Garis besar keamanan Azure untuk Azure Machine Learning

Garis besar keamanan ini menerapkan panduan dari Azure Security Benchmark versi 2.0 ke Microsoft Azure Machine Learning. Azure Security Benchmark memberikan rekomendasi tentang cara Anda mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh Azure Security Benchmark dan panduan terkait yang berlaku untuk Pembelajaran Mesin Microsoft Azure.

Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Pertahanan Microsoft untuk Cloud. Azure Policy definisi akan tercantum di bagian Kepatuhan Terhadap Peraturan di dasbor Pertahanan Microsoft untuk Cloud.

Saat bagian memiliki Definisi Azure Policy yang relevan, bagian tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Azure Security Benchmark. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol tidak berlaku untuk Azure Machine Learning, dan kontrol yang direkomendasikan oleh panduan global secara verbatim, telah dikecualikan. Untuk melihat bagaimana Azure Machine Learning sepenuhnya dipetakan ke Azure Security Benchmark, lihat file pemetaan garis besar keamanan Azure Machine Learning lengkap.

Keamanan Jaringan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Jaringan.

NS-1: Menerapkan keamanan untuk lalu lintas internal

Panduan: Saat Anda menerapkan sumber daya Azure Machine Learning, buat atau gunakan jaringan virtual yang ada. Pastikan bahwa semua jaringan virtual Azure mengikuti prinsip segmentasi perusahaan yang selaras dengan risiko bisnis. Pisahkan sistem apa pun yang dapat menimbulkan risiko lebih tinggi bagi organisasi dalam jaringan virtualnya sendiri. Amankan sistem secara memadai dengan grup keamanan jaringan (NSG) atau Azure Firewall.

Tanggung Jawab: Pelanggan

NS-2: Menyambungkan jaringan privat bersama-sama

Panduan: Gunakan Azure ExpressRoute atau Jaringan pribadi Maya (VPN) Azure untuk membuat koneksi pribadi antara pusat data Azure dan infrastruktur lokal di lingkungan kolokasi.

Koneksi ExpressRoute tidak melalui internet publik, dan menawarkan lebih banyak keandalan, kecepatan lebih cepat, dan latensi lebih rendah daripada koneksi internet biasa. Untuk VPN titik ke situs dan situs ke situs, Anda dapat menyambungkan perangkat atau jaringan lokal ke jaringan virtual. Gunakan kombinasi apa pun dari opsi VPN ini dan Azure ExpressRoute.

Untuk menyambungkan dua jaringan virtual Azure atau lebih, gunakan peering jaringan virtual. Lalu lintas antara jaringan virtual yang di-peering bersifat privat dan tetap berada di jaringan backbone Azure.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Peringatan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.MachineLearningServices:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Ruang kerja Azure Machine Learning harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke ruang kerja Azure Machine Learning, risiko kebocoran data berkurang. Pelajari lebih lanjut tentang tautan privat di: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Tolak, Dinonaktifkan 1.1.0

NS-3: Membangun akses jaringan privat ke layanan Azure

Panduan: Gunakan Azure Private Link untuk mengaktifkan akses privat ke Azure Machine Learning dari jaringan virtual tanpa melintasi internet. Akses privat menambahkan ukuran pertahanan yang mendalam ke autentikasi Azure dan keamanan lalu lintas.

Azure Machine Learning tidak menyediakan titik akhir layanan.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Peringatan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.MachineLearningServices:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Ruang kerja Azure Machine Learning harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke ruang kerja Azure Machine Learning, risiko kebocoran data berkurang. Pelajari lebih lanjut tentang tautan privat di: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Tolak, Dinonaktifkan 1.1.0

NS-4: Melindungi aplikasi dan layanan dari serangan jaringan eksternal

Panduan: Lindungi sumber daya Azure Machine Learning terhadap serangan dari jaringan eksternal. Serangan dapat mencakup:

  • Serangan penolakan layanan terdistribusi (DDoS)
  • Serangan khusus aplikasi
  • Lalu lintas internet yang tidak diminta dan berpotensi berbahaya

Gunakan Azure Firewall untuk melindungi aplikasi dan layanan dari lalu lintas yang berpotensi berbahaya dari internet dan lokasi eksternal lainnya. Lindungi aset dari serangan DDoS dengan mengaktifkan DDoS Protection Standar di jaringan virtual Azure. Gunakan Microsoft Defender untuk Cloud untuk mendeteksi risiko kesalahan konfigurasi dalam sumber daya terkait jaringan.

Gunakan kemampuan Web Application Firewall (WAF) di Azure Application Gateway, Azure Front Door, dan Azure Content Delivery Network (CDN). Kemampuan ini melindungi aplikasi Anda yang berjalan di Azure Machine Learning dari serangan lapisan aplikasi.

Tanggung Jawab: Pelanggan

NS-6: Menyederhanakan aturan keamanan jaringan

Panduan: Gunakan tag layanan Azure Virtual Network guna menentukan kontrol akses jaringan untuk sumber daya Azure Machine Learning di grup keamanan jaringan atau Azure Firewall. Anda dapat menggunakan tag layanan sebagai pengganti alamat IP tertentu saat membuat aturan keamanan. Tentukan nama tag layanan seperti "azuremachinelearning" di sumber aturan atau bidang tujuan yang sesuai untuk mengizinkan atau menolak lalu lintas layanan. Microsoft mengelola awalan alamat yang dicakup oleh tag layanan, dan secara otomatis memperbarui tag layanan saat alamat berubah.

