Garis besar keamanan Azure untuk Azure Resource Manager

Garis besar keamanan ini menerapkan panduan dari Azure Security Benchmark versi 2.0 ke Microsoft Azure Resource Manager. Azure Security Benchmark memberikan rekomendasi tentang cara Anda mengamankan solusi cloud Anda di Azure. Konten dikelompokkan berdasarkan kontrol keamanan yang ditentukan oleh Azure Security Benchmark dan panduan terkait yang berlaku untuk Azure Resource Manager.

Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Pertahanan Microsoft untuk Cloud. Azure Policy definisi akan tercantum di bagian Kepatuhan Terhadap Peraturan di dasbor Pertahanan Microsoft untuk Cloud.

Saat bagian memiliki Definisi Azure Policy yang relevan, bagian tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Azure Security Benchmark. Beberapa rekomendasi mungkin memerlukan paket Pertahanan Microsoft berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol tidak berlaku untuk Azure Resource Manager, dan kontrol yang direkomendasikan oleh panduan global secara verbatim, telah dikecualikan. Untuk melihat bagaimana Azure Resource Manager sepenuhnya memetakan ke Azure Security Benchmark, lihat file pemetaan garis besar keamanan Azure Resource Manager lengkap.

Keamanan Jaringan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Jaringan.

NS-1: Menerapkan keamanan untuk lalu lintas internal

Panduan: Azure Resource Manager adalah layanan penyebaran dan pengelolaan. Itu tidak mendukung penyebaran langsung ke jaringan virtual. Azure Resource Manager tidak dapat menggunakan fitur jaringan seperti grup keamanan jaringan, tabel rute, atau peralatan yang bergantung pada jaringan seperti Azure Firewall.

Kami menyarankan Anda menggunakan TLS v1.2 atau versi yang lebih tinggi saat menyambungkan ke Azure Resource Manager.

Catatan: Layanan ini mendukung TLS v1.1 untuk kompatibilitas mundur.

Anda harus berkomunikasi dengan Azure Resource Manager melalui port 443.

Tanggung Jawab: Pelanggan

NS-3: Membangun akses jaringan privat ke layanan Azure

Panduan: Gunakan Azure Private Link untuk mengaktifkan akses privat ke Azure Resource Manager dari jaringan virtual Anda tanpa melintasi internet. Akses privat menambahkan ukuran pertahanan yang mendalam ke autentikasi Azure dan keamanan lalu lintas.

Private Link untuk Azure Resource Manager dalam pratinjau privat.

Azure Resource Manager tidak menyediakan kemampuan untuk mengonfigurasi titik akhir layanan Jaringan Virtual.

Tanggung Jawab: Pelanggan

NS-4: Melindungi aplikasi dan layanan dari serangan jaringan eksternal

Panduan: Azure Resource Manager adalah layanan penyebaran serta pengelolaan, dan Microsoft menangani pengamanan titik akhirnya dari serangan jaringan eksternal. Azure Resource Manager tidak mendukung penyebaran langsung ke jaringan virtual. Resource Manager tidak dapat menggunakan fitur jaringan tradisional untuk mencegah serangan penolakan layanan (DDoS) dengan fitur jaringan Azure asli seperti Standar Perlindungan DDoS.

Azure Resource Manager tidak dimaksudkan untuk menjalankan aplikasi web. Selain itu, Anda tidak perlu mengonfigurasi pengaturan lain atau menerapkan layanan jaringan tambahan apa pun untuk melindunginya dari serangan jaringan eksternal yang menargetkan aplikasi web.

Tanggung jawab: Microsoft

NS-6: Menyederhanakan aturan keamanan jaringan

Panduan: Gunakan tag layanan Azure Virtual Network guna menentukan kontrol akses jaringan untuk sumber daya Azure Resource Manager di grup keamanan jaringan atau Azure Firewall. Anda dapat menggunakan tag layanan sebagai pengganti alamat IP tertentu saat membuat aturan keamanan. Tentukan nama tag layanan di bidang sumber aturan atau tujuan yang sesuai guna mengizinkan atau menolak lalu lintas. Microsoft mengelola awalan alamat yang dicakup oleh tag layanan, dan secara otomatis memperbarui tag layanan saat alamat berubah.

