Cegah kesalahan konfigurasi dengan rekomendasi Terapkan/Tolak

Kesalahan konfigurasi keamanan adalah penyebab utama insiden keamanan. Defender untuk Cloud dapat membantu mencegah kesalahan konfigurasi sumber daya baru sehubungan dengan rekomendasi khusus.

Fitur ini dapat membantu menjaga beban kerja Anda tetap aman dan menstabilkan skor aman Anda.

Memberlakukan konfigurasi aman, berdasarkan rekomendasi tertentu, ditawarkan dalam dua mode:

  • Menggunakan efek Tolak Azure Policy, Anda dapat menghentikan sumber daya yang tidak sehat yang sedang dibuat
  • Dengan menggunakan opsi Terapkan, Anda dapat memanfaatkan efek DeployIfNotExist Azure Policy dan secara otomatis memulihkan sumber daya yang tidak sesuai saat dibuat

Opsi ini dapat ditemukan di bagian atas halaman detail sumber daya untuk rekomendasi keamanan yang dipilih (lihat Rekomendasi dengan opsi tolak/terapkan).

Cegah pembuatan sumber daya

  1. Buka rekomendasi bahwa sumber daya baru Anda harus memuaskan, dan pilih tombol Tolak di bagian atas halaman.

    Halaman rekomendasi dengan tombol Tolak disorot.

    Panel konfigurasi terbuka mencantumkan opsi cakupan.

  2. Set cakupan dengan memilih grup langganan atau manajemen yang relevan.

    Tip

    Anda bisa menggunakan tiga titik di akhir baris untuk mengubah satu langganan, atau menggunakan kotak centang untuk memilih beberapa langganan atau grup lalu pilih Ubah ke Tolak.

    Menyetel cakupan penolakan Azure Policy.

Terapkan konfigurasi aman

  1. Buka saran yang akan Anda gunakan untuk menerapkan penerapan kerangka jika sumber daya baru tidak memenuhinya, dan pilih tombol Terapkan di bagian atas laman.

    Halaman rekomendasi dengan tombol Terapkan disorot.

    Panel konfigurasi terbuka dengan semua opsi konfigurasi kebijakan.

    Terapkan opsi konfigurasi.

  2. Set cakupan, nama tugas, dan opsi relevan lainnya.

  3. Pilih Tinjau + buat.

Rekomendasi dengan opsi tolak/terapkan

Rekomendasi ini dapat digunakan dengan opsi tolak:

  • [Aktifkan jika diperlukan] Akun Azure Cosmos DB harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif
  • [Aktifkan bila perlu] Ruang kerja Azure Machine Learning harus dienkripsi dengan kunci yang dikelola pelanggan (CMK)
  • [Aktifkan bila perlu] Akun Cognitive Services harus mengaktifkan enkripsi data dengan kunci yang dikelola pelanggan (CMK)
  • [Aktifkan bila perlu] Registri kontainer harus dienkripsi dengan kunci yang dikelola pelanggan (CMK)
  • Akses ke akun penyimpanan dengan konfigurasi jaringan virtual dan firewall harus dibatasi
  • Variabel akun Azure Automation harus dienkripsi
  • Azure Cache for Redis harus berada dalam jaringan virtual
  • Azure Spring Cloud harus menggunakan injeksi jaringan
  • CPU kontainer dan batas memori harus diberlakukan
  • Citra kontainer harus disebarkan hanya dari registri tepercaya
  • Kontainer dengan eskalasi hak istimewa harus dihindari
  • Kontainer yang berbagi namespace layanan host yang sensitif harus dihindari
  • Kontainer hanya boleh menggunakan profil AppArmor yang diizinkan
  • Sistem file akar yang tidak dapat diubah (baca-saja) harus diberlakukan untuk kontainer
  • Kunci Key Vault harus memiliki tanggal kedaluwarsa
  • Rahasia Key Vault harus memiliki tanggal kedaluwarsa
  • Brankas kunci harus mengaktifkan perlindungan hapus menyeluruh
  • Brankas kunci harus mengaktifkan penghapusan sementara
  • Kemampuan Linux dengan hak istimewa paling rendah harus diberlakukan untuk kontainer
  • Kontainer dengan hak istimewa harus dihindari
  • Redis Cache seharusnya mengizinkan akses hanya melalui SSL
  • Menjalankan kontainer sebagai pengguna akar harus dihindari
  • Transfer aman ke akun penyimpanan harus diaktifkan
  • Kluster Service Fabric harus memiliki properti ClusterProtectionLevel yang ditetapkan ke EncryptAndSign
  • Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien
  • Layanan hanya mendengarkan pada port yang diizinkan
  • Akses publik akun penyimpanan tidak boleh diizinkan
  • Akun penyimpanan harus dimigrasikan ke sumber daya Azure Resource Manager baru
  • Akun penyimpanan harus membatasi akses jaringan menggunakan aturan jaringan virtual
  • Penggunaan jaringan dan port host harus dibatasi
  • Penggunaan pemasangan volume HostPath pod harus dibatasi hingga daftar yang diketahui untuk membatasi akses node dari kontainer yang mengalami gangguan
  • Masa berlaku sertifikat yang disimpan di Azure Key Vault tidak boleh melebihi 12 bulan
  • Komputer virtual harus dimigrasikan ke sumber daya Azure Resource Manager baru
  • Web Application Firewall (WAF) harus diaktifkan untuk Application Gateway
  • Web Application Firewall (WAF) harus diaktifkan untuk layanan Azure Front Door Service

Rekomendasi ini dapat digunakan dengan opsi terapkan:

  • Pengauditan di server SQL harus diaktifkan
  • Cluster Kubernetes yang mendukung Azure Arc harus memiliki ekstensi Microsoft Defender untuk Cloud yang diinstal
  • Azure Backup harus diaktifkan untuk komputer virtual
  • Microsoft Defender untuk App Service harus diaktifkan
  • Microsoft Defender untuk pendaftar kontainer harus diaktifkan
  • Microsoft Defender untuk DNS harus diaktifkan
  • Microsoft Defender untuk Key Vault harus diaktifkan
  • Microsoft Defender untuk Kube harus diaktifkan
  • Microsoft Defender untuk Resource Manager harus diaktifkan
  • Microsoft Defender untuk Server harus diaktifkan
  • Microsoft Defender untuk server Azure SQL Database harus diaktifkan
  • Microsoft Defender untuk server SQL pada mesin harus diaktifkan
  • Microsoft Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi
  • Microsoft Defender untuk Penyimpanan harus diaktifkan
  • Add-on Azure Policy untuk Kube harus dipasang dan diaktifkan di kluster Anda
  • Log diagnostik di Azure Stream Analytics harus diaktifkan
  • Log diagnostik di akun Batch harus diaktifkan
  • Log diagnostik di Data Lake Analytics harus diaktifkan
  • Log diagnostik di Event Hub harus diaktifkan
  • Log diagnostik di Key Vault harus diaktifkan
  • Log diagnostik di Logic Apps harus diaktifkan
  • Log diagnostik di layanan Pencarian harus diaktifkan
  • Log diagnostik di Bus Layanan harus diaktifkan