azure Container Registry (ACR) dengan Microsoft Defender untuk Cloud untuk mengaktifkan pemindaian citra kontainer secara berkala untuk kerentanan dan untuk mengklasifikasikan risiko. Secara opsional sebarkan solusi pihak ketiga dari Azure Marketplace untuk melakukan penilaian kerentanan gambar secara berkala dan klasifikasi risiko.

Tanggung Jawab: Pelanggan

Manajemen Inventaris dan Aset

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Inventaris dan Aset.

6.1: Menggunakan solusi penemuan aset otomatis

Panduan: Gunakan Azure Resource Graph untuk membuat kueri/menemukan semua sumber daya (seperti komputasi, penyimpanan, jaringan, port, dan protokol, dll.) dalam langganan Anda. Pastikan Anda memiliki izin (baca) yang sesuai di penyewa Anda dan hitung semua langganan Azure serta sumber daya dalam langganan Anda.

Meskipun sumber daya Azure klasik dapat ditemukan melalui Resource Graph, sebaiknya buat dan gunakan sumber daya Azure Resource Manager di masa mendatang.

Tanggung Jawab: Pelanggan

6.2: Memelihara metadata aset

Panduan: Jika menggunakan registri privat berbasis cloud seperti Azure Container Registry (ACR) dengan Azure Container Instances, Azure Container Registry mempertahankan metadata termasuk tag dan manifes untuk gambar dalam registri. Ikuti praktik yang direkomendasikan untuk menandai artefak.

Tanggung Jawab: Pelanggan

6.3: Menghapus sumber daya Azure yang tidak sah

Panduan: Jika menggunakan registri privat berbasis cloud seperti Azure Container Registry (ACR) dengan Azure Container Instances, Azure Container Registry mempertahankan metadata termasuk tag dan manifes untuk gambar dalam registri. Ikuti praktik yang direkomendasikan untuk menandai artefak.

Tanggung Jawab: Pelanggan

6.4: Menentukan dan memelihara inventaris sumber daya Azure yang disetujui

Panduan: Anda perlu membuat inventaris sumber daya Azure yang disetujui sesuai kebutuhan organisasi Anda.

Tanggung Jawab: Pelanggan

6.5: Memantau sumber daya Azure yang tidak disetujui

Panduan: Menggunakan Azure Policy untuk memberlakukan batasan pada jenis sumber daya yang dapat dibuat di langganan Anda.

Menggunakan Azure Resource Graph untuk melakukan kueri/menemukan sumber daya dalam langganan mereka. Pastikan bahwa semua sumber daya Azure yang berada di lingkungan disetujui.

Tanggung Jawab: Pelanggan

6.6: Memantau untuk aplikasi perangkat lunak yang tidak disetujui dalam sumber daya komputasi

Panduan: Jika menggunakan registri privat berbasis cloud seperti Azure Container Registry (ACR) dengan Azure Container Instances, analisis dan pantau log Azure Container Registry untuk perilaku anomali dan ulas hasil secara teratur. Gunakan ruang kerja Analitik Log Azure Monitor untuk mengulas log dan melakukan kueri pada data log.

Tanggung Jawab: Pelanggan

6.7: Menghapus sumber daya dan aplikasi perangkat lunak Azure yang tidak disetujui

Panduan: Azure Automation menyediakan kontrol penuh selama penyebaran, operasi, dan penonaktifan beban kerja dan sumber daya. Anda dapat menerapkan solusi Anda sendiri untuk menghapus sumber daya Azure yang tidak sah.

Tanggung Jawab: Pelanggan

6.8: Menggunakan hanya aplikasi yang disetujui

Panduan: Kembangkan dan kelola daftar izin file dan executable apa yang diperlukan agar aplikasi berfungsi dengan benar dan menyiapkan pemindaian kontainer untuk menemukan aplikasi yang tidak disetujui. Anda juga dapat memindai gambar kontainer yang disimpan di Azure Container Registry dengan Pertahanan Microsoft untuk Kontainer untuk menemukan kerentanan yang ada dalam gambar tersebut.

Tanggung Jawab: Pelanggan

6.9: Hanya gunakan layanan Azure yang disetujui

Panduan: Menggunakan Azure Policy untuk membatasi layanan mana yang dapat Anda sediakan di lingkungan Anda.

Tanggung Jawab: Pelanggan

6.10: Mempertahankan inventaris dari judul perangkat lunak yang disetujui

Panduan: Kembangkan dan kelola daftar izin file dan executable apa yang diperlukan agar aplikasi Anda berjalan di Azure Container Instances berfungsi dengan benar. Lakukan tinjauan keamanan reguler untuk perubahan pada daftar ini dan buat proses terpusat untuk mengelola dan memperbarui judul perangkat lunak yang disetujui untuk organisasi Anda.