Anda dapat menggunakan tag layanan AzureResourceManager untuk mengonfigurasi aturan jaringan di Grup Keamanan Jaringan atau Firewall Azure.

Tanggung Jawab: Dibagikan

NS-7: Layanan Nama Domain (DNS) yang Aman

Panduan: Azure Resource Manager tidak mengekspos konfigurasi DNS yang mendasarinya. Pengaturan ini dikelola oleh Microsoft.

Tanggung jawab: Microsoft

Manajemen Identitas

Untuk informasi lebih lanjut, lihat Azure Security Benchmark : Manajemen Identitas.

IM-7: Menghapus paparan informasi masuk yang tidak diinginkan

Panduan: Azure Resource Manager memungkinkan pelanggan untuk menerapkan sumber daya menggunakan kerangka Infrastruktur sebagai Kode (IaC) yang berpotensi berisi rahasia. Kami menyarankan Anda untuk menerapkan Pemindai Info masuk untuk repositori Anda yang menghosting templat ARM. Ini akan membantu Anda mengidentifikasi dan mencegah info masuk dalam kode Anda. Pemindai info masuk juga akan mendorong pemindahan info masuk yang ditemukan ke lokasi yang lebih aman seperti Azure Key Vault.

Untuk GitHub, Anda dapat menggunakan fitur pemindaian rahasia asli untuk mengidentifikasi info masuk atau rahasia lain dalam kode.

Tanggung Jawab: Dibagikan

Akses dengan Hak Istimewa

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Akses dengan Hak Istimewa.

PA-3: Tinjau dan rekonsiliasi akses pengguna secara teratur

Panduan: Azure Resource Manager menggunakan akun Microsoft Azure AD untuk mengelola sumber dayanya dan meninjau akun pengguna. Microsoft Azure AD mengakses tugas secara teratur untuk memastikan akun dan aksesnya valid. Anda dapat menggunakan tinjauan akses Azure Active Directory untuk meninjau keanggotaan grup, akses ke aplikasi perusahaan, dan penetapan peran. Pelaporan Azure Active Directory dapat menyediakan log untuk membantu menemukan akun yang kedaluwarsa. Gunakan Azure AD Privileged Identity Management untuk membuat alur kerja laporan tinjauan akses untuk memfasilitasi proses peninjauan.

Azure Resource Manager mendukung peran Azure RBAC bawaan berikut ini:

  • Kontributor - Memberikan akses penuh untuk mengelola semua sumber daya, tetapi tidak mengizinkan Anda menetapkan peran di Azure RBAC, mengelola tugas di Azure Blueprints, atau berbagi galeri gambar

  • Pemilik - Memberikan akses penuh untuk mengelola semua sumber daya, termasuk kemampuan untuk menetapkan peran di Azure RBAC

  • Pembaca - Lihat semua sumber daya, tetapi tidak mengizinkan Anda membuat perubahan apa pun

  • Administrator Akses Pengguna - Memungkinkan Anda mengelola akses pengguna ke sumber daya Azure

Selain itu, Anda juga dapat mengonfigurasi Azure Privileged Identity Management yang sekaligus dapat dikonfigurasi untuk memberi tahu saat jumlah akun administrator yang dibuat berlebihan, dan untuk mengidentifikasi akun administrator yang kedaluwarsa atau tidak dikonfigurasi dengan benar.

Catatan: Beberapa layanan Azure mendukung pengguna dan peran lokal yang tidak dikelola melalui Azure Active Directory. Kelola pengguna ini secara terpisah.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Peringatan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Resources:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Akun yang tidak digunakan lagi harus dihapus dari langganan Anda Akun yang tidak digunakan lagi harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk. AuditIfNotExists, Dinonaktifkan 3.0.0
Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk. AuditIfNotExists, Dinonaktifkan 3.0.0
Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. AuditIfNotExists, Dinonaktifkan 3.0.0
Akun eksternal dengan izin baca harus dihapus dari langganan Anda Akun eksternal dengan hak baca istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. AuditIfNotExists, Dinonaktifkan 3.0.0
Akun eksternal dengan izin menulis harus dihapus dari langganan Anda Akun eksternal dengan hak tulis istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. AuditIfNotExists, Dinonaktifkan 3.0.0

