Kontrol Keamanan: Konfigurasi Aman

Catatan

Tolok Ukur Keamanan Azure terbaru tersedia di sini.

Menetapkan, mengimplementasikan, dan secara aktif mengelola (melacak, melaporkan, memperbaiki) konfigurasi keamanan sumber daya Azure untuk mencegah penyerang mengeksploitasi layanan dan pengaturan yang rentan.

7.1: Menetapkan konfigurasi aman untuk semua sumber daya Azure

Azure ID ID CIS Tanggung Jawab
7.1 5.1 Pelanggan

Gunakan alias Azure Policy guna membuat kebijakan kustom untuk mengaudit atau memberlakukan konfigurasi sumber daya Azure Anda. Anda juga dapat menggunakan definisi Azure Policy Bawaan.

Selain itu, Azure Resource Manager memiliki kemampuan untuk mengekspor templat di JavaScript Object Notation (JSON), yang harus ditinjau untuk memastikan bahwa konfigurasi memenuhi / melebihi persyaratan keamanan untuk organisasi Anda.

Anda juga dapat menggunakan rekomendasi dari Azure Security Center sebagai garis besar konfigurasi aman untuk sumber daya Azure Anda.

7.2: Menetapkan konfigurasi sistem operasi yang aman

Azure ID ID CIS Tanggung Jawab
7.2 5.1 Pelanggan

Gunakan rekomendasi Azure Security Center untuk mempertahankan konfigurasi keamanan pada semua sumber daya komputasi. Selain itu, Anda dapat menggunakan gambar sistem operasi kustom atau konfigurasi Azure Automation State untuk menetapkan konfigurasi keamanan sistem operasi yang diperlukan oleh organisasi Anda.

7.3: Mempertahankan konfigurasi sumber daya Azure yang aman

Azure ID ID CIS Tanggung Jawab
7.3 5.2 Pelanggan

Gunakan Azure Policy [deny] dan [deploy if not exist] untuk menerapkan pengaturan aman di seluruh sumber daya Azure Anda. Selain itu, Anda dapat menggunakan templat Azure Resource Manager untuk mempertahankan konfigurasi keamanan sumber daya Azure yang diperlukan oleh organisasi Anda.

7.4: Menetapkan konfigurasi sistem operasi yang aman

Azure ID ID CIS Tanggung Jawab
7.4 5.2 Bersama

Ikuti rekomendasi dari Azure Security Center tentang melakukan penilaian kerentanan pada sumber daya komputasi Azure Anda. Selain itu, Anda dapat menggunakan templat Azure Resource Manager, citra sistem operasi kustom, atau konfigurasi Azure Automation State untuk mempertahankan konfigurasi keamanan sistem operasi yang diperlukan oleh organisasi Anda. Templat komputer virtual Microsoft yang dikombinasikan dengan Konfigurasi Status yang Diinginkan Azure Automation dapat membantu memenuhi dan memelihara persyaratan keamanan.

Perhatikan juga bahwa Citra Komputer Virtual Azure Marketplace Images yang diterbitkan oleh Microsoft dikelola dan dijaga oleh Microsoft.

7.5: Menyimpan konfigurasi sumber daya Azure dengan aman

Azure ID ID CIS Tanggung Jawab
7.5 5.3 Pelanggan

Gunakan Azure DevOps untuk menyimpan dan mengelola kode Anda dengan aman seperti kebijakan Azure kustom, templat Azure Resource Manager, dan skrip Konfigurasi Status yang Diinginkan. Guna mengakses sumber daya yang Anda kelola di Azure DevOps, Anda dapat memberikan atau menolak izin untuk pengguna tertentu, kelompok keamanan bawaan, atau grup yang ditentukan di Azure Active Directory (Microsoft Azure AD) jika terintegrasi dengan Azure DevOps, atau Direktori Aktif jika terintegrasi dengan TFS.