Catatan: Tag regional "azuremachinelearning" saat ini tidak didukung.

Tanggung Jawab: Pelanggan

NS-7: Layanan Nama Domain (DNS) yang Aman

Panduan: Ikuti praktik terbaik untuk konfigurasi DNS untuk Azure Machine Learning. Untuk informasi selengkapnya, lihat Cara menggunakan ruang kerja Anda dengan server DNS kustom.

Ikuti praktik terbaik untuk keamanan DNS guna mengurangi serangan umum seperti:

  • DNS menggantung
  • Serangan amplifikasi DNS
  • Keracunan DNS dan spoofing

Saat Anda menggunakan Azure DNS sebagai layanan DNS Anda, pastikan untuk melindungi zona DNS dan catatan dari perubahan yang tidak disengaja atau berbahaya dengan menggunakan Kontrol Akses Berbasis Peran Azure (RBAC) dan kunci sumber daya.

Tanggung Jawab: Pelanggan

Manajemen Identitas

Untuk informasi lebih lanjut, lihat Azure Security Benchmark : Manajemen Identitas.

IM-1: Menstandarkan Microsoft Azure Active Directory sebagai pusat sistem identitas dan autentikasi

Panduan: Azure Machine Learning menggunakan Microsoft Azure AD sebagai layanan manajemen akses dan identitas defaultnya. Standarisasi Microsoft Azure AD untuk mengatur identitas organisasi Anda dan manajemen akses di:

  • Sumber daya Microsoft Cloud. Sumber daya meliputi:

    • Portal Microsoft Azure

    • Azure Storage

    • Mesin virtual Windows dan Linux Azure

    • Azure Key Vault

    • Platform-as-a-service (PaaS)

    • Aplikasi software as a service (SaaS)

  • Sumber daya organisasi Anda, seperti aplikasi di Azure atau sumber daya jaringan perusahaan Anda.

Mengamankan Azure AD harus menjadi prioritas utama dalam praktik keamanan cloud organisasi Anda. Azure AD memberikan skor keamanan identitas untuk membantu Anda membandingkan postur keamanan identitas Anda dengan rekomendasi praktik terbaik Microsoft. Gunakan skor untuk mengukur seberapa dekat konfigurasi Anda cocok dengan rekomendasi praktik terbaik, dan untuk melakukan peningkatan dalam postur keamanan Anda.

Catatan: Azure AD mendukung identitas eksternal yang memungkinkan pengguna tanpa akun Microsoft untuk masuk ke aplikasi dan sumber daya mereka.

Tanggung Jawab: Pelanggan

IM-2: Mengelola identitas aplikasi dengan aman dan otomatis

Panduan: Untuk Azure Machine Learning, gunakan Microsoft Azure AD guna membuat prinsip layanan dengan izin terbatas di tingkat sumber daya. Konfigurasikan prinsip layanan dengan info masuk sertifikat, dan lakukan fall back ke rahasia klien.

Anda dapat menggunakan Azure Key Vault dengan identitas yang dikelola Azure, sehingga lingkungan runtime seperti Azure Functions bisa mendapatkan info masuk dari brankas kunci.

Tanggung Jawab: Pelanggan

IM-3: Menggunakan akses menyeluruh (SSO) Microsoft Azure AD untuk akses aplikasi

Panduan: Azure Machine Learning menggunakan identitas Microsoft Azure AD dan manajemen akses untuk sumber daya Azure, aplikasi cloud, dan aplikasi lokal. Identitas mencakup identitas perusahaan seperti karyawan, dan identitas eksternal seperti mitra, vendor, dan pemasok.

Azure AD menyediakan akses menyeluruh (SSO) untuk mengelola dan mengamankan akses ke data dan sumber daya lokal dan cloud organisasi Anda.

Sambungkan semua pengguna, aplikasi, dan perangkat Anda ke Azure AD. Microsoft Azure AD menawarkan akses yang mulus dan aman, serta visibilitas dan kontrol yang lebih besar.

Tanggung Jawab: Pelanggan

IM-7: Menghapus paparan informasi masuk yang tidak diinginkan

Panduan: Azure Machine Learning memungkinkan pelanggan menyebarkan dan menjalankan kode atau konfigurasi atau menyimpan data yang berpotensi berisi identitas atau rahasia. Gunakan Pemindai Info masuk untuk menemukan info masuk ini dalam kode, konfigurasi, atau data. Pemindai Info masuk mendorong pemindahan info masuk yang ditemukan ke lokasi yang aman seperti Azure Key Vault.

Untuk GitHub, Anda dapat menggunakan fitur pemindaian rahasia asli untuk mengidentifikasi info masuk atau rahasia lain dalam kode.

Tanggung Jawab: Pelanggan

Akses dengan Hak Istimewa

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Akses dengan Hak istimewa.

PA-1: Melindungi dan membatasi pengguna dengan hak sangat istimewa

Panduan: Peran Azure AD bawaan yang paling penting adalah Administrator Global dan Administrator Peran Istimewa. Pengguna dengan dua peran ini dapat mendelegasikan peran administrator.

  • Administrator Global atau Administrator Perusahaan memiliki akses ke semua fitur administratif Azure AD, dan layanan yang menggunakan identitas Azure AD.

  • Administrator Peran Istimewa dapat mengelola penetapan peran di Azure AD dan Azure AD Privileged Identity Management (PIM). Peran ini dapat mengelola semua aspek PIM dan unit administrasi.

Batasi jumlah akun atau peran yang sangat istimewa, dan lindungi akun ini pada tingkat yang lebih tinggi. Pengguna yang sangat istimewa dapat secara langsung atau tidak langsung membaca dan memodifikasi semua sumber daya Azure Anda.

Anda dapat mengaktifkan akses istimewa just-in-time (JIT) ke sumber daya Azure dan Azure AD menggunakan Azure AD PIM. JIT memberikan izin sementara untuk melakukan tugas istimewa hanya ketika pengguna membutuhkannya. PIM juga dapat membuat peringatan keamanan untuk aktivitas yang mencurigakan atau tidak aman di organisasi Microsoft Azure AD Anda.

Azure Machine Learning hadir dengan tiga peran default saat ruang kerja baru dibuat. Buat prosedur operasi standar untuk menggunakan akun pemilik.

Tanggung Jawab: Pelanggan

PA-3: Tinjau dan rekonsiliasi akses pengguna secara teratur

Panduan: Azure Machine Learning menggunakan akun Microsoft Azure AD untuk mengelola sumber dayanya. Tinjau akun pengguna dan penugasan akses secara teratur untuk memastikan akun dan akses pengguna valid. Anda dapat menggunakan tinjauan akses Azure AD untuk meninjau keanggotaan grup, akses aplikasi perusahaan, dan penetapan peran.

Pelaporan Microsoft Azure Active Directory dapat menyediakan log untuk membantu menemukan akun yang kedaluwarsa. Anda juga dapat membuat alur kerja laporan ulasan akses di Azure AD PIM untuk memudahkan proses peninjauan.

Anda dapat mengonfigurasi Azure AD PIM untuk memberi tahu Anda ketika ada terlalu banyak akun administrator. PIM dapat mengidentifikasi akun administrator yang kedaluwarsa atau tidak dikonfigurasi dengan benar.

Azure Machine Learning menawarkan peran bawaan untuk ilmuwan data dan pengguna layanan UX.

Catatan: Beberapa layanan Azure mendukung pengguna dan peran lokal yang tidak dikelola melalui Azure Active Directory. Kelola pengguna ini secara terpisah.

Tanggung Jawab: Pelanggan

PA-6: Menggunakan stasiun kerja akses dengan hak istimewa

Panduan: Stasiun kerja yang aman dan terisolasi sangat penting untuk keamanan peran sensitif seperti administrator, pengembang, dan operator layanan penting. Gunakan stasiun kerja pengguna yang sangat aman dan Azure Bastion untuk tugas administratif.

Gunakan Azure AD, Microsoft Defender ATP, atau Microsoft Intune untuk menyebarkan stasiun kerja pengguna yang aman dan terkelola untuk tugas administratif. Anda dapat mengelola stasiun kerja aman secara terpusat untuk menerapkan konfigurasi keamanan yang mencakup:

  • Autentikasi kuat

  • Garis besar perangkat lunak dan perangkat keras

  • Akses jaringan dan logis yang dibatasi

Untuk informasi selengkapnya, lihat referensi berikut ini:

Tanggung Jawab: Pelanggan

PA-7: Mengikuti prinsip hak istimewa paling sedikit dari administrasi yang cukup

Panduan: Azure Machine Learning terintegrasi dengan Azure RBAC untuk mengelola sumber dayanya. Dengan RBAC, Anda mengelola akses sumber daya Azure melalui penetapan peran. Anda dapat menetapkan peran ke pengguna, grup, perwakilan layanan, dan identitas terkelola. Sumber daya tertentu memiliki peran bawaan yang telah ditentukan sebelumnya. Anda dapat menginventarisasi atau mengkueri peran ini melalui alat seperti Azure CLI, Azure PowerShell, atau portal Azure.

Batasi hak istimewa yang Anda tetapkan ke sumber daya melalui Azure RBAC sesuai kebutuhan peran. Praktik ini melengkapi pendekatan just-in-time (JIT) dari Azure AD PIM. Tinjau peran dan tugas secara berkala.

Gunakan peran bawaan untuk mengalokasikan izin, dan hanya buat peran kustom jika diperlukan.

Azure Machine Learning menawarkan peran bawaan untuk ilmuwan data dan pengguna layanan UX.

Tanggung Jawab: Pelanggan

Perlindungan Data

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Perlindungan Data.

DP-1: Menemukan, mengklasifikasikan, dan memberi label data sensitif

Panduan: Menemukan, mengklasifikasikan, dan memberi label pada data sensitif Anda. Rancang kontrol yang sesuai untuk sistem teknologi organisasi untuk menyimpan, memproses, dan mengirimkan informasi sensitif dengan aman.

Gunakan Perlindungan Informasi Azure (AIP) dan alat pemindaian terkait untuk informasi sensitif dalam dokumen Office. Anda dapat menggunakan AIP di Azure, Office 365, lokal, atau di lokasi lain.

Anda dapat menggunakan Perlindungan Informasi Azure SQL untuk membantu mengklasifikasikan dan memberi label informasi yang disimpan di Azure SQL Database.

Tanggung Jawab: Pelanggan

DP-2: Melindungi data sensitif

Panduan: Melindungi data sensitif dengan membatasi akses dengan Azure RBAC, kontrol akses berbasis jaringan, dan kontrol khusus di layanan Azure. Misalnya, gunakan enkripsi dalam SQL dan database lainnya.

Untuk konsistensi, sejajarkan semua jenis kontrol akses dengan strategi segmentasi perusahaan Anda. Informasikan strategi segmentasi perusahaan Anda berdasarkan lokasi data dan sistem yang sensitif atau penting bagi bisnis.

Microsoft memperlakukan semua konten pelanggan di platform dasar yang dikelola Microsoft sebagai hal yang sensitif. Microsoft menjaga dari kehilangan dan paparan data pelanggan. Microsoft memiliki kontrol dan kemampuan perlindungan data default untuk memastikan bahwa data pelanggan Azure tetap aman.

Tanggung Jawab: Pelanggan

DP-3: Memantau transfer data sensitif yang tidak sah

Panduan: Memantau transfer data yang tidak sah ke lokasi di luar visibilitas dan kontrol perusahaan. Pantau aktivitas anomali seperti transfer besar atau tidak biasa yang dapat mengindikasikan penyelundupan data yang tidak sah.

Azure Storage ATP dan Azure SQL ATP dapat memperingatkan transfer informasi yang tidak wajar yang mungkin mengindikasikan transfer informasi sensitif yang tidak sah.

AIP menyediakan kemampuan pemantauan untuk informasi rahasia dan berlabel.

Jika diperlukan untuk kepatuhan DLP, Anda dapat menggunakan solusi DLP berbasis host untuk menerapkan kontrol deteksi dan pencegahan serta mencegah penyelundupan data.

Tanggung Jawab: Pelanggan

DP-4: Mengenkripsi informasi sensitif saat transit

Panduan: Untuk melengkapi kontrol akses, lindungi data saat transit dari serangan di luar jangkauan seperti pengambilan lalu lintas. Gunakan enkripsi untuk memastikan bahwa penyerang tidak dapat dengan mudah membaca atau mengubah data. Azure Machine Learning mendukung enkripsi data saat transit dengan Keamanan Lapisan Transportasi (TLS) v1.2.

Persyaratan ini opsional untuk lalu lintas di jaringan privat, tetapi sangat penting untuk lalu lintas di jaringan eksternal dan publik. Untuk lalu lintas HTTP, pastikan setiap klien yang tersambung ke sumber daya Azure Anda dapat menggunakan TLS v1.2 atau yang lebih baru.

Untuk manajemen jarak jauh, gunakan shell aman (SSH) untuk Linux atau protokol desktop jarak jauh (RDP) dan TLS untuk Windows. Jangan gunakan protokol yang tidak terenkripsi. Nonaktifkan cipher yang lemah serta versi dan protokol SSL, TLS, dan SSH yang kedaluwarsa.

Azure mengenkripsi data saat transit di antara pusat data Azure secara default.

Tanggung jawab: Microsoft

DP-5: Mengenkripsi data sensitif yang tidak aktif

Panduan: Untuk melengkapi kontrol akses, Azure Machine Learning melindungi data saat tidak aktif dari serangan out-of-band, seperti mengakses penyimpanan yang mendasarinya, dengan menggunakan enkripsi. Enkripsi membantu memastikan bahwa penyerang tidak dapat dengan mudah membaca atau mengubah data.

Microsoft Azure menyediakan enkripsi untuk data yang tidak aktif secara default. Untuk data yang sangat sensitif, Anda dapat menerapkan enkripsi ekstra saat nonaktif pada sumber daya Azure jika tersedia. Azure mengelola kunci enkripsi Anda secara default, tetapi layanan Azure tertentu menyediakan opsi untuk kunci yang dikelola pelanggan.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Peringatan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.MachineLearningServices:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Ruang kerja Azure Machine Learning harus dienkripsi dengan kunci yang dikelola pelanggan Kelola enkripsi pada data ruang kerja Azure Machine Learning lainnya dengan kunci yang dikelola pelanggan. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan umumnya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/azureml-workspaces-cmk. Audit, Tolak, Dinonaktifkan 1.0.3

Manajemen Aset

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Aset.

AM-1: Memastikan tim keamanan memiliki visibilitas terhadap risiko aset

Panduan: Pastikan untuk memberikan izin Pembaca Keamanan kepada tim keamanan di penyewa dan langganan Azure Anda, sehingga mereka dapat memantau risiko keamanan dengan menggunakan Microsoft Defender untuk Cloud.

Pemantauan untuk risiko keamanan dapat menjadi tanggung jawab tim keamanan pusat atau tim lokal, tergantung cara Anda menyusun tanggung jawab. Selalu agregasikan wawasan dan risiko keamanan secara terpusat dalam suatu organisasi.

Anda dapat menerapkan izin Security Reader secara luas ke seluruh Grup Manajemen Root penyewa, atau izin cakupan ke grup atau langganan manajemen tertentu.

Catatan: Visibilitas ke dalam beban kerja dan layanan mungkin memerlukan lebih banyak izin.