PA-6: Menggunakan stasiun kerja akses dengan hak istimewa

Panduan: Stasiun kerja yang aman dan terisolasi sangat penting untuk keamanan peran sensitif seperti administrator, pengembang, dan operator layanan penting. Gunakan stasiun kerja pengguna yang sangat aman dan/atau Azure Bastion untuk tugas administratif. Gunakan Microsoft Azure AD, Perlindungan Ancaman Tingkat Lanjut (ATP) Microsoft Defender, atau Microsoft Intune untuk menyebarkan stasiun kerja pengguna yang aman dan terkelola untuk tugas administratif. Anda dapat mengelola stasiun kerja aman secara terpusat. Lakukan ini untuk menerapkan konfigurasi aman yang mencakup autentikasi kuat, garis besar perangkat lunak dan perangkat keras, serta akses logika dan jaringan terbatas.

Tanggung Jawab: Pelanggan

PA-7: Ikuti administrasi secukupnya (prinsip hak istimewa terkecil)

Panduan: Azure Resource Manager terintegrasi dengan Azure RBAC untuk mengelola sumber dayanya. Azure RBAC memungkinkan Anda mengelola akses sumber daya Azure melalui penetapan peran. Anda dapat menetapkan peran ini ke pengguna, perwakilan layanan grup, dan identitas terkelola. Ada peran bawaan yang telah ditentukan sebelumnya untuk sumber daya tertentu Anda dapat menginventarisasi peran kueri melalui alat seperti Azure CLI, Azure PowerShell, atau portal Microsoft Azure. Hak istimewa yang Anda tetapkan ke sumber daya melalui RBAC Azure harus selalu dibatasi pada apa yang diperlukan oleh peran. Pendekatan ini melengkapi pendekatan JIT dari Microsoft Azure AD PIM dan harus ditinjau secara berkala.

Gunakan peran bawaan untuk mengalokasikan izin dan hanya membuat peran khusus jika diperlukan.

  • Kontributor - Memberikan akses penuh untuk mengelola semua sumber daya, tetapi tidak mengizinkan Anda menetapkan peran di Azure RBAC, mengelola tugas di Azure Blueprints, atau berbagi galeri gambar

  • Pemilik - Memberikan akses penuh untuk mengelola semua sumber daya, termasuk kemampuan untuk menetapkan peran di Azure RBAC

  • Pembaca - Melihat semua sumber daya, tetapi tidak mengizinkan Anda membuat perubahan apa pun

  • Administrator Akses Pengguna - Memungkinkan Anda mengelola akses pengguna ke sumber daya Azure

Untuk informasi selengkapnya, lihat:

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Peringatan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Authorization:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Audit penggunaan aturan RBAC kustom Audit peran bawaan seperti 'Pemilik, Kontributor, Pembaca', sebagai pengganti peran RBAC kustom, yang rawan kesalahan. Penggunaan peran kustom diperlakukan sebagai pengecualian dan memerlukan peninjauan yang ketat serta pemodelan ancaman Audit, Dinonaktifkan 1.0.0

PA-8: Memilih proses persetujuan untuk dukungan Microsoft

Panduan: Azure Resource Manager tidak mendukung lockbox pelanggan. Untuk mengakses data pelanggan yang terkait dengan sumber daya Azure Resource Manager, Microsoft dapat bekerja dengan pelanggan dalam skenario dukungan untuk persetujuan melalui metode lain.

Tanggung Jawab: Pelanggan

Manajemen Aset

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Aset.

AM-2: Memastikan tim keamanan memiliki akses ke inventaris aset dan metadata

Panduan: Pastikan tim keamanan memiliki akses ke inventaris aset yang terus diperbarui di Azure, seperti Azure Resource Manager. Tim keamanan sering membutuhkan inventaris ini untuk mengevaluasi potensi paparan organisasi mereka terhadap risiko yang muncul, dan sebagai masukan untuk peningkatan keamanan berkelanjutan. Buat grup Microsoft Azure AD untuk menampung tim keamanan resmi organisasi Anda dan tetapkan akses baca ke semua sumber daya Azure Resource Manager. Anda dapat menyederhanakan prosesnya dengan satu penetapan peran tingkat tinggi dalam langganan Anda.

Menerapkan tag ke sumber daya Azure, grup sumber daya, dan langganan Anda untuk mengaturnya secara logis ke dalam taksonomi. Setiap tag terdiri dari pasangan nilai dan nama. Misalnya, Anda dapat menerapkan nama "Lingkungan" dan nilai "Produksi" ke semua sumber daya dalam produksi.

