Garis besar keamanan Azure untuk Container Registry

Garis besar keamanan ini menerapkan panduan dari Azure Security Benchmark versi 2.0 ke Container Registry. Azure Security Benchmark memberikan rekomendasi tentang cara Anda mengamankan solusi cloud Anda di Azure. Konten dikelompokkan berdasarkan kontrol keamanan yang ditentukan oleh Azure Security Benchmark dan panduan terkait yang berlaku untuk Container Registry.

Catatan

Kontrol yang tidak berlaku untuk Container Registry, dan yang pedoman global direkomendasikan secara verbatim, telah dikecualikan. Untuk melihat cara Container Registry memetakan sepenuhnya ke Azure Security Benchmark, lihat file pemetaan garis besar keamanan Container Registry yang lengkap.

Keamanan Jaringan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Jaringan.

NS-1: Menerapkan keamanan untuk lalu lintas internal

Panduan: Batasi akses ke registri kontainer Azure pribadi Anda dari jaringan virtual Azure untuk memastikan bahwa hanya sumber daya yang disetujui yang dapat mengakses registri. Untuk skenario lintas tempat, Anda juga dapat mengonfigurasi aturan firewall untuk memungkinkan akses registri hanya dari alamat IP tertentu. Dari balik firewall, konfigurasikan aturan akses firewall dan tag layanan untuk mengakses registri kontainer Anda.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Peringatan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.ContainerRegistry:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Registri kontainer tidak boleh mengizinkan akses jaringan yang tidak terbatas Azure container registry secara default menerima koneksi melalui internet dari host di jaringan apa pun. Untuk melindungi registry Anda dari potensi ancaman, izinkan akses hanya dari alamat IP publik atau rentang alamat tertentu. Jika registri Anda tidak memiliki aturan IP/firewall atau jaringan virtual yang dikonfigurasi, registri tersebut akan muncul di sumber daya yang tidak sehat. Pelajari selengkapnya tentang aturan jaringan Container Registry di sini: https://aka.ms/acr/portal/public-network dan di sini https://aka.ms/acr/vnet. Audit, Tolak, Dinonaktifkan 1.1.0

NS-2: Menyambungkan jaringan privat bersama-sama

Panduan: Saat mengaktifkan titik akhir privat untuk sumber daya Azure Container Registry, Anda harus membuat konektivitas jaringan privat. Gunakan Azure ExpressRoute atau Azure Virtual Private Network (VPN) untuk membuat koneksi privat antara pusat data Azure yang menghosting registri kontainer dan infrastruktur lokal Anda di lingkungan lokasi bersama. Untuk menyambungkan dua atau lebih jaringan virtual di Azure, gunakan peering jaringan virtual.

Lalu lintas jaringan antara jaringan virtual yang diserekankan bersifat privat dan disimpan di jaringan backbone Azure.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Peringatan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.ContainerRegistry:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Registri kontainer harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform private link menangani konektivitas antara konsumen dan layanan melalui jaringan Azure backbone.Dengan memetakan titik akhir pribadi ke container registry Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/acr/private-link. Audit, Dinonaktifkan 1.0.1

NS-3: Membangun akses jaringan privat ke layanan Azure

Panduan: Gunakan Azure Private Link untuk mengaktifkan akses pribadi ke Container Registry dari jaringan virtual Anda tanpa melintasi internet.

Akses pribadi adalah ukuran mendalam pertahanan lain untuk autentikasi dan keamanan lalu lintas yang ditawarkan oleh layanan Azure.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Peringatan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.ContainerRegistry:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Registri kontainer harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform private link menangani konektivitas antara konsumen dan layanan melalui jaringan Azure backbone.Dengan memetakan titik akhir pribadi ke container registry Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/acr/private-link. Audit, Dinonaktifkan 1.0.1

NS-4: Melindungi aplikasi dan layanan dari serangan jaringan eksternal

Panduan: Lindungi sumber daya Azure Container Registry Anda dari serangan dari jaringan eksternal. Mengonfigurasinya dengan Private Link untuk mencegah akses jaringan eksternal ke Container Registries Anda. Dalam situasi saat jaringan virtual dan Private Link tidak dapat digunakan, Container Registry memungkinkan menentukan aturan akses firewall untuk membatasi akses ke jaringan tertentu.

