Rekomendasi keamanan - panduan referensi

Artikel ini mencantumkan rekomendasi yang mungkin Anda lihat di Microsoft Defender untuk Cloud. Rekomendasi yang ditampilkan di lingkungan Anda bergantung pada sumber daya yang Anda lindungi dan konfigurasi khusus Anda.

Rekomendasi Defender untuk Cloud didasarkan pada Azure Security Benchmark. Tolok ukur Azure Security adalah kumpulan pedoman khusus Azure yang ditulis Microsoft untuk praktik terbaik keamanan dan kepatuhan berdasarkan kerangka kerja kepatuhan umum. Tolok ukur yang dihormati secara luas ini dibangun berdasarkan kontrol dari Pusat Keamanan Internet (CIS) dan Institut Standar dan Teknologi Nasional (NIST) dengan fokus pada keamanan yang berpusat pada cloud.

Untuk mempelajari tentang cara merespons rekomendasi ini, lihat Remediasi rekomendasi di Defender untuk Cloud.

Skor aman Anda didasarkan pada jumlah rekomendasi keamanan yang telah Anda selesaikan. Untuk memutuskan rekomendasi mana yang harus diselesaikan terlebih dahulu, lihat tingkat keparahan masing-masing dan dampak potensialnya pada skor aman Anda.

Tip

Jika deskripsi rekomendasi mengatakan "Tidak ada kebijakan terkait", biasanya karena rekomendasi itu tergantung pada rekomendasi yang berbeda dan kebijakan miliknya. Misalnya, rekomendasi "Kegagalan kesehatan perlindungan titik akhir harus dimediasi ...", bergantung pada rekomendasi yang memeriksa apakah solusi perlindungan titik akhir bahkan dipasang ("Solusi perlindungan titik akhir harus dipasang..."). Rekomendasi yang mendasarinya memang memiliki kebijakan. Membatasi kebijakan hanya untuk rekomendasi dasar menyederhanakan manajemen kebijakan.

Rekomendasi AppServices

Terdapat 31 rekomendasi dalam kategori ini.

Rekomendasi Deskripsi Tingkat keparahan
Aplikasi API seharusnya hanya dapat diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam transit dari serangan eavesdropping pada lapisan jaringan.
(Kebijakan terkait: Aplikasi API seharusnya hanya dapat diakses melalui HTTPS)
Medium
CORS tidak boleh mengizinkan setiap sumber daya mengakses API Apps Cross-Origin Resource Sharing (CORS) seharusnya tidak mengizinkan semua domain mengakses aplikasi API Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi API Anda.
(Kebijakan terkait: CORS tidak boleh mengizinkan setiap sumber daya mengakses Aplikasi API Anda)
Rendah
CORS tidak boleh mengizinkan setiap sumber daya mengakses Aplikasi Fungsi Cross-Origin Resource Sharing (CORS) seharusnya tidak mengizinkan semua domain mengakses aplikasi Fungsi Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Fungsi Anda.
(Kebijakan terkait: CORS tidak boleh mengizinkan setiap sumber daya mengakses Aplikasi Fungsi Anda)
Rendah
CORS tidak boleh mengizinkan setiap sumber daya mengakses Aplikasi Web Cross-Origin Resource Sharing (CORS) tidak boleh mengizinkan semua domain mengakses aplikasi web Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi web Anda.
(Kebijakan terkait: CORS tidak boleh mengizinkan setiap sumber daya mengakses Aplikasi Web Anda)
Rendah
Log diagnostik di Azure App Service harus diaktifkan Pengaktifan audit log diagnostik pada aplikasi.
Ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk tujuan investigasi jika terjadi insiden keamanan atau jaringan Anda disusupi
(Tidak ada kebijakan terkait)
Medium
Pastikan aplikasi API memiliki Sertifikat Klien (Sertifikat klien masuk) yang disetel ke Aktif Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi.
(Kebijakan terkait:Pastikan aplikasi API memiliki 'Sertifikat Klien (Sertifikat klien masuk)' yang disetel ke 'Aktif')
Medium
FTPS diperlukan di aplikasi API Aktifkan penerapan FTPS untuk peningkatan keamanan
(Kebijakan terkait: Hanya FTPS yang diperlukan di Aplikasi API Anda)
Tinggi
FTPS diperlukan di aplikasi fungsi Aktifkan penerapan FTPS untuk peningkatan keamanan
(Kebijakan terkait: Hanya FTPS yang diperlukan di Aplikasi Fungsi Anda)
Tinggi
FTPS diperlukan di aplikasi web Aktifkan penerapan FTPS untuk peningkatan keamanan
(Kebijakan terkait: FTPS harus diperlukan di Aplikasi Web Anda)
Tinggi
Aplikasi Fungsi seharusnya hanya dapat diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam transit dari serangan eavesdropping pada lapisan jaringan.
(Kebijakan terkait: Aplikasi Fungsi seharusnya hanya dapat diakses melalui HTTPS)
Medium
Aplikasi Fungsi harus mengaktifkan Sertifikat Klien (Sertifikat klien masuk) Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien dengan sertifikat yang valid yang dapat menjangkau aplikasi.
(Kebijakan terkait: Aplikasi fungsi harus mengaktifkan 'Sertifikat Klien (Sertifikat klien masuk)')
Medium
Java harus diperbarui ke versi terbaru untuk aplikasi API Secara berkala, versi yang lebih baru dirilis untuk Java baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan.
Versi Python terbaru untuk aplikasi API sebaiknya digunakan agar dapat memanfaatkan perbaikan keamanan, jika tersedia, dan/atau fungsionalitas baru dari versi terbaru.
(Kebijakan terkait: Pastikan 'versi Java' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi API)
Medium
Java harus diperbarui ke versi terbaru untuk aplikasi fungsi Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Java baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan.
Versi Java terbaru untuk aplikasi fungsi sebaiknya digunakan agar dapat memeroleh manfaat dari perbaikan keamanan, jika tersedia, dan/atau fungsionalitas baru dari versi terbaru.
(Kebijakan terkait: Pastikan 'versi Java' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi Fungsi)
Medium
Java harus diperbarui ke versi terbaru untuk aplikasi web Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Java baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan.
Versi Java terbaru untuk aplikasi web sebaiknya digunakan agar dapat memeroleh manfaat dari perbaikan keamanan, jika tersedia, dan/atau fungsionalitas baru dari versi terbaru.
(Kebijakan terkait: Pastikan 'versi Java' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi WEB)
Medium
Identitas terkelola harus digunakan di aplikasi API Untuk keamanan autentikasi yang ditingkatkan, gunakan identitas terkelola.
Di Azure, identitas terkelola menghilangkan kebutuhan pengembang untuk mengelola informasi masuk dengan memberikan identitas untuk sumber daya Azure di Azure AD dan menggunakannya untuk mendapatkan token Azure Active Directory (Azure AD).
(Kebijakan terkait: Identitas terkelola harus digunakan di Aplikasi API Anda)
Medium
Identitas terkelola harus digunakan di aplikasi fungsi Untuk keamanan autentikasi yang ditingkatkan, gunakan identitas terkelola.
Di Azure, identitas terkelola menghilangkan kebutuhan pengembang untuk mengelola informasi masuk dengan memberikan identitas untuk sumber daya Azure di Azure AD dan menggunakannya untuk mendapatkan token Azure Active Directory (Azure AD).
(Kebijakan terkait: Identitas terkelola harus digunakan di Aplikasi Fungsi Anda)
Medium
Identitas terkelola harus digunakan di aplikasi web Untuk keamanan autentikasi yang ditingkatkan, gunakan identitas terkelola.
Di Azure, identitas terkelola menghilangkan kebutuhan pengembang untuk mengelola informasi masuk dengan memberikan identitas untuk sumber daya Azure di Azure AD dan menggunakannya untuk mendapatkan token Azure Active Directory (Azure AD).
(Kebijakan terkait: Identitas terkelola harus digunakan di Aplikasi Web Anda)
Medium
Microsoft Defender untuk App Service harus diaktifkan Microsoft Defender untuk App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum.
Microsoft Defender untuk Azure App Service dapat menemukan serangan pada aplikasi Anda dan mengidentifikasi serangan yang muncul.