Tanggung Jawab: Pelanggan

AM-2: Memastikan tim keamanan memiliki akses ke inventaris aset dan metadata

Panduan: Menerapkan tag ke sumber daya Azure, grup sumber daya, dan langganan Anda untuk mengaturnya secara logis ke dalam taksonomi. Setiap tag terdiri dari pasangan nama dan nilai. Misalnya, Anda dapat menerapkan nama "Lingkungan" dan nilai "Produksi" ke semua sumber daya dalam produksi.

Gunakan Inventaris Azure Virtual Machine untuk mengotomatiskan pengumpulan informasi tentang perangkat lunak pada mesin virtual (VM). Nama Perangkat Lunak, Versi, Penerbit, dan Waktu Refresh tersedia dari portal Azure. Untuk mengakses tanggal pemasangan dan informasi lainnya, aktifkan diagnostik tingkat tamu dan impor Log Peristiwa Windows ke ruang kerja Analitik Log.

Gunakan Microsoft Defender untuk Cloud Adaptive Application Controls guna menentukan jenis file mana yang berlaku aturan tersebut.

Tanggung Jawab: Pelanggan

AM-3: Hanya gunakan layanan Azure yang disetujui

Panduan: Gunakan Azure Policy untuk mengaudit dan membatasi layanan yang dapat disediakan pengguna di lingkungan Anda. Gunakan Azure Resource Graph untuk mengkueri dan menemukan sumber daya dalam langganan Anda. Anda juga dapat menggunakan Azure Monitor untuk membuat aturan guna memicu peringatan saat mereka mendeteksi layanan yang tidak disetujui.

Tanggung Jawab: Pelanggan

AM-6: Hanya gunakan aplikasi yang disetujui dalam sumber daya komputasi

Panduan: Gunakan Inventaris Mesin Virtual Azure untuk mengotomatiskan pengumpulan informasi tentang semua perangkat lunak di VM. Nama perangkat lunak, versi, penerbit, dan waktu penyegaran tersedia dari portal Microsoft Azure. Untuk mengakses tanggal pemasangan dan informasi lainnya, aktifkan diagnostik tingkat tamu dan bawa log peristiwa Windows ke ruang kerja Analitik Log.

Tanggung Jawab: Pelanggan

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pencatatan dan Deteksi Ancaman.

LT-1: Mengaktifkan deteksi ancaman untuk sumber daya Azure

Panduan: Gunakan kemampuan deteksi ancaman bawaan Microsoft Defender untuk Cloud. Aktifkan Microsoft Defender untuk sumber daya Azure Machine Learning Anda. Microsoft Defender untuk Azure Machine Learning menyediakan lapisan tambahan kecerdasan keamanan. Microsoft Defender mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi sumber daya Azure Machine Learning Anda.

Tanggung Jawab: Pelanggan

LT-2: Mengaktifkan deteksi ancaman untuk identitas Azure dan manajemen akses

Panduan: Azure AD menyediakan log pengguna berikut. Anda dapat melihat log dalam pelaporan Azure AD. Anda dapat mengintegrasikan log dengan Azure Monitor, Microsoft Sentinel, atau SIEM lainnya dan alat pemantauan untuk kasus penggunaan pemantauan dan analitik yang lebih canggih.

  • Kredensial masuk - Informasi tentang penggunaan aplikasi terkelola dan aktivitas masuk pengguna.

  • Log audit - Keterlacakan melalui log untuk semua perubahan yang dibuat oleh berbagai fitur Azure AD. Log audit menyertakan perubahan yang dilakukan pada sumber daya apa pun dalam Azure AD. Perubahan tersebut termasuk menambahkan atau menghapus pengguna, aplikasi, grup, peran, dan kebijakan.

  • Proses masuk riskan - Indikator untuk upaya masuk oleh seseorang yang mungkin bukan pemilik akun pengguna yang sah.

  • Pengguna ditandai berisiko - Indikator untuk akun pengguna yang mungkin telah disusupi.

Microsoft Defender untuk Cloud juga dapat memberi tahu Anda tentang aktivitas mencurigakan tertentu seperti terlalu banyak upaya autentikasi yang gagal. Akun yang tidak digunakan lagi dalam langganan juga dapat memicu peringatan.

Microsoft Defender untuk Cloud juga dapat memperingatkan Anda tentang aktivitas mencurigakan seperti upaya autentikasi yang gagal dalam jumlah berlebihan, atau tentang akun yang tidak digunakan lagi.

Selain pemantauan kebersihan keamanan dasar, modul Perlindungan Ancaman Microsoft Defender untuk Cloud dapat mengumpulkan peringatan keamanan yang lebih mendalam dari:

  • Sumber daya komputasi Azure individual seperti VM, kontainer, dan layanan aplikasi

  • Sumber daya data seperti Azure SQL Database dan Azure Storage

  • Lapisan layanan Azure

Kemampuan ini memberi Anda visibilitas pada anomali akun di masing-masing sumber daya.

Tanggung Jawab: Pelanggan

LT-3: Mengaktifkan pengelogan untuk aktivitas jaringan Azure

Panduan: Mengaktifkan dan mengumpulkan log sumber daya grup keamanan jaringan (NSG), log aliran NSG, log Azure Firewall, dan log Web Application Firewall (WAF) untuk analisis keamanan. Log mendukung investigasi insiden, perburuan ancaman, dan pembuatan peringatan keamanan. Anda dapat mengirim log alur ke ruang kerja Analitik Log Azure Monitor dan menggunakan Analitik Lalu Lintas untuk memberikan wawasan.