Azure Container Registry tidak dimaksudkan untuk menghosting aplikasi web. Ini adalah layanan registri Docker privat yang dikelola. Keamanan aplikasi berbasis jaringan lainnya seperti firewall aplikasi web, atau DDoS tidak berlaku untuk layanan ini.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

NS-6: Menyederhanakan aturan keamanan jaringan

Panduan: Untuk sumber daya yang memerlukan akses ke registri kontainer Anda, gunakan tag layanan jaringan virtual untuk layanan Azure Container Registry untuk menentukan kontrol akses jaringan pada Grup Keamanan Jaringan atau Azure Firewall. Anda dapat menggunakan tag layanan sebagai pengganti alamat IP tertentu saat membuat aturan keamanan.

Dengan menentukan nama tag layanan "AzureContainerRegistry" di bidang sumber atau tujuan yang sesuai dari sebuah aturan, Anda dapat mengizinkan atau menolak lalu lintas untuk layanan yang sesuai. Microsoft mengelola awalan alamat yang dicakup oleh tag layanan dan secara otomatis memperbarui tag layanan saat alamat berubah.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

NS-7: Layanan Nama Domain (DNS) yang Aman

Panduan: Container Registry tidak mengekspos konfigurasi DNS yang mendasarinya. Pengaturan ini dikelola oleh Microsoft.

Tanggung jawab: Microsoft

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

Manajemen Identitas

Untuk informasi lebih lanjut, lihat Azure Security Benchmark : Manajemen Identitas.

IM-1: Menstandarkan Microsoft Azure Active Directory sebagai pusat sistem identitas dan autentikasi

Panduan: Container Registry menggunakan Azure Active Directory (Azure AD) sebagai layanan manajemen identitas dan akses default. Melakukan standardisasi pada Azure AD untuk mengatur identitas dan manajemen akses organisasi Anda di:

  • Sumber daya Microsoft Cloud. Sumber daya meliputi: - Portal Azure

  • Azure Storage

  • Mesin virtual Windows dan Linux Azure

  • Azure Key Vault

  • Platform-as-a-service (PaaS)

  • Aplikasi software as a service (SaaS)

  • Sumber daya organisasi Anda, seperti aplikasi di Azure atau sumber daya jaringan perusahaan Anda.

Mengamankan Microsoft Azure AD harus menjadi prioritas tinggi dalam praktik keamanan cloud organisasi Anda. memberikan skor aman identitas untuk membantu Anda membandingkan postur keamanan identitas Anda dengan rekomendasi praktik terbaik Microsoft. Gunakan skor untuk mengukur seberapa dekat konfigurasi Anda cocok dengan rekomendasi praktik terbaik, dan untuk melakukan peningkatan dalam postur keamanan Anda.

Layanan Azure Container Registry mendukung serangkaian peran Azure bawaan yang menyediakan tingkat izin yang berbeda untuk registri kontainer Azure. Gunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk menetapkan izin khusus kepada pengguna, perwakilan layanan, atau identitas lain yang perlu berinteraksi dengan registri. Misalnya, gunakan untuk menetapkan izin untuk menarik atau mendorong gambar kontainer.

Ada beberapa cara untuk mengautentikasi dengan registri kontainer Azure. Masing-masing berlaku untuk satu atau beberapa skenario penggunaan registri.

Cara yang disarankan meliputi:

  • Autentikasi ke registri langsung melalui login individual
  • Aplikasi dan orkestrator kontainer dapat melakukan autentikasi tanpa pengawasan, atau "tanpa kepala", dengan menggunakan perwakilan layanan Azure AD
  • Jika Anda menggunakan registri kontainer dengan Azure Kubernetes Service (AKS) atau kluster Kubernetes lainnya, lihat Skenario untuk autentikasi dengan Azure Container Registry dari Kubernetes.

Untuk informasi selengkapnya, lihat:

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

IM-2: Mengelola identitas aplikasi dengan aman dan otomatis

Panduan: Container Registry mendukung beberapa cara untuk mengautentikasi terhadap registri pelanggan:

  • Identitas terkelola (pilihan) - Pelanggan dapat mengautentikasi terhadap Container Registry menggunakan identitas sistem, atau identitas yang ditetapkan pengguna.

  • Aplikasi Azure AD - Pelanggan dapat menggunakan aplikasi/perwakilan layanan Azure AD untuk mengautentikasi ke Container Registry mereka.