7.6: Menyimpan citra sistem operasi kustom dengan aman

Azure ID ID CIS Tanggung Jawab
7.6 5.3 Pelanggan

Jika menggunakan citra kustom, gunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk memastikan hanya pengguna yang memiliki otorisasi yang dapat mengakses citra. Menggunakan Shared Image Gallery, Anda dapat membagikan gambar dengan pengguna, perwakilann layanan, atau grup AD yang berbeda dalam organisasi Anda. Untuk gambar kontainer, simpan di Azure Container Registry dan manfaatkan Azure RBAC untuk memastikan hanya pengguna yang memiliki otorisasi yang dapat mengakses citra.

7.7: Menyebarkan alat manajemen konfigurasi untuk sumber daya Azure

Azure ID ID CIS Tanggung Jawab
7.7 5.4 Pelanggan

Tentukan dan terapkan konfigurasi keamanan standar untuk sumber daya Azure menggunakan Azure Policy. Gunakan alias Azure Policy untuk membuat kebijakan kustom guna mengaudit atau menerapkan konfigurasi sumber daya Azure. Anda juga dapat menggunakan definisi kebijakan bawaan yang terkait dengan sumber daya spesifik Anda. Selain itu, Anda dapat menggunakan Azure Automation untuk menyebarkan perubahan konfigurasi.

7.8: Menyebarkan alat manajemen konfigurasi untuk sistem operasi

Azure ID ID CIS Tanggung Jawab
7.8 5.4 Pelanggan

Konfigurasi Status Azure Automation adalah layanan manajemen konfigurasi untuk node Konfigurasi Status Yang Diinginkan (DSC) di pusat data cloud atau pusat data lokal mana pun. Anda dapat dengan mudah melakukan onboarding komputer, menetapkan konfigurasi deklaratifnya, dan melihat laporan yang menunjukkan kepatuhan setiap komputer terhadap status yang Anda tentukan.

7.9: Menerapkan pemantauan konfigurasi otomatis untuk sumber daya Azure

Azure ID ID CIS Tanggung Jawab
7.9 5.5 Pelanggan

Gunakan Azure Security Center untuk melakukan pemindaian garis besar untuk Sumber Daya Azure Anda. Selain itu, gunakan Azure Policy untuk memperingatkan dan mengaudit konfigurasi sumber daya Azure.

7.10: Menerapkan pemantauan konfigurasi otomatis untuk sistem operasi

Azure ID ID CIS Tanggung Jawab
7.10 5.5 Pelanggan

Gunakan Azure Security Center guna melakukan pemindaian dasar untuk OS serta Pengaturan Docker untuk kontainer.

7.11: Mengelola rahasia Azure dengan aman

Azure ID ID CIS Tanggung Jawab
7.11 13.1 Pelanggan

Gunakan Identitas Layanan Terkelola bersama dengan Azure Key Vault guna menyederhanakan dan mengamankan manajemen rahasia untuk aplikasi cloud Anda.

7.12: Mengelola identitas dengan aman dan secara otomatis

Azure ID ID CIS Tanggung Jawab
7.12 4.1 Pelanggan

Gunakan Identitas Terkelola untuk menyediakan layanan Azure dengan identitas yang dikelola secara otomatis di Microsoft Azure AD. Identitas Terkelola memungkinkan Anda mengautentikasi ke layanan yang mendukung autentikasi Azure Active Directory, termasuk Key Vault tanpa memerlukan kredensial apa pun dalam kode Anda.

7.13: Menghapus paparan kredensial yang tidak diinginkan

Azure ID ID CIS Tanggung Jawab
7.13 18.1, 18.7 Pelanggan

Menerapkan Pemindai Kredensial untuk mengidentifikasi kredensial dalam kode. Pemindai Info masuk juga akan mendorong pemindahan info masuk yang ditemukan ke lokasi yang lebih aman seperti Azure Key Vault.

Langkah berikutnya