Garis besar keamanan Azure untuk Azure Cosmos DB

Garis besar keamanan ini menerapkan panduan dari Tolok Ukur Keamanan Azure versi 2.0 ke Azure Cosmos DB. Azure Security Benchmark memberikan rekomendasi tentang cara Anda mengamankan solusi cloud Anda di Azure. Konten dikelompokkan berdasarkan kontrol keamanan yang ditentukan oleh Tolok Ukur Keamanan Azure dan panduan terkait yang berlaku untuk Azure Cosmos DB.

Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Pertahanan Microsoft untuk Cloud. Azure Policy definisi akan tercantum di bagian Kepatuhan Terhadap Peraturan di dasbor Pertahanan Microsoft untuk Cloud.

Saat bagian memiliki Definisi Azure Policy yang relevan, bagian tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Azure Security Benchmark. Beberapa rekomendasi mungkin memerlukan paket Pertahanan Microsoft berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol yang tidak berlaku untuk Azure Cosmos DB, dan kontrol yang direkomendasikan oleh panduan global kata demi kata, telah dikecualikan. Untuk melihat cara Azure Cosmos DB melakukan pemetaan sepenuhnya ke Tolok Ukur Keamanan Azure, lihat file pemetaan garis besar keamanan Azure Cosmos DB lengkap.

Keamanan Jaringan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Jaringan.

NS-1: Menerapkan keamanan untuk lalu lintas internal

Panduan: Saat Anda menyebarkan sumber daya Cosmos DB, buat atau gunakan jaringan virtual yang ada. Pastikan bahwa semua jaringan virtual Azure mengikuti prinsip segmentasi perusahaan yang selaras dengan risiko bisnis. Sistem apa pun yang dapat menimbulkan risiko lebih tinggi bagi organisasi harus diisolasi dalam jaringan virtualnya sendiri dan diamankan dengan baik, dengan kelompok keamanan jaringan (NSG) dan/atau Azure Firewall.

Gunakan Jaringan Adaptif yang Diperketat Microsoft Defender untuk Cloud guna merekomendasikan konfigurasi kelompok keamanan jaringan yang membatasi port dan IP sumber berdasarkan referensi ke aturan lalu lintas jaringan eksternal.

Berdasarkan aplikasi dan strategi segmentasi perusahaan Anda, batasi atau izinkan lalu lintas antara sumber daya internal berdasarkan aturan kelompok keamanan jaringan Anda. Untuk aplikasi tertentu yang didefinisikan dengan baik (seperti aplikasi 3 tingkat), hal ini bisa menjadi pendekatan yang sangat aman untuk menolak secara default.

• Cara membuat kelompok keamanan jaringan dengan aturan keamanan

• Cara menyebarkan dan mengonfigurasikan Azure Firewall

• Konfigurasikan Tautan Pribadi Azure untuk akun Azure Cosmos

• Mengonfigurasikan firewall IP di Azure Cosmos DB

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.DocumentDB:

Nama (portal Microsoft Azure)	Deskripsi	Efek	Versi (GitHub)
Akun Azure Cosmos DB harus memiliki aturan firewall	Aturan firewall harus ditentukan di akun Azure Cosmos DB Anda untuk mencegah lalu lintas dari sumber yang tidak sah. Akun yang memiliki setidaknya satu aturan IP yang ditentukan dengan filter jaringan virtual diaktifkan dianggap sesuai. Akun yang menonaktifkan akses publik juga dianggap patuh.	Audit, Tolak, Dinonaktifkan	2.0.0

NS-2: Menyambungkan jaringan privat bersama-sama

Panduan: Gunakan Azure ExpressRoute atau Jaringan pribadi Maya (VPN) Azure untuk membuat koneksi pribadi antara pusat data Azure dan infrastruktur lokal di lingkungan kolokasi. Koneksi ExpressRoute tidak melalui internet publik, dan mereka menawarkan lebih banyak keandalan, kecepatan yang lebih cepat, dan keterlambatan yang lebih rendah daripada koneksi internet biasa. Untuk VPN titik-ke-situs dan VPN situs-ke-situs, Anda dapat menyambungkan perangkat atau jaringan lokal ke jaringan virtual menggunakan kombinasi opsi VPN ini dan Azure ExpressRoute.

Untuk menyambungkan dua atau lebih jaringan virtual di Azure bersama-sama, gunakan serekanan jaringan virtual. Lalu lintas jaringan antara jaringan virtual yang diserekankan bersifat privat dan disimpan di jaringan backbone Azure.

• Apa itu model konektivitas Azure ExpressRoute

• Ringkasan VPN Azure

• Rekanan jaringan virtual

Tanggung Jawab: Pelanggan

NS-3: Membangun akses jaringan privat ke layanan Azure

Panduan: Gunakan Azure Private Link untuk mengaktifkan akses privat ke Cosmos DB dari jaringan virtual Anda tanpa melintasi internet.

Akses privat adalah ukuran mendalam pertahanan tambahan selain autentikasi dan keamanan lalu lintas yang ditawarkan oleh layanan Azure.

• Memahami Azure Private Link

• Konfigurasikan Tautan Pribadi Azure untuk akun Azure Cosmos

Tanggung Jawab: Pelanggan

NS-4: Melindungi aplikasi dan layanan dari serangan jaringan eksternal

Panduan: Lindungi sumber daya Azure Cosmos DB Anda dari serangan dari jaringan eksternal, termasuk serangan penolakan layanan terdistribusi (DDoS), serangan khusus aplikasi, dan lalu lintas internet yang tidak diminta dan berpotensi berbahaya. Gunakan Azure Firewall untuk melindungi aplikasi dan layanan dari lalu lintas yang berpotensi berbahaya dari internet dan lokasi eksternal lainnya. Lindungi aset dari serangan DDoS dengan mengaktifkan perlindungan standar DDoS di jaringan virtual Azure Anda. Gunakan Microsoft Defender untuk Cloud untuk mendeteksi risiko salah konfigurasi ke sumber daya terkait jaringan Anda.