Untuk informasi selengkapnya, lihat:

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

IM-3: Menggunakan akses menyeluruh (SSO) Microsoft Azure AD untuk akses aplikasi

Panduan: Container Registry menggunakan Azure AD untuk menyediakan manajemen identitas dan akses ke sumber daya Azure, aplikasi cloud, dan aplikasi lokal. Identitas mencakup identitas perusahaan seperti karyawan, dan identitas eksternal seperti mitra, vendor, dan pemasok. Microsoft Azure AD memungkinkan akses menyeluruh (SSO) untuk mengelola dan mengamankan akses ke data dan sumber daya lokal dan cloud organisasi Anda.

Sambungkan semua pengguna, aplikasi, dan perangkat Anda ke Azure AD. Azure AD menawarkan akses yang mulus dan aman, serta visibilitas dan kontrol yang lebih besar.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

IM-7: Menghapus paparan informasi masuk yang tidak diinginkan

Panduan: Container Registry memungkinkan pelanggan menyebarkan konfigurasi sumber daya sebagai templat Azure Resource Manager yang berpotensi berisi identitas dan rahasia. Disarankan untuk menerapkan Pemindai Info Masuk untuk mengidentifikasi info masuk dalam konfigurasi. Pemindai Info Masuk juga akan mendorong pemindahan informasi masuk yang ditemukan ke lokasi yang lebih aman seperti Azure Key Vault.

Untuk GitHub, Anda dapat menggunakan fitur pemindaian rahasia asli untuk mengidentifikasi info masuk atau bentuk rahasia lain dalam kode.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

Akses dengan Hak Istimewa

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Akses dengan Hak istimewa.

PA-1: Melindungi dan membatasi pengguna dengan hak sangat istimewa

Panduan: Peran bawaan yang paling penting untuk Azure AD adalah Administrator Global dan Administrator Peran Istimewa. Pengguna yang ditugaskan untuk kedua peran ini dapat mendelegasikan peran administrator:

  • Administrator Global/Administrator Perusahaan: Pengguna dengan peran ini memiliki akses ke semua fitur administratif di Azure AD, dan layanan yang menggunakan identitas Azure AD.

  • Administrator Peran Istimewa: Pengguna dengan peran ini dapat mengelola penetapan peran di Azure AD, dan di Azure AD Privileged Identity Management (PIM). Selain itu, peran ini memungkinkan pengelolaan semua aspek PIM dan unit administrasi.

Catatan: Anda mungkin memiliki peran penting lainnya yang perlu diatur jika Anda menggunakan peran kustom dengan izin hak istimewa tertentu yang ditetapkan. Anda mungkin juga ingin menerapkan kontrol serupa ke akun administrator aset bisnis penting.

Batasi jumlah akun atau peran yang sangat istimewa dan lindungi akun ini pada tingkat yang tinggi. Pengguna dengan hak istimewa ini dapat membaca dan memodifikasi setiap sumber daya secara langsung atau tidak langsung di lingkungan Azure Anda.

Anda dapat mengaktifkan akses istimewa just-in-time (JIT) ke sumber daya Azure dan Azure AD menggunakan Azure AD PIM. JIT memberikan izin sementara untuk melakukan tugas istimewa hanya ketika pengguna membutuhkannya. PIM juga dapat membuat peringatan keamanan ketika ada aktivitas yang mencurigakan atau tidak aman dalam organisasi Azure AD Anda.

Buat prosedur operasi standar seputar penggunaan akun administratif khusus.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

PA-3: Tinjau dan rekonsiliasi akses pengguna secara teratur

Panduan: Container Registry menggunakan akun Azure AD untuk mengelola sumber dayanya dan meninjau akun pengguna. Akses penugasan secara teratur untuk memastikan akun dan aksesnya valid. Anda dapat menggunakan tinjauan akses Azure AD untuk meninjau keanggotaan grup, akses ke aplikasi perusahaan, dan penetapan peran. Pelaporan Azure AD dapat menyediakan log untuk membantu menemukan akun usang. Anda juga dapat membuat alur kerja laporan ulasan akses di Azure AD PIM untuk memudahkan proses peninjauan.

Anda juga dapat mengonfigurasi Azure AD PIM untuk memberi tahu Anda ketika terdapat terlalu banyak akun administrator. PIM dapat mengidentifikasi akun administrator yang kedaluwarsa atau dikonfigurasi dengan tidak benar.

Catatan: Beberapa layanan Azure mendukung pengguna dan peran lokal yang tidak dikelola melalui Azure Active Directory. Kelola pengguna ini secara terpisah.