Tanggung Jawab: Pelanggan

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pencatatan dan Deteksi Ancaman.

LT-1: Mengaktifkan deteksi ancaman untuk sumber daya Azure

Panduan: Meneruskan log Azure Resource Manager ke sistem SIEM Anda. Anda dapat menggunakan SIEM untuk menyiapkan deteksi ancaman kustom.

Pastikan Anda memantau berbagai jenis aset Azure untuk potensi ancaman dan anomali. Berfokuslah pada mendapatkan peringatan berkualitas tinggi guna mengurangi positif palsu yang akan dipilah oleh analis. Anda dapat memperoleh peringatan dari data log, agen, atau data lainnya.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Peringatan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Resources:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Microsoft Defender untuk App Service harus diaktifkan Microsoft Defender untuk App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. AuditIfNotExists, Dinonaktifkan 1.0.3
Microsoft Defender untuk server Azure SQL Database harus diaktifkan Microsoft Defender untuk SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Microsoft Defender untuk pendaftar kontainer harus diaktifkan Microsoft Defender untuk pendaftar kontainer menyediakan pemindaian kerentanan gambar apa pun yang ditarik dalam 30 hari terakhir, didorong ke registri Anda, atau diimpor, dan memaparkan temuan terperinci per gambar. AuditIfNotExists, Dinonaktifkan 1.0.3
Microsoft Defender untuk DNS harus diaktifkan Microsoft Defender untuk DNS memberikan lapisan perlindungan tambahan untuk sumber daya cloud Anda dengan terus memantau semua kueri DNS dari sumber daya Azure Anda. Microsoft Defender memberi tahu Anda tentang aktivitas mencurigakan di lapisan DNS. Pelajari lebih lanjut tentang kemampuan Microsoft Defender untuk DNS di https://aka.ms/defender-for-dns. Mengaktifkan paket Microsoft Defender ini menimbulkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Dinonaktifkan 1.0.0-pratinjau
Microsoft Defender untuk Key Vault harus diaktifkan Microsoft Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun brankas kunci. AuditIfNotExists, Dinonaktifkan 1.0.3
Microsoft Defender untuk Kube harus diaktifkan Microsoft Defender untuk Kubernetes memberikan perlindungan ancaman secara real-time untuk lingkungan dalam kontainer dan menghasilkan peringatan untuk aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3
Microsoft Defender untuk Resource Manager harus diaktifkan Microsoft Defender untuk Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Microsoft Defender mendeteksi ancaman dan memperingatkan Anda tentang aktivitas mencurigakan. Pelajari lebih lanjut tentang kemampuan Microsoft Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Microsoft Defender ini menimbulkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Dinonaktifkan 1.0.0
Microsoft Defender untuk server harus diaktifkan Microsoft Defender untuk server memberikan perlindungan ancaman secara real time untuk beban kerja server dan menghasilkan rekomendasi penguatan serta peringatan tentang aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3
Microsoft Defender untuk server SQL pada mesin harus diaktifkan Microsoft Defender untuk SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Microsoft Defender untuk Penyimpanan harus diaktifkan Microsoft Defender untuk Penyimpanan menyediakan deteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. AuditIfNotExists, Dinonaktifkan 1.0.3

LT-2: Mengaktifkan deteksi ancaman untuk identitas Azure dan manajemen akses

Panduan: Azure AD menyediakan log pengguna berikut. Anda dapat melihat log dalam pelaporan Azure AD. Anda dapat berintegrasi dengan Azure Monitor, Microsoft Sentinel, atau SIEM dan alat pemantauan lainnya untuk kasus penggunaan pemantauan dan analitik yang canggih.

  • Kredensial masuk - Memberikan informasi tentang penggunaan aplikasi terkelola dan aktivitas masuk pengguna.

  • Log audit - Menyediakan keterlacakan melalui log untuk semua perubahan yang dibuat oleh berbagai fitur Azure AD. Log audit menyertakan perubahan yang dilakukan pada sumber daya apa pun dalam Azure AD. Perubahan tersebut termasuk menambahkan atau menghapus pengguna, aplikasi, grup, peran, dan kebijakan.

  • Proses masuk riskan - Indikator untuk upaya masuk oleh seseorang yang mungkin bukan pemilik akun pengguna yang sah.

  • Pengguna ditandai berisiko - Indikator untuk akun pengguna yang mungkin telah disusupi.

Microsoft Defender untuk Cloud juga dapat memicu peringatan tentang aktivitas mencurigakan seperti upaya autentikasi yang gagal dalam jumlah berlebihan, atau tentang akun yang tidak digunakan lagi.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Peringatan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Resources:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Microsoft Defender untuk App Service harus diaktifkan Microsoft Defender untuk App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. AuditIfNotExists, Dinonaktifkan 1.0.3
Microsoft Defender untuk server Azure SQL Database harus diaktifkan Microsoft Defender untuk SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Microsoft Defender untuk pendaftar kontainer harus diaktifkan Microsoft Defender untuk pendaftar kontainer menyediakan pemindaian kerentanan gambar apa pun yang ditarik dalam 30 hari terakhir, didorong ke registri Anda, atau diimpor, dan memaparkan temuan terperinci per gambar. AuditIfNotExists, Dinonaktifkan 1.0.3
Microsoft Defender untuk DNS harus diaktifkan Microsoft Defender untuk DNS memberikan lapisan perlindungan tambahan untuk sumber daya cloud Anda dengan terus memantau semua kueri DNS dari sumber daya Azure Anda. Microsoft Defender memberi tahu Anda tentang aktivitas mencurigakan di lapisan DNS. Pelajari lebih lanjut tentang kemampuan Microsoft Defender untuk DNS di https://aka.ms/defender-for-dns. Mengaktifkan paket Microsoft Defender ini menimbulkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Dinonaktifkan 1.0.0-pratinjau
Microsoft Defender untuk Key Vault harus diaktifkan Microsoft Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun brankas kunci. AuditIfNotExists, Dinonaktifkan 1.0.3
Microsoft Defender untuk Kube harus diaktifkan Microsoft Defender untuk Kubernetes memberikan perlindungan ancaman secara real-time untuk lingkungan dalam kontainer dan menghasilkan peringatan untuk aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3
Microsoft Defender untuk Resource Manager harus diaktifkan Microsoft Defender untuk Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Microsoft Defender mendeteksi ancaman dan memperingatkan Anda tentang aktivitas mencurigakan. Pelajari lebih lanjut tentang kemampuan Microsoft Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Microsoft Defender ini menimbulkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Dinonaktifkan 1.0.0
Microsoft Defender untuk server harus diaktifkan Microsoft Defender untuk server memberikan perlindungan ancaman secara real time untuk beban kerja server dan menghasilkan rekomendasi penguatan serta peringatan tentang aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3
Microsoft Defender untuk server SQL pada mesin harus diaktifkan Microsoft Defender untuk SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Microsoft Defender untuk Penyimpanan harus diaktifkan Microsoft Defender untuk Penyimpanan menyediakan deteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. AuditIfNotExists, Dinonaktifkan 1.0.3

LT-4: Mengaktifkan pengelogan untuk sumber daya Azure

Panduan: Log aktivitas, yang tersedia secara otomatis, berisi semua operasi tulis (PUT, POST, DELETE) untuk sumber daya Azure Resource Manager Anda kecuali operasi baca (GET). Anda dapat menggunakan log aktivitas untuk menemukan kesalahan saat memecahkan masalah atau memantau bagaimana pengguna di organisasi Anda mengubah sumber daya.

Azure Resource Manager saat ini tidak menghasilkan log sumber daya Azure.

Tanggung Jawab: Dibagikan

LT-6: Mengonfigurasi retensi penyimpanan log

Panduan: Pastikan bahwa setiap akun penyimpanan atau ruang kerja Analisis Log yang digunakan untuk menyimpan log aktivitas Azure Resource Manager memiliki periode penyimpanan log yang disetel sesuai dengan peraturan kepatuhan organisasi Anda.

Tanggung Jawab: Pelanggan

LT-7: Menggunakan sumber sinkronisasi waktu yang disetujui

Panduan: Azure Resource Manager tidak mendukung konfigurasi sumber daya sinkronisasi waktu Anda sendiri.

Layanan Azure Resource Manager bergantung pada sumber sinkronisasi waktu Microsoft, dan tidak diekspos ke pelanggan untuk konfigurasi.