Cosmos DB tidak dimaksudkan untuk menjalankan aplikasi web, dan tidak mengharuskan Anda untuk mengonfigurasi pengaturan tambahan atau menyebarkan layanan jaringan tambahan untuk melindunginya dari serangan jaringan eksternal yang menargetkan aplikasi web.

• Dokumentasi Azure Firewall

• Mengelola Standar Azure DDoS Protection menggunakan portal Microsoft Azure

• Rekomendasi Pertahanan Microsoft untuk Cloud

• Mulai cepat: Membuat dan mengonfigurasi Azure DDoS Protection Standard

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.DocumentDB:

Nama (portal Microsoft Azure)	Deskripsi	Efek	Versi (GitHub)
Akun Azure Cosmos DB harus memiliki aturan firewall	Aturan firewall harus ditentukan di akun Azure Cosmos DB Anda untuk mencegah lalu lintas dari sumber yang tidak sah. Akun yang memiliki setidaknya satu aturan IP yang ditentukan dengan filter jaringan virtual diaktifkan dianggap sesuai. Akun yang menonaktifkan akses publik juga dianggap patuh.	Audit, Tolak, Dinonaktifkan	2.0.0

NS-6: Menyederhanakan aturan keamanan jaringan

Panduan: Gunakan Tag Layanan Azure Virtual Network untuk menentukan kontrol akses jaringan pada kelompok keamanan jaringan atau Azure Firewall yang dikonfigurasi untuk sumber daya Azure Cosmos DB Anda. Anda dapat menggunakan tag layanan sebagai pengganti alamat IP tertentu saat membuat aturan keamanan. Dengan menentukan nama tag layanan di aturan bidang sumber atau tujuan yang sesuai, Anda dapat mengizinkan atau menolak lalu lintas untuk layanan yang sesuai. Microsoft mengelola awalan alamat yang dicakup oleh tag layanan dan secara otomatis memperbarui tag layanan saat alamat berubah.

Tag layanan AzureCosmosDB didukung untuk penggunaan keluar dan dapat bersifat regional dan dapat digunakan dengan Azure Firewall.

• Pahami dan gunakan Tag Layanan

Tanggung Jawab: Pelanggan

NS-7: Layanan Nama Domain (DNS) yang Aman

Panduan: Mengikuti praktik terbaik untuk keamanan DNS guna mengurangi serangan umum seperti DNS yang menggantung, serangan amplifikasi DNS, peracunan dan spoofing DNS, dll.

Saat Azure DNS digunakan sebagai layanan DNS otoritatif Anda, pastikan zona dan catatan DNS dilindungi dari modifikasi yang tidak disengaja atau berbahaya menggunakan Azure RBAC dan kunci sumber daya.

• Ringkasan Azure DNS

• Panduan Penyebaran Sistem Nama Domain (DNS) Aman

• Mencegah entri DNS yang menggantung dan hindari pengambilalihan subdomain

Tanggung Jawab: Pelanggan

Manajemen Identitas

Untuk informasi lebih lanjut, lihat Azure Security Benchmark : Manajemen Identitas.

IM-1: Menstandarkan Microsoft Azure Active Directory sebagai pusat sistem identitas dan autentikasi

Panduan: Cosmos DB menggunakan Azure Active Directory (Microsoft Azure AD) sebagai layanan manajemen akses dan identitas default. Sebaiknya lakukan standardisasi pada Microsoft Azure Active Directory untuk mengatur manajemen identitas dan akses organisasi Anda di:

• Sumber daya Microsoft Cloud, seperti portal Azure, Penyimpanan Azure, Azure Virtual Machine (Linux dan Windows), Azure Key Vault, PaaS, dan aplikasi SaaS.
• Sumber daya organisasi Anda, seperti aplikasi di Azure atau sumber daya jaringan perusahaan Anda.

Mengamankan Microsoft Azure AD harus menjadi prioritas tinggi dalam praktik keamanan cloud organisasi Anda. Azure AD menyediakan skor aman identitas untuk membantu menilai postur keamanan identitas yang relatif terhadap rekomendasi praktik terbaik Microsoft. Gunakan skor untuk mengukur seberapa dekat konfigurasi Anda cocok dengan rekomendasi praktik terbaik, dan untuk melakukan peningkatan dalam postur keamanan Anda.

Catatan: Microsoft Azure AD mendukung identitas eksternal yang memungkinkan pengguna tanpa akun Microsoft untuk masuk ke aplikasi dan sumber daya mereka dengan identitas eksternal mereka.

Azure Cosmos DB menyediakan Azure RBAC bawaan untuk skenario manajemen umum di Azure Cosmos DB. Seseorang yang memiliki profil di Azure Active Directory dapat menetapkan peran Azure ini kepada pengguna, grup, perwakilan layanan, atau identitas terkelola untuk memberikan atau menolak akses ke sumber daya dan operasi pada sumber daya Azure Cosmos DB. Penetapan peran hanya dicakup untuk akses sarana kontrol, yang mencakup akses ke akun, database, kontainer, dan penawaran (throughput) Azure Cosmos.

Azure Cosmos DB menyediakan tiga cara untuk mengontrol akses ke data Anda. Kunci primer adalah rahasia bersama yang memungkinkan manajemen atau operasi data apa pun. Kunci ini memiliki varian baca-tulis dan hanya-baca. Kontrol akses berbasis peran menyediakan model izin berbasis peran yang terperinci menggunakan identitas Azure Active Directory (AAD) untuk autentikasi. Token sumber daya menyediakan model izin terperinci berdasarkan pengguna dan izin Azure Cosmos DB asli.