Layanan Azure Container Registry mendukung serangkaian peran Azure bawaan yang menyediakan tingkat izin yang berbeda untuk registri kontainer Azure. Gunakan Azure RBAC untuk menetapkan izin khusus kepada pengguna, perwakilan layanan, atau identitas lain yang perlu berinteraksi dengan registri. Misalnya, gunakan untuk menetapkan izin untuk menarik atau mendorong gambar kontainer.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

PA-6: Menggunakan stasiun kerja akses dengan hak istimewa

Panduan: Stasiun kerja yang aman dan terisolasi sangat penting untuk keamanan peran sensitif seperti administrator, pengembang, dan operator layanan penting. Gunakan stasiun kerja pengguna yang sangat aman dan/atau Azure Bastion untuk tugas administratif. Gunakan Azure AD, Perlindungan Ancaman Tingkat Lanjut (ATP) Microsoft Defender, atau Microsoft Intune untuk menyebarkan stasiun kerja pengguna yang aman dan terkelola untuk tugas administratif. Stasiun kerja yang aman dapat dikelola secara terpusat untuk menegakkan konfigurasi aman seperti:

  • Autentikasi kuat

  • Garis besar perangkat lunak dan perangkat keras

  • Akses jaringan dan logis terbatas.

Untuk informasi selengkapnya, lihat:

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

PA-7: Ikuti administrasi secukupnya (prinsip hak istimewa terkecil)

Panduan: Container Registry terintegrasi dengan Azure RBAC untuk mengelola sumber dayanya. Dengan RBAC, Anda mengelola akses sumber daya Azure melalui penetapan peran. Anda dapat menetapkan peran ke pengguna, grup, perwakilan layanan, dan identitas terkelola. Sumber daya tertentu memiliki peran bawaan yang telah ditentukan sebelumnya. Anda dapat menginventarisasi atau mengkueri peran ini melalui alat seperti Azure CLI, Azure PowerShell, atau portal Azure. Batasi hak istimewa yang Anda tetapkan ke sumber daya melalui Azure RBAC sesuai kebutuhan peran. Praktik ini melengkapi pendekatan JIT dari Azure AD PIM. Tinjau peran dan tugas secara berkala.

Gunakan peran bawaan untuk mengalokasikan izin dan hanya membuat peran khusus jika diperlukan. Layanan Azure Container Registry mendukung serangkaian peran Azure bawaan yang menyediakan tingkat izin yang berbeda untuk registri kontainer Azure. Gunakan Azure RBAC untuk menetapkan izin khusus kepada pengguna, perwakilan layanan, atau identitas lain yang perlu berinteraksi dengan registri. Misalnya, gunakan untuk menetapkan izin untuk menarik atau mendorong gambar kontainer.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

PA-8: Memilih proses persetujuan untuk dukungan Microsoft

Panduan: Dalam skenario dukungan saat Microsoft perlu mengakses data pelanggan, Container Registry mendukung Customer Lockbox. Ini menyediakan antarmuka bagi Anda untuk meninjau dan menyetujui atau menolak permintaan akses data pelanggan.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

Perlindungan Data

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Perlindungan Data.

DP-2: Melindungi data sensitif

Panduan: Lindungi data sensitif dengan membatasi akses menggunakan Azure RBAC, kontrol akses berbasis jaringan, dan kontrol khusus di layanan Azure seperti enkripsi. Untuk memastikan kontrol akses yang konsisten, selaraskan semua jenis kontrol akses dengan strategi segmentasi perusahaan Anda. Informasikan strategi segmentasi perusahaan tentang lokasi data dan sistem penting yang sensitif atau bisnis. Untuk platform dasar (yang dikelola oleh Microsoft), Microsoft memperlakukan semua konten pelanggan sebagai konten sensitif dan melindungi pelanggan dari kehilangan dan paparan data. Untuk memastikan keamanan data pelanggan dalam Azure, Microsoft telah menerapkan dan memelihara serangkaian kontrol dan kemampuan perlindungan data yang kuat.

Dengan membuat token, pemilik registri dapat menyediakan pengguna atau layanan dengan akses terbatas waktu ke repositori untuk menarik atau mendorong gambar atau melakukan tindakan lain. Token menyediakan izin yang lebih baik daripada opsi autentikasi registri lainnya, yang mencakup izin ke seluruh registri.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

DP-3: Memantau transfer data sensitif yang tidak sah

Panduan: Mengaktifkan fitur log audit untuk Azure Container Registry dan memantau siapa yang mendorong dan menarik operasi pada registri. Atur peringatan dan teruskan log ini ke SIEM Anda. Siapkan pemicu aktivitas yang mencurigakan atau bentuk pola akses yang tidak teratur.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

DP-4: Mengenkripsi informasi sensitif saat transit

Panduan: Untuk melengkapi kontrol akses, lindungi data dalam perjalanan terhadap serangan "di luar band" (seperti penangkapan lalu lintas) menggunakan enkripsi untuk memastikan bahwa penyerang tidak dapat dengan mudah membaca atau memodifikasi data.