Tanggung Jawab: Pelanggan

6.11: Membatasi kemampuan pengguna untuk berinteraksi dengan Azure Resource Manager

Panduan: Gunakan konfigurasi khusus sistem operasi atau sumber daya pihak ketiga untuk membatasi kemampuan pengguna untuk menjalankan skrip dalam sumber daya komputasi Azure.

Tanggung Jawab: Pelanggan

6.12: Membatasi kemampuan pengguna untuk mengeksekusi skrip dalam sumber daya komputasi

Panduan: Gunakan konfigurasi khusus sistem operasi atau sumber daya pihak ketiga untuk membatasi kemampuan pengguna untuk menjalankan skrip dalam sumber daya komputasi Azure.

Tanggung Jawab: Pelanggan

6.13: Memisahkan aplikasi berisiko tinggi secara fisik atau logis

Panduan: Perangkat lunak yang diperlukan untuk operasi bisnis, tetapi dapat menimbulkan risiko yang lebih tinggi bagi organisasi, harus diisolasi dalam komputer virtual dan/atau jaringan virtualnya sendiri dan cukup diamankan dengan Azure Firewall atau NSG.

Tanggung Jawab: Pelanggan

Konfigurasi Aman

Untuk mengetahui informasi lebih lanjut, lihat Azure Security Benchmark: Konfigurasi Aman.

7.1: Menetapkan konfigurasi aman untuk semua sumber daya Azure

Panduan: Menggunakan Azure Policy atau Microsoft Defender untuk Cloud untuk mempertahankan konfigurasi keamanan untuk semua Sumber Daya Azure.

Tanggung Jawab: Pelanggan

7.2: Menetapkan konfigurasi sistem operasi yang aman

Panduan: Tidak berlaku untuk Azure Container Instances (ACI). ACI menyediakan Sistem Operasi (OS) host yang dioptimalkan keamanan secara default untuk infrastruktur yang mendasar. Tidak ada opsi saat ini untuk memilih sistem operasi alternatif atau kustom.

Tanggung Jawab: Tidak Berlaku

7.3: Mempertahankan konfigurasi sumber daya Azure yang aman

Panduan: Gunakan Azure Policy [tolak] dan [terapkan jika tidak ada] untuk menerapkan pengaturan yang aman di seluruh sumber daya Azure Anda.

Jika menggunakan registri privat berbasis cloud seperti Azure Container Registry (ACR) dengan Azure Container Instances, audit kepatuhan registri kontainer Azure menggunakan Azure Policy.

Tanggung Jawab: Pelanggan

7.4: Mempertahankan konfigurasi sistem operasi yang aman

Panduan: Tidak berlaku untuk Azure Container Instances (ACI). ACI menyediakan Sistem Operasi (OS) host yang dioptimalkan keamanan secara default untuk infrastruktur yang mendasar. Tidak ada opsi saat ini untuk memilih sistem operasi alternatif atau kustom.

Tanggung Jawab: Tidak Berlaku

7.5: Menyimpan konfigurasi sumber daya Azure dengan aman

Panduan: Jika menggunakan definisi Azure Policy kustom, gunakan Azure Repos untuk menyimpan dan mengelola kode Anda dengan aman.

Tanggung Jawab: Pelanggan

7.6: Menyimpan gambar sistem operasi kustom dengan aman

Panduan: Tidak berlaku untuk Azure Container Instances (ACI). ACI menyediakan Sistem Operasi (OS) host yang dioptimalkan keamanan secara default. Tidak ada opsi saat ini untuk memilih sistem operasi alternatif atau kustom.

Tanggung Jawab: Tidak Berlaku

7.7: Menyebarkan alat manajemen konfigurasi untuk sumber daya Azure

Panduan: Gunakan Azure Policy untuk memberitahukan, mengaudit, dan memberlakukan konfigurasi sistem. Selain itu, kembangkan proses dan alur untuk mengelola pengecualian kebijakan.

Jika menggunakan registri privat berbasis cloud seperti Azure Container Registry (ACR) dengan Azure Container Instances, audit kepatuhan registri kontainer Azure menggunakan Azure Policy.

Tanggung Jawab: Pelanggan

7.8: Menyebarkan alat manajemen konfigurasi untuk sistem operasi

Panduan: Tidak berlaku, Azure Container Instances OS host yang mendasar diamankan dan dikonfigurasi oleh Microsoft. Untuk gambar kontainer apa pun yang berjalan di atas layanan, manajemen gambar tersebut disarankan untuk dicapai melalui proses build gambar yang aman menggunakan alur CI/CD atau alat build gambar.