Penting: Memperbaiki rekomendasi ini akan menimbulkan biaya untuk melindungi paket App Service Anda. Jika Anda tidak memiliki paket App Service dalam langganan ini, tidak ada biaya yang akan dikenakan.
Jika Anda membuat paket App Service apa pun pada langganan ini di masa mendatang, paket tersebut akan secara otomatis dilindungi dan tagihan akan dimulai pada saat itu.
Pelajari selanjutnya di Melindungi aplikasi web dan API Anda.
(Kebijakan terkait: Azure Defender for App Service harus diaktifkan)
Tinggi
PHP harus diperbarui ke versi terbaru untuk aplikasi API Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak PHP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan.
Versi PHP terbaru untuk aplikasi API sebaiknya digunakan agar dapat memanfaatkan perbaikan keamanan, jika tersedia, dan/atau fungsionalitas baru dari versi terbaru.
(Kebijakan terkait: Pastikan 'versi PHP' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi API)
Medium
PHP harus diperbarui ke versi terbaru untuk aplikasi web Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak PHP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan.
Versi PHP terbaru untuk aplikasi web sebaiknya digunakan agar dapat memanfaatkan perbaikan keamanan, jika tersedia, dan/atau fungsionalitas baru dari versi terbaru.
(Kebijakan terkait: Pastikan 'versi PHP' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi WEB)
Medium
Python harus diperbarui ke versi terbaru untuk aplikasi API Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Python baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan.
Versi Python terbaru untuk aplikasi API sebaiknya digunakan agar dapat memanfaatkan perbaikan keamanan, jika tersedia, dan/atau fungsionalitas baru dari versi terbaru.
(Kebijakan terkait: Pastikan 'versi Python' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi API)
Medium
Python harus diperbarui ke versi terbaru untuk aplikasi fungsi Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Python baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan.
Versi Python terbaru untuk aplikasi fungsi sebaiknya digunakan agar dapat memeroleh manfaat dari perbaikan keamanan, jika tersedia, dan/atau fungsionalitas baru dari versi terbaru.
(Kebijakan terkait: Pastikan 'versi Python' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi Fungsi)
Medium
Python harus diperbarui ke versi terbaru untuk aplikasi web Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Python baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan.
Versi Python terbaru untuk aplikasi web sebaiknya digunakan agar dapat memanfaatkan perbaikan keamanan, jika tersedia, dan/atau fungsionalitas baru dari versi terbaru.
(Kebijakan terkait: Pastikan 'versi Python' adalah yang terbaru, jika digunakan sebagai bagian dari aplikasi Web)
Medium
Penelusuran kesalahan jarak jauh harus dinonaktifkan untuk Aplikasi API Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi API. Penelusuran kesalahan jarak jauh harus dimatikan.
(Kebijakan terkait: Penelusuran kesalahan jarak jauh harus dimatikan untuk API Apps)
Rendah
Penelusuran kesalahan jarak jauh harus dinonaktifkan untuk Aplikasi Fungsi Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi Fungsi Azure. Penelusuran kesalahan jarak jauh harus dimatikan.
(Kebijakan terkait: Penelusuran kesalahan jarak jauh harus dimatikan untuk Aplikasi Fungsi)
Rendah
Penelusuran kesalahan jarak jauh harus dinonaktifkan untuk Web Applications Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi web. Penelusuran kesalahan jarak jauh saat ini diaktifkan. Jika Anda tidak perlu lagi menggunakan penelusuran kesalahan jarak jauh, maka fitur tersebut harus dimatikan.
(Kebijakan terkait: Penelusuran kesalahan jarak jauh harus dimatikan untuk Aplikasi Web)
Rendah
TLS harus diperbarui ke versi terbaru untuk aplikasi API Mutakhirkan ke versi TLS terbaru
(Kebijakan terkait: Versi TLS terbaru harus digunakan di Aplikasi API Anda)
Tinggi
TLS harus diperbarui ke versi terbaru untuk aplikasi fungsi Mutakhirkan ke versi TLS terbaru
(Kebijakan terkait: Versi TLS terbaru harus digunakan di Aplikasi Fungsi Anda)
Tinggi
TLS harus diperbarui ke versi terbaru untuk aplikasi web Mutakhirkan ke versi TLS terbaru
(Kebijakan terkait: Versi TLS terbaru harus digunakan di Aplikasi Web Anda)
Tinggi
Aplikasi Web hanya boleh diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam transit dari serangan eavesdropping pada lapisan jaringan.
(Kebijakan terkait: Aplikasi Web hanya dapat diakses melalui HTTPS)
Medium
Aplikasi web harus meminta sertifikat SSL untuk semua permintaan masuk Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk.
Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi.
(Kebijakan terkait: Pastikan aplikasi WEB memiliki 'Sertifikat Klien (Sertifikat klien masuk)' yang disetel ke 'Aktif')
Medium

Rekomendasi komputasi

Ada 58 rekomendasi dalam kategori ini.

