Garis besar keamanan Azure untuk Analisis Aliran

Garis dasar keamanan ini menerapkan panduan dari Azure Security Benchmark versi 1.0 ke Stream Analytics. Azure Security Benchmark memberikan rekomendasi tentang cara mengamankan solusi cloud di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh Azure Security Benchmark dan panduan terkait yang berlaku untuk Analisis Aliran.

Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Pertahanan Microsoft untuk Cloud. Azure Policy definisi akan tercantum di bagian Kepatuhan Terhadap Peraturan di dasbor Pertahanan Microsoft untuk Cloud.

Saat bagian memiliki Definisi Azure Policy yang relevan, bagian tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Azure Security Benchmark. Beberapa rekomendasi mungkin memerlukan paket Pertahanan Microsoft berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol yang tidak berlaku untuk Analisis Aliran, atau di bawah tanggung jawab Microsoft, telah dikecualikan. Untuk melihat bagaimana Analisis Aliran sepenuhnya memetakan ke Azure Security Benchmark, lihat file pemetaan dasar keamanan Analisis Aliran selengkapnya .

Keamanan Jaringan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Jaringan.

1.1: Melindungi sumber daya Azure dalam jaringan virtual

Panduan: Azure Stream Analytics tidak mendukung penggunaan grup keamanan jaringan (NSG) dan Azure Firewall.

Tanggung Jawab: Pelanggan

1.2: Memantau dan membuat log konfigurasi dan lalu lintas jaringan virtual, subnet, dan antarmuka jaringan

Panduan: Azure Stream Analytics tidak mendukung penggunaan jaringan virtual dan subnet.

Tanggung Jawab: Pelanggan

1.3: Melindungi aplikasi web penting

Panduan: Tidak dapat diterapkan; rekomendasi ini ditujukan untuk aplikasi web yang berjalan pada Azure App Service atau sumber daya komputasi.

Tanggung Jawab: Pelanggan

1.4: Menolak komunikasi dengan alamat IP yang diketahui berbahaya

Panduan: Menggunakan perlindungan ancaman Microsoft Defender untuk Cloud guna mendeteksi dan memberitahukan komunikasi dengan alamat IP Internet yang diketahui berbahaya atau tidak digunakan.

Tanggung Jawab: Pelanggan

1.5: Merekam paket jaringan

Panduan: Azure Stream Analytics tidak menggunakan grup keamanan jaringan, dan log alur untuk Azure Key Vault tidak diambil.

Tanggung Jawab: Pelanggan

1.6: Menyebarkan sistem deteksi gangguan/pencegahan gangguan (IDS/IPS) berbasis jaringan

Panduan: Menggunakan perlindungan ancaman Microsoft Defender untuk Cloud guna mendeteksi operasi yang tidak biasa atau berpotensi berbahaya di lingkungan langganan Azure Anda.

Tanggung Jawab: Pelanggan

1.7: Mengelola lalu lintas ke aplikasi web

Panduan: Tidak dapat diterapkan; rekomendasi ini ditujukan untuk aplikasi web yang berjalan pada Azure App Service atau sumber daya komputasi.

Tanggung Jawab: Pelanggan

1.8: Memperkecil kompleksitas dan biaya tambahan administrasi aturan keamanan jaringan

Panduan: Azure Stream Analytics tidak mendukung penggunaan jaringan virtual dan aturan jaringan.

Tanggung Jawab: Pelanggan

1.9: Mempertahankan konfigurasi keamanan standar untuk perangkat jaringan

Panduan: Azure Stream Analytics tidak mendukung penggunaan jaringan virtual dan perangkat jaringan.

Tanggung Jawab: Pelanggan

1.10: Mendokumentasikan aturan konfigurasi lalu lintas

Panduan: Azure Stream Analytics tidak mendukung penggunaan jaringan virtual dan aturan konfigurasi lalu lintas.

Tanggung Jawab: Pelanggan

1.11: Menggunakan alat otomatis untuk memantau konfigurasi sumber daya jaringan dan mendeteksi perubahan

Panduan: Gunakan Azure Activity Log untuk memantau konfigurasi sumber daya dan mendeteksi perubahan pada sumber daya Azure Stream Analytics Anda. Buat pemberitahuan dalam Azure Monitor yang akan memicu saat perubahan pada sumber daya penting terjadi.

Tanggung Jawab: Pelanggan

Pengelogan dan Pemantauan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pengelogan dan Pemantauan.

2.2: Mengonfigurasikan pengelolaan log keamanan pusat

Panduan: Serap log melalui Azure Monitor untuk mengagregasi data keamanan seperti peristiwa audit dan permintaan. Dalam Azure Monitor, gunakan Ruang Kerja Analitik Log untuk mengkueri dan melakukan analitik, dan menggunakan Akun Microsoft Azure Storage untuk penyimpanan jangka panjang/arsip, secara opsional dengan fitur keamanan seperti penyimpanan yang tidak dapat diubah dan penahanan retensi yang diberlakukan.