Azure Container Registry memberlakukan enkripsi data saat transit ke layanan dan mewajibkan semua koneksi aman dari server dan aplikasi untuk menggunakan TLS 1.2. Aktifkan TLS 1.2 dengan menggunakan klien docker terbaru (versi 18.03.0 atau yang lebih baru). Dukungan untuk TLS 1.0 dan 1.1 dihentikan.

Tanggung Jawab: Bersama

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

DP-5: Mengenkripsi data sensitif yang tidak aktif

Panduan: Untuk melengkapi kontrol akses, Container Registry mengenkripsi data tidak aktif untuk melindungi dari serangan "di luar band" (seperti mengakses penyimpanan yang mendasarinya) menggunakan enkripsi. Ini membantu memastikan bahwa penyerang tidak dapat dengan mudah membaca atau memodifikasi data.

Microsoft Azure menyediakan enkripsi untuk data yang tidak aktif secara default. Untuk data yang sangat sensitif, Anda memiliki opsi untuk menerapkan enkripsi tambahan saat tidak aktif ke semua sumber daya Azure jika tersedia. Azure mengelola kunci enkripsi Anda secara default, tetapi Azure juga menyediakan opsi untuk mengelola kunci Anda sendiri (kunci yang dikelola pelanggan) untuk layanan Azure tertentu untuk memenuhi persyaratan peraturan.

Tanggung jawab: Microsoft

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Peringatan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.ContainerRegistry:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Pendaftaran penampung harus dienkripsi dengan kunci yang dikelola pelanggan Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi tidak aktif di seluruh isi disk terkelola Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/acr/CMK. Audit, Tolak, Dinonaktifkan 1.1.2

Manajemen Aset

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Aset.

AM-1: Memastikan tim keamanan memiliki visibilitas terhadap risiko aset

Panduan: Pastikan tim keamanan diberikan izin Pembaca Keamanan di penyewa dan langganan Azure Anda, sehingga mereka dapat memantau risiko keamanan dengan menggunakan Microsoft Defender untuk Cloud.

Pemantauan untuk risiko keamanan dapat menjadi tanggung jawab tim keamanan pusat atau tim lokal, tergantung cara Anda menyusun tanggung jawab. Selalu agregasikan wawasan dan risiko keamanan secara terpusat dalam suatu organisasi.

Anda dapat menerapkan izin Security Reader secara luas ke seluruh Grup Manajemen Root penyewa, atau izin cakupan ke grup atau langganan manajemen tertentu.

Catatan: Mendapatkan visibilitas ke dalam beban kerja dan layanan mungkin memerlukan lebih banyak izin.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

AM-2: Memastikan tim keamanan memiliki akses ke inventaris aset dan metadata

Panduan: Pastikan tim keamanan memiliki akses ke inventaris aset yang terus diperbarui di Azure, seperti Container Registry. Tim keamanan sering membutuhkan inventaris ini untuk mengevaluasi potensi paparan organisasi mereka terhadap risiko yang muncul, dan sebagai masukan untuk peningkatan keamanan yang berkelanjutan. Buat grup Azure AD yang berisi tim keamanan resmi organisasi Anda dan tetapkan akses baca ke semua sumber daya Container Registry. Anda dapat menyederhanakan proses dengan satu penetapan peran tingkat tinggi dalam langganan Anda.

Menerapkan tag ke sumber daya Azure, grup sumber daya, dan langganan Anda untuk mengaturnya secara logis ke dalam taksonomi. Setiap tag terdiri dari nama dan pasangan nilai. Misalnya, Anda dapat menerapkan nama "Lingkungan" dan nilai "Produksi" ke semua sumber daya dalam produksi.

Gunakan Inventaris Mesin Virtual Azure untuk mengotomatiskan pengumpulan informasi tentang perangkat lunak di mesin virtual. Nama Perangkat Lunak, Versi, Penerbit, dan Waktu Refresh tersedia dari portal Azure. Untuk mendapatkan akses ke tanggal penginstalan dan informasi lainnya, aktifkan diagnostik tingkat tamu dan bawa Log Peristiwa Windows ke ruang kerja Log Analytics.