Rekomendasi Deskripsi Tingkat keparahan
Kontrol aplikasi adaptif untuk menetapkan aplikasi yang aman harus diaktifkan di komputer Anda Aktifkan kontrol aplikasi untuk menentukan daftar aplikasi yang diketahui aman yang sedang berjalan di komputer Anda, dan aktifkan pemberitahuan ketika aplikasi lain berjalan. Hal ini membantu memperkuat komputer Anda terhadap malware. Untuk menyederhanakan proses dalam mengonfigurasi dan memelihara aturan Anda, Defender untuk Cloud menggunakan pembelajaran mesin untuk menganalisis aplikasi yang berjalan di setiap mesin dan menyarankan daftar aplikasi yang dikenal aman.
(Kebijakan terkait:Kontrol aplikasi adaptif untuk menentukan aplikasi yang aman harus diaktifkan pada komputer Anda)
Tinggi
Aturan daftar yang diizinkan dalam kebijakan kontrol aplikasi adaptif Anda harus diperbarui Pantau perubahan perilaku pada grup mesin yang dikonfigurasi untuk diaudit oleh kontrol aplikasi adaptif Defender untuk Cloud. Defender untuk Cloud menggunakan pembelajaran mesin untuk menganalisis proses yang berjalan di mesin Anda dan menyarankan daftar aplikasi yang dikenal aman. Hal ini disajikan sebagai aplikasi yang disarankan untuk diizinkan dalam kebijakan kontrol aplikasi adaptif.
Kebijakan terkait: Aturan Allowlist pada kebijakan kontrol aplikasi adaptif Anda harus diperbarui)
Tinggi
Autentikasi ke komputer Linux memerlukan kunci SSH Meskipun SSH sendiri menyediakan koneksi terenkripsi, menggunakan kata sandi dengan SSH masih membuat VM rentan terhadap serangan brute force. Opsi paling aman untuk mengautentikasi ke komputer virtual Linux Azure melalui SSH adalah dengan kunci publik-pribadi, juga dikenal sebagai kunci SSH. Pelajari selengkapnya di Langkah mendetail: Membuat dan mengelola kunci SSH untuk autentikasi ke Mesin Virtual Linux di Azure.
(Kebijakan terkait: Audit komputer Linux yang tidak menggunakan kunci SSH untuk autentikasi)
Medium
Variabel akun otomatisasi harus dienkripsi Penting untuk mengaktifkan enkripsi pada aset variabel akun Automation saat menyimpan data sensitif.
(Kebijakan terkait: Variabel akun Automation harus dienkripsi)
Tinggi
Azure Backup harus diaktifkan untuk komputer virtual Melindungi data di komputer virtual Azure Anda dengan Azure Backup.
Azure Backup adalah solusi perlindungan data asli Azure yang hemat biaya.
Hal ini menciptakan titik pemulihan yang disimpan dalam vault pemulihan geo-redundan
Saat memulihkan dari titik pemulihan, Anda dapat memulihkan seluruh komputer virtual atau file tertentu.
(Kebijakan terkait: Azure Backup harus diaktifkan untuk Komputer Virtual)
Rendah
Host kontainer harus dikonfigurasi dengan aman Remediasi kerentanan dalam konfigurasi keamanan pada komputer dengan Docker yang terinstal untuk melindunginya dari serangan.
(Kebijakan terkait: Kerentanan dalam konfigurasi keamanan kontainer harus diremediasi)
Tinggi
Log diagnostik di Azure Stream Analytics harus diaktifkan Aktifkan log dan pertahankan hingga satu tahun. Hal ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau jaringan Anda disusupi.
(Kebijakan terkait: Log diagnostik di Azure Stream Analytics harus diaktifkan)
Rendah
Log diagnostik di akun Batch harus diaktifkan Aktifkan log dan pertahankan hingga satu tahun. Hal ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau jaringan Anda disusupi.
(Kebijakan terkait: Log diagnostik di akun Batch harus diaktifkan)
Rendah
Log diagnostik di Pusat Aktivitas harus diaktifkan Aktifkan log dan pertahankan hingga satu tahun. Hal ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau jaringan Anda disusupi.
(Kebijakan terkait: Log diagnostik di Event Hub harus diaktifkan)
Rendah
Log diagnostik di layanan Kubernetes harus diaktifkan Aktifkan log diagnostik di layanan Kubernetes Anda dan simpan hingga satu tahun. Hal ini memungkinkan Anda membuat kembali jejak aktivitas untuk tujuan investigasi saat insiden keamanan terjadi.
(Tidak ada kebijakan terkait)
Rendah
Log diagnostik di Logic Apps harus diaktifkan Untuk memastikan Anda dapat membuat ulang jejak aktivitas untuk tujuan investigasi saat insiden keamanan terjadi atau jaringan Anda disusupi, aktifkan pencatatan log. Jika log diagnostik Anda tidak dikirim ke ruang kerja Analitik Log, akun Azure Storage, atau Azure Event Hubs, pastikan Anda telah mengonfigurasi pengaturan diagnostik untuk mengirim metrik platform dan log platform ke tujuan yang relevan. Pelajari lebih lanjut di Membuat pengaturan diagnostik untuk mengirim log dan metrik platform ke tujuan yang berbeda.
(Kebijakan terkait: Log diagnostik di Logic Apps harus diaktifkan)
Rendah
Log diagnostik di layanan Pencarian harus diaktifkan Aktifkan log dan pertahankan hingga satu tahun. Hal ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau jaringan Anda disusupi.
(Kebijakan terkait: Log Diagnostik di layanan Pencarian harus diaktifkan)
Rendah
Log diagnostik di Bus Layanan harus diaktifkan Aktifkan log dan pertahankan hingga satu tahun. Hal ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau jaringan Anda disusupi.
(Kebijakan terkait: Log diagnostik di Azure Service Bus harus diaktifkan)
Rendah
Log diagnostik dalam Microsoft Azure Virtual Machine Scale Sets harus diaktifkan Aktifkan log dan pertahankan hingga satu tahun. Hal ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau jaringan Anda disusupi.
(Kebijakan terkait: Log diagnostik dalam Microsoft Azure Virtual Machine Scale Sets harus diaktifkan)
Rendah
Masalah kesehatan perlindungan titik akhir pada mesin harus diselesaikan Mengatasi masalah kesehatan perlindungan titik akhir pada komputer virtual Anda untuk melindungi mereka dari ancaman dan kerentanan terbaru. Lihat dokumentasi untuk solusi perlindungan titik akhir yang didukung oleh Defender untuk Cloud dan penilaian perlindungan titik akhir.
(Tidak ada kebijakan terkait)
Medium
Masalah kesehatan perlindungan titik akhir pada mesin harus diselesaikan Untuk perlindungan Defender untuk Cloud penuh, selesaikan masalah agen pemantauan pada mesin Anda dengan mengikuti instruksi di panduan Pemecahan Masalah.
(Kebijakan terkait: Memantau Perlindungan Titik Akhir yang tidak ada di Azure Security Center)
Medium
Masalah kesehatan perlindungan titik akhir pada virtual machine scale sets harus diselesaikan Remediasi kegagalan kesehatan perlindungan titik akhir pada Microsoft Azure Virtual Machine Scale Sets Anda untuk melindunginya dari ancaman dan kerentanan.
(Kebijakan terkait: Solusi perlindungan titik akhir harus diinstal pada Microsoft Azure Virtual Machine Scale Sets)
Rendah
Perlindungan titik akhir harus diinstal pada mesin Untuk melindungi mesin dari ancaman dan kerentanan, instal solusi perlindungan titik akhir yang didukung.
Pelajari selengkapnya tentang cara perlindungan titik akhir untuk mesin dievaluasi di Penilaian perlindungan titik akhir dan rekomendasi di Microsoft Defender untuk Cloud.
(Tidak ada kebijakan terkait)
Tinggi
Perlindungan titik akhir harus diinstal pada mesin Instal solusi perlindungan titik akhir pada komputer Windows dan Linux Anda, untuk melindunginya dari ancaman dan kerentanan.
(Tidak ada kebijakan terkait)
Medium
Perlindungan titik akhir harus diinstal pada virtual machine scale sets Instal solusi perlindungan titik akhir pada Microsoft Azure Virtual Machine Scale Sets Anda untuk melindunginya dari ancaman dan kerentanan.
(Kebijakan terkait: Solusi perlindungan titik akhir harus diinstal pada Microsoft Azure Virtual Machine Scale Sets)
Tinggi
Pemantauan integritas file harus diaktifkan di komputer Defender untuk Cloud telah mengidentifikasi komputer yang tidak memiliki solusi pemantauan integritas file. Untuk memantau perubahan pada file penting, kunci registri, dan lainnya di server Anda, aktifkan pemantauan integritas file.
Saat solusi pemantauan integritas file diaktifkan, buat aturan pengumpulan data untuk menentukan file yang akan dipantau. Untuk menentukan aturan, atau melihat file yang diubah pada komputer dengan aturan yang ada, buka halaman pengelolaan pemantauan integritas file >
(Tidak ada kebijakan terkait)
Tinggi
Ekstensi Attestation tamu harus diinstal pada kumpulan skala komputer virtual yang didukung Linux Instal ekstensi Pengesahan Tamu pada virtual machine scale sets Linux yang didukung guna memungkinkan Microsoft Defender untuk Cloud secara proaktif membuktikan dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini hanya berlaku untuk set skala komputer virtual Linux yang diaktifkan peluncuran tepercaya.