• Penyewaan di Azure Active Directory

• Cara membuat dan mengonfigurasikan instans Azure AD

• Gunakan penyedia identitas eksternal untuk aplikasi

• Kontrol akses berbasis peran Azure pada Azure Cosmos DB

• Mengamankan akses ke data di Azure Cosmos DB

Tanggung Jawab: Dibagikan

IM-2: Mengelola identitas aplikasi dengan aman dan otomatis

Panduan: Cosmos DB mendukung identitas terkelola untuk sumber daya Azure-nya. Gunakan identitas terkelola dengan Cosmos DB alih-alih membuat perwakilan layanan untuk mengakses sumber daya lain. Cosmos DB dapat mengautentikasi secara asli ke layanan/sumber daya Azure yang mendukung autentikasi Azure AD melalui aturan pemberian akses yang telah ditentukan sebelumnya tanpa menggunakan info masuk yang dikodekan secara permanen dalam kode sumber atau file konfigurasi.

• Identitas terkelola Azure

• Layanan yang mendukung identitas terkelola untuk sumber daya Azure

• Menggunakan identitas terkelola yang ditetapkan sistem untuk mengakses data Azure Cosmos DB

Tanggung Jawab: Pelanggan

IM-3: Menggunakan akses menyeluruh (SSO) Microsoft Azure AD untuk akses aplikasi

Panduan: Cosmos DB terintegrasi dengan Azure Active Directory (Azure AD) untuk menyediakan identitas dan manajemen akses ke sumber daya Azure-nya. Azure Cosmos DB menggunakan dua jenis kunci untuk mengotorisasi pengguna dan tidak mendukung Akses Menyeluruh (SSO) di tingkat data plane. Namun, akses ke sarana kontrol untuk Cosmos DB tersedia melalui REST API dan mendukung SSO. Untuk mengautentikasi, atur header otorisasi untuk permintaan Anda ke JSON Web Token yang Anda peroleh dari Microsoft Azure Active Directory.

• Memahami Aplikasi SSO dengan Microsoft Azure Active Directory

Tanggung Jawab: Dibagikan

IM-7: Menghapus paparan informasi masuk yang tidak diinginkan

Panduan: Cosmos DB tidak dimaksudkan untuk menyimpan kode, namun untuk template ARM apa pun yang terkait dengan penyebaran Cosmos DB Anda, disarankan untuk menerapkan Pemindai Info Masuk pada repositori yang menyimpan templat tersebut untuk mengidentifikasi info masuk dalam konfigurasi. Pemindai informasi masuk juga akan mendorong pemindahan informasi masuk yang ditemukan ke lokasi yang lebih aman seperti Azure Key Vault.

• Cara mengatur Pemindai Informasi masuk

Tanggung Jawab: Pelanggan

Akses dengan Hak Istimewa

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Akses dengan Hak istimewa.

PA-1: Melindungi dan membatasi pengguna dengan hak sangat istimewa

Panduan: Peran bawaan yang paling penting bagi Microsoft Azure AD yaitu Administrator Global dan Administrator Peran Istimewa, karena pengguna yang ditetapkan ke dua peran ini dapat mendelegasikan peran administrator:

• Administrator Global / Administrator Perusahaan: Pengguna dengan peran ini memiliki akses ke semua fitur administratif di Microsoft Azure Active Directory, serta layanan yang menggunakan identitas Microsoft Azure Active Directory.
• Administrator Peran Istimewa: Pengguna dengan peran ini dapat mengelola penetapan peran di Azure AD, serta dalam Azure AD Privileged Identity Management (PIM). Selain itu, peran ini memungkinkan pengelolaan semua aspek PIM dan unit administrasi.

Catatan: Anda mungkin memiliki peran penting lainnya yang perlu diatur jika Anda menggunakan peran khusus dengan izin istimewa tertentu yang ditetapkan. Anda mungkin juga ingin menerapkan kontrol serupa ke akun administrator aset bisnis penting.

Anda harus membatasi jumlah akun atau peran pengguna yang sangat istimewa, dan lindungi akun-akun ini pada tingkat yang lebih tinggi. Pengguna dengan hak istimewa ini dapat secara langsung atau tidak langsung membaca dan memodifikasi setiap sumber daya di lingkungan Azure Anda.

Anda dapat mengaktifkan akses istimewa just-in-time (JIT) ke sumber daya Azure dan Azure AD menggunakan Azure AD PIM. JIT memberikan izin sementara untuk melakukan tugas istimewa hanya ketika pengguna membutuhkannya. PIM juga dapat menghasilkan pemberitahuan keamanan ketika ada aktivitas yang mencurigakan atau tidak aman di organisasi Microsoft Azure AD Anda.

• Izin peran administrator di Microsoft Azure Active Directory

• Menggunakan pemberitahuan keamanan Azure Privileged Identity Management

• Mengamankan akses istimewa untuk penyebaran hibrid dan cloud di Azure Active Directory

• Peran bawaan untuk kontrol akses berbasis peran Azure di Azure Cosmos DB

Tanggung Jawab: Pelanggan

PA-3: Tinjau dan rekonsiliasi akses pengguna secara teratur

Panduan: Cosmos DB menggunakan akun Azure Active Directory (Microsoft Azure AD) untuk mengelola sumber dayanya, meninjau akun pengguna, dan mengakses penetapan secara teratur untuk memastikan akun dan aksesnya valid. Anda dapat menggunakan tinjauan akses Microsoft Azure AD untuk mengulas keanggotaan grup, akses ke aplikasi perusahaan, dan penetapan peran. Pelaporan Microsoft Azure Active Directory dapat menyediakan log untuk membantu menemukan akun yang kedaluwarsa. Anda juga dapat menggunakan Azure AD Privileged Identity Management (PIM) untuk membuat alur kerja laporan ulasan akses untuk memfasilitasi proses peninjauan.