Tanggung Jawab: Tidak Berlaku

7.9: Mengimplementasikan pemantauan konfigurasi otomatis untuk sumber daya Azure

Panduan: Menggunakan Microsoft Defender untuk Cloud untuk melakukan pemindaian garis besar untuk Sumber Daya Azure Anda.

Terapkan Azure Policy untuk memberlakukan pembatasan pada jenis sumber daya yang dapat dibuat di langganan Anda.

Jika menggunakan registri privat berbasis cloud seperti Azure Container Registry (ACR) dengan Azure Container Instances, audit kepatuhan registri kontainer Azure menggunakan Azure Policy.

Tanggung Jawab: Pelanggan

7.10: Menerapkan pemantauan konfigurasi otomatis untuk sistem operasi

Panduan: Menggunakan Microsoft Defender untuk Cloud untuk melakukan pemindaian garis besar untuk Pengaturan OS dan Docker untuk kontainer.

Tanggung Jawab: Pelanggan

7.11: Mengelola rahasia Azure dengan aman

Panduan: Gunakan Identitas Layanan Terkelola bersama dengan Azure Key Vault untuk menyederhanakan dan mengamankan manajemen rahasia untuk aplikasi cloud Anda.

Tanggung Jawab: Pelanggan

7.12: Mengelola identitas dengan aman dan otomatis

Panduan: Gunakan Identitas Terkelola untuk memberi layanan Azure identitas terkelola secara otomatis di Azure Active Directory (Azure AD). Identitas Terkelola memungkinkan Anda mengautentikasi ke layanan yang mendukung autentikasi Azure Active Directory, termasuk Azure Key Vault, tanpa memerlukan info masuk apa pun dalam kode Anda.

Jika menggunakan registri privat berbasis cloud seperti Azure Container Registry (ACR) dengan Azure Container Instances, audit kepatuhan registri kontainer Azure menggunakan Azure Policy.

Tanggung Jawab: Pelanggan

7.13: Menghilangkan paparan info masuk yang tidak diinginkan

Panduan: Terapkan Pemindai Informasi masuk untuk mengidentifikasi informasi masuk dalam kode. Pemindai informasi masuk juga akan mendorong pemindahan informasi masuk yang ditemukan ke lokasi yang lebih aman seperti Azure Key Vault.

Tanggung Jawab: Pelanggan

Pertahanan Malware

Untuk mengetahui informasi lebih lanjut, lihat Azure Security Benchmark: Pertahanan Malware.

8.1: Menggunakan perangkat lunak anti-malware yang dikelola secara terpusat

Panduan: Gunakan anti-malware Microsoft untuk Azure Cloud Services dan Virtual Machines untuk terus memantau dan mempertahankan sumber daya Anda. Untuk Linux, gunakan solusi anti-malware pihak ketiga.

Tanggung Jawab: Pelanggan

8.2: Lakukan pemindaian terlebih dahulu pada file yang akan diunggah ke sumber daya Azure non-komputasi

Panduan: Pra-pindai file apa pun yang diunggah ke sumber daya ACI Anda. Gunakan deteksi ancaman Security Center untuk layanan data guna mendeteksi malware yang diunggah ke akun penyimpanan jika menggunakan Akun Azure Storage sebagai penyimpanan data.

Untuk infrastruktur layanan yang mendasar, Microsoft menangani pemindaian file.

Tanggung Jawab: Dibagikan

8.3: Memastikan perangkat lunak dan tanda tangan anti-malware diperbarui

Panduan: Microsoft menangani anti-malware untuk layanan Container Instance dan platform Azure yang mendasarinya.

Tanggung Jawab: Microsoft

Pemulihan Data

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pemulihan Data.

9.1: Memastikan pencadangan otomatis secara teratur

Panduan: Jika menggunakan registri privat berbasis cloud seperti Azure Container Registry (ACR) dengan Azure Container Instances, data dalam registri kontainer Microsoft Azure Anda selalu direplikasi secara otomatis untuk memastikan ketahanan dan ketersediaan tinggi. Azure Container Registry menyalin data Anda sehingga data dilindungi dari peristiwa yang direncanakan dan tidak direncanakan.

Secara opsional geo-replikasi registri kontainer untuk mempertahankan replika registri di beberapa wilayah Azure.

Tanggung Jawab: Pelanggan

9.2: Melakukan pencadangan sistem lengkap dan mencadangkan kunci yang dikelola pelanggan

Panduan: Secara opsional cadangkan gambar kontainer dengan mengimpor dari satu registri ke registri lainnya.

Cadangkan kunci yang dikelola pelanggan di Azure Key Vault menggunakan alat baris perintah Azure atau SDK.

Tanggung Jawab: Pelanggan

9.3: Memvalidasi semua cadangan termasuk kunci yang dikelola pelanggan

Panduan: Uji pemulihan kunci yang dikelola pelanggan yang didukung di Azure Key Vault menggunakan alat baris perintah Azure atau SDK.

Tanggung Jawab: Pelanggan

9.4: Memastikan adanya perlindungan cadangan dan kunci yang dikelola pelanggan

Panduan: Aktifkan penghapusan sementara di Azure Key Vault untuk melindungi kunci dari penghapusan yang tidak disengaja atau berbahaya.

Tanggung Jawab: Pelanggan

Respons Insiden

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Respons Insiden.

10.1: Membuat panduan tanggap insiden

Panduan: Buat panduan respons insiden untuk organisasi Anda. Pastikan terdapat rencana respons insiden tertulis yang menentukan semua peran personel serta fase penanganan/manajemen insiden dari deteksi hingga ulasan pasca-insiden.

Tanggung Jawab: Pelanggan

10.2: Membuat prosedur penilaian dan prioritas insiden

Panduan: Microsoft Defender untuk Cloud menetapkan tingkat keparahan untuk setiap pemberitahuan guna membantu Anda memprioritaskan pemberitahuan yang harus diselidiki terlebih dahulu. Tingkat keparahan didasarkan pada seberapa yakin Pertahanan Microsoft untuk Cloud dalam temuan, atau analitik yang digunakan untuk mengeluarkan pemberitahuan. Tingkat keparahan juga terkait dengan tingkat keyakinan bahwa ada niat jahat di balik aktivitas yang mengarah ke pemberitahuan.

Selain itu, tandai langganan menggunakan tag dan buat sistem penamaan untuk mengidentifikasi dan mengategorikan sumber daya Azure, terutama data sensitif pemrosesan tersebut. Anda bertanggung jawab untuk memprioritaskan remediasi pemberitahuan berdasarkan kegentingan sumber daya dan lingkungan Azure tempat insiden terjadi.

Tanggung Jawab: Pelanggan

10.3: Menguji prosedur respons keamanan

Panduan: Lakukan latihan untuk menguji kemampuan respons insiden sistem Anda dalam ritme reguler. Identifikasi titik lemah dan celah, lalu revisi rencana sesuai kebutuhan.

Tanggung Jawab: Pelanggan

10.4: Memberikan detail kontak insiden keamanan dan konfigurasi notifikasi peringatan untuk insiden keamanan

Panduan: Informasi kontak insiden keamanan akan digunakan oleh Microsoft untuk menghubungi Anda jika Microsoft Security Response Center (MSRC) mendapati bahwa data pelanggan telah diakses oleh pihak yang melanggar hukum atau tidak berwenang. Tinjau insiden setelah fakta untuk memastikan bahwa masalah terselesaikan.

Tanggung Jawab: Pelanggan

10.5: Menggabungkan pemberitahuan keamanan ke dalam sistem respons insiden Anda

Panduan: Mengekspor pemberitahuan dan rekomendasi Microsoft Defender untuk Cloud Anda menggunakan fitur Ekspor Berkelanjutan. Ekspor Berkelanjutan memungkinkan Anda untuk mengekspor pemberitahuan dan rekomendasi baik secara manual maupun berkelanjutan. Anda dapat menggunakan konektor data Microsoft Defender untuk Cloud guna mengalirkan peringatan ke Microsoft Sentinel.

Tanggung Jawab: Pelanggan

10.6: Mengotomatiskan respons terhadap pemberitahuan keamanan

Panduan: Menggunakan fitur Automasi Alur Kerja di Microsoft Defender untuk Cloud guna memicu respons secara otomatis melalui "Logic Apps" terhadap pemberitahuan dan rekomendasi keamanan.

Tanggung Jawab: Pelanggan

Uji Penetrasi dan Latihan Red Team

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Uji Penetrasi dan Latihan Red Team.

11.1: Melakukan uji penetrasi rutin sumber daya Azure Anda dan memastikan remediasi semua temuan keamanan yang penting

Panduan: Ikuti Aturan Keterlibatan Uji Penetrasi Microsoft Cloud untuk memastikan bahwa uji penetrasi Anda tidak melanggar kebijakan Microsoft. Gunakan strategi Microsoft dan eksekusi Red Team, serta uji penetrasi langsung terhadap infrastruktur, layanan, dan aplikasi cloud yang dikelola Microsoft.

Tanggung Jawab: Bersama

Langkah berikutnya