Penting:
Peluncuran terpercaya membutuhkan pembuatan komputer virtual baru.
Anda tidak dapat mengaktifkan peluncuran terpercaya pada komputer virtual yang ada dan awalnya dibuat tanpanya.
Pelajari selengkapnya tentang Peluncuran tepercaya untuk mesin virtual Azure.
(Tidak ada kebijakan terkait)
Rendah
Ekstensi Pengesahan Tamu harus dipasang pada komputer virtual yang didukung Linux Instal ekstensi Pengesahan Tamu pada mesin virtual Linux yang didukung guna memungkinkan Microsoft Defender untuk Cloud secara proaktif membuktikan dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini hanya berlaku untuk komputer virtual Linux yang diaktifkan peluncuran tepercaya.

Penting:
Peluncuran terpercaya membutuhkan pembuatan komputer virtual baru.
Anda tidak dapat mengaktifkan peluncuran terpercaya pada komputer virtual yang ada dan awalnya dibuat tanpanya.
Pelajari selengkapnya tentang Peluncuran tepercaya untuk mesin virtual Azure.
(Tidak ada kebijakan terkait)
Rendah
Ekstensi Pengesahan Tamu harus diinstal pada kumpulan skala komputer virtual yang didukung Windows Instal ekstensi Pengesahan Tamu pada virtual machine scale sets yang didukung guna memungkinkan Microsoft Defender untuk Cloud secara proaktif membuktikan dan memantau integritas boot. Setelah diinstal, integritas boot akan dibuktikan melalui Pengesahan Jarak Jauh. Penilaian ini hanya berlaku untuk set skala komputer virtual yang diaktifkan peluncuran tepercaya.

Penting:
Peluncuran terpercaya membutuhkan pembuatan komputer virtual baru.
Anda tidak dapat mengaktifkan peluncuran terpercaya pada komputer virtual yang ada dan awalnya dibuat tanpanya.
Pelajari selengkapnya tentang Peluncuran tepercaya untuk mesin virtual Azure.
(Tidak ada kebijakan terkait)
Rendah
Ekstensi Pengesahan Tamu harus dipasang pada komputer virtual yang didukung Windows Instal ekstensi Pengesahan Tamu pada mesin virtual yang didukung guna memungkinkan Microsoft Defender untuk Cloud secara proaktif membuktikan dan memantau integritas boot. Setelah diinstal, integritas boot akan dibuktikan melalui Pengesahan Jarak Jauh. Penilaian ini hanya berlaku untuk komputer virtual yang diaktifkan peluncuran tepercaya.

Penting:
Peluncuran terpercaya membutuhkan pembuatan komputer virtual baru.
Anda tidak dapat mengaktifkan peluncuran terpercaya pada komputer virtual yang ada dan awalnya dibuat tanpanya.
Pelajari selengkapnya tentang Peluncuran tepercaya untuk mesin virtual Azure.
(Tidak ada kebijakan terkait)
Rendah
Ekstensi Konfigurasi Tamu harus diinstal di mesin Untuk memastikan konfigurasi yang aman dari pengaturan in-guest mesin Anda, instal ekstensi Guest Configuration. Pengaturan tamu yang dipantau ekstensi mencakup konfigurasi sistem operasi, konfigurasi atau keberadaan aplikasi, dan pengaturan lingkungan. Setelah diinstal, kebijakan tamu akan tersedia seperti 'Windows Exploit Guard harus diaktifkan'. Pelajari selengkapnya.
(Kebijakan terkait: Komputer virtual harus memiliki ekstensi Konfigurasi Tamu)
Medium
Menginstal solusi perlindungan titik akhir pada komputer virtual Instal solusi perlindungan titik akhir pada komputer virtual Anda, untuk melindunginya dari ancaman dan kerentanan.
(Kebijakan terkait: Memantau Perlindungan Titik Akhir yang tidak ada di Azure Security Center)
Tinggi
Komputer virtual Linux harus menerapkan validasi tanda tangan modul kernel Untuk membantu mengurangi eksekusi kode berbahaya atau tidak diizinkan dalam mode kernel, terapkan validasi tanda tangan modul kernel pada komputer virtual Linux yang didukung. Validasi tanda tangan modul kernel memastikan bahwa hanya modul kernel tepercaya yang diizinkan untuk dijalankan. Penilaian ini hanya berlaku untuk komputer virtual Linux yang diinstal Azure Monitor Agent.
(Tidak ada kebijakan terkait)
Rendah
Komputer virtual Linux hanya harus menggunakan komponen boot yang ditandatangani dan tepercaya Dengan Boot Aman diaktifkan, semua komponen boot OS (pemuat boot, kernel, driver kernel) harus ditandatangani oleh penerbit tepercaya. Defender untuk Cloud telah mengidentifikasi komponen boot OS yang tidak tepercaya pada satu atau beberapa mesin Linux Anda. Untuk melindungi mesin Anda dari komponen yang berpotensi berbahaya, tambahkan ke daftar yang diizinkan atau hapus komponen yang teridentifikasi.
(Tidak ada kebijakan terkait)
Rendah
Komputer virtual Linux harus menggunakan Boot Aman Untuk melindungi dari pemasangan rootkit dan boot kit berbasis malware, aktifkan Boot Aman pada komputer virtual Linux yang didukung. Boot Aman memastikan bahwa hanya sistem operasi dan driver yang ditandatangani yang diizinkan untuk dijalankan. Penilaian ini hanya berlaku untuk komputer virtual Linux yang diinstal Azure Monitor Agent.
(Tidak ada kebijakan terkait)
Rendah
Agen Analitik Log harus diinstal di mesin yang didukung Azure Arc berbasis Linux Defender untuk Cloud menggunakan agen Analitik Log (juga dikenal sebagai OMS) untuk mengumpulkan peristiwa keamanan dari mesin Azure Arc Anda. Untuk menyebarkan agen di semua komputer Azure Arc Anda, ikuti langkah-langkah remediasi.
(Tidak ada kebijakan terkait)
Tinggi
Agen Analitik Log harus diinstal pada virtual machine scale sets Defender untuk Cloud mengumpulkan data dari mesin virtual (VM) Azure Anda untuk memantau kerentanan dan ancaman keamanan. Data dikumpulkan menggunakan agen Analitik Log, sebelumnya dikenal sebagai Microsoft Monitoring Agent (MMA), yang membaca berbagai konfigurasi terkait keamanan dan log peristiwa dari komputer dan menyalin data ke ruang kerja Anda untuk analisis. Anda juga harus mengikuti prosedur tersebut jika komputer virtual Anda digunakan oleh layanan terkelola Azure seperti Azure Kubernetes Service atau Azure Service Fabric. Anda tidak dapat mengonfigurasi ketentuan otomatis agen untuk Microsoft Azure Virtual Machine Scale Sets. Untuk menyebarkan agen pada Microsoft Azure Virtual Machine Scale Sets (termasuk yang digunakan oleh layanan terkelola Azure seperti Azure Kubernetes Service dan Azure Service Fabric), ikuti prosedur dalam langkah-langkah remediasi.
(Kebijakan terkait: Agen Analitik Log harus diinstal pada Microsoft Azure Virtual Machine Scale Sets Anda untuk pemantauan Azure Security Center)
Tinggi
Agen Analitik Log harus diinstal di mesin virtual Defender untuk Cloud mengumpulkan data dari mesin virtual (VM) Azure Anda untuk memantau kerentanan dan ancaman keamanan. Data dikumpulkan menggunakan agen Analitik Log, sebelumnya dikenal sebagai Microsoft Monitoring Agent (MMA), yang membaca berbagai konfigurasi terkait keamanan dan log peristiwa dari komputer dan menyalin data ke ruang kerja Analitik Log Anda untuk analisis. Agen ini juga diperlukan jika Mesin Virtual Anda digunakan oleh layanan terkelola Azure seperti Azure Kubernetes Service atau Azure Service Fabric. Sebaiknya konfigurasikan provisi otomatis untuk menyebarkan agen secara otomatis. Jika memilih untuk tidak menggunakan penyediaan otomatis, terapkan agen secara manual ke komputer virtual Anda menggunakan petunjuk dalam langkah-langkah remediasi.
(Kebijakan terkait: Agen Analitik Log harus diinstal pada komputer virtual Anda untuk pemantauan Azure Security Center)
Tinggi
Agen Analitik Log harus diinstal pada mesin yang didukung Azure Arc berbasis Windows Defender untuk Cloud menggunakan agen Analitik Log (juga dikenal sebagai MMA) untuk mengumpulkan peristiwa keamanan dari mesin Azure Arc Anda. Untuk menyebarkan agen di semua komputer Azure Arc Anda, ikuti langkah-langkah remediasi.
(Tidak ada kebijakan terkait)
Tinggi
Mesin harus dikonfigurasi dengan aman Remediasi kerentanan dalam konfigurasi keamanan pada komputer Anda untuk melindunginya dari serangan.
(Kebijakan terkait: Kerentanan dalam konfigurasi keamanan pada komputer Anda harus diremediasi)
Rendah
Komputer harus dimulai ulang untuk menerapkan pembaruan konfigurasi keamanan Mulai ulang komputer Anda untuk menerapkan pembaruan konfigurasi keamanan guna melindungi terhadap kerentanan. Penilaian ini hanya berlaku untuk komputer virtual Linux yang diinstal Azure Monitor Agent.
(Tidak ada kebijakan terkait)
Rendah
Mesin harus memiliki solusi penilaian kerentanan Defender for Cloud secara teratur memeriksa mesin yang terhubung untuk memastikan mereka menjalankan alat penilaian kerentanan. Gunakan rekomendasi ini untuk menyebarkan solusi penilaian kerentanan.
(Kebijakan terkait: Solusi penilaian kerentanan harus diaktifkan pada komputer virtual Anda)
Medium
Mesin harus menyelesaikan temuan kerentanan Selesaikan temuan dari solusi penilaian kerentanan pada mesin virtual Anda.
(Kebijakan terkait: Solusi penilaian kerentanan harus diaktifkan pada komputer virtual Anda)
Rendah
Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time Defender untuk Cloud telah mengidentifikasi beberapa aturan masuk yang terlalu permisif untuk port manajemen di Kelompok Keamanan Jaringan Anda. Aktifkan kontrol akses just-in-time untuk melindungi VM Anda dari serangan brute force berbasis internet. Pelajari selengkapnya di Memahami akses Mesin Virtual just-in-time (JIT).
(Kebijakan terkait: Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time)
Tinggi
Microsoft Defender untuk server harus diaktifkan Microsoft Defender untuk server memberikan perlindungan ancaman real time untuk beban kerja server Anda dan menghasilkan rekomendasi penguatan serta peringatan tentang aktivitas yang mencurigakan.
Anda dapat menggunakan informasi ini untuk meremediasi masalah keamanan dengan cepat dan meningkatkan keamanan server Anda.