Selain itu, Azure AD PIM juga dapat dikonfigurasi untuk memperingatkan Anda ketika jumlah akun administrator yang dibuat berlebihan dan untuk mengidentifikasi akun administrator yang usang atau tidak dikonfigurasi dengan benar.

Catatan: Beberapa layanan Azure mendukung pengguna dan peran lokal yang tidak dikelola melalui Microsoft Azure Active Directory. Anda harus mengelola pengguna ini secara terpisah.

Azure Cosmos DB menyediakan 5 peran bawaan:

• Kontributor Akun DocumentDB dapat mengelola akun Azure Cosmos DB.
• Pembaca Akun Cosmos DB dapat membaca data akun Azure Cosmos DB.
• Operator Pencadangan Cosmos dapat mengirimkan permintaan pemulihan untuk portal Azure untuk database yang diaktifkan cadangan berkala atau kontainer dan memodifikasi interval cadangan dan retensi di portal Microsoft Azure.
• CosmosRestoreOperator dapat melakukan tindakan pemulihan untuk akun Azure Cosmos DB dengan mode pencadangan berkelanjutan.
• Operator Cosmos DB dapat memprovisikan akun, database, dan kontainer Azure Cosmos.

Untuk informasi selengkapnya, lihat referensi berikut ini:

• Membuat tinjauan akses peran sumber daya Azure di Privileged Identity Management (PIM)

• Cara menggunakan identitas Microsoft Azure Active Directory dan tinjauan akses

• Kontrol akses berbasis peran Azure pada Azure Cosmos DB

Tanggung Jawab: Pelanggan

PA-6: Menggunakan stasiun kerja akses dengan hak istimewa

Panduan: Stasiun kerja yang aman dan terisolasi sangat penting untuk keamanan peran sensitif seperti administrator, pengembang, dan operator layanan penting. Gunakan stasiun kerja pengguna yang sangat aman dan/atau Azure Bastion untuk tugas administratif. Gunakan Azure Active Directory (Microsoft Azure AD), Microsoft Defender Advanced Threat Protection (ATP), dan/atau Microsoft Intune untuk menyebarkan stasiun kerja pengguna yang aman dan terkelola untuk tugas administratif. Stasiun kerja yang diamankan dapat dikelola secara terpusat untuk menegakkan konfigurasi yang aman, termasuk autentikasi yang kuat, garis besar perangkat lunak dan perangkat keras, serta logika yang dibatasi dan akses jaringan.

• Penyebaran stasiun kerja akses istimewa

• Menyebarkan stasiun kerja akses dengan hak istimewa

Tanggung Jawab: Pelanggan

PA-7: Ikuti administrasi secukupnya (prinsip hak istimewa terkecil)

Panduan: Cosmos DB terintegrasi dengan kontrol akses berbasis peran Azure (Azure RBAC) untuk mengelola sumber dayanya. Azure RBAC memungkinkan Anda mengelola akses sumber daya Azure melalui penetapan peran. Anda dapat menetapkan peran ini ke pengguna, perwakilan layanan grup, dan identitas terkelola. Ada peran bawaan yang telah ditentukan sebelumnya untuk sumber daya tertentu dan peran ini dapat disimpan di inventaris atau dikueri melalui alat seperti Azure CLI, Azure PowerShell, atau portal Azure. Hak istimewa yang Anda tetapkan ke sumber daya melalui RBAC Azure harus selalu dibatasi pada apa yang diperlukan oleh peran. Hal ini melengkapi pendekatan just-in-time (JIT) Microsoft Azure Active Directory Privileged Identity Management (PIM) dan harus ditinjau secara berkala.

Gunakan peran bawaan untuk mengalokasikan izin dan hanya membuat peran khusus jika diperlukan.

Azure Cosmos DB menyediakan 5 peran bawaan untuk membantu mengelola akses ke konfigurasi dan data. Berikan tingkat akses terendah yang diperlukan kepada pengguna untuk menyelesaikan pekerjaan mereka.

• Apa yang dimaksud dengan kontrol akses berbasis peran Azure (Azure RBAC)

• Cara mengonfigurasi RBAC di Azure

• Cara menggunakan identitas Azure Active Directory dan tinjauan akses

• Kontrol akses berbasis peran Azure pada Azure Cosmos DB

Tanggung Jawab: Pelanggan

PA-8: Memilih proses persetujuan untuk dukungan Microsoft

Panduan: Cosmos DB tidak mendukung kotak kunci pelanggan. Microsoft dapat bekerja dengan pelanggan melalui metode non-kotak kunci untuk persetujuan guna mengakses data pelanggan.

Tanggung Jawab: Pelanggan

Perlindungan Data

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Perlindungan Data.

DP-1: Temukan, klasifikasikan, dan beri label data sensitif

Panduan: Fitur identifikasi, klasifikasi, dan pencegahan hilangnya data secara otomatis belum tersedia untuk Bus Layanan Azure. Namun, Anda dapat menggunakan integrasi Azure Cognitive Search untuk klasifikasi dan analisis data. Anda juga dapat menerapkan solusi pihak ketiga jika diperlukan untuk tujuan kepatuhan.

Untuk platform yang mendasarinya yang dikelola oleh Microsoft, Microsoft memperlakukan semua konten pelanggan sebagai hal yang sensitif dan berusaha keras untuk melindungi pelanggan dari kehilangan dan paparan data. Untuk memastikan keamanan data pelanggan dalam Azure, Microsoft telah menerapkan dan memelihara serangkaian kontrol dan kemampuan perlindungan data yang kuat.

• Mengindeks data Azure Cosmos DB dengan Azure Cognitive Search

• Memahami perlindungan data pelanggan di Azure

Tanggung Jawab: Pelanggan

DP-2: Melindungi data sensitif

Panduan: Lindungi data sensitif dengan membatasi akses menggunakan kontrol akses berbasis peran Azure (Azure RBAC), kontrol akses berbasis jaringan, dan kontrol khusus di layanan Azure (seperti enkripsi).

Untuk memastikan kontrol akses yang konsisten, semua jenis kontrol akses harus diselaraskan dengan strategi segmentasi perusahaan Anda. Strategi segmentasi perusahaan juga harus diinformasikan oleh lokasi data dan sistem penting sensitif atau bisnis.

Untuk platform dasar (yang dikelola oleh Microsoft), Microsoft memperlakukan semua konten pelanggan sebagai konten sensitif dan melindungi pelanggan dari kehilangan dan paparan data. Untuk memastikan keamanan data pelanggan dalam Azure, Microsoft telah menerapkan dan memelihara serangkaian kontrol dan kemampuan perlindungan data yang kuat.

Cosmos DB juga mendukung kunci yang dikelola pelanggan untuk tingkat enkripsi tambahan.

• Azure Role Based Access Control (RBAC)

• Memahami perlindungan data pelanggan di Azure

• Mengonfigurasi kunci yang dikelola pelanggan untuk akun Azure Cosmos Anda dengan Azure Key Vault

Tanggung Jawab: Dibagikan

DP-3: Memantau transfer data sensitif yang tidak sah

Panduan: Cosmos DB mendukung Perlindungan Ancaman Tingkat Lanjut. ATP untuk Azure Cosmos DB menyediakan lapisan kecerdasan keamanan tambahan yang mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun Azure Cosmos. Lapisan perlindungan ini memungkinkan Anda untuk mengatasi ancaman, bahkan tanpa menjadi pakar keamanan, dan mengintegrasikannya dengan sistem pemantauan keamanan pusat.

• Perlindungan Ancaman Tingkat Lanjut, Advanced Threat Protection (ATP) untuk Azure Cosmos DB

Tanggung Jawab: Pelanggan

DP-4: Mengenkripsi informasi sensitif saat transit

Panduan: Untuk melengkapi kontrol akses, data saat transit harus dilindungi dari serangan 'out of band' (seperti pengambilan lalu lintas) menggunakan enkripsi untuk memastikan bahwa penyerang tidak dapat dengan mudah membaca atau memodifikasi data.

Microsoft Azure Cosmos DB mendukung enkripsi data saat transit dengan TLS v1.2 atau yang lebih tinggi.

Meskipun bersifat opsional untuk lalu lintas pada jaringan privat, ini sangat penting untuk lalu lintas di jaringan eksternal dan publik. Untuk lalu lintas HTTP, pastikan setiap klien yang terhubung ke sumber daya Azure Anda dapat menegosiasikan TLS v1.2 atau yang lebih besar. Untuk manajemen jarak jauh, gunakan SSH (untuk Linux) atau RDP/TLS (untuk Windows) alih-alih protokol yang tidak terenkripsi. Versi dan protokol SSL, TLS, dan SSH yang kedaluwarsa, dan cipher yang lemah harus dinonaktifkan.

Secara default, Microsoft Azure menyediakan enkripsi untuk data saat transit di antara pusat data Microsoft Azure.

Semua koneksi ke Azure Cosmos DB mendukung HTTPS. Setiap akun yang dibuat setelah 29 Juli 2020 memiliki versi TLS minimum TLS 1.2 secara default. Anda dapat meminta agar versi TLS minimal akun Anda yang dibuat sebelum 29 Juli 2020 ditingkatkan ke TLS 1.2 dengan menghubungi azurecosmosdbtls@service.microsoft.com.

• Memahami enkripsi saat transit dengan Microsoft Azure

• Informasi tentang Keamanan TLS

• Enkripsi ganda untuk data Microsoft Azure saat transit

• Penerapan TLS 1.2 di Azure Cosmos DB

Tanggung Jawab: Dibagikan

DP-5: Mengenkripsi data sensitif yang tidak aktif

Panduan: Untuk melengkapi kontrol akses, Cosmos DB mengenkripsi data tidak aktif untuk melindungi dari serangan 'out of band' (seperti mengakses penyimpanan yang mendasarinya) menggunakan enkripsi. Perlindungan ini membantu memastikan bahwa penyerang tidak dapat dengan mudah membaca atau merubah data.

Data yang disimpan di akun Azure Cosmos Anda dienkripsi secara otomatis dan tanpa masalah dengan kunci yang dikelola oleh Microsoft (kunci yang dikelola layanan). Secara opsional, Anda dapat memilih untuk menambahkan lapisan kedua pada enkripsi dengan kunci yang Anda kelola (kunci yang dikelola pelanggan).

• Memahami enkripsi saat tidak aktif di Microsoft Azure

• Enkripsi ganda data tidak aktif di Microsoft Azure

• Cara mengonfigurasi kunci enkripsi yang dikelola pelanggan

• Model Enkripsi dan tabel manajemen kunci

• Mengonfigurasi kunci yang dikelola pelanggan untuk akun Azure Cosmos Anda dengan Azure Key Vault

Tanggung Jawab: Dibagikan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.DocumentDB:

Nama (portal Microsoft Azure)	Deskripsi	Efek	Versi (GitHub)
Akun Azure Cosmos DB harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif	Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari Azure Cosmos DB Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/cosmosdb-cmk.	audit, tolak, dinonaktifkan	1.0.2

Manajemen Aset

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Aset.

AM-1: Memastikan tim keamanan memiliki visibilitas terhadap risiko aset

Panduan: Pastikan tim keamanan diberikan izin Pembaca Keamanan di penyewa dan langganan Azure Anda sehingga mereka dapat memantau risiko keamanan menggunakan Microsoft Defender untuk Cloud.

Tergantung pada susunan tanggung jawab tim keamanan, pemantauan untuk risiko keamanan bisa menjadi tanggung jawab tim keamanan pusat atau tim lokal. Meskipun demikian, wawasan dan risiko keamanan harus selalu dikumpulkan secara terpusat dalam organisasi.

Izin Pembaca Keamanan dapat diterapkan secara luas ke seluruh penyewa (Root Management Group) atau dicakup ke grup manajemen atau langganan tertentu.

Catatan: Izin tambahan mungkin diperlukan untuk mendapatkan visibilitas ke dalam beban kerja dan layanan.

• Gambaran Umum Peran Pembaca Keamanan

• Gambaran Umum Grup Manajemen Azure

Tanggung Jawab: Pelanggan

AM-2: Memastikan tim keamanan memiliki akses ke inventaris aset dan metadata

Panduan: Terapkan tag ke instans Azure Cosmos DB dan sumber daya terkait dengan metadata yang relevan seperti melacak instans Azure Cosmos DB yang menyimpan atau memproses informasi sensitif. Cosmos DB tidak mengizinkan menjalankan aplikasi atau memasang perangkat lunak pada sumber dayanya.

• Cara membuat dan menggunakan tag

• Sumber daya Azure Cosmos DB mana yang mendukung tag

Tanggung Jawab: Pelanggan

AM-3: Hanya gunakan layanan Azure yang disetujui

Panduan: Cosmos DB mendukung penolakan penyebaran sumber dayanya dengan Azure Policy, hal ini memungkinkan Anda membatasi penyebaran di tempat layanan ini belum disetujui. Gunakan Azure Policy untuk mengaudit dan membatasi layanan mana yang dapat diprovisikan oleh pengguna di lingkungan Anda sesuai dengan kebutuhan keamanan Anda. Gunakan Azure Resource Graph untuk mengkueri dan menemukan sumber daya dalam langganan Anda. Anda juga dapat menggunakan Azure Monitor untuk membuat aturan sebagi pemicu pemberitahuan saat terdeteksi adanya layanan yang tidak disetujui.

• Cara mengonfigurasi dan mengelola Azure Policy

• Cara menolak jenis sumber daya tertentu dengan Azure Policy

• Cara membuat kueri dengan Azure Resource Graph Explorer

Tanggung Jawab: Pelanggan

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pencatatan dan Deteksi Ancaman.

LT-1: Mengaktifkan deteksi ancaman untuk sumber daya Azure

Panduan: Gunakan kemampuan deteksi ancaman bawaan Microsoft Defender untuk Cloud dan aktifkan Microsoft Defender untuk sumber daya Cosmos DB Anda. Microsoft Defender untuk Cosmos DB menyediakan lapisan kecerdasan keamanan tambahan yang mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun Azure Cosmos DB.

Teruskan log apa pun dari Cosmos DB ke SIEM Anda yang dapat digunakan untuk menyiapkan deteksi ancaman khusus. Pastikan Anda memantau berbagai jenis aset Azure untuk potensi ancaman dan anomali. Fokus pada mendapatkan peringatan berkualitas tinggi untuk mengurangi positif palsu bagi analis untuk diurutkan. Peringatan dapat bersumber dari data log, agen, atau data lainnya.

• Perlindungan ancaman di Microsoft Defender untuk Cloud

• Panduan referensi peringatan keamanan Microsoft Defender untuk Cloud

• Membuat aturan analitik kustom untuk mendeteksi ancaman

• Inteligensi ancaman cyber di Microsoft Azure Sentinel

• Perlindungan Ancaman Tingkat Lanjut, Advanced Threat Protection (ATP) untuk Azure Cosmos DB

• Memantau Azure Cosmos DB

Tanggung Jawab: Pelanggan

LT-2: Mengaktifkan deteksi ancaman untuk identitas Azure dan manajemen akses

Panduan: Microsoft Azure Active Directory (Azure AD) menyediakan log pengguna berikut yang dapat dilihat di pelaporan Microsoft Azure AD atau terintegrasi dengan Azure Monitor, Azure Sentinel, atau alat SIEM/pemantauan lainnya untuk kasus penggunaan pemantauan dan analitik yang lebih canggih:

• Rincian masuk - Laporan rincian masuk memberikan informasi tentang penggunaan aplikasi terkelola dan aktivitas masuk pengguna.
• Log audit - Menyediakan keterlacakan melalui log untuk semua perubahan yang dilakukan oleh berbagai fitur dalam Azure AD. Contoh log audit mencakup perubahan yang dibuat pada sumber daya apa pun dalam Microsoft Azure Active Directory seperti menambahkan atau menghapus pengguna, aplikasi, grup, peran, dan kebijakan.
• Proses masuk riskan - Proses masuk riskan adalah indikator dari upaya rincian masuk yang mungkin telah dilakukan oleh seseorang yang bukan pemilik akun pengguna yang sah.
• Pengguna yang ditandai berisiko - Pengguna berisiko adalah indikator untuk akun pengguna yang mungkin telah disusupi.

Microsoft Defender untuk Cloud juga dapat memicu peringatan tentang aktivitas mencurigakan tertentu, seperti jumlah upaya autentikasi yang gagal dalam jumlah berlebihan atau akun yang tidak digunakan lagi dalam langganan. Selain pemantauan kebersihan keamanan dasar, modul Perlindungan Ancaman Microsoft Defender untuk Cloud juga dapat mengumpulkan peringatan keamanan yang lebih mendalam dari sumber daya komputasi Azure individual (mesin virtual, kontainer, layanan aplikasi), sumber daya data (SQL DB dan penyimpanan), dan lapisan layanan Azure. Kemampuan ini memungkinkan Anda untuk memiliki visibilitas pada anomali akun di dalam masing-masing sumber daya.

• Laporan aktivitas audit di Azure Active Directory

• Mengaktifkan Perlindungan Identitas Azure

• Perlindungan ancaman di Microsoft Defender untuk Cloud

• Memantau Azure Cosmos DB

Tanggung Jawab: Pelanggan

LT-3: Mengaktifkan pengelogan untuk aktivitas jaringan Azure

Panduan: Cosmos DB tidak menyebarkan sumber daya apa pun langsung ke jaringan virtual. Namun, Cosmos DB memungkinkan Anda menggunakan titik akhir privat untuk terhubung dengan aman ke sumber dayanya dari jaringan virtual. Cosmos DB juga tidak menghasilkan atau memproses log kueri DNS yang perlu diaktifkan.

Aktifkan pengelogan pada titik akhir privat Cosmos DB yang dikonfigurasi untuk mengambil:

• Data yang diproses oleh Titik Akhir Privat (MASUK/KELUAR)

• Data yang diproses oleh layanan Private Link (IN/OUT)

• Ketersediaan port NAT

• Untuk informasi selengkapnya, lihat referensi berikut: Pemantauan Azure Private Link

Tanggung Jawab: Pelanggan

LT-4: Mengaktifkan pengelogan untuk sumber daya Azure

Panduan: Log aktivitas, yang tersedia secara otomatis, berisi semua operasi tulis (PUT, POST, DELETE) untuk sumber daya Cosmos DB Anda kecuali operasi baca (GET). Anda dapat menggunakan log aktivitas untuk menemukan kesalahan saat memecahkan masalah atau memantau bagaimana pengguna di organisasi Anda mengubah sumber daya.

Aktifkan log sumber daya Azure untuk Cosmos DB. Anda dapat menggunakan Pertahanan Microsoft untuk Cloud dan Azure Policy untuk mengaktifkan log sumber daya dan pengumpulan data log. Log ini bisa jadi sangat penting untuk menyelidiki insiden keamanan dan melakukan latihan forensik.

• Cara mengumpulkan log dan metrik platform dengan Azure Monitor

• Memahami pengelogan dan jenis log yang berbeda di Azure

• Memahami pengumpulan data Microsoft Defender untuk Cloud

• Peringatan Keamanan untuk Cosmos DB

Tanggung Jawab: Pelanggan

LT-5: Memusatkan manajemen dan analisis log keamanan

Panduan: Memusatkan pengelogan, penyimpanan, dan analisis log Cosmos DB. Pastikan Anda mengintegrasikan log aktivitas Azure yang dihasilkan oleh tindakan manajemen Cosmos DB ke dalam solusi pengelogan pusat Anda. Menyerap log melalui Azure Monitor untuk mengagregasi data keamanan yang dihasilkan oleh perangkat titik akhir, sumber daya jaringan, dan sistem keamanan lainnya. Di Azure Monitor, gunakan ruang kerja Analitik Log untuk mengkueri dan melakukan analitik, serta menggunakan akun Azure Storage untuk penyimpanan dan arsip jangka panjang.

Selain itu, aktifkan dan lakukan onboard data ke Microsoft Sentinel atau SIEM pihak ketiga.

Banyak organisasi memilih untuk menggunakan Microsoft Sentinel untuk data "panas" yang sering digunakan dan Azure Storage untuk data "dingin" yang lebih jarang digunakan.

• Cara mengumpulkan log dan metrik platform dengan Azure Monitor

• Cara melakukan onboard Microsoft Sentinel

Tanggung Jawab: Pelanggan

LT-6: Mengonfigurasi retensi penyimpanan log

Panduan: Pastikan bahwa setiap akun penyimpanan atau ruang kerja Log Analytics yang digunakan untuk menyimpan log yang dibuat oleh sumber daya Cosmos DB Anda memiliki periode penyimpanan log yang ditetapkan sesuai dengan peraturan kepatuhan organisasi Anda.

Di Azure Monitor, Anda dapat mengatur periode retensi ruang kerja Analitik Log sesuai dengan peraturan kepatuhan organisasi Anda. Gunakan akun ruang kerja Azure Storage, Data Lake, atau Analitik Log untuk penyimpanan jangka panjang dan arsip.

• Cara mengkonfigurasi Periode Retensi Penyimpanan Ruang Kerja Analitik Log

• Menyimpan log sumber daya di Akun Azure Storage

Tanggung Jawab: Pelanggan

Manajemen Postur dan Kerentanan

Untuk mengetahui informasi selengkapnya, lihat Tolok Ukur Keamanan Azure: Manajemen Postur dan Kerentanan.

PV-1: Membuat konfigurasi aman untuk layanan Azure

Panduan: Anda dapat menggunakan Azure Blueprints untuk mengotomatiskan penyebaran dan konfigurasi layanan Cosmos DB termasuk templat Azure Resources Manager, kontrol Azure RBAC, dan kebijakan, dalam satu definisi cetak biru.

ATP untuk Azure Cosmos DB menyediakan lapisan kecerdasan keamanan tambahan yang mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun Azure Cosmos. Lapisan perlindungan ini memungkinkan Anda untuk mengatasi ancaman, bahkan tanpa menjadi pakar keamanan, dan mengintegrasikannya dengan sistem pemantauan keamanan pusat.

• Bekerja dengan kebijakan keamanan di Microsoft Defender untuk Cloud

• Ilustrasi penerapan Pagar pembatas di zona arahan Skala Perusahaan

• Tutorial: Membuat dan mengelola kebijakan untuk menegakkan kepatuhan

• Azure Blueprints

• Perlindungan Ancaman Tingkat Lanjut, Advanced Threat Protection (ATP) untuk Azure Cosmos DB

• Peringatan Microsoft Defender untuk Cloud untuk Cosmos DB

Tanggung Jawab: Pelanggan

PV-2: Membuat konfigurasi aman secara berkelanjutan untuk layanan Azure

Panduan: Gunakan Microsoft Defender untuk Cloud untuk memantau garis besar konfigurasi Anda dan terapkan konfigurasi ini menggunakan efek Azure Policy [deny] dan [deploy if not exist] untuk mempertahankan konfigurasi aman di seluruh sumber daya Cosmos DB Anda.

Gunakan alias Azure Policy di namespace layanan "Microsoft.DocumentDB" untuk membuat kebijakan kustom untuk memperingatkan, mengaudit, dan menerapkan konfigurasi sistem. Selain itu, kembangkan proses dan alur untuk mengelola pengecualian kebijakan.

• Memahami efek Azure Policy

• Membuat dan mengelola kebijakan untuk menegakkan kepatuhan

Tanggung Jawab: Pelanggan

PV-8: Melakukan simulasi serangan rutin

Panduan: Sebagaimana diperlukan, lakukan uji penetrasi atau aktivitas read team pada sumber daya Azure Anda dan pastikan remediasi pada semua temuan keamanan penting.

Ikuti Aturan Keterlibatan Uji Penetrasi Microsoft Cloud untuk memastikan bahwa uji penetrasi Anda tidak melanggar kebijakan Microsoft. Gunakan strategi Microsoft dan eksekusi Red Team, serta uji penetrasi langsung terhadap infrastruktur, layanan, dan aplikasi cloud yang dikelola Microsoft.

• Uji penetrasi di Azure

• Aturan Keterlibatan Uji Penetrasi

• Microsoft Cloud Red Teaming

Tanggung Jawab: Pelanggan

Microsoft Azure Backup dan Pemulihan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Microsoft Azure Backup dan Pemulihan.

BR-1: Pastikan pencadangan otomatis secara rutin

Guidance: Azure Cosmos DB secara otomatis mengambil cadangan data Anda secara berkala. Jika database atau kontainer dihapus, Anda dapat mengajukan tiket dukungan atau menghubungi dukungan Azure untuk memulihkan data dari cadangan online otomatis. Dukungan Azure hanya tersedia untuk paket yang dipilih, seperti Standar, Pengembang, dan paket yang lebih tinggi dari paket tersebut. Untuk memulihkan snapshot tertentu dari cadangan, Azure Cosmos DB mengharuskan data tersedia selama durasi siklus cadangan untuk snapshot tersebut.

Jika menggunakan Key Vault guna menyimpan kredensial untuk instans DB Cosmos Anda, pastikan pencadangan otomatis kunci Anda secara berkala.

• Pencadangan online dan pemulihan data sesuai permintaan di Azure Cosmos DB

• Cara mencadangkan kunci Key Vault

Tanggung Jawab: Dibagikan

BR-2: Mengenkripsi data cadangan

Panduan: Semua data pengguna yang disimpan di Cosmos DB dienkripsi saat tidak aktif secara default. Tidak ada kontrol untuk mematikannya. Azure Cosmos DB menggunakan enkripsi AES-256 di semua region tempat akun dijalankan.

Secara default, Microsoft mengelola kunci yang digunakan untuk mengenkripsi data di akun Azure Cosmos Anda. Anda dapat secara opsional memilih untuk menambahkan enkripsi lapisan kedua dengan kunci Anda sendiri.

• Pencadangan online dan pemulihan data sesuai permintaan di Azure Cosmos DB

• Enkripsi data di Azure Cosmos DB

Tanggung jawab: Microsoft

BR-3: Memvalidasi semua cadangan termasuk kunci yang dikelola pelanggan

Guidance: Azure Cosmos DB secara otomatis mengambil cadangan data Anda secara berkala. Jika database atau kontainer dihapus, Anda dapat mengajukan tiket dukungan atau menghubungi dukungan Azure untuk memulihkan data dari cadangan online otomatis. Untuk memulihkan snapshot tertentu dari cadangan, Azure Cosmos DB mengharuskan data tersedia selama durasi siklus cadangan untuk snapshot tersebut.

Jika menggunakan Key Vault untuk menyimpan info masuk untuk instans Cosmos DB Anda yang dienkripsi dengan kunci yang dikelola pelanggan, pastikan kunci Anda dicadangkan otomatis.

• Cara memulihkan kunci Key Vault di Azure

• Cara mencadangkan kunci Key Vault di Azure

• Pencadangan online dan pemulihan data sesuai permintaan di Azure Cosmos DB

Tanggung Jawab: Pelanggan

BR-4: Mengurangi risiko kehilangan kunci

Panduan: Pastikan Anda memiliki langkah-langkah untuk mencegah dan memulihkan kunci yang hilang. Aktifkan perlindungan penghapusan sementara dan penghapusan menyeluruh di Azure Key Vault untuk melindungi kunci enkripsi dari penghapusan yang tidak disengaja atau berbahaya.

• Cara mengaktifkan perlindungan penghapusan sementara dan menyeluruh di Key Vault

Tanggung Jawab: Pelanggan

Langkah berikutnya

• Lihat Gambaran umum Azure Security Benchmark V2
• Pelajari selengkapnya tentang Garis besar keamanan Azure