Dasar keamanan Azure untuk Azure Functions

Garis dasar keamanan ini menerapkan panduan dari Azure Security Benchmark versi 2.0 ke Azure Functions. Azure Security Benchmark memberikan rekomendasi tentang cara Anda mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh Benchmark Keamanan Azure dan panduan terkait yang berlaku untuk Azure Functions.

Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Pertahanan Microsoft untuk Cloud. Azure Policy definisi akan tercantum di bagian Kepatuhan Terhadap Peraturan di dasbor Pertahanan Microsoft untuk Cloud.

Saat bagian memiliki Definisi Azure Policy yang relevan, bagian tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Azure Security Benchmark. Beberapa rekomendasi mungkin memerlukan paket Pertahanan Microsoft berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol tidak berlaku untuk Azure Functions, dan kontrol dengan panduan global yang direkomendasikan secara verbatim, telah dikecualikan. Untuk melihat bagaimana Azure Functions sepenuhnya memetakan ke Azure Security Benchmark, lihat file pemetaan dasar keamanan Azure Functions lengkap.

Keamanan Jaringan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Jaringan.

NS-1: Menerapkan keamanan untuk lalu lintas internal

Panduan: Saat Anda menyebarkan sumber daya Azure Functions, buat atau gunakan jaringan virtual yang sudah ada. Pastikan bahwa semua jaringan virtual Azure mengikuti prinsip segmentasi perusahaan yang selaras dengan risiko bisnis. Sistem apa pun yang dapat menimbulkan risiko lebih tinggi bagi organisasi harus diisolasi dalam jaringan virtualnya sendiri dan diamankan dengan baik, dengan kelompok keamanan jaringan (NSG) dan/atau Azure Firewall.

Gunakan Jaringan Adaptif yang Diperketat Microsoft Defender untuk Cloud guna merekomendasikan konfigurasi kelompok keamanan jaringan yang membatasi port dan IP sumber berdasarkan referensi ke aturan lalu lintas jaringan eksternal.

Azure Functions memiliki dua cara utama untuk menyebarkan sumber daya dalam konteks jaringan. Aplikasi fungsi dapat dibuat pada paket Elastic Premium dengan titik akhir layanan atau titik akhir privat untuk integrasi jaringan virtual permintaan masuk dengan penerowongan paksa untuk permintaan keluar. Aplikasi fungsi juga dapat disebarkan sepenuhnya dalam jaringan virtual dengan berjalan di Lingkungan App Service. Saat beroperasi dalam mode ini, aturan dan pembatasan jaringan masih perlu ditetapkan untuk dependensi seperti akun penyimpanan yang digunakan oleh Fungsi, serta peristiwa atau sumber data apa pun.

Menggunakan Microsoft Sentinel untuk menemukan penggunaan protokol tidak aman warisan seperti SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, Ikatan LDAP Tidak Bertanda, dan sandi lemah di Kerberos.

Aplikasi fungsi dibuat secara default untuk mendukung TLS 1.2 sebagai versi minimum, tetapi aplikasi dapat dikonfigurasi dengan versi yang lebih rendah melalui pengaturan konfigurasi. HTTPS tidak diperlukan permintaan masuk secara default, tetapi juga dapat diatur melalui pengaturan konfigurasi, tempat titik permintaan HTTP akan secara otomatis dialihkan untuk menggunakan HTTPS.

Sumber peristiwa tertentu yang digunakan oleh aplikasi mungkin memerlukan pembukaan port tambahan ke atau dari jaringan, tetapi dalam kasus default ini tidak diperlukan.

Aplikasi fungsi dapat dikonfigurasi dengan pembatasan IP untuk permintaan masuk. Ini diatur melalui daftar prioritas aturan Izinkan atau Tolak atas blok IP, subnet jaringan virtual, atau tag layanan.

Tanggung Jawab: Pelanggan

NS-2: Menyambungkan jaringan privat bersama-sama

Panduan: Gunakan Azure ExpressRoute atau Jaringan pribadi Maya (VPN) Azure untuk membuat koneksi pribadi antara pusat data Azure dan infrastruktur lokal di lingkungan kolokasi. Koneksi ExpressRoute tidak melalui internet publik, dan mereka menawarkan lebih banyak keandalan, kecepatan yang lebih cepat, dan keterlambatan yang lebih rendah daripada koneksi internet biasa. Untuk VPN titik-ke-situs dan VPN situs-ke-situs, Anda dapat menyambungkan perangkat atau jaringan lokal ke jaringan virtual menggunakan kombinasi opsi VPN ini dan Azure ExpressRoute.

Untuk menyambungkan dua atau lebih jaringan virtual di Azure bersama-sama, gunakan serekanan jaringan virtual. Lalu lintas jaringan antara jaringan virtual yang diserekankan bersifat privat dan disimpan di jaringan backbone Azure.

Tanggung Jawab: Pelanggan

NS-3: Membangun akses jaringan privat ke layanan Azure

Panduan: Menggunakan Azure Private Link untuk mengaktifkan akses privat ke Azure Functions dari jaringan virtual Anda tanpa melintasi internet.

Akses privat adalah ukuran mendalam pertahanan tambahan selain autentikasi dan keamanan lalu lintas yang ditawarkan oleh layanan Azure.

Saat membuat koneksi titik akhir privat masuk untuk fungsi, Anda juga memerlukan catatan DNS untuk menyelesaikan alamat privat. Secara default, catatan DNS pribadi akan dibuat untuk Anda saat membuat titik akhir pribadi menggunakan portal Azure.

Jika tidak dapat menggunakan titik akhir privat, gunakan titik akhir layanan Azure Virtual Network untuk menyediakan akses aman ke Azure Functions melalui rute yang dioptimalkan melalui jaringan backbone Azure tanpa melintasi internet. Titik akhir layanan dapat diaktifkan baik di tingkat aplikasi dan subnet untuk Azure Functions.

Anda tidak dapat menggunakan titik akhir layanan untuk membatasi akses ke aplikasi yang berjalan di Lingkungan App Service. Saat aplikasi berada di Lingkungan App Service, Anda dapat mengontrol akses ke aplikasi tersebut dengan menerapkan aturan akses IP.

Tanggung Jawab: Pelanggan

NS-4: Melindungi aplikasi dan layanan dari serangan jaringan eksternal

Panduan: Melindungi sumber daya Azure Functions Anda dari serangan dari jaringan eksternal, termasuk serangan distributed denial of service (DDoS), serangan khusus aplikasi, dan lalu lintas internet yang tidak diminta dan berpotensi berbahaya. Gunakan Azure Firewall untuk melindungi aplikasi dan layanan dari lalu lintas yang berpotensi berbahaya dari internet dan lokasi eksternal lainnya. Lindungi aset dari serangan DDoS dengan mengaktifkan perlindungan standar DDoS di jaringan virtual Azure Anda. Gunakan Microsoft Defender untuk Cloud untuk mendeteksi risiko salah konfigurasi ke sumber daya terkait jaringan Anda.

Gunakan kemampuan Web Application Firewall (WAF) di Azure Application Gateway, Azure Front Door, dan Azure Content Delivery Network (CDN) untuk melindungi aplikasi Anda yang berjalan di Azure Functions terhadap serangan lapisan aplikasi.

Pengenalan Web Application Firewall memerlukan Lingkungan App Service atau penggunaan titik akhir privat.

Tanggung Jawab: Pelanggan

NS-6: Menyederhanakan aturan keamanan jaringan

Panduan: Gunakan Azure Virtual Network Service Tags untuk menentukan kontrol akses jaringan pada grup keamanan jaringan atau Azure Firewall yang dikonfigurasi untuk sumber daya Azure Functions Anda. Anda dapat menggunakan tag layanan sebagai pengganti alamat IP tertentu saat membuat aturan keamanan. Dengan menentukan nama tag layanan di aturan bidang sumber atau tujuan yang sesuai, Anda dapat mengizinkan atau menolak lalu lintas untuk layanan yang sesuai. Microsoft mengelola awalan alamat yang dicakup oleh tag layanan dan secara otomatis memperbarui tag layanan saat alamat berubah.

Tag layanan "AppService" merangkum rentang IP untuk layanan dan dapat digunakan dalam aturan keluar.

Tag layanan "AppServiceManagement" merangkum lalu lintas manajemen untuk penyebaran yang didedikasikan untuk Lingkungan App Service.

Tanggung Jawab: Pelanggan

NS-7: Layanan Nama Domain (DNS) yang Aman

Panduan: Mengikuti praktik terbaik untuk keamanan DNS guna mengurangi serangan umum seperti DNS yang menggantung, serangan amplifikasi DNS, peracunan dan spoofing DNS, dll.

Saat Azure DNS digunakan sebagai layanan DNS otoritatif Anda, pastikan zona dan catatan DNS dilindungi dari modifikasi yang tidak disengaja atau berbahaya menggunakan Azure RBAC dan kunci sumber daya.

Jika aplikasi fungsi berjalan di Lingkungan App Service dan jaringan virtual dikonfigurasi dengan server DNS yang dipilih pelanggan, beban kerja aplikasi fungsi menggunakannya. Server DNS harus dapat dijangkau dari subnet yang berisi Lingkungan App Service. Lingkungan itu sendiri masih menggunakan Azure DNS untuk tujuan manajemen.

Tanggung Jawab: Dibagikan

Manajemen Identitas

Untuk informasi lebih lanjut, lihat Azure Security Benchmark : Manajemen Identitas.

IM-1: Menstandarkan Microsoft Azure Active Directory sebagai pusat sistem identitas dan autentikasi

Panduan: Azure Functions menggunakan Azure Active Directory (Azure AD) sebagai layanan manajemen akses dan identitas default. Anda harus menstandardisasi Azure AD untuk mengatur identitas organisasi dan manajemen akses di:

  • Sumber daya Microsoft Cloud, seperti portal Azure, Penyimpanan Azure, Azure Virtual Machine (Linux dan Windows), Azure Key Vault, PaaS, dan aplikasi SaaS.
  • Sumber daya organisasi Anda, seperti aplikasi di Azure atau sumber daya jaringan perusahaan Anda.

Mengamankan Microsoft Azure AD harus menjadi prioritas tinggi dalam praktik keamanan cloud organisasi Anda. Azure AD menyediakan skor aman identitas untuk membantu menilai postur keamanan identitas yang relatif terhadap rekomendasi praktik terbaik Microsoft. Gunakan skor untuk mengukur seberapa dekat konfigurasi Anda cocok dengan rekomendasi praktik terbaik, dan untuk melakukan peningkatan dalam postur keamanan Anda.

Catatan: Azure AD mendukung identitas eksternal yang memungkinkan pengguna tanpa akun Microsoft untuk masuk ke aplikasi dan sumber daya mereka menggunakan identitas eksternal.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Peringatan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Web:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Identitas terkelola harus digunakan di API Apps Anda Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
Identitas terkelola harus digunakan di Aplikasi Fungsi Anda Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
Identitas terkelola harus digunakan di Aplikasi Web Anda Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0

IM-2: Mengelola identitas aplikasi dengan aman dan otomatis

Panduan: Azure Functions menggunakan identitas yang dikelola Azure untuk akun non-manusia seperti layanan atau otomatisasi, dan disarankan untuk menggunakan fitur identitas yang dikelola Azure alih-alih membuat akun manusia yang lebih kuat untuk mengakses atau menjalankan sumber daya Anda. Azure Functions dapat mengautentikasi secara native ke layanan/sumber daya Azure yang mendukung autentikasi Azure AD melalui aturan hibah akses yang telah ditentukan sebelumnya tanpa menggunakan info masuk yang dikodekan secara permanen dalam kode sumber atau file konfigurasi.

Azure Functions mendukung identitas terkelola yang ditetapkan sistem dan ditetapkan pengguna. Identitas terkelola dapat dimanfaatkan oleh kode yang disebarkan pelanggan untuk meminta token ke sumber daya lain. Identitas juga dapat digunakan untuk fitur layanan seperti menyelesaikan rahasia dari brankas kunci atau menarik gambar dari registri kontainer.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Peringatan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Web:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Identitas terkelola harus digunakan di API Apps Anda Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
Identitas terkelola harus digunakan di Aplikasi Fungsi Anda Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
Identitas terkelola harus digunakan di Aplikasi Web Anda Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0

IM-3: Menggunakan akses menyeluruh (SSO) Microsoft Azure AD untuk akses aplikasi

Panduan: Azure Functions menggunakan Azure Active Directory untuk menyediakan manajemen identitas dan akses ke sumber daya Azure, aplikasi cloud, dan aplikasi lokal. Hal ini termasuk identitas perusahaan, seperti karyawan, serta identitas eksternal seperti mitra, vendor, dan pemasok. Hal ini memungkinkan akses menyeluruh (SSO) untuk mengelola dan mengamankan akses ke data dan sumber daya organisasi Anda secara lokal dan di cloud. Hubungkan semua pengguna, aplikasi, dan perangkat Anda ke Azure AD untuk akses yang lancar, aman, serta visibilitas dan kontrol yang lebih besar.

Tanggung Jawab: Pelanggan

IM-5: Memantau dan memperingatkan tentang anomali akun

Panduan: Azure Functions terintegrasi dengan Azure Active Directory, yang menyediakan sumber data berikut:

  • Rincian masuk - Laporan rincian masuk memberikan informasi tentang penggunaan aplikasi terkelola dan aktivitas masuk pengguna.
  • Log audit - Menyediakan keterlacakan melalui log untuk semua perubahan yang dilakukan oleh berbagai fitur dalam Azure AD. Contoh log audit mencakup perubahan yang dilakukan pada sumber daya apa pun dalam Azure AD, seperti menambahkan atau menghapus pengguna, aplikasi, grup, peran, dan kebijakan.
  • Proses masuk riskan - Proses masuk riskan adalah indikator dari upaya rincian masuk yang mungkin telah dilakukan oleh seseorang yang bukan pemilik akun pengguna yang sah.
  • Pengguna yang ditandai berisiko - Pengguna berisiko adalah indikator untuk akun pengguna yang mungkin telah disusupi.

Sumber data ini dapat diintegrasikan dengan Azure Monitor, Microsoft Sentinel, atau sistem SIEM pihak ketiga.

Microsoft Defender untuk Cloud juga dapat memberi tahu Anda tentang aktivitas mencurigakan tertentu, seperti terlalu banyak upaya autentikasi yang gagal atau akun yang tidak digunakan lagi dalam langganan.

Azure Advanced Threat Protection (ATP) adalah solusi keamanan yang dapat menggunakan sinyal Direktori Aktif untuk mengidentifikasi, mendeteksi, dan menyelidiki ancaman tingkat Lanjut, identitas yang disusupi, dan tindakan orang dalam yang berbahaya.

Beberapa operasi yang diekspos oleh runtime aplikasi dapat dilakukan menggunakan kunci administratif. Kunci ini dapat disimpan di Azure Key Vault, dan dapat dibuat ulang kapan saja.

Tanggung Jawab: Pelanggan

IM-7: Menghapus paparan informasi masuk yang tidak diinginkan

Panduan: Azure Functions memungkinkan pelanggan menyebarkan/menjalankan kode, konfigurasi, atau menyimpan data yang berpotensi dengan identitas/rahasia. Disarankan untuk menerapkan Pemindai Info Masuk untuk mengidentifikasi info masuk dalam konfigurasi. Pemindai Info Masuk juga akan mendorong pemindahan informasi masuk yang ditemukan ke lokasi yang lebih aman seperti Azure Key Vault.

Untuk GitHub, Anda dapat menggunakan fitur pemindaian rahasia asli untuk mengidentifikasi info masuk atau bentuk rahasia lain dalam kode.

Azure Functions memiliki fitur bawaan untuk merujuk rahasia dari Key Vault tanpa memerlukan perubahan kode.

Tanggung Jawab: Pelanggan

Akses dengan Hak Istimewa

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Akses dengan Hak istimewa.

PA-1: Melindungi dan membatasi pengguna dengan hak sangat istimewa

Panduan: Buat prosedur operasi standar seputar penggunaan akun administratif khusus.

Beberapa operasi administratif untuk aplikasi dapat dilakukan menggunakan kunci administrasi. Ini harus dikelola di repositori aman seperti Azure Key Vault.

Tanggung Jawab: Pelanggan

PA-2: Batasi akses administratif ke sistem yang penting bagi bisnis

Panduan: Azure Functions menggunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk mengisolasi akses ke sistem penting bisnis dengan membatasi akun mana yang diberikan akses istimewa ke langganan dan grup manajemen tempat mereka berada.

Pastikan Anda juga membatasi akses ke sistem manajemen, identitas, dan keamanan yang memiliki akses administratif ke kontrol akses penting bisnis Anda, seperti Domain Controllers (DC) Active Directory, alat keamanan, dan alat manajemen sistem dengan agen yang diinstal pada sistem penting bisnis. Penyerang yang mengkompromikan sistem manajemen dan keamanan ini dapat segera mempersenjatai mereka untuk mengkompromikan aset bisnis penting.

Semua jenis kontrol akses harus diselaraskan dengan strategi segmentasi perusahaan Anda untuk memastikan kontrol akses yang konsisten.

Akun dengan izin penyebaran melalui aplikasi fungsi memiliki akses penelusuran kesalahan ke sana, dan karena itu akses ke sistem atau data apa pun yang bekerja dengannya. Izin ini tersirat oleh peran Kontributor dan Pemilik.

Tanggung Jawab: Pelanggan

PA-3: Tinjau dan rekonsiliasi akses pengguna secara teratur

Panduan: Azure Functions menggunakan akun Azure Active Directory (Azure AD) untuk mengelola sumber dayanya, meninjau akun pengguna, dan mengakses tugas secara teratur untuk memastikan akun dan aksesnya valid. Anda dapat menggunakan Azure AD dan tinjauan akses untuk mengulas keanggotaan grup, akses ke aplikasi perusahaan, dan penetapan peran. Pelaporan Microsoft Azure Active Directory dapat menyediakan log untuk membantu menemukan akun yang kedaluwarsa. Anda juga dapat menggunakan Azure AD Privileged Identity Management (PIM) untuk membuat alur kerja laporan ulasan akses untuk memfasilitasi proses peninjauan.

Selain itu, Azure AD PIM juga dapat dikonfigurasi untuk memperingatkan Anda ketika jumlah akun administrator yang dibuat berlebihan dan untuk mengidentifikasi akun administrator yang usang atau tidak dikonfigurasi dengan benar.

Catatan: Beberapa layanan Azure mendukung pengguna dan peran lokal yang tidak dikelola melalui Microsoft Azure Active Directory. Anda harus mengelola pengguna ini secara terpisah.

Tanggung Jawab: Pelanggan

PA-6: Menggunakan stasiun kerja akses dengan hak istimewa

Panduan: Stasiun kerja yang aman dan terisolasi sangat penting untuk keamanan peran sensitif seperti administrator, pengembang, dan operator layanan penting. Gunakan stasiun kerja pengguna yang sangat aman dan/atau Azure Bastion untuk tugas administratif. Gunakan Azure Active Directory (Microsoft Azure AD), Microsoft Defender Advanced Threat Protection (ATP), dan/atau Microsoft Intune untuk menyebarkan stasiun kerja pengguna yang aman dan terkelola untuk tugas administratif. Stasiun kerja yang diamankan dapat dikelola secara terpusat untuk menegakkan konfigurasi yang aman, termasuk autentikasi yang kuat, garis besar perangkat lunak dan perangkat keras, serta logika yang dibatasi dan akses jaringan.

Tanggung Jawab: Pelanggan

PA-7: Ikuti administrasi secukupnya (prinsip hak istimewa terkecil)

Panduan: Azure Functions terintegrasi dengan kontrol akses berbasis peran Azure (Azure RBAC) untuk mengelola sumber dayanya. Azure RBAC memungkinkan Anda mengelola akses sumber daya Azure melalui penetapan peran. Anda dapat menetapkan peran ini ke pengguna, perwakilan layanan grup, dan identitas terkelola. Ada peran bawaan yang telah ditentukan sebelumnya untuk sumber daya tertentu dan peran ini dapat disimpan di inventaris atau dikueri melalui alat seperti Azure CLI, Azure PowerShell, atau portal Azure. Hak istimewa yang Anda tetapkan ke sumber daya melalui RBAC Azure harus selalu dibatasi pada apa yang diperlukan oleh peran. Hal ini melengkapi pendekatan just-in-time (JIT) Microsoft Azure Active Directory Privileged Identity Management (PIM) dan harus ditinjau secara berkala.

Gunakan peran bawaan untuk mengalokasikan izin dan hanya membuat peran khusus jika diperlukan.

Beberapa operasi diekspos oleh aplikasi yang dapat dikontrol dengan kunci administratif. Kontrol akses ke kunci ini menggunakan Azure Key Vault.

Tanggung Jawab: Pelanggan

PA-8: Memilih proses persetujuan untuk dukungan Microsoft

Panduan: Dalam skenario dukungan saat Microsoft perlu mengakses data pelanggan, Azure Functions mendukung Customer Lockbox untuk menyediakan antarmuka bagi Anda untuk meninjau dan menyetujui atau menolak permintaan akses data pelanggan.

Tanggung Jawab: Pelanggan

Perlindungan Data

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Perlindungan Data.

DP-2: Melindungi data sensitif

Panduan: Lindungi data sensitif dengan membatasi akses menggunakan kontrol akses berbasis peran Azure (Azure RBAC), kontrol akses berbasis jaringan, dan kontrol khusus di layanan Azure (seperti enkripsi).

Untuk memastikan kontrol akses yang konsisten, semua jenis kontrol akses harus diselaraskan dengan strategi segmentasi perusahaan Anda. Strategi segmentasi perusahaan juga harus diinformasikan oleh lokasi data dan sistem penting sensitif atau bisnis.

Untuk platform dasar (yang dikelola oleh Microsoft), Microsoft memperlakukan semua konten pelanggan sebagai konten sensitif dan melindungi pelanggan dari kehilangan dan paparan data. Untuk memastikan keamanan data pelanggan dalam Azure, Microsoft telah menerapkan dan memelihara serangkaian kontrol dan kemampuan perlindungan data yang kuat.

Tanggung Jawab: Pelanggan

DP-3: Memantau transfer data sensitif yang tidak sah

Panduan: Pantau transfer data yang tidak sah ke lokasi di luar visibilitas dan kontrol perusahaan. Ini biasanya melibatkan pemantauan untuk aktivitas anomali (transfer besar atau tidak biasa) yang dapat menunjukkan eksfiltrasi data yang tidak sah. Aktifkan Microsoft Defender untuk App Service untuk membantu mengingatkan aktivitas anomali yang terkait dengan Azure Functions Anda.

Perlindungan Informasi Azure (AIP) menyediakan kemampuan pemantauan untuk informasi yang telah diklasifikasikan dan diberi label.

Jika diperlukan untuk kepatuhan pencegahan kehilangan data (DLP), Anda dapat menggunakan solusi DLP berbasis host untuk menegakkan kontrol detektif dan/atau pencegahan untuk mencegah penyelundupan data.

Tanggung Jawab: Pelanggan

DP-4: Mengenkripsi informasi sensitif saat transit

Panduan: Untuk melengkapi kontrol akses, data saat transit harus dilindungi dari serangan 'di luar band' (seperti pengambilan lalu lintas) menggunakan enkripsi untuk memastikan bahwa penyerang tidak dapat dengan mudah membaca atau memodifikasi data.

Azure Functions mendukung enkripsi data saat transit dengan TLS v1.2 atau yang lebih besar.

Meskipun bersifat opsional untuk lalu lintas pada jaringan privat, ini sangat penting untuk lalu lintas di jaringan eksternal dan publik. Untuk lalu lintas HTTP, pastikan setiap klien yang terhubung ke sumber daya Azure Anda dapat menegosiasikan TLS v1.2 atau yang lebih besar. Untuk manajemen jarak jauh, gunakan SSH (untuk Linux) atau RDP/TLS (untuk Windows) alih-alih protokol yang tidak terenkripsi. Versi dan protokol SSL, TLS, dan SSH yang kedaluwarsa, dan cipher yang lemah harus dinonaktifkan.

Secara default, Microsoft Azure menyediakan enkripsi untuk data saat transit di antara pusat data Microsoft Azure.

Pengaturan konfigurasi tersedia untuk menggunakan versi TLS yang lebih lama jika diperlukan, tetapi secara default TLS 1.2 adalah versi minimum.

Tanggung Jawab: Dibagikan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Peringatan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Web:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Aplikasi API seharusnya hanya dapat diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Audit, Dinonaktifkan 1.0.0
FTPS hanya diwajibkan di Aplikasi API Anda Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
hanya FTPS yang diperlukan di Aplikasi Fungsi Anda Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
FTPS harus diperlukan di Aplikasi Web Anda Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
Aplikasi Fungsi seharusnya hanya dapat diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Audit, Dinonaktifkan 1.0.0
Versi TLS terbaru harus digunakan di API Apps Anda Tingkatkan ke versi TLS terbaru AuditIfNotExists, Dinonaktifkan 1.0.0
Versi TLS terbaru harus digunakan di Aplikasi Fungsi Anda Tingkatkan ke versi TLS terbaru AuditIfNotExists, Dinonaktifkan 1.0.0
Versi TLS terbaru harus digunakan di Aplikasi Web Anda Tingkatkan ke versi TLS terbaru AuditIfNotExists, Dinonaktifkan 1.0.0
Aplikasi Web hanya boleh diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Audit, Dinonaktifkan 1.0.0

DP-5: Mengenkripsi data sensitif yang tidak aktif

Panduan: Untuk melengkapi kontrol akses, Azure Functions mengenkripsi data tidak aktif untuk melindungi dari serangan 'di luar band' (seperti mengakses penyimpanan yang mendasarinya) menggunakan enkripsi. Perlindungan ini membantu memastikan bahwa penyerang tidak dapat dengan mudah membaca atau merubah data.

Akun penyimpanan yang digunakan oleh Azure Functions dapat dikonfigurasi dengan opsi enkripsi tambahan.

Rahasia yang digunakan untuk konfigurasi aplikasi dapat disimpan di Azure Key Vault untuk opsi enkripsi tambahan.

Tanggung Jawab: Bersama

Manajemen Aset

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Aset.

AM-1: Memastikan tim keamanan memiliki visibilitas terhadap risiko aset

Panduan: Pastikan tim keamanan diberikan izin Pembaca Keamanan di penyewa dan langganan Azure Anda sehingga mereka dapat memantau risiko keamanan menggunakan Microsoft Defender untuk Cloud.

Tergantung pada susunan tanggung jawab tim keamanan, pemantauan untuk risiko keamanan bisa menjadi tanggung jawab tim keamanan pusat atau tim lokal. Meskipun demikian, wawasan dan risiko keamanan harus selalu dikumpulkan secara terpusat dalam organisasi.

Izin Pembaca Keamanan dapat diterapkan secara luas ke seluruh penyewa (Root Management Group) atau dicakup ke grup manajemen atau langganan tertentu.

Catatan: Izin tambahan mungkin diperlukan untuk mendapatkan visibilitas ke dalam beban kerja dan layanan.

Tanggung Jawab: Pelanggan

AM-2: Memastikan tim keamanan memiliki akses ke inventaris aset dan metadata

Panduan: Menerapkan tag ke sumber daya Azure, grup sumber daya, dan langganan Anda untuk mengaturnya secara logis ke dalam taksonomi. Setiap tag terdiri dari nama dan pasangan nilai. Misalnya, Anda dapat menerapkan nama "Lingkungan" dan nilai "Produksi" ke semua sumber daya dalam produksi.

Tanggung Jawab: Pelanggan

AM-3: Hanya gunakan layanan Azure yang disetujui

Panduan: Gunakan Azure Policy untuk mengaudit dan membatasi layanan yang dapat disediakan pengguna di lingkungan Anda. Gunakan Azure Resource Graph untuk mengkueri dan menemukan sumber daya dalam langganan pengguna. Anda juga dapat menggunakan Azure Monitor untuk membuat aturan sebagi pemicu pemberitahuan saat terdeteksi adanya layanan yang tidak disetujui.

Tanggung Jawab: Pelanggan

AM-6: Hanya gunakan aplikasi yang disetujui dalam sumber daya komputasi

Panduan: Batasi izin penyebaran dan gunakan sistem CI/CD untuk menyebarkan kode ke aplikasi fungsi Anda.

Tanggung Jawab: Pelanggan

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pencatatan dan Deteksi Ancaman.

LT-1: Mengaktifkan deteksi ancaman untuk sumber daya Azure

Panduan: Menggunakan kemampuan deteksi ancaman bawaan Microsoft Defender untuk Cloud dan mengaktifkan Microsoft Defender untuk sumber daya Azure Functions Anda. Microsoft Defender untuk Azure Functions menyediakan lapisan kecerdasan keamanan tambahan yang mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi sumber daya Azure Functions Anda.

Teruskan log apa pun dari Azure Functions ke SIEM Anda, yang dapat digunakan untuk menyiapkan deteksi ancaman kustom. Pastikan Anda memantau berbagai jenis aset Azure untuk potensi ancaman dan anomali. Fokus pada mendapatkan peringatan berkualitas tinggi untuk mengurangi positif palsu bagi analis untuk diurutkan. Peringatan dapat bersumber dari data log, agen, atau data lainnya.

Tanggung Jawab: Pelanggan

LT-2: Mengaktifkan deteksi ancaman untuk identitas Azure dan manajemen akses

Panduan: Microsoft Azure Active Directory (Azure AD) menyediakan log pengguna berikut yang dapat dilihat di pelaporan Microsoft Azure AD atau terintegrasi dengan Azure Monitor, Azure Sentinel, atau alat SIEM/pemantauan lainnya untuk kasus penggunaan pemantauan dan analitik yang lebih canggih:

  • Rincian masuk - Laporan rincian masuk memberikan informasi tentang penggunaan aplikasi terkelola dan aktivitas masuk pengguna.
  • Log audit - Menyediakan keterlacakan melalui log untuk semua perubahan yang dilakukan oleh berbagai fitur dalam Azure AD. Contoh log audit mencakup perubahan yang dibuat pada sumber daya apa pun dalam Microsoft Azure Active Directory seperti menambahkan atau menghapus pengguna, aplikasi, grup, peran, dan kebijakan.
  • Proses masuk riskan - Proses masuk riskan adalah indikator dari upaya rincian masuk yang mungkin telah dilakukan oleh seseorang yang bukan pemilik akun pengguna yang sah.
  • Pengguna yang ditandai berisiko - Pengguna berisiko adalah indikator untuk akun pengguna yang mungkin telah disusupi.

Microsoft Defender untuk Cloud juga dapat memicu peringatan tentang aktivitas mencurigakan tertentu, seperti jumlah upaya autentikasi yang gagal dalam jumlah berlebihan atau akun yang tidak digunakan lagi dalam langganan. Selain pemantauan kebersihan keamanan dasar, modul Perlindungan Ancaman Microsoft Defender untuk Cloud juga dapat mengumpulkan peringatan keamanan yang lebih mendalam dari sumber daya komputasi Azure individual (mesin virtual, kontainer, layanan aplikasi), sumber daya data (SQL DB dan penyimpanan), dan lapisan layanan Azure. Kemampuan ini memungkinkan Anda untuk memiliki visibilitas pada anomali akun di dalam masing-masing sumber daya.

Tanggung Jawab: Pelanggan

LT-3: Mengaktifkan pengelogan untuk aktivitas jaringan Azure

Panduan: Mengaktifkan dan mengumpulkan log sumber daya grup keamanan jaringan (NSG), log aliran NSG, log Azure Firewall, dan log Web Application Firewall (WAF) untuk analisis keamanan untuk mendukung penyelidikan insiden, perburuan ancaman, dan pembuatan peringatan keamanan. Anda dapat mengirim log alur ke ruang kerja Log Analitik Azure Monitor dan kemudian menggunakan Analitik Lalu Lintas untuk memberikan wawasan.

Pastikan Anda mengumpulkan log kueri DNS untuk membantu berkorelasi dengan data jaringan lainnya. Terapkan solusi pihak ketiga dari Marketplace Azure untuk pengelogan DNS sesuai kebutuhan organisasi Anda.

Aplikasi fungsi yang dikonfigurasi dengan Application Insights atau Log Analytics akan dapat melihat sumber daya yang coba berinteraksi dengan aplikasi.

Tanggung Jawab: Pelanggan

LT-4: Mengaktifkan pengelogan untuk sumber daya Azure

Panduan: Log aktivitas, yang tersedia secara otomatis, berisi semua operasi tulis (PUT, POST, DELETE) untuk sumber daya Azure Functions Anda kecuali operasi baca (GET). Anda dapat menggunakan log aktivitas untuk menemukan kesalahan saat memecahkan masalah atau memantau bagaimana pengguna di organisasi Anda mengubah sumber daya.

Aktifkan log sumber daya Azure untuk Azure Functions. Anda dapat menggunakan Pertahanan Microsoft untuk Cloud dan Azure Policy untuk mengaktifkan log sumber daya dan pengumpulan data log. Log ini bisa jadi sangat penting untuk menyelidiki insiden keamanan dan melakukan latihan forensik.

Tanggung Jawab: Dibagikan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Peringatan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Web:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Log diagnostik di Azure App Services harus diaktifkan Pengaktifan audit log diagnostik pada aplikasi. Ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk tujuan investigasi jika terjadi insiden keamanan atau jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 2.0.0

LT-5: Memusatkan manajemen dan analisis log keamanan

Panduan: Memusatkan penyimpanan pengelogan, dan analisis untuk mengaktifkan korelasi. Untuk setiap sumber log, pastikan Anda telah menetapkan pemilik data, panduan akses, lokasi penyimpanan, alat apa yang digunakan untuk memproses dan mengakses data, dan persyaratan retensi data.

Pastikan Anda mengintegrasikan log aktivitas Azure ke dalam pembuatan log pusat Anda. Lakukan penyerapan log melalui Azure Monitor untuk mengagregasi data keamanan yang dihasilkan oleh perangkat titik akhir, sumber daya jaringan, dan sistem keamanan lainnya. Di Azure Monitor, gunakan ruang kerja Analitik Log untuk mengkueri dan melakukan analitik, serta menggunakan akun Azure Storage untuk penyimpanan dan arsip jangka panjang.

Selain itu, aktifkan dan masukkan data ke Microsoft Sentinel atau SIEM pihak ketiga.

Banyak organisasi memilih untuk menggunakan Microsoft Sentinel untuk data 'panas' yang sering digunakan dan Azure Storage untuk data 'dingin' yang lebih jarang digunakan.

Untuk aplikasi yang dapat berjalan di Azure Functions, teruskan semua log terkait keamanan ke SIEM Anda untuk manajemen terpusat.

Tanggung Jawab: Pelanggan

LT-6: Mengonfigurasi retensi penyimpanan log

Panduan: Pastikan bahwa setiap akun penyimpanan atau ruang kerja Log Analytics yang digunakan untuk menyimpan log Azure Functions memiliki periode retensi log yang ditetapkan sesuai dengan peraturan kepatuhan organisasi Anda.

Tanggung Jawab: Pelanggan

LT-7: Menggunakan sumber sinkronisasi waktu yang disetujui

Panduan: Azure Functions tidak mendukung konfigurasi sumber sinkronisasi waktu Anda sendiri.

Layanan Azure Functions bergantung pada sumber sinkronisasi waktu Microsoft, dan tidak diekspos kepada pelanggan untuk konfigurasi.

Tanggung jawab: Microsoft

Manajemen Postur dan Kerentanan

Untuk mengetahui informasi selengkapnya, lihat Tolok Ukur Keamanan Azure: Manajemen Postur dan Kerentanan.

PV-1: Membuat konfigurasi aman untuk layanan Azure

Panduan: Anda dapat menggunakan Azure Blueprints untuk mengotomatiskan penyebaran dan konfigurasi lingkungan layanan dan aplikasi termasuk templat Azure Resources Manager, kontrol Azure RBAC, dan kebijakan, dalam definisi cetak biru tunggal.

Semua paket Azure Functions kecuali paket Konsumsi didukung oleh Microsoft Defender untuk App Service.

Beberapa pengaturan keamanan di Azure Functions ada sebagai bagian dari sumber daya konfigurasi anak di Azure Resource Manager dan tidak dikontrol oleh Azure Policy yang diterapkan ke aplikasi fungsi.

Tanggung Jawab: Pelanggan

PV-2: Membuat konfigurasi aman secara berkelanjutan untuk layanan Azure

Panduan: Gunakan Microsoft Defender untuk Cloud guna memantau garis besar konfigurasi Anda dan menerapkan menggunakan Azure Policy [deny] dan [deploy if not exist] untuk menerapkan konfigurasi aman di seluruh sumber daya komputasi Azure termasuk VM, kontainer, dan lainnya.

Semua paket Azure Functions kecuali paket Konsumsi didukung oleh Microsoft Defender untuk App Service.

Beberapa pengaturan keamanan di Azure Functions ada sebagai bagian dari sumber daya konfigurasi anak di Azure Resource Manager dan tidak dikontrol oleh Azure Policy yang diterapkan ke aplikasi fungsi.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Peringatan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Web:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
CORS tidak boleh mengizinkan setiap sumber daya mengakses API Apps Anda Cross-Origin Resource Sharing (CORS) seharusnya tidak mengizinkan semua domain mengakses aplikasi API Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi API Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
CORS tidak boleh mengizinkan setiap sumber daya mengakses Aplikasi Fungsi Anda Cross-Origin Resource Sharing (CORS) seharusnya tidak mengizinkan semua domain mengakses aplikasi Fungsi Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Fungsi Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
CORS tidak boleh mengizinkan setiap sumber daya mengakses Aplikasi Web Anda Cross-Origin Resource Sharing (CORS) tidak boleh mengizinkan semua domain mengakses aplikasi web Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan apl web Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
Pastikan aplikasi API memiliki 'Sertifikat Klien (Sertifikat klien masuk)' disetel ke 'Aktif' Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi. Audit, Dinonaktifkan 1.0.0
Pastikan aplikasi WEB mengatur 'Sertifikat Klien (Sertifikat klien masuk)' ke 'Aktif' Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi. Audit, Dinonaktifkan 1.0.0
Aplikasi Fungsi harus mengaktifkan 'Sertifikat Klien (Sertifikat klien masuk)' Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien dengan sertifikat yang valid yang dapat menjangkau aplikasi. Audit, Dinonaktifkan 1.0.1
Penelusuran kesalahan jarak jauh harus dimatikan untuk API Apps Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi API. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 1.0.0
Debugging jarak jauh harus dimatikan untuk Aplikasi Fungsi Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi fungsi. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 1.0.0
Debugging jarak jauh harus dimatikan untuk Aplikasi Web Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi web. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 1.0.0

PV-3: Menetapkan konfigurasi yang aman untuk sumber daya komputasi

Panduan: Gunakan Microsoft Defender untuk Cloud dan Azure Policy untuk membangun konfigurasi yang aman pada semua sumber daya komputasi termasuk mesin virtual, kontainer, dan lainnya.

Tanggung Jawab: Pelanggan

PV-4: Mempertahankan konfigurasi yang aman untuk sumber daya komputasi

Panduan: Gunakan Microsoft Defender untuk Cloud dan Azure Policy untuk secara teratur menilai dan memulihkan risiko konfigurasi pada sumber daya komputasi Azure Anda seperti mesin virtual (VM), kontainer, dan lainnya. Selain itu, Anda dapat menggunakan templat Azure Resource Manager, gambar sistem operasi kustom, atau Azure Automation State Configuration untuk mempertahankan konfigurasi keamanan sistem operasi yang diperlukan oleh organisasi Anda. Gunakan halaman rekomendasi Microsoft Defender untuk Cloud untuk melihat rekomendasi dan memulihkan masalah.

Tanggung Jawab: Dibagikan

PV-5: Menyimpan sistem operasi kustom dan gambar kontainer dengan aman

Panduan: Azure Functions memungkinkan pelanggan mengelola gambar kontainer apa pun yang digunakan dengan layanan. Gunakan kontrol akses berbasis peran Azure (RBAC) untuk memastikan bahwa hanya pengguna yang berwenang yang dapat mengakses gambar kustom Anda. Simpan gambar kontainer di Azure Container Registry dan gunakan Azure RBAC untuk memastikan bahwa hanya pengguna berwenang yang memiliki akses.

Tanggung Jawab: Pelanggan

PV-6: Melakukan penilaian kerentanan perangkat lunak

Panduan: Azure Functions memungkinkan kontainer yang berjalan yang disebarkan melalui registri kontainer.

Ikuti rekomendasi dari Microsoft Defender untuk Cloud untuk melakukan penilaian kerentanan pada gambar kontainer Azure Anda. Microsoft Defender untuk Cloud memiliki pemindai kerentanan bawaan untuk gambar kontainer.

Sebagaimana diperlukan, ekspor hasil pemindaian pada interval yang konsisten dan membandingkan hasil dengan pemindaian sebelumnya untuk memverifikasi bahwa kerentanan telah diremediasi. Saat menggunakan rekomendasi manajemen kerentanan yang disarankan oleh Microsoft Defender untuk Cloud, Anda dapat beralih ke portal solusi yang dipilih untuk melihat data pemindaian historis.

Microsoft melakukan manajemen kerentanan pada sistem dasar yang mendukung Azure Functions.

Tanggung Jawab: Dibagikan

PV-7: Memperbaiki kerentanan perangkat lunak dengan cepat dan otomatis

Panduan: Prioritaskan menggunakan program penilaian risiko umum (misalnya, Common Vulnerability Scoring System) atau peringkat risiko default yang disediakan oleh alat pemindaian pihak ketiga Anda, dan kemudian sesuaikan lingkungan Anda menggunakan konteks aplikasi mana yang menghadirkan risiko keamanan tinggi dan mana yang memerlukan waktu aktif tinggi.

Azure Functions memungkinkan pengguna menyebarkan aplikasi melalui gambar kustom yang disebarkan melalui registri kontainer di lingkungannya.

Untuk perangkat lunak pihak ketiga, gunakan solusi manajemen patch pihak ketiga atau Penerbit Pembaruan Pusat Sistem untuk Configuration Manager.

Untuk perangkat lunak pihak ketiga, gunakan solusi manajemen patch pihak ketiga atau Penerbit Pembaruan Pusat Sistem untuk Configuration Manager.

Tanggung Jawab: Dibagikan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Peringatan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Web:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Pastikan 'Versi Java' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi API Secara berkala, versi yang lebih baru dirilis untuk Java baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Python terbaru untuk aplikasi API disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux. AuditIfNotExists, Dinonaktifkan 2.0.0
Pastikan 'Versi Java' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi Fungsi Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Java baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Java terbaru untuk aplikasi Fungsi disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux. AuditIfNotExists, Dinonaktifkan 2.0.0
Pastikan 'Versi Java' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi Web Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Java baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Java terbaru untuk aplikasi web disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux. AuditIfNotExists, Dinonaktifkan 2.0.0
Pastikan 'versi PHP' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi API Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak PHP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi PHP terbaru untuk aplikasi API disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux. AuditIfNotExists, Dinonaktifkan 2.1.0
Pastikan 'versi PHP' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi WEB Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak PHP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi PHP terbaru untuk aplikasi web disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux. AuditIfNotExists, Dinonaktifkan 2.1.0
Pastikan 'Versi Python' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi API Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Python baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Python terbaru untuk aplikasi API disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux. AuditIfNotExists, Dinonaktifkan 3.0.0
Pastikan 'versi Python' adalah yang terbaru, jika digunakan sebagai bagian dari Aplikasi fungsi Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Python baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Python terbaru untuk aplikasi Fungsi disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux. AuditIfNotExists, Dinonaktifkan 3.0.0
Pastikan 'versi Python' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi Web Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Python baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Python terbaru untuk aplikasi web disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Saat ini, kebijakan ini hanya berlaku untuk aplikasi web Linux. AuditIfNotExists, Dinonaktifkan 3.0.0

PV-8: Melakukan simulasi serangan rutin

Panduan: Sebagaimana diperlukan, lakukan uji penetrasi atau aktivitas read team pada sumber daya Azure Anda dan pastikan remediasi pada semua temuan keamanan penting.

Ikuti Aturan Keterlibatan Uji Penetrasi Microsoft Cloud untuk memastikan bahwa uji penetrasi Anda tidak melanggar kebijakan Microsoft. Gunakan strategi Microsoft dan eksekusi Red Team, serta uji penetrasi langsung terhadap infrastruktur, layanan, dan aplikasi cloud yang dikelola Microsoft.

Tanggung Jawab: Dibagikan

Keamanan titik akhir

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Titik Akhir.

ES-1: Menggunakan Deteksi dan Respons Titik Akhir (EDR)

Panduan: Microsoft mengelola komponen platform yang mendasari Azure Functions. Azure Functions melalui pemeriksaan kepatuhan yang kuat secara terus-menerus untuk memastikan bahwa manajemen ancaman 24 jam melindungi infrastruktur dan platform terhadap malware, distributed denial-of-service (DDoS), man-in-the-middle (MITM), dan ancaman lainnya. Antimalware Microsoft diaktifkan pada host yang mendasari yang mendukung layanan Azure (misalnya, Azure Functions). Namun, tidak berjalan pada konten Anda.

Tanggung jawab: Microsoft

ES-2: Menggunakan perangkat lunak anti-malware modern yang dikelola secara terpusat

Panduan: Azure Functions memelihara dan menjalankan antimalware untuk sumber daya sistem dan runtime. Untuk gambar kontainer kustom atau untuk penyimpanan yang dimanfaatkan oleh aplikasi Anda, Anda harus mempertimbangkan untuk memanfaatkan solusi antimalware modern yang dikelola secara terpusat.

Tanggung Jawab: Dibagikan

ES-3: Memastikan perangkat lunak anti-malware dan tanda tangan diperbarui

Panduan: Microsoft mengelola komponen platform yang mendasari Azure Functions. Azure Functions melalui pemeriksaan kepatuhan yang kuat secara terus-menerus untuk memastikan bahwa manajemen ancaman 24 jam melindungi infrastruktur dan platform terhadap malware, distributed denial-of-service (DDoS), man-in-the-middle (MITM), dan ancaman lainnya. Antimalware Microsoft diaktifkan pada host yang mendasari yang mendukung layanan Azure (misalnya, Azure Functions). Namun, tidak berjalan pada konten Anda.

Tanggung jawab: Microsoft

Microsoft Azure Backup dan Pemulihan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Microsoft Azure Backup dan Pemulihan.

BR-4: Mengurangi risiko kehilangan kunci

Panduan: Pastikan Anda memiliki langkah-langkah untuk mencegah dan memulihkan kunci yang hilang. Aktifkan perlindungan penghapusan sementara dan penghapusan menyeluruh di Azure Key Vault untuk melindungi kunci dari penghapusan yang tidak disengaja atau berbahaya.

Tanggung Jawab: Pelanggan

Langkah berikutnya