Penting: Meremediasi rekomendasi ini akan dikenakan biaya untuk melindungi server Anda. Jika Anda tidak memiliki server apa pun dalam langganan ini, tidak ada biaya yang akan dikenakan.
Jika Anda membuat server apa pun pada langganan ini di masa mendatang, server tersebut akan secara otomatis dilindungi dan tagihan akan dimulai pada saat itu.
Pelajari selengkapnya di Pengantar Microsoft Defender untuk server.
(Kebijakan terkait: Azure Defender untuk server harus diaktifkan)
Tinggi
Microsoft Defender untuk server harus diaktifkan di ruang kerja Microsoft Defender untuk server menyediakan deteksi ancaman dan pertahanan tingkat lanjut untuk mesin Windows dan Linux Anda.
Dengan paket Defender ini diaktifkan di langganan tetapi tidak di ruang kerja, Anda membayar kemampuan penuh Microsoft Defender untuk server tetapi kehilangan beberapa keuntungannya.
Saat Anda mengaktifkan Microsoft Defender untuk server di ruang kerja, semua mesin yang melaporkan ke ruang kerja tersebut akan ditagih untuk Microsoft Defender untuk server - bahkan jika mesin berlangganan tanpa mengaktifkan paket Defender. Kecuali Anda juga mengaktifkan Microsoft Defender untuk server pada langganan, mesin tersebut tidak akan dapat memanfaatkan akses Mesin Virtual just-in-time, kontrol aplikasi adaptif, dan deteksi jaringan untuk sumber daya Azure.
Pelajari selengkapnya di Pengantar Microsoft Defender untuk server.
(Tidak ada kebijakan terkait)
Medium
Menjalankan gambar kontainer akan menyelesaikan temuan kerentanan Penilaian kerentanan gambar kontainer memindai gambar kontainer yang berjalan di kluster Kubernetes Anda untuk kerentanan keamanan dan memperlihatkan temuan mendetail untuk setiap gambar. Menyelesaikan kerentanan dapat meningkatkan postur keamanan kontainer Anda dengan pesat dan melindunginya dari serangan.
(Tidak ada kebijakan terkait)
Tinggi
Boot aman harus diaktifkan pada komputer virtual yang didukung Windows Aktifkan Boot Aman pada komputer virtual Windows yang didukung untuk mengurangi perubahan berbahaya dan tidak sah pada rantai boot. Setelah diaktifkan, hanya bootloader tepercaya, kernel dan driver kernel yang akan diizinkan untuk dijalankan. Penilaian ini hanya berlaku untuk komputer virtual Windows yang diaktifkan dengan peluncuran tepercaya.