Tanggung Jawab: Pelanggan

2.3: Mengaktifkan pengelogan audit untuk sumber daya Azure

Panduan: Aktifkan Pengaturan Diagnostik di Azure Stream Analytics Anda untuk akses ke log administratif, keamanan, dan diagnostik. Anda juga dapat mengaktifkan Pengaturan Diagnostik Log Aktivitas Azure dan mengirim log ke ruang kerja Log Analitik atau Akun Penyimpanan yang sama.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan terkait kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.StreamAnalytics:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Log sumber daya di Azure Stream Analytics harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0

2.4: Mengumpulkan log keamanan dari sistem operasi

Panduan: Tidak berlaku; rekomendasi ini ditujukan untuk sumber daya komputasi.

Tanggung Jawab: Pelanggan

2.5: Mengonfigurasikan retensi penyimpanan log keamanan

Panduan: Saat menyimpan log peristiwa Keamanan di akun Microsoft Azure Storage atau ruang kerja Analitik Log, Anda dapat menetapkan kebijakan penyimpanan sesuai dengan persyaratan organisasi Anda.

Tanggung Jawab: Pelanggan

2.6: Memantau dan mengulas log

Panduan: Analisa dan pantau log untuk perilaku anomali dan secara teratur meninjau hasil untuk sumber daya Azure Stream Analytics Anda. Gunakan ruang kerja Analitik Log Azure Monitor untuk mengulas log dan melakukan kueri pada data log. Selain itu, Anda dapat mengaktifkan dan melakukan on-board data ke Microsoft Sentinel atau SIEM pihak ketiga.

Tanggung Jawab: Pelanggan

2.7: Mengaktifkan pemberitahuan untuk aktivitas anomali

Panduan: Aktifkan Pengaturan Diagnostik untuk Azure Stream Analytics dan kirim log ke Ruang Kerja Analitik Log. Onboard Ruang Kerja Log Analytics Anda ke Microsoft Sentinel karena menyediakan solusi respons otomatis orkestrasi keamanan (SOAR). Proses ini memungkinkan playbook (solusi otomatis) dibuat dan digunakan untuk memulihkan masalah keamanan.

Tanggung Jawab: Pelanggan

2.8: Memusatkan pembuatan log anti-malware

Panduan: Tidak dapat diterapkan; Azure Stream Analytics tidak memproses atau menghasilkan log terkait anti-malware.

Tanggung Jawab: Pelanggan

2.9: Mengaktifkan pengelogan kueri DNS

Panduan: Solusi Azure DNS Analytics (Pratinjau) di Azure Monitor mengumpulkan wawasan dalam infrastruktur DNS tentang keamanan, performa, dan operasi. Saat ini tidak mendukung akun Azure Stream Analytics namun Anda dapat menggunakan solusi pembuatan log dns dari pihak ketiga.

Tanggung Jawab: Pelanggan

2.10: Aktifkan pembuatan log audit baris perintah

Panduan: Tidak berlaku; rekomendasi ini ditujukan untuk sumber daya komputasi.

Tanggung Jawab: Pelanggan

Identitas dan Layanan Kontrol Akses

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Identitas dan Kontrol Akses.

3.1: Mempertahankan inventaris akun administratif

Panduan: Microsoft Azure Active Directory (Microsoft Azure Active Directory) memiliki peran bawaan yang harus ditetapkan secara eksplisit. Peran dapat dikueri untuk menemukan keanggotaan. Gunakan modul Microsoft Azure Active Directory PowerShell untuk melakukan kueri ad hoc guna menemukan akun yang merupakan anggota grup administratif.

Tanggung Jawab: Pelanggan

3.2: Mengubah kata sandi default jika berlaku

Panduan: Stream Analytics tidak memiliki konsep kata sandi default karena autentikasi disediakan dengan Microsoft Azure Active Directory (Microsoft Azure Active Directory) dan diamankan dengan kontrol akses berbasis peran Azure (Azure RBAC) untuk mengelola layanan. Tergantung pada layanan aliran injeksi dan layanan output, Anda perlu memutar informasi masuk yang dikonfigurasi dalam pekerjaan.