Gunakan Kontrol Aplikasi Adaptif Microsoft Defender untuk Cloud untuk menentukan jenis file mana yang mungkin atau mungkin tidak berlaku untuk aturan.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

AM-3: Hanya gunakan layanan Azure yang disetujui

Panduan: Gunakan Azure Policy untuk mengaudit dan membatasi layanan yang dapat disediakan pengguna di lingkungan Anda. Gunakan Azure Resource Graph untuk mengkueri dan menemukan sumber daya dalam langganan pengguna. Anda juga dapat menggunakan Azure Monitor untuk membuat aturan sebagi pemicu pemberitahuan saat terdeteksi adanya layanan yang tidak disetujui.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pencatatan dan Deteksi Ancaman.

LT-1: Mengaktifkan deteksi ancaman untuk sumber daya Azure

Panduan: Menggunakan kemampuan deteksi ancaman bawaan Microsoft Defender untuk Cloud dan mengaktifkan Microsoft Defender untuk sumber daya Container Registry Anda. Microsoft Defender untuk Container Registry menyediakan lapisan kecerdasan keamanan lainnya. Ini mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi sumber daya Container Registry Anda.

Teruskan log apa pun dari Container Registry ke SIEM Anda yang dapat digunakan untuk menyiapkan deteksi ancaman khusus. Pastikan Anda memantau berbagai jenis aset Azure jika ada potensi ancaman dan anomali. Fokus pada mendapatkan peringatan berkualitas tinggi untuk mengurangi positif palsu bagi analis untuk diurutkan. Peringatan dapat bersumber dari data log, agen, atau data lainnya.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

LT-2: Mengaktifkan deteksi ancaman untuk identitas Azure dan manajemen akses

Panduan: Azure AD menyediakan log pengguna berikut. Anda dapat melihat log dalam pelaporan Azure AD. Anda dapat berintegrasi dengan Azure Monitor, Microsoft Sentinel, atau SIEM, dan alat pemantauan lainnya untuk kasus penggunaan pemantauan dan analitik yang canggih.

  • Proses masuk - Laporan masuk memberikan informasi tentang penggunaan aplikasi terkelola dan aktivitas masuk pengguna.- Log audit - Memberikan keterlacakan melalui log untuk semua perubahan yang dilakukan oleh berbagai fitur Azure AD. Log audit mencakup perubahan yang dibuat pada sumber daya apa pun dalam Azure AD. Perubahan tersebut termasuk menambahkan atau menghapus pengguna, aplikasi, grup, peran, dan kebijakan.
  • Proses masuk riskan - Indikator upaya masuk oleh seseorang yang mungkin bukan pemilik sah akun pengguna.
  • Pengguna ditandai untuk risiko - Pengguna berisiko adalah indikator untuk akun pengguna yang mungkin telah disusupi. Microsoft Defender untuk Cloud juga dapat memberi tahu Anda tentang aktivitas mencurigakan tertentu seperti terlalu banyak upaya autentikasi yang gagal. Akun yang tidak digunakan lagi dalam langganan juga dapat memicu peringatan. Microsoft Defender untuk Cloud juga dapat memperingatkan Anda tentang aktivitas mencurigakan seperti upaya autentikasi yang gagal dalam jumlah berlebihan, atau tentang akun yang tidak digunakan lagi.

Selain pemantauan kebersihan keamanan dasar, modul Perlindungan Ancaman Microsoft Defender untuk Cloud dapat mengumpulkan peringatan keamanan yang lebih mendalam dari:

  • Sumber daya komputasi Azure individual seperti VM, kontainer, dan layanan aplikasi
  • Sumber daya data seperti Azure SQL Database dan Azure Storage
  • Lapisan layanan Azure

Kemampuan ini memberi Anda visibilitas pada anomali akun di masing-masing sumber daya.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

LT-3: Mengaktifkan pengelogan untuk aktivitas jaringan Azure

Panduan: Aktifkan log ini:

  • Log sumber daya Network Security Group (NSG)

  • Log alur NSG

  • Log Azure Firewall

Kumpulkan log untuk analisis keamanan. Gunakan log tersebut untuk mendukung investigasi insiden, perburuan ancaman, dan pembuatan peringatan keamanan. Anda dapat mengirim log alur ke ruang kerja Log Analitik Azure Monitor dan kemudian menggunakan Analitik Lalu Lintas untuk memberikan wawasan.

Container Registry tidak menghasilkan atau memproses log kueri DNS.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

LT-4: Mengaktifkan pengelogan untuk sumber daya Azure

Panduan: Log aktivitas tersedia secara otomatis. Log berisi semua operasi PUT, POST, dan DELETE, tetapi tidak GET, untuk sumber daya Container Registry. Anda dapat menggunakan log aktivitas untuk menemukan kesalahan saat memecahkan masalah, atau untuk memantau cara pengguna memodifikasi sumber daya.

Aktifkan log sumber daya Azure untuk Container Registry. Anda dapat menggunakan Pertahanan Microsoft untuk Cloud dan Azure Policy untuk mengaktifkan log sumber daya dan pengumpulan data log. Log ini dapat menjadi penting untuk menyelidiki insiden keamanan dan untuk latihan forensik.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

LT-6: Mengonfigurasi retensi penyimpanan log

Panduan: Untuk akun penyimpanan atau ruang kerja Log Analytics yang menyimpan log Container Registry, tetapkan periode retensi log yang memenuhi peraturan kepatuhan organisasi Anda.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

LT-7: Menggunakan sumber sinkronisasi waktu yang disetujui

Panduan: Azure Container Registry tidak mendukung konfigurasi sumber sinkronisasi waktu Anda sendiri. Layanan Container Registry bergantung pada sumber sinkronisasi waktu Microsoft, dan tidak diekspos kepada pelanggan untuk konfigurasi.

Tanggung jawab: Microsoft

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

Manajemen Postur dan Kerentanan

Untuk mengetahui informasi selengkapnya, lihat Tolok Ukur Keamanan Azure: Manajemen Postur dan Kerentanan.

PV-1: Membuat konfigurasi aman untuk layanan Azure

Panduan: Anda dapat menggunakan Azure Blueprints untuk mengotomatiskan penyebaran dan konfigurasi layanan dan lingkungan aplikasi dalam definisi cetak biru tunggal. Lingkungan untuk:

  • Templat Azure Resource Manager

  • Kontrol dan kebijakan Azure RBAC

Gunakan Azure Blueprints untuk mengotomatiskan penyebaran dan konfigurasi sumber daya Azure Container Registry termasuk:

  • Templat Azure Resource Manager
  • Penetapan peran Azure RBAC
  • Penetapan Azure Policy

Gunakan Azure Policy atau Microsoft Defender untuk Cloud untuk mempertahankan konfigurasi keamanan untuk semua sumber daya Azure Container Registry. Azure Policy adalah layanan yang dapat Anda gunakan untuk membuat, menetapkan, dan mengelola kebijakan. Kebijakan ini memberlakukan aturan dan efek yang berbeda atas sumber daya Anda, sehingga sumber daya tersebut tetap sesuai dengan standar perusahaan dan perjanjian tingkat layanan Anda.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

PV-2: Membuat konfigurasi aman secara berkelanjutan untuk layanan Azure

Panduan: Gunakan Microsoft Defender untuk Cloud guna memantau Garis besar konfigurasi Anda. Gunakan Azure Policy [deny] dan [deploy if not exist] untuk menerapkan konfigurasi aman di seluruh sumber daya komputasi Azure termasuk VM, kontainer, dan lainnya.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

PV-5: Menyimpan sistem operasi kustom dan gambar kontainer dengan aman

Panduan: Container Registry memungkinkan pelanggan mengelola gambar sistem operasi atau gambar kontainer. Gunakan Azure Shared Image Gallery untuk berbagi gambar Anda dengan pengguna, perwakilan layanan, atau grup Azure AD yang berbeda dalam organisasi Anda. Simpan gambar kontainer di Azure Container Registry dan gunakan Azure RBAC untuk memastikan bahwa hanya pengguna berwenang yang memiliki akses.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

PV-6: Melakukan penilaian kerentanan perangkat lunak

Panduan: Container Registry memungkinkan penyebaran layanan di lingkungannya.

Ikuti rekomendasi dari Microsoft Defender untuk Cloud untuk melakukan penilaian kerentanan pada layanan yang disebarkan:

  • Mesin virtual Azure
  • Gambar kontainer
  • Server SQL

Microsoft Defender untuk Cloud memiliki pemindai kerentanan bawaan untuk mesin virtual, gambar kontainer, dan database SQL.

Sebagaimana diperlukan, ekspor hasil pemindaian pada interval yang konsisten dan membandingkan hasil dengan pemindaian sebelumnya untuk memverifikasi bahwa kerentanan telah diremediasi. Saat menggunakan rekomendasi manajemen kerentanan yang disarankan oleh Microsoft Defender untuk Cloud, Anda dapat beralih ke portal solusi yang dipilih untuk melihat data pemindaian historis.

Microsoft melakukan pengelolaan kerentanan pada sistem yang mendasari yang mendukung Container Registry.

Tanggung Jawab: Dibagikan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Peringatan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.ContainerRegistry:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Kerentanan dalam gambar Azure Container Registry harus diremediasi Penilaian kerentanan gambar kontainer memindai registri Anda untuk mencari kerentanan keamanan pada setiap gambar kontainer yang didorong dan menampilkan temuan mendetail untuk setiap gambar (diberdayakan oleh Qualys). Menyelesaikan kerentanan dapat meningkatkan postur keamanan kontainer Anda dengan pesat dan melindunginya dari serangan. AuditIfNotExists, Dinonaktifkan 2.0.0

PV-7: Memperbaiki kerentanan perangkat lunak dengan cepat dan otomatis

Panduan: Tidak berlaku. Rekomendasi ini ditujukan untuk sumber daya komputasi. Azure Container Registry tidak menyebarkan sumber daya komputasi yang menghadap pelanggan yang perlu dikonfigurasi pelanggan.

Tanggung Jawab: Dibagikan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

PV-8: Melakukan simulasi serangan rutin

Panduan: Sesuai kebutuhan, lakukan uji penetrasi atau aktivitas tim merah pada sumber daya Azure Anda. Pastikan untuk memperbaiki semua temuan keamanan kritis.

Ikuti Aturan Keterlibatan Uji Penetrasi Cloud Microsoft untuk memastikan uji penetrasi Anda tidak melanggar kebijakan Microsoft. Gunakan strategi dan eksekusi Red Teaming Microsoft. Lakukan uji penetrasi situs langsung terhadap infrastruktur, layanan, dan aplikasi cloud yang dikelola Microsoft.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

Keamanan titik akhir

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Titik Akhir.

ES-3: Memastikan perangkat lunak antimalware dan tanda tangan diperbarui

Panduan: Memastikan tanda tangan antimalware diperbarui dengan cepat dan konsisten.

Ikuti rekomendasi di Microsoft Defender untuk Cloud: Komputasi & Aplikasi untuk memastikan semua titik akhir diperbarui dengan tanda tangan terbaru. Microsoft Antimalware akan otomatis memasang tanda tangan terbaru dan pembaruan mesin secara default.

Microsoft menangani antimalware untuk platform yang mendasarinya melalui pembaruan dan penyebaran rutin

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

Microsoft Azure Backup dan Pemulihan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Microsoft Azure Backup dan Pemulihan.

BR-1: Pastikan pencadangan otomatis secara rutin

Panduan: Data di registri kontainer Microsoft Azure Anda selalu direplikasi secara otomatis untuk memastikan ketahanan dan ketersediaan tinggi. Azure Container Registry menyalin data Anda sehingga data dilindungi dari peristiwa yang direncanakan dan tidak direncanakan.

Secara opsional, replikasi registri kontainer secara geografis untuk mempertahankan replika registri di beberapa wilayah atau wilayah Azure dengan Availability Zone diaktifkan.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

BR-2: Mengenkripsi data cadangan

Panduan: Data sistem dienkripsi saat tidak aktif menggunakan kunci terkelola Microsoft.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

BR-3: Memvalidasi semua cadangan termasuk kunci yang dikelola pelanggan

Panduan: Container Registry mempertahankan cadangan data sistem kritisnya sendiri. Secara berkala, pastikan Anda dapat memulihkan kunci yang dikelola pelanggan yang dicadangkan.

Gunakan enkripsi saat tidak aktif pada semua sumber daya Azure. Secara default, semua data dalam registri kontainer Azure dienkripsi saat tidak aktif menggunakan kunci yang dikelola Microsoft.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

BR-4: Mengurangi risiko kehilangan kunci

Panduan: Memastikan Anda memiliki langkah-langkah untuk mencegah dan memulihkan dari hilangnya kunci enkripsi Azure Backup. Aktifkan perlindungan penghapusan sementara dan penghapusan menyeluruh di Azure Key Vault untuk melindungi kunci dari penghapusan yang tidak disengaja atau berbahaya.

Tanggung jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tidak ada

Langkah berikutnya