Penting:
Peluncuran terpercaya membutuhkan pembuatan komputer virtual baru.
Anda tidak dapat mengaktifkan peluncuran terpercaya pada komputer virtual yang ada dan awalnya dibuat tanpanya.
Pelajari selengkapnya tentang Peluncuran tepercaya untuk mesin virtual Azure..
(Tidak ada kebijakan terkait)
Rendah
Kluster Service Fabric harus memiliki properti ClusterProtectionLevel yang disetel ke EncryptAndSign Service Fabric menyediakan tiga tingkat perlindungan (None, Sign, dan EncryptAndSign) untuk komunikasi node-to-node menggunakan sertifikat kluster utama. Tetapkan tingkat perlindungan untuk memastikan bahwa semua pesan antar node dienkripsi dan ditandatangani secara digital.
(Kebijakan terkait: Kluster Service Fabric harus memiliki properti ClusterProtectionLevel yang ditetapkan ke EncryptAndSign)
Tinggi
Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien Menjalankan autentikasi Klien hanya melalui Azure Active Directory di Service Fabric
(Kebijakan terkait: Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien)
Tinggi
Pembaruan sistem pada set skala komputer virtual harus dipasang Instal keamanan sistem dan pembaruan penting yang belum ada untuk melindungi Windows dan Microsoft Azure Virtual Machine Scale Sets Anda.
(Kebijakan terkait: Pembaruan sistem pada Microsoft Azure Virtual Machine Scale Sets harus diinstal)
Tinggi
Pembaruan sistem harus dipasang di komputer Anda Instal keamanan sistem yang tidak ada dan pembaruan penting untuk mengamankan komputer virtual Windows dan Linux Anda
(Kebijakan terkait: Pembaruan sistem harus diinstal pada komputer Anda)
Tinggi
Pembaruan sistem harus diinstal pada komputer Anda (didukung oleh Pusat Pembaruan) Komputer Anda tidak memiliki sistem, keamanan, dan pembaruan penting. Pembaruan perangkat lunak sering menyertakan patch penting pada lubang keamanan. Lubang semacam itu sering dieksploitasi dalam serangan malware sehingga sangat penting untuk memperbarui perangkat lunak Anda. Untuk menginstal semua tambalan yang luar biasa dan mengamankan komputer Anda, ikuti langkah-langkah remediasi.
(Tidak ada kebijakan terkait)
Tinggi
Virtual machine scale sets harus dikonfigurasi dengan aman Remediasi kerentanan pada konfigurasi keamanan di Microsoft Azure Virtual Machine Scale Sets Anda untuk melindunginya dari serangan.
(Kebijakan terkait: Kerentanan dalam konfigurasi keamanan di Microsoft Azure Virtual Machine Scale Sets Anda harus diremediasi)
Tinggi
Status pengesahan tamu komputer virtual harus dalam keadaan sehat Pengesahan tamu dilakukan dengan mengirim log tepercaya (TCGLog) ke server pengesahan. Server menggunakan log ini untuk menentukan apakah komponen boot dapat dipercaya. Penilaian ini dimaksudkan untuk mendeteksi kompromi rantai boot yang mungkin merupakan hasil dari infeksi bootkit atau rootkit.
Penilaian ini hanya berlaku untuk Peluncuran Tepercaya yang diaktifkan pada komputer virtual dengan ekstensi Pengesahan Tamu terinstal.
(Tidak ada kebijakan terkait)
Medium
Ekstensi Konfigurasi Tamu komputer virtual harus diterapkan dengan identitas terkelola yang ditetapkan sistem Ekstensi Konfigurasi Tamu memerlukan identitas terkelola yang ditetapkan sistem. Komputer virtual Azure dalam lingkup kebijakan ini tidak kompatibel ketika mereka memiliki ekstensi Konfigurasi Tamu yang diinstal tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Pelajari lebih lanjut
(Kebijakan terkait: Ekstensi Konfigurasi Tamu harus disebarkan ke komputer virtual Azure dengan identitas terkelola yang ditetapkan sistem)
Medium
Komputer virtual harus dimigrasikan ke sumber daya Azure Resource Manager baru Komputer Virtual (klasik) tidak digunakan lagi dan komputer virtual ini harus dimigrasikan ke Azure Resource Manager.
Karena Azure Resource Manager sekarang memiliki kemampuan IaaS penuh dan kemajuan lainnya, kami menghentikan pengelolaan komputer virtual (VM) IaaS melalui Azure Service Manager (ASM) pada 28 Februari 2020. Fungsi ini akan sepenuhnya dihentikan pada 1 Maret 2023.

Untuk melihat semua Mesin Virtual klasik yang terpengaruh, pastikan untuk memilih semua langganan Azure Anda di bawah tab 'direktori + langganan'.

Sumber daya dan informasi yang tersedia tentang migrasi & alat ini:
Gambaran umum penghentian Mesin virtual (klasik), proses langkah demi langkah untuk migrasi & sumber daya Microsoft yang tersedia.
Detail tentang Migrasi ke alat migrasi Azure Resource Manager.
Migrasi ke alat migrasi Azure Resource Manager menggunakan PowerShell.
(Kebijakan terkait: Komputer virtual harus dimigrasikan ke sumber daya Azure Resource Manager baru)
Tinggi
Komputer virtual harus mengenkripsi disk sementara, cache, serta aliran data antara sumber daya Komputasi dan Penyimpanan Secara default, OS komputer virtual dan disk data dienkripsi saat tidak aktif menggunakan kunci yang dikelola platform;
disk sementara dan cache data tidak dienkripsi, dan data tidak dienkripsi saat mengalir di antara sumber daya komputasi dan penyimpanan.
Untuk perbandingan berbagai teknologi enkripsi disk di Azure, lihat https://aka.ms/diskencryptioncomparison.
Gunakan Azure Disk Encryption untuk mengenkripsi semua data ini.
Abaikan rekomendasi ini jika:
1. Anda menggunakan fitur encryption-at-host, atau 2. Enkripsi sisi server pada Disk Terkelola memenuhi persyaratan keamanan Anda.
Pelajari selengkapnya di Enkripsi sisi server Penyimpanan Disk Azure.
(Kebijakan terkait: Enkripsi disk harus diterapkan pada komputer virtual)
Tinggi
vTPM harus diaktifkan pada komputer virtual yang didukung Aktifkan perangkat TPM virtual pada komputer virtual yang didukung untuk memfasilitasi Boot Terukur dan fitur keamanan OS lainnya yang memerlukan TPM. Setelah diaktifkan, vTPM dapat digunakan untuk mengesahkan integritas boot. Penilaian ini hanya berlaku untuk komputer virtual yang diaktifkan peluncuran tepercaya.

Penting:
Peluncuran terpercaya membutuhkan pembuatan komputer virtual baru.
Anda tidak dapat mengaktifkan peluncuran terpercaya pada komputer virtual yang ada dan awalnya dibuat tanpanya.
Pelajari selengkapnya tentang Peluncuran tepercaya untuk mesin virtual Azure.
(Tidak ada kebijakan terkait)
Rendah
Kerentanan dalam konfigurasi keamanan di komputer Linux Anda harus diremediasi (didukung oleh Konfigurasi Tamu) Remediasi kerentanan di konfigurasi keamanan pada komputer Linux Anda untuk melindunginya dari serangan.
(Kebijakan terkait: Komputer Linux harus memenuhi persyaratan acuan dasar keamanan Azure)
Rendah
Kerentanan dalam konfigurasi keamanan pada komputer Windows Anda harus diremediasi (didukung oleh Konfigurasi Tamu) Remediasi kerentanan dalam konfigurasi keamanan pada komputer Windows Anda untuk melindunginya dari serangan.
(Tidak ada kebijakan terkait)
Rendah
Windows Defender Exploit Guard harus diaktifkan pada mesin Windows Defender Exploit Guard menggunakan agen Konfigurasi Tamu Azure Policy. Exploit Guard memiliki empat komponen yang dirancang untuk mengunci perangkat dari berbagai vektor serangan dan memblokir perilaku yang biasa digunakan dalam serangan malware sekaligus memungkinkan perusahaan untuk menyeimbangkan risiko keamanan dan persyaratan produktivitas (khusus Windows).
(Kebijakan terkait: Mengaudit komputer Windows yang tidak mengaktifkan Windows Defender Exploit Guard)
Medium
Server web Windows harus dikonfigurasi untuk menggunakan protokol komunikasi yang aman Untuk melindungi privasi informasi yang dikomunikasikan melalui Internet, server web Anda harus menggunakan versi terbaru dari protokol kriptografi standar industri, Transport Layer Security (TLS). TLS mengamankan komunikasi melalui jaringan dengan menggunakan sertifikat keamanan untuk mengenkripsi koneksi antar komputer.
(Kebijakan terkait: Mengaudit server web Windows yang tidak menggunakan protokol komunikasi aman)
Tinggi

Rekomendasi kontainer

Ada 27 rekomendasi dalam kategori ini.