Pastikan untuk mengumpulkan log kueri DNS untuk membantu menghubungkan data jaringan lainnya. Anda dapat menerapkan solusi pengelogan DNS pihak ketiga dari Azure Marketplace sesuai kebutuhan organisasi Anda.

Tanggung Jawab: Pelanggan

LT-4: Mengaktifkan pengelogan untuk sumber daya Azure

Panduan: Log aktivitas tersedia secara otomatis. Log berisi semua operasi PUT, POST, dan DELETE, tetapi tidak GET, untuk sumber daya Azure Machine Learning Anda. Anda dapat menggunakan log aktivitas untuk menemukan kesalahan saat memecahkan masalah, atau untuk memantau bagaimana pengguna di organisasi Anda memodifikasi sumber daya.

Aktifkan log sumber daya Azure untuk Azure Machine Learning. Anda dapat menggunakan Pertahanan Microsoft untuk Cloud dan Azure Policy untuk mengaktifkan log sumber daya dan pengumpulan data log. Log ini sangat berguna dalam menyelidiki insiden keamanan dan melakukan latihan forensik.

Azure Machine Learning juga menghasilkan log audit keamanan untuk akun administrator lokal. Aktifkan log audit admin lokal ini. Konfigurasikan log untuk dikirim ke ruang kerja atau akun penyimpanan Analitik Log pusat untuk retensi dan audit jangka panjang.

Tanggung Jawab: Pelanggan

LT-5: Memusatkan manajemen dan analisis log keamanan

Panduan: Memusatkan penyimpanan pengelogan, dan analisis untuk mengaktifkan korelasi. Untuk setiap sumber log, pastikan Anda memiliki:

  • Pemilik data yang ditetapkan
  • Panduan akses
  • Lokasi penyimpanan
  • Alat apa yang Anda gunakan untuk memproses dan mengakses data
  • Persyaratan retensi data

Pastikan untuk mengintegrasikan log aktivitas Azure ke dalam pengelogan pusat Anda.

Serap log melalui Azure Monitor untuk menggabungkan data keamanan yang dihasilkan oleh perangkat titik akhir, sumber daya jaringan, dan sistem keamanan lainnya. Di Azure Monitor, gunakan ruang kerja Log Analytics untuk membuat kueri dan melakukan analitik.

Gunakan akun Azure Storage untuk penyimpanan arsip dan jangka panjang.

Mengaktifkan dan memasukkan data ke Microsoft Sentinel atau SIEM pihak ketiga. Banyak organisasi menggunakan Microsoft Sentinel untuk data "panas" yang sering mereka gunakan dan Azure Storage untuk data "dingin" yang lebih jarang mereka gunakan.

Untuk aplikasi yang berjalan di Azure Machine Learning, teruskan semua log terkait keamanan ke SIEM Anda untuk manajemen terpusat.

Tanggung Jawab: Pelanggan

LT-6: Mengonfigurasi retensi penyimpanan log

Panduan: Pastikan bahwa setiap akun penyimpanan atau ruang kerja Analisis Log yang Anda gunakan untuk menyimpan log Azure Machine Learning memiliki periode penyimpanan log yang ditetapkan sesuai dengan peraturan kepatuhan organisasi Anda.

Di Azure Monitor, Anda dapat mengatur periode retensi ruang kerja Analitik Log sesuai dengan peraturan kepatuhan organisasi Anda. Gunakan Azure Storage, Azure Data Lake, atau akun ruang kerja Log Analytics untuk penyimpanan arsip dan jangka panjang.

Tanggung Jawab: Pelanggan

LT-7: Menggunakan sumber sinkronisasi waktu yang disetujui

Panduan: Azure Machine Learning tidak mendukung konfigurasi sumber sinkronisasi waktu Anda sendiri. Azure Machine Learning service bergantung pada sumber daya sinkronisasi waktu Microsoft yang tidak diekspos ke pelanggan untuk konfigurasi.

Tanggung jawab: Microsoft

Manajemen Postur dan Kerentanan

Untuk mengetahui informasi selengkapnya, lihat Tolok Ukur Keamanan Azure: Manajemen Postur dan Kerentanan.

PV-1: Membuat konfigurasi aman untuk layanan Azure

Panduan: Azure Machine Learning mendukung kebijakan khusus layanan yang tersedia di Microsoft Defender untuk Cloud guna mengaudit dan menerapkan konfigurasi sumber daya Azure. Anda dapat mengonfigurasi kebijakan di Microsoft Defender untuk Cloud atau Azure Policy.

Gunakan Azure Blueprints untuk mengotomatiskan penyebaran dan konfigurasi layanan seerta lingkungan aplikasi. Definisi cetak biru tunggal dapat menyertakan templat Azure Resource Manager, kontrol RBAC, dan kebijakan.

Tanggung Jawab: Pelanggan

PV-2: Membuat konfigurasi aman secara berkelanjutan untuk layanan Azure

Panduan: Menggunakan Microsoft Defender untuk Cloud untuk memantau garis besar konfigurasi Anda. Gunakan Azure Policy [deny] dan [deploy if not exist] untuk menerapkan konfigurasi aman di seluruh sumber daya komputasi Azure termasuk mesin virtual dan kontainer.

Tanggung Jawab: Pelanggan

PV-3: Menetapkan konfigurasi yang aman untuk sumber daya komputasi

Panduan: Azure Machine Learning memiliki berbagai dukungan di berbagai sumber daya komputasi, termasuk sumber daya komputasi Anda sendiri. Untuk sumber daya komputasi yang dimiliki organisasi Anda, gunakan rekomendasi Microsoft Defender untuk Cloud guna mempertahankan konfigurasi keamanan. Anda juga dapat menggunakan gambar sistem operasi kustom atau Konfigurasi Status Azure Automation untuk mengatur konfigurasi keamanan sistem operasi yang diperlukan organisasi Anda.

Gunakan Microsoft Defender untuk Cloud dan Azure Policy untuk membuat konfigurasi yang aman di semua sumber daya komputasi, termasuk VM dan kontainer.

Tanggung Jawab: Pelanggan

PV-4: Mempertahankan konfigurasi yang aman untuk sumber daya komputasi

Panduan: Gunakan Microsoft Defender untuk Cloud dan Azure Policy untuk menilai dan memulihkan risiko konfigurasi secara berkala pada sumber daya komputasi Azure, termasuk VM dan kontainer. Anda juga dapat menggunakan templat Azure Resource Manager (ARM), gambar sistem operasi kustom, atau konfigurasi status Azure Automation untuk mempertahankan konfigurasi keamanan sistem operasi yang diperlukan organisasi Anda.

Templat Microsoft VM yang dikombinasikan dengan Konfigurasi Status Azure Automation dapat membantu memenuhi dan memelihara persyaratan keamanan.
Microsoft mengelola dan memelihara gambar VM yang mereka terbitkan di Azure Marketplace.

Microsoft Defender untuk Cloud dapat memindai kerentanan dalam gambar kontainer dan terus memantau konfigurasi kontainer Docker Anda terhadap Tolok Ukur CIS Docker. Anda dapat menggunakan halaman Rekomendasi Microsoft Defender untuk Cloud guna melihat rekomendasi dan memperbaiki masalah.

Tanggung Jawab: Pelanggan

PV-5: Menyimpan sistem operasi kustom dan gambar kontainer dengan aman

Panduan: Azure Machine Learning memungkinkan pelanggan mengelola gambar kontainer. Gunakan Azure RBAC untuk memastikan bahwa hanya pengguna yang berwenang yang dapat mengakses gambar kustom Anda. Gunakan Azure Shared Image Gallery untuk membagikan gambar Anda ke pengguna yang berbeda, perwakilan layanan, atau grup Azure AD di organisasi Anda. Simpan gambar kontainer di Azure Container Registry, dan gunakan RBAC untuk memastikan bahwa hanya pengguna yang berwenang yang memiliki akses.

Tanggung Jawab: Pelanggan

PV-6: Melakukan penilaian kerentanan perangkat lunak

Panduan: Azure Machine Learning memungkinkan penyebaran layanan melalui registri kontainer di lingkungannya.

Ikuti rekomendasi dari Microsoft Defender untuk Cloud guna melakukan penilaian kerentanan pada gambar kontainer Anda. Microsoft Defender untuk Cloud memiliki pemindai kerentanan bawaan untuk gambar kontainer.

Ekspor hasil pemindaian pada interval yang konsisten sesuai kebutuhan. Bandingkan hasil dengan pemindaian sebelumnya untuk memverifikasi bahwa kerentanan telah diperbaiki. Saat menggunakan rekomendasi manajemen kerentanan yang disarankan oleh Microsoft Defender untuk Cloud, Anda dapat beralih ke portal solusi yang dipilih untuk melihat data pemindaian historis.

Azure Machine Learning dapat menggunakan solusi pihak ketiga untuk melakukan penilaian kerentanan pada perangkat jaringan dan aplikasi web. Saat melakukan pemindaian jarak jauh, jangan gunakan satu akun administratif yang abadi. Pertimbangkan untuk menerapkan metodologi provisi JIT untuk akun pemindaian. Lindungi dan pantau info masuk untuk akun pemindaian, dan gunakan akun hanya untuk pemindaian kerentanan.

Tanggung Jawab: Pelanggan

PV-7: Memperbaiki kerentanan perangkat lunak dengan cepat dan otomatis

Panduan: Azure Machine Learning menggunakan perangkat lunak sumber terbuka sebagai bagian dari Azure Machine Learning service.

Untuk perangkat lunak pihak ketiga, gunakan solusi manajemen patch pihak ketiga atau Penerbit Pembaruan Pusat Sistem untuk Configuration Manager.

Tanggung Jawab: Pelanggan

PV-8: Melakukan simulasi serangan rutin

Panduan: Lakukan uji penetrasi atau aktivitas tim merah pada sumber daya Azure Anda sesuai kebutuhan, dan pastikan perbaikan semua temuan keamanan penting.

Ikuti Aturan Keterlibatan Uji Penetrasi Cloud Microsoft untuk memastikan uji penetrasi Anda tidak melanggar kebijakan Microsoft. Gunakan strategi dan eksekusi Red Teaming Microsoft. Lakukan uji penetrasi situs langsung terhadap infrastruktur, layanan, dan aplikasi cloud yang dikelola Microsoft.

Tanggung Jawab: Dibagikan

Keamanan titik akhir

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Titik Akhir.

ES-1: Menggunakan Deteksi dan Respons Titik Akhir (EDR)

Panduan: Mengaktifkan kemampuan Deteksi Titik Akhir dan Respons (EDR) untuk server dan klien. Integrasikan dengan SIEM dan proses operasi keamanan.

Perlindungan Ancaman Tingkat Lanjut Microsoft Defender menyediakan kemampuan EDR sebagai bagian dari platform keamanan titik akhir perusahaan untuk mencegah, mendeteksi, menyelidiki, dan merespons ancaman tingkat lanjut.

Tanggung Jawab: Pelanggan

ES-2: Gunakan perangkat lunak antimalware modern yang dikelola secara terpusat

Panduan: Lindungi Azure Machine Learning Anda dan sumber dayanya dengan perangkat lunak antimalware modern yang dikelola secara terpusat. Gunakan solusi antimalware titik akhir yang dikelola secara terpusat yang dapat melakukan pemindaian waktu nyata dan berkala.

  • Microsoft Antimalware untuk Azure Cloud Services adalah solusi antimalware default untuk VM Windows.

  • Untuk VM Linux, gunakan solusi antimalware pihak ketiga.

  • Gunakan Deteksi ancaman Microsoft Defender untuk Cloud layanan data guna mendeteksi malware yang diunggah ke akun Azure Storage.

  • Gunakan Microsoft Defender untuk Cloud guna secara otomatis:

    • Mengidentifikasi beberapa solusi antimalware populer untuk VM Anda

    • Melaporkan status perlindungan titik akhir yang sedang berjalan

    • Membuat rekomendasi

Untuk informasi selengkapnya, lihat referensi berikut ini:

Tanggung Jawab: Pelanggan

ES-3: Pastikan untuk memperbarui perangkat lunak dan tanda tangan antimalware

Panduan: Pastikan untuk memperbarui tanda tangan antimalware dengan cepat dan konsisten.

Ikuti rekomendasi di Microsoft Defender untuk Cloud "Aplikasi & Komputasi" untuk memastikan semua VM dan penampung diperbarui dengan tanda tangan terbaru.

Untuk Windows, Microsoft Antimalware secara otomatis menginstal tanda tangan terbaru dan pembaruan mesin secara default. Untuk Linux, gunakan solusi antimalware pihak ketiga.

Tanggung Jawab: Pelanggan

Microsoft Azure Backup dan Pemulihan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Microsoft Azure Backup dan Pemulihan.

BR-1: Pastikan untuk menjalankan pencadangan otomatis reguler

Panduan: Pastikan Anda mencadangkan sistem dan data untuk menjaga kelangsungan bisnis setelah kejadian tak terduga. Gunakan panduan untuk tujuan waktu pemulihan (RTO) dan tujuan titik pemulihan (RPO) apa pun.

Aktifkan Azure Backup. Konfigurasikan sumber cadangan, seperti Azure VM, SQL Server, database HANA, atau berbagi file. Konfigurasikan frekuensi dan periode retensi yang Anda inginkan.

Untuk redundansi yang lebih tinggi, aktifkan opsi penyimpanan geo-redundan untuk mereplikasi data cadangan ke wilayah sekunder dan memulihkan menggunakan pemulihan lintas wilayah.

Tanggung Jawab: Pelanggan

BR-2: Mengenkripsi data cadangan

Panduan: Pastikan untuk melindungi cadangan Anda terhadap serangan. Perlindungan cadangan harus mencakup enkripsi untuk melindungi dari hilangnya kerahasiaan.

Pencadangan lokal menggunakan Azure Backup menyediakan enkripsi saat tidak aktif menggunakan frase sandi yang Anda berikan. Cadangan layanan Azure reguler secara otomatis mengenkripsi data cadangan menggunakan kunci yang dikelola platform Azure. Anda dapat memilih untuk mengenkripsi cadangan menggunakan kunci yang dikelola pelanggan. Dalam hal ini, pastikan kunci yang dikelola pelanggan di brankas kunci ini juga berada dalam cakupan pencadangan.

Gunakan RBAC di Azure Backup, Azure Key Vault, dan sumber daya lainnya untuk melindungi cadangan dan kunci yang dikelola pelanggan. Anda juga dapat mengaktifkan fitur keamanan lanjutan untuk meminta MFA sebelum cadangan dapat diubah atau dihapus.

Tanggung jawab: Pelanggan

BR-3: Validasi semua cadangan, termasuk kunci yang dikelola pelanggan

Panduan: Lakukan pemulihan data cadangan Anda secara berkala, dan pastikan Anda dapat memulihkan kunci cadangan yang dikelola pelanggan.

Tanggung Jawab: Pelanggan

BR-4: Mengurangi risiko kehilangan kunci

Panduan: Memastikan Anda memiliki ukuran untuk mencegah dan memulihkan kehilangan kunci. Aktifkan perlindungan penghapusan sementara dan penghapusan menyeluruh di Azure Key Vault untuk melindungi kunci dari penghapusan yang tidak disengaja atau berbahaya.

Tanggung Jawab: Pelanggan

Langkah berikutnya