Tanggung Jawab: Pelanggan

3.3: Menggunakan akun administratif khusus

Panduan: Buat manajemen identitas dan rencana keamanan peran, mengikuti praktik terbaik termasuk prinsip akses yang paling tidak istimewa untuk peran administrator. Gunakan Azure Privileged Identity Management (PIM) untuk menyediakan akses istimewa tepat waktu ke sumber daya Microsoft Azure Active Directory (Microsoft Azure Active Directory) dan Azure. Gunakan pemberitahuan Azure PIM dan riwayat audit untuk memantau aktivitas akun administratif. Gunakan laporan keamanan Microsoft Azure Active Directory untuk membantu mengidentifikasi akun administratif yang mungkin telah dikompromi.

Tanggung Jawab: Pelanggan

3.4: Menggunakan akses menyeluruh (SSO) Layanan Domain Active Directory Azure

Panduan: Sedapat mungkin, gunakan SSO Microsoft Azure Active Directory (Microsoft Azure Active Directory) sebagai ganti mengonfigurasi informasi masuk yang berdiri sendiri per layanan. Menerapkan rekomendasi akses & identitas Microsoft Defender untuk Cloud.

Tanggung Jawab: Pelanggan

3.5: Menggunakan autentikasi multifaktor untuk semua akses berbasis Azure Active Directory

Panduan: Mengaktifkan autentikasi multifaktor Azure Active Directory (Microsoft Azure AD) dan mengikuti rekomendasi Manajemen Identitas dan akses Microsoft Defender untuk Cloud guna membantu melindungi sumber daya Stream Analytics Anda.

Tanggung Jawab: Pelanggan

3.6: Menggunakan stasiun kerja yang aman dan dikelola Azure untuk tugas administratif

Panduan: Gunakan PAW (stasiun kerja akses istimewa) dengan autentikasi multifaktor yang dikonfigurasi untuk masuk dan konfigurasikan sumber daya Azure Stream Analytics.

Tanggung Jawab: Pelanggan

3.7: Catat dan beri tahu aktivitas mencurigakan dari akun administratif

Panduan: Gunakan laporan keamanan Microsoft Azure Active Directory (Azure AD) untuk pembuatan log dan pemberitahuan saat aktivitas mencurigakan atau tidak aman terjadi di lingkungan. Gunakan Microsoft Defender untuk Cloud untuk memantau aktivitas identitas dan akses.

Tanggung Jawab: Pelanggan

3.8: Mengelola sumber daya Azure hanya dari lokasi yang disetujui

Panduan: Gunakan lokasi yang dinamai Akses Bersyarat sehingga hanya dapat diakses dari pengelompokan logis tertentu dari rentang alamat IP atau negara/wilayah.

Tanggung Jawab: Pelanggan

3.9: Menggunakan Azure Active Directory

Panduan: Gunakan Microsoft Azure Active Directory (Microsoft Azure Active Directory) sebagai sistem otorisasi dan autentikasi pusat. Microsoft Azure Active Directory menyediakan kontrol akses berbasis peran (Azure RBAC) untuk kontrol berbutir-halus atas akses klien ke sumber daya Azure Stream Analytics.

Tanggung Jawab: Pelanggan

3.10: Meninjau dan menyesuaikan akses pengguna secara teratur

Panduan: Tinjau log Microsoft Azure Active Directory (Microsoft Azure Active Directory) untuk membantu menemukan akun basi yang dapat menyertakan log tersebut dengan peran administratif akun Penyimpanan. Selain itu, gunakan Tinjauan Akses Identitas Azure untuk secara efisien mengelola keanggotaan grup, akses ke aplikasi perusahaan, dan penetapan peran. Akses pengguna harus ditinjau secara berkala untuk memastikan hanya Pengguna yang sah yang memiliki akses berkelanjutan.

Tanggung Jawab: Pelanggan

3.11: Memantau upaya untuk mengakses info masuk yang dinonaktifkan

Panduan: Aktifkan pengaturan diagnostik untuk Azure Stream Analytics dan Microsoft Azure Active Directory (Microsoft Azure Active Directory), kirim semua log ke ruang kerja Analitik Log. Konfigurasikan pemberitahuan yang diinginkan (seperti upaya untuk mengakses rahasia yang dinonaktifkan) dalam Analitik Log.

Tanggung Jawab: Pelanggan

3.12: Memberitahu pada penyimpangan perilaku masuk akun

Panduan: Gunakan fitur Perlindungan Risiko dan Identitas Microsoft Azure Active Directory (Microsoft Azure Active Directory) untuk mengonfigurasi respons otomatis terhadap tindakan mencurigakan yang terdeteksi terkait sumber daya Stream Analytics Anda. Anda harus mengaktifkan respons otomatis melalui Microsoft Sentinel untuk menerapkan respons keamanan organisasi Anda.

Tanggung Jawab: Pelanggan

3.13: Memberikan Microsoft akses ke data pelanggan yang relevan selama skenario dukungan

Panduan: Tidak berlaku; Customer Lockbox tidak didukung untuk Azure Stream Analytics.

Tanggung Jawab: Pelanggan

Perlindungan Data

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Perlindungan Data.

4.1: Mempertahankan inventaris Informasi yang sensitif

Panduan: Gunakan tag untuk membantu melacak sumber daya Azure Stream Analytics yang menyimpan atau memproses informasi sensitif.

Tanggung Jawab: Pelanggan

4.2: Memisahkan sistem yang menyimpan atau memproses informasi sensitif

Panduan: Pisahkan pekerjaan Azure Stream Analytics dengan menempatkan input, output, dan akun Penyimpanan dalam langganan yang sama. Anda dapat membatasi Stream Analytics untuk mengontrol tingkat akses ke sumber daya Azure Stream Analytics yang diminta aplikasi dan lingkungan perusahaan Anda. Anda dapat mengontrol akses ke Azure Stream Analytics melalui Microsoft Azure Active Directory (Microsoft Azure Active Directory) RBAC.

Tanggung Jawab: Pelanggan

4.3: Memantau dan memblokir transfer informasi sensitif yang tidak sah

Panduan: Fitur pencegahan kehilangan data belum tersedia untuk sumber daya Azure Stream Analytics. Gunakan solusi pihak ketiga jika diperlukan untuk tujuan kepatuhan.

Untuk platform dasar yang dikelola oleh Microsoft, Microsoft memperlakukan semua konten pelanggan sebagai konten sensitif dan melindungi pelanggan dari kehilangan dan paparan data. Untuk memastikan data pelanggan dalam Azure tetap aman, Microsoft telah menerapkan dan memelihara rangkaian kontrol dan kemampuan perlindungan data yang kuat.

Tanggung Jawab: Pelanggan

4.5: Menggunakan alat penemuan aktif untuk mengidentifikasi data sensitif

Panduan: Fitur identifikasi data belum tersedia untuk sumber daya Azure Stream Analytics. Gunakan solusi pihak ketiga jika diperlukan untuk tujuan kepatuhan.

Tanggung Jawab: Pelanggan

4.6: Menggunakan kontrol akses berbasis Peran untuk mengontrol akses ke sumber daya

Panduan: Gunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk mengontrol cara pengguna berinteraksi dengan layanan.

Tanggung Jawab: Pelanggan

4.7: Menggunakan pencegahan kehilangan data berbasis host untuk menerapkan kontrol akses

Panduan: Tidak berlaku; rekomendasi ini ditujukan untuk sumber daya komputasi.

Tanggung Jawab: Pelanggan

4.8: Mengenkripsi informasi sensitif saat tidak aktif

Panduan: Azure Stream Analytics tidak menyimpan data masuk karena semua pemrosesan dilakukan dalam memori. Setiap data pribadi termasuk kueri dan fungsi yang dipertahankan oleh Azure Stream Analytics disimpan di akun penyimpanan yang dikonfigurasi. Gunakan kunci yang dikelola pelanggan (CMK) untuk mengenkripsi data tidak aktif output Anda di akun penyimpanan Anda. Bahkan tanpa CMK, Azure Stream Analytics secara otomatis menggunakan standar enkripsi terbaik di kelasnya di seluruh infrastrukturnya untuk mengenkripsi dan mengamankan data Anda.

Tanggung Jawab: Pelanggan

4.9: Mencatat dan memberitahu tentang perubahan pada sumber daya Azure yang penting

Panduan: Gunakan Azure Monitor dengan log Aktivitas Azure untuk membuat pemberitahuan saat perubahan terjadi pada instans produksi sumber daya Azure Stream Analytics.

Tanggung Jawab: Pelanggan

Manajemen Kerentanan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pengelolaan Kerentanan.

5.1: Menjalankan alat pemindaian kerentanan otomatis

Panduan: Ikuti rekomendasi dari Microsoft Defender untuk Cloud guna mengamankan sumber daya Azure Stream Analytics Anda.

Microsoft melakukan manajemen kerentanan pada sistem dasar yang mendukung Azure Stream Analytics.

Tanggung Jawab: Pelanggan

5.2: Menyebarkan solusi manajemen patch sistem operasi otomatis

Panduan: Tidak berlaku; rekomendasi ini ditujukan untuk sumber daya komputasi.

Tanggung Jawab: Pelanggan

5.3: Menerapkan solusi manajemen patch otomatis untuk judul perangkat lunak pihak ketiga

Panduan: Tidak berlaku; rekomendasi ini ditujukan untuk sumber daya komputasi.

Tanggung Jawab: Pelanggan

5.4: Membandingkan pemindaian kerentanan bolak-balik

Panduan: Tidak berlaku; rekomendasi ini ditujukan untuk sumber daya komputasi.

Tanggung Jawab: Pelanggan

5.5: Menggunakan proses peringkat risiko untuk mengutamakan perbaikan kerentanan yang ditemukan

Panduan: Menggunakan peringkat risiko default (Skor Aman) yang disediakan oleh Microsoft Defender untuk Cloud.

Tanggung Jawab: Pelanggan

Manajemen Inventaris dan Aset

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Inventaris dan Aset.

6.1: Menggunakan solusi penemuan aset otomatis

Panduan: Gunakan Azure Resource Graph untuk membuat kueri/menemukan semua sumber daya (seperti komputasi, penyimpanan, jaringan, port, dan protokol, dll.) dalam langganan Anda. Pastikan Anda memiliki izin (baca) yang sesuai di penyewa Anda dan hitung semua langganan Azure serta sumber daya dalam langganan Anda.

Meskipun sumber daya Azure klasik dapat ditemukan melalui Resource Graph, sebaiknya buat dan gunakan sumber daya Azure Resource Manager di masa mendatang.

Tanggung Jawab: Pelanggan

6.2: Memelihara metadata aset

Panduan: Terapkan tag ke sumber daya Azure yang memberikan metadata untuk mengaturnya secara logika ke dalam suatu taksonomi.

Tanggung Jawab: Pelanggan

6.3: Menghapus sumber daya Azure yang tidak sah

Panduan: Gunakan penandaan, grup manajemen, dan langganan terpisah, jika sesuai, untuk menata dan melacak sumber daya Azure Stream Analytics. Selaraskan inventaris secara teratur dan pastikan sumber daya yang tidak sah dihapus dari langganan secara tepat waktu.

Selain itu, gunakan Azure Policy untuk memberlakukan batasan pada jenis sumber daya yang dapat dibuat dalam langganan pelanggan menggunakan definisi kebijakan bawaan berikut ini:

  • Jenis sumber daya yang tidak diizinkan

  • Jenis sumber daya yang diizinkan

Untuk informasi lebih lanjut, lihat tautan referensi di bawah ini.

Tanggung Jawab: Pelanggan

6.4: Menentukan dan memelihara inventaris sumber daya Azure yang disetujui

Panduan: Tidak berlaku; rekomendasi ini ditujukan untuk sumber daya komputasi dan Azure secara keseluruhan.

Tanggung Jawab: Pelanggan

6.5: Memantau sumber daya Azure yang tidak disetujui

Panduan: Gunakan Azure Policy untuk memberikan batasan pada jenis sumber daya yang dapat dibuat dalam langganan pelanggan menggunakan definisi kebijakan bawaan berikut ini:

  • Jenis sumber daya yang tidak diizinkan

  • Jenis sumber daya yang diizinkan

Sebagai tambahan, gunakan Azure Resource Graph untuk meminta/menemukan sumber daya dalam langganan.

Tanggung Jawab: Pelanggan

6.6: Memantau aplikasi perangkat lunak yang tidak disetujui dalam sumber daya komputasi

Panduan: Tidak berlaku; rekomendasi ini ditujukan untuk sumber daya komputasi.

Tanggung Jawab: Pelanggan

6.7: Menghapus sumber daya dan aplikasi perangkat lunak Azure yang tidak disetujui

Panduan: Tidak berlaku; rekomendasi ini ditujukan untuk sumber daya komputasi dan Azure secara keseluruhan.

Tanggung Jawab: Pelanggan

6.8: Menggunakan hanya aplikasi yang disetujui

Panduan: Tidak berlaku; rekomendasi ini ditujukan untuk sumber daya komputasi.

Tanggung Jawab: Pelanggan

6.9: Hanya gunakan layanan Azure yang disetujui

Panduan: Gunakan Azure Policy untuk memberikan batasan pada jenis sumber daya yang dapat dibuat dalam langganan pelanggan menggunakan definisi kebijakan bawaan berikut ini:

  • Jenis sumber daya yang tidak diizinkan
  • Jenis sumber daya yang diizinkan

Untuk informasi lebih lanjut, lihat tautan referensi di bawah ini.

Tanggung Jawab: Pelanggan

6.10: Mempertahankan inventaris dari judul perangkat lunak yang disetujui

Panduan: Tidak berlaku; rekomendasi ini ditujukan untuk sumber daya komputasi.

Tanggung Jawab: Pelanggan

6.11: Membatasi kemampuan pengguna untuk berinteraksi dengan Azure Resource Manager

Panduan: Konfigurasikan Akses Bersyarat Azure untuk membatasi kemampuan pengguna untuk berinteraksi dengan Azure Resource Manager dengan mengonfigurasi "Blokir akses" untuk Aplikasi "Microsoft Azure Management".

Tanggung Jawab: Pelanggan

6.12: Batasi kemampuan pengguna untuk mengeksekusi skrip dalam sumber daya komputasi

Panduan: Tidak berlaku; rekomendasi ini ditujukan untuk sumber daya komputasi.

Tanggung Jawab: Pelanggan

6.13: Pisahkan aplikasi berisiko tinggi secara fisik atau logis

Panduan: Tidak dapat diterapkan; rekomendasi ini ditujukan untuk aplikasi web yang berjalan pada Azure App Service atau sumber daya komputasi.

Tanggung Jawab: Pelanggan

Konfigurasi Aman

Untuk mengetahui informasi lebih lanjut, lihat Azure Security Benchmark: Konfigurasi Aman.

7.1: Menetapkan konfigurasi aman untuk semua sumber daya Azure

Panduan: Gunakan alias Azure Policy di ruang nama layanan "Microsoft.StreamAnalytics" untuk membuat kebijakan kustom untuk mengaudit atau menegakkan konfigurasi layanan Azure Stream Analytics Anda. Anda juga dapat menggunakan definisi kebijakan bawaan yang terkait dengan Azure Stream Analytics Anda, seperti:

Tanggung Jawab: Pelanggan

7.2: Menetapkan konfigurasi sistem operasi yang aman

Panduan: Tidak berlaku; rekomendasi ini ditujukan untuk sumber daya komputasi.

Tanggung Jawab: Pelanggan

7.3: Mempertahankan konfigurasi sumber daya Azure yang aman

Panduan: Gunakan Azure Policy [tolak] dan [sebarkan jika tidak ada] untuk menerapkan pengaturan yang aman di seluruh sumber daya Azure Anda.

Tanggung Jawab: Pelanggan

7.4: Mempertahankan konfigurasi sistem operasi yang aman

Panduan: Tidak berlaku; pedoman ini ditujukan untuk sumber daya komputasi.

Tanggung Jawab: Pelanggan

7.5: Menyimpan konfigurasi sumber daya Azure dengan aman

Panduan: Gunakan Azure Repos untuk menyimpan dan mengelola kode Anda dengan aman, seperti kebijakan Azure kustom, templat Azure Resource Manager, skrip konfigurasi status yang diinginkan, fungsi yang ditentukan pengguna, kueri. Untuk mengakses sumber daya yang Anda kelola di Azure DevOps, Anda dapat memberikan atau menolak izin untuk pengguna tertentu, kelompok keamanan bawaan, atau grup yang ditentukan di Microsoft Azure Active Directory (Microsoft Azure Active Directory) jika terintegrasi dengan Azure DevOps, atau Microsoft Azure Active Directory jika terintegrasi dengan TFS.

Tanggung Jawab: Pelanggan

7.6: Menyimpan gambar sistem operasi kustom dengan aman

Panduan: Tidak berlaku; rekomendasi ini ditujukan untuk sumber daya komputasi.

Tanggung Jawab: Pelanggan

7.7: Menyebarkan alat manajemen konfigurasi untuk sumber daya Azure

Panduan: Gunakan alias Azure Policy di ruang nama "Microsoft.DataLakeAnalytics" untuk membuat kebijakan kustom untuk memperingatkan, mengaudit, dan menegakkan konfigurasi sistem. Selain itu, kembangkan proses dan alur untuk mengelola pengecualian kebijakan.

Tanggung Jawab: Pelanggan

7.8: Menyebarkan alat manajemen konfigurasi untuk sistem operasi

Panduan: Tidak berlaku; rekomendasi ini ditujukan untuk sumber daya komputasi.

Tanggung Jawab: Pelanggan

7.9: Mengimplementasikan pemantauan konfigurasi otomatis untuk sumber daya Azure

Panduan: Gunakan alias Azure Policy di ruang nama "Microsoft.DataLakeAnalytics" untuk membuat kebijakan kustom untuk memperingatkan, mengaudit, dan menegakkan konfigurasi sistem. Gunakan Azure Policy [audit], [tolak], dan [terapkan jika tidak ada] untuk secara otomatis memberlakukan konfigurasi untuk sumber daya Azure Stream Analytics Anda.

Tanggung Jawab: Pelanggan

7.10: Menerapkan pemantauan konfigurasi otomatis untuk sumber daya Azure

Panduan: Tidak berlaku; rekomendasi ini ditujukan untuk sumber daya komputasi.

Tanggung Jawab: Pelanggan

7.11: Mengelola rahasia Azure dengan aman

Panduan: Detail koneksi sumber daya input atau output, yang digunakan oleh pekerjaan Azure Stream Analytics Anda, disimpan di akun penyimpanan yang dikonfigurasi. Enkripsi akun penyimpanan Anda untuk mengamankan semua data Anda. Selain itu, putar informasi masuk secara teratur untuk input atau output pekerjaan Azure Stream Analytics.

Tanggung Jawab: Pelanggan

7.12: Mengelola identitas dengan aman dan otomatis

Panduan: Autentikasi Identitas Terkelola untuk output memberi pekerjaan Azure Stream Analytics akses langsung ke layanan termasuk Power BI, Akun Penyimpanan, sebagai ganti menggunakan string koneksi.

Tanggung Jawab: Pelanggan

7.13: Menghilangkan paparan info masuk yang tidak diinginkan

Panduan: Terapkan Pemindai Informasi masuk untuk mengidentifikasi informasi masuk dalam kode. Pemindai informasi masuk juga akan mendorong pemindahan informasi masuk yang ditemukan ke lokasi yang lebih aman seperti Azure Key Vault.

Tanggung Jawab: Pelanggan

Pertahanan Malware

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pertahanan Malware.

8.1: Menggunakan perangkat lunak anti-malware yang dikelola secara terpusat

Panduan: Tidak berlaku; rekomendasi ini ditujukan untuk sumber daya komputasi.

Tanggung Jawab: Pelanggan

8.2: Melakukan prapemindaian pada file yang akan diunggah ke sumber daya Azure non-komputasi

Panduan: Anti-malware Microsoft diaktifkan pada host yang mendasarinya yang mendukung layanan Azure (misalnya, Azure Stream Analytics), namun tidak berjalan pada konten pelanggan.

Pra-pindai konten apa pun yang diunggah ke sumber daya Azure, seperti App Service, Stream Analytics, Penyimpanan Blob, dll. Microsoft tidak dapat mengakses data Anda dalam contoh ini.

Tanggung Jawab: Pelanggan

8.3: Memastikan perangkat lunak dan penciri anti-malware diperbarui

Panduan: Tidak berlaku; rekomendasi ini ditujukan untuk sumber daya komputasi.

Tanggung Jawab: Pelanggan

Pemulihan Data

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pemulihan Data.

9.1: Memastikan pencadangan teratur secara otomatis

Panduan: Berdasarkan jenis layanan output yang dipilih. Anda dapat melakukan pencadangan otomatis data output sesuai pedoman yang direkomendasikan untuk layanan output Anda. Data internal termasuk Fungsi yang ditentukan pengguna, kueri, rekam jepret data disimpan di akun penyimpanan yang dikonfigurasi yang dapat Anda cadangkan secara teratur.

Data di akun penyimpanan Microsoft Azure Anda selalu direplikasi secara otomatis untuk memastikan ketahanan dan ketersediaan tinggi. Microsoft Azure Storage menyalin data Anda sehingga terlindung dari peristiwa yang direncanakan dan tidak direncanakan, termasuk kegagalan perangkat keras sementara, jaringan atau pemadaman listrik, dan bencana alam besar-besaran. Anda dapat memilih untuk mereplikasi data Anda dalam pusat data yang sama, di seluruh pusat data zona dalam wilayah yang sama, atau di seluruh wilayah yang dipisahkan secara geografis.

Anda juga dapat menggunakan fitur manajemen siklus hidup untuk mencadangkan data ke tingkat Arsip. Selain itu, aktifkan penghapusan lunak untuk cadangan Anda yang disimpan di akun Penyimpanan.

Tanggung Jawab: Pelanggan

9.2: Melakukan pencadangan sistem lengkap dan cadangkan kunci yang dikelola pelanggan

Panduan: Data internal termasuk fungsi yang ditentukan pengguna, kueri, rekam jepret data disimpan di akun penyimpanan yang dikonfigurasi yang dapat Anda cadangkan secara teratur.

Untuk mencadangkan data dari layanan yang didukung akun Penyimpanan, ada beberapa metode yang tersedia termasuk menggunakan azcopy atau alat pihak ketiga. Penyimpanan yang tidak dapat diubah untuk Penyimpanan Azure Blob memungkinkan pengguna untuk menyimpan objek data bisnis kritis dalam status WORM (Tulis Sekali, Baca Banyak). Status ini menjadikan data tidak dapat dihapus dan tidak dapat dimodifikasi untuk interval yang ditentukan pengguna.

Kunci yang dikelola/disediakan pelanggan dapat didukung dalam Azure Key Vault menggunakan Azure CLI atau PowerShell.

Tanggung Jawab: Pelanggan

9.3: Memvalidasi semua cadangan termasuk kunci yang dikelola pelanggan

Panduan: Secara berkala melakukan pemulihan data cadangan Anda untuk menguji integritas data.

Tanggung Jawab: Pelanggan

9.4: Memastikan perlindungan cadangan dan kunci yang dikelola pelanggan

Panduan: Pencadangan Azure Stream Analytics yang disimpan dalam enkripsi dukungan Microsoft Azure Storage secara default dan tidak dapat dinonaktifkan. Anda harus memperlakukan cadangan Anda sebagai data sensitif dan menerapkan kontrol akses dan perlindungan data yang relevan sebagai bagian dari garis dasar ini.

Tanggung Jawab: Pelanggan

Respons Insiden

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Respons Insiden.

10.1: Membuat panduan tanggap insiden

Panduan: Buat panduan respons insiden untuk organisasi Anda. Pastikan terdapat rencana respons insiden tertulis yang menentukan semua peran personel serta fase penanganan/manajemen insiden dari deteksi hingga ulasan pasca-insiden.

Tanggung Jawab: Pelanggan

10.2: Membuat prosedur penilaian dan prioritas insiden

Panduan: Microsoft Defender untuk Cloud menetapkan tingkat keparahan untuk setiap pemberitahuan guna membantu Anda memprioritaskan pemberitahuan yang harus diselidiki terlebih dahulu. Tingkat keparahan didasarkan pada seberapa yakin Microsoft Defender untuk Cloud terkait temuan atau metrik yang digunakan untuk menghasilkan peringatan, serta tingkat keyakinan bahwa terdapat niat jahat di balik aktivitas yang mengarah pada peringatan tersebut.

Selain itu, tandai langganan dengan jelas (misalnya, produksi, non-produksi) menggunakan tag dan buat sistem penamaan untuk mengidentifikasi serta mengategorikan sumber daya Azure dengan jelas, terutama yang memproses data sensitif. Anda bertanggung jawab untuk memprioritaskan remediasi pemberitahuan berdasarkan tingkat kepentingan sumber daya dan lingkungan Azure tempat insiden terjadi.

Tanggung Jawab: Pelanggan

10.3: Menguji prosedur respons keamanan

Panduan: Lakukan latihan untuk menguji kemampuan respons insiden sistem Anda dalam interval reguler untuk membantu melindungi sumber daya Azure Anda. Identifikasi titik lemah dan celah, lalu revisi rencana sesuai kebutuhan.

Tanggung Jawab: Pelanggan

10.4: Memberikan detail kontak insiden keamanan dan konfigurasi notifikasi peringatan untuk insiden keamanan

Panduan: Informasi kontak insiden keamanan akan digunakan oleh Microsoft untuk menghubungi Anda jika Microsoft Security Response Center (MSRC) menemukan bahwa data Anda telah diakses oleh pihak yang tidak sah atau tidak berwenang. Tinjau insiden setelah fakta untuk memastikan bahwa masalah terselesaikan.

Tanggung Jawab: Pelanggan

10.5: Menggabungkan pemberitahuan keamanan ke dalam sistem respons insiden Anda

Panduan: Mengekspor peringatan dan rekomendasi Microsoft Defender untuk Cloud Anda menggunakan fitur Ekspor Berkelanjutan guna membantu mengidentifikasi risiko terhadap sumber daya Azure. Ekspor Berkelanjutan memungkinkan Anda untuk mengekspor pemberitahuan dan rekomendasi baik secara manual maupun berkelanjutan. Anda dapat menggunakan konektor data Microsoft Defender untuk Cloud guna mengalirkan peringatan ke Microsoft Sentinel.

Tanggung Jawab: Pelanggan

10.6: Mengotomatiskan respons terhadap pemberitahuan keamanan

Panduan: Menggunakan fitur Azure Automation Alur Kerja di Microsoft Defender untuk Cloud guna secara otomatis memicu respons melalui "Logic Apps" pada peringatan dan rekomendasi keamanan untuk melindungi sumber daya Azure Anda.

Tanggung Jawab: Pelanggan

Uji Penetrasi dan Latihan Red Team

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Uji Penetrasi dan Latihan Red Team.

11.1: Melakukan uji penetrasi sumber daya Azure secara rutin dan memastikan remediasi semua temuan keamanan yang penting

Panduan: Untuk memastikan Uji Penetrasi Anda tidak melanggar kebijakan Microsoft, ikuti Aturan Keterlibatan Microsoft di https://www.microsoft.com/msrc/pentest-rules-of-engagement?rtc=1.

Anda dapat menemukan informasi selengkapnya tentang strategi Microsoft dan pelaksanaan Red Teaming dan uji penetrasi situs langsung terhadap infrastruktur, layanan, dan aplikasi cloud yang dikelola Microsoft di https://download.microsoft.com/download/C/1/9/C1990DBA-502F-4C2A-848D-392B93D9B9C3/Microsoft_Enterprise_Cloud_Red_Teaming.pdf

Tanggung Jawab: Dibagikan

Langkah berikutnya