Rekomendasi Deskripsi Tingkat keparahan
[Aktifkan jika diperlukan] Registri kontainer harus dienkripsi dengan kunci yang dikelola pelanggan (CMK) Rekomendasi untuk menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default tetapi dapat diaktifkan untuk skenario yang sesuai. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan.
Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan.
Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi tidak aktif di seluruh isi disk terkelola Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan. Namun, kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. CMK memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh terhadap siklus hidup kunci, termasuk perputaran dan manajemennya. Pelajari lebih lanjut tentang enkripsi CMK di https://aka.ms/acr/CMK.
(Kebijakan terkait: Registri kontainer harus dienkripsi dengan kunci yang dikelola pelanggan (CMK))
Rendah
Kluster Kubernetes yang didukung Azure Arc harus memiliki ekstensi Azure Policy yang diinstal Ekstensi Azure Policy untuk Kubernetes memperluas Gatekeeper v3, webhook pengendali admisi untuk Open Policy Agent (OPA), guna menerapkan penerapan dan pengamanan skala besar pada kluster Anda secara terpusat dan konsisten.
(Tidak ada kebijakan terkait)
Tinggi
Kluster Kubernetes yang didukung Azure Arc harus menginstal ekstensi Defender Ekstensi Defender untuk Azure Arc memberikan perlindungan ancaman untuk kluster Kubernetes Anda yang didukung Arc. Ekstensi mengumpulkan data dari semua node sarana kontrol (master) di kluster dan mengirimkan data ke backend Microsoft Defender untuk Kubernetes di cloud untuk analisis lebih lanjut. Pelajari selengkapnya.
(Tidak ada kebijakan terkait)
Tinggi
Kluster Azure Kubernetes Service harus menginstal add-on Azure Policy untuk Kubernetes Add-on Azure Policy untuk Kubernetes memperluas Gatekeeper v3, webhook pengendali admisi untuk Open Policy Agent (OPA), guna menerapkan penerapan dan pengamanan skala besar pada kluster Anda secara terpusat dan konsisten.

Defender untuk Cloud memerlukan Add-on untuk mengaudit dan menerapkan kemampuan dan kepatuhan keamanan di dalam kluster Anda. Pelajari selengkapnya.

Memerlukan Kubernetes v1.14.0 atau yang lebih baru.


(Kebijakan terkait: Add-on Azure Policy untuk layanan Kubernetes (AKS) harus diinstal dan diaktifkan di kluster Anda)
Tinggi
CPU kontainer dan batas memori harus diberlakukan Memberlakukan batas CPU dan memori mencegah serangan kelelahan sumber daya (bentuk penolakan serangan layanan).

Sebaiknya atur batas kontainer untuk memastikan runtime mencegah kontainer menggunakan lebih dari batas sumber daya yang dikonfigurasi.


(Kebijakan terkait: Memastikan batas CPU kontainer dan sumber daya memori tidak melebihi batas yang ditentukan dalam kluster Kubernetes)
Medium
Citra kontainer harus disebarkan hanya dari registri tepercaya Citra yang berjalan pada kluster Kubernetes harus berasal dari registri citra kontainer yang dikenal dan dipantau. Registri tepercaya mengurangi risiko paparan kluster Anda dengan membatasi potensi adanya kerentanan yang tidak diketahui, masalah keamanan, dan citra berbahaya.
(Kebijakan terkait: Memastikan hanya citra kontainer yang diizinkan yang ada dalam kluster Kubernetes)
Tinggi
Registri kontainer tidak boleh mengizinkan akses jaringan yang tidak terbatas Azure container registry secara default menerima koneksi melalui internet dari host di jaringan apa pun. Untuk melindungi registry Anda dari potensi ancaman, izinkan akses hanya dari alamat IP publik atau rentang alamat tertentu. Jika registri Anda tidak memiliki aturan IP/firewall atau jaringan virtual yang dikonfigurasi, registri tersebut akan muncul di sumber daya yang tidak sehat. Pelajari selengkapnya tentang aturan jaringan Container Registry di sini: https://aka.ms/acr/portal/public-network dan di sini https://aka.ms/acr/vnet.
(Kebijakan terkait: Registri kontainer tidak boleh mengizinkan akses jaringan yang tidak dibatasi)
Medium
Registri kontainer harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke registri kontainer dan bukan ke seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/acr/private-link.
(Kebijakan terkait: Registri kontainer harus menggunakan tautan pribadi)
Medium
Gambar registri kontainer harus menyelesaikan temuan kerentanan Penilaian kerentanan citra kontainer memindai registri Anda dari kerentanan keamanan dan memaparkan temuan terperinci untuk setiap citra. Menyelesaikan kerentanan dapat meningkatkan postur keamanan kontainer Anda dengan pesat dan melindunginya dari serangan.
(Kebijakan terkait: Kerentanan dalam citra Azure Container Registry harus diperbaiki)
Tinggi
Kontainer dengan eskalasi hak istimewa harus dihindari Kontainer tidak boleh berjalan dengan eskalasi hak istimewa berakar di kluster Kubernetes Anda.
Atribut AllowPrivilegeEscalation mengontrol jika suatu proses dapat memperoleh lebih banyak hak istimewa daripada proses induknya.
(Kebijakan terkait: Kluster Kubernetes tidak boleh mengizinkan eskalasi hak istimewa kontainer)
Medium
Kontainer yang berbagi namespace layanan host yang sensitif harus dihindari Untuk melindungi dari eskalasi hak istimewa di luar kontainer, hindari akses pod ke namespace layanan host yang sensitif (ID proses host dan IPC host) dalam kluster Kubernetes.
(Kebijakan terkait: Kontainer kluster Kubernetes tidak boleh berbagi ID proses host atau namespace layanan IPC host)
Medium
Kontainer hanya boleh menggunakan profil AppArmor yang diizinkan Kontainer yang berjalan di kluster Kubernetes harus dibatasi hanya untuk profil AppArmor yang diizinkan.
; AppArmor (Application Armor) adalah modul keamanan Linux yang melindungi sistem operasi dan aplikasinya dari ancaman keamanan. Untuk menggunakannya, administrator sistem mengaitkan profil keamanan AppArmor dengan setiap program.
(Kebijakan terkait: Kontainer kluster Kubernetes hanya boleh menggunakan profil AppArmor yang diizinkan)
Tinggi
Sistem file akar yang tidak dapat diubah (baca-saja) harus diberlakukan untuk kontainer Kontainer harus dijalankan dengan sistem file akar baca saja di kluster Kubernetes Anda. Sistem file yang tidak dapat diubah melindungi kontainer dari perubahan pada run-time dengan biner berbahaya ditambahkan ke PATH.
(Kebijakan terkait: Kontainer kluster Kubernetes harus berjalan dengan sistem file akar baca saja)
Medium
Server API Kube harus dikonfigurasi dengan akses terbatas Untuk memastikan bahwa hanya aplikasi dari jaringan, komputer, atau subnet yang diizinkan yang dapat mengakses kluster, batasi akses ke server API Kube. Anda dapat membatasi akses dengan menentukan rentang IP yang diizinkan, atau dengan menyiapkan server API Anda sebagai kluster privat seperti yang dijelaskan diMembuat kluster Azure Kubernetes Service privat.
(Kebijakan terkait: Rentang IP yang diotorisasi harus ditentukan pada Layanan Kubernetes)
Tinggi
Cluster Kubernetes hanya dapat diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Kemampuan ini saat ini tersedia secara umum untuk Kubernetes Service (AKS), dan dalam pratinjau untuk Kube berkemampuan AKS Engine dan Azure Arc. Untuk info selengkapnya, kunjungi https://aka.ms/kubepolicydoc
(Kebijakan terkait: Memberlakukan HTTPS ingress di kluster Kubernetes)
Tinggi
Kluster Kube harus menonaktifkan pemasangan otomatis info masuk API Nonaktifkan pemasangan otomatis info masuk API untuk mencegah sumber daya Pod yang berpotensi disusupi untuk menjalankan perintah API terhadap kluster Kube. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.
(Kebijakan terkait: Kluster Kube harus menonaktifkan pemasangan otomatis info masuk API)
Tinggi
Kluster Kubernetes harus menjadi gerbang penyebaran gambar yang rentan Lindungi kluster Kubernetes dan beban kerja kontainer Anda dari potensi ancaman dengan membatasi penyebaran gambar kontainer dengan komponen perangkat lunak yang rentan. Gunakan Pemindaian CI/CD Defender untuk Cloud dan Microsoft Defender untuk registri kontainer untuk mengidentifikasi dan menambal kerentanan sebelum penyebaran.
Prasyarat evaluasi: Add-on/ekstensi kebijakan Azure dan profil/ekstensi Defender.
Hanya berlaku untuk pelanggan pratinjau pribadi.
(Tidak ada kebijakan terkait)
Tinggi
Kluster Kubernetes tidak boleh memberi kemampuan keamanan CAPSYSADMIN Untuk mengurangi permukaan serangan kontainer Anda, batasi kemampuan CAP_SYS_ADMIN Linux. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.
(Tidak ada kebijakan terkait)
Tinggi
Kluster Kube tidak boleh menggunakan namespace layanan default Cegah penggunaan namespace layanan default di kluster Kube untuk melindungi akses tidak sah untuk jenis sumber daya ConfigMap, Pod, Secret, Service, dan ServiceAccount. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc.
(Kebijakan terkait: Kluster Kube tidak boleh menggunakan namespace layanan default)
Rendah
Kemampuan Linux dengan hak istimewa paling rendah harus diberlakukan untuk kontainer Untuk mengurangi permukaan serangan kontainer Anda, batasi kemampuan Linux dan berikan hak istimewa khusus untuk kontainer tanpa memberikan semua hak istimewa pengguna akar. Kami menyarankan untuk melepaskan semua kemampuan lalu menambahkan kemampuan yang diperlukan
(Kebijakan terkait: Kontainer kluster Kubernetes hanya dapat menggunakan kemampuan yang diizinkan)
Medium
Pertahanan Microsoft untuk Kontainer harus diaktifkan Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda.
Anda dapat menggunakan informasi ini untuk memperbaiki masalah keamanan dengan cepat dan meningkatkan keamanan server Anda.