Tanggung jawab: Microsoft

Manajemen Postur dan Kerentanan

Untuk mengetahui informasi selengkapnya, lihat Tolok Ukur Keamanan Azure: Manajemen Postur dan Kerentanan.

PV-1: Membuat konfigurasi aman untuk layanan Azure

Panduan: Anda dapat menggunakan Azure Blueprints untuk mengotomatiskan penerapan dan konfigurasi layanan dan lingkungan aplikasi. Definisi cetak biru tunggal dapat mencakup templat Azure Resources Manager, peran Azure RBAC, dan Penetapan Azure Policy.

Gunakan alias Azure Policy guna membuat kebijakan kustom untuk mengaudit atau memberlakukan konfigurasi sumber daya Azure Anda. Anda juga dapat menggunakan definisi Azure Policy Bawaan.

Azure Resource Manager memiliki kemampuan untuk mengekspor templat di JavaScript Object Notation (JSON), yang harus ditinjau untuk memastikan bahwa konfigurasi memenuhi persyaratan keamanan organisasi Anda.

Anda juga dapat menggunakan rekomendasi dari Microsoft Defender untuk Cloud sebagai garis besar konfigurasi yang aman untuk sumber daya Azure Anda.

Tanggung Jawab: Pelanggan

PV-2: Membuat konfigurasi aman secara berkelanjutan untuk layanan Azure

Panduan: Gunakan Microsoft Defender untuk Cloud guna memantau garis besar konfigurasi Anda dan menerapkan menggunakan Azure Policy [tolak] dan [sebarkan jika tidak ada] untuk menerapkan konfigurasi aman di seluruh sumber daya komputasi Azure termasuk VM, kontainer, dan lainnya.

Sebagai administrator, Anda mungkin perlu mengunci langganan, grup sumber daya, atau sumber daya untuk mencegah pengguna lain di organisasi Anda menghapus atau memodifikasi sumber daya penting secara tidak sengaja. Anda dapat mengatur kunci ke tingkat CanNotDelete atau ReadOnly.

Tanggung Jawab: Pelanggan

PV-6: Melakukan penilaian kerentanan perangkat lunak

Panduan: Microsoft melakukan manajemen kerentanan pada sistem dasar yang mendukung Azure Resource Manager.

Tanggung jawab: Microsoft

PV-7: Memperbaiki kerentanan perangkat lunak dengan cepat dan otomatis

Panduan: Microsoft melakukan pengelolaan yang ditemukan pada sistem dasar yang mendukung Azure Resource Manager.

Tanggung jawab: Microsoft

PV-8: Melakukan simulasi serangan rutin

Panduan: Lakukan uji penetrasi atau aktivitas tim merah pada sumber daya Azure Anda sesuai kebutuhan, dan pastikan perbaikan semua temuan keamanan penting.

Ikuti Aturan Keterlibatan Uji Penetrasi Cloud Microsoft untuk memastikan uji penetrasi Anda tidak melanggar kebijakan Microsoft. Gunakan strategi dan eksekusi Red Teaming Microsoft. Lakukan uji penetrasi situs langsung terhadap infrastruktur, layanan, dan aplikasi cloud yang dikelola Microsoft.

Tanggung Jawab: Bersama

Microsoft Azure Backup dan Pemulihan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Microsoft Azure Backup dan Pemulihan.

BR-1: Pastikan pencadangan otomatis secara rutin

Panduan: Ekspor templat Azure Resource Manager tidak dapat digunakan untuk mengambil data yang tidak AKTIF. Untuk konfigurasi sumber daya, kami menyarankan Anda membuat infrastruktur dari templat sumber dan bila diperlukan, terapkan ulang dari sumber kebenaran tersebut. Ekspor Templat dapat membantu mem-bootstrap proses itu, tetapi tidak cukup kuat untuk memperhitungkan pemulihan bencana.

Tanggung Jawab: Pelanggan

BR-3: Memvalidasi semua cadangan termasuk kunci yang dikelola pelanggan

Panduan: Pastikan Anda memiliki kemampuan untuk secara berkala melakukan penerapan templat Azure Resource Manager secara teratur ke langganan terisolasi jika perlu melalui API, CLI, atau portal Microsoft Azure.

Tanggung Jawab: Pelanggan

Langkah berikutnya