Penting: Memperbaiki rekomendasi ini akan dikenakan biaya untuk melindungi server Anda. Jika Anda tidak memiliki server apa pun dalam langganan ini, tidak ada biaya yang akan dikenakan.
Jika Anda membuat kluster Kubernetes apa pun pada langganan ini di masa mendatang, server tersebut akan secara otomatis dilindungi dan tagihan akan dimulai pada saat itu.
Pelajari selengkapnya di Pengantar Microsoft Defender untuk Kontainer.
(Tidak ada kebijakan terkait)
Tinggi
Kontainer dengan hak istimewa harus dihindari Untuk mencegah akses host yang tidak dibatasi, hindari kontainer hak istimewa jika memungkinkan.

Kontainer hak istimewa memiliki semua kemampuan akar dari mesin host. Mereka dapat digunakan sebagai titik masuk untuk serangan dan menyebarkan kode berbahaya atau malware ke aplikasi, host, dan jaringan yang disusupi.


(Kebijakan terkait: Jangan izinkan kontainer dengan hak istimewa di kluster Kubernetes)
Medium
Kontrol Akses Berbasis Peran harus digunakan di Layanan Kubernetes Untuk memberikan pemfilteran terperinci pada tindakan yang dapat dilakukan pengguna, gunakan Kontrol Akses Berbasis Peran (RBAC) untuk mengelola izin di Kluster Layanan Kubernetes dan mengonfigurasi kebijakan otorisasi yang relevan. Untuk mengetahui informasi selengkapnya, lihat Kontrol akses berbasis peran Azure.
(Kebijakan terkait: Kontrol Akses Berbasis Peran (RBAC) harus digunakan di Layanan Kubernetes)
Tinggi
Menjalankan kontainer sebagai pengguna akar harus dihindari Kontainer tidak boleh berjalan sebagai pengguna akar di kluster Kubernetes. Menjalankan proses sebagai pengguna akar di dalam kontainer juga akan menjalankannya sebagai akar di host. Jika ada gangguan, penyerang memiliki akar dalam kontainer dan kesalahan konfigurasi menjadi lebih mudah untuk dieksploitasi.
(Kebijakan terkait: Pod dan kontainer kluster Kubernetes hanya dapat dijalankan dengan ID pengguna dan grup yang disetujui)
Tinggi
Layanan hanya mendengarkan pada port yang diizinkan Untuk mengurangi permukaan serangan kluster Kubernetes Anda, batasi akses ke kluster dengan membatasi akses layanan ke port yang dikonfigurasi.
(Kebijakan terkait: Memastikan layanan hanya mendengarkan pada port yang diizinkan di kluster Kubernetes)
Medium
Penggunaan jaringan dan port host harus dibatasi Batasi akses pod ke jaringan host dan jangkauan port host yang diperbolehkan dalam kluster Kubernetes. Pod yang dibuat dengan atribut hostNetwork yang diaktifkan akan berbagi ruang jaringan node. Untuk menghindari kontainer yang disusupi dari mengendus lalu lintas jaringan, kami sarankan untuk tidak menempatkan pod di jaringan host. Jika Anda harus mengekspos port kontainer pada jaringan node dan menggunakan port node Layanan Kubernetes tidak memenuhi kebutuhan ini, hal lain yang dapat Anda lakukan adalah menentukan hostPort untuk kontainer dalam spesifikasi pod.
(Kebijakan terkait: Pod kluster Kubernetes hanya dapat menggunakan jaringan host dan rentang port yang disetujui)
Medium
Penggunaan pemasangan volume HostPath pod harus dibatasi hingga daftar yang diketahui untuk membatasi akses node dari kontainer yang mengalami gangguan Sebaiknya batasi volume pod HostPath pada kluster Kubernetes ke jalur host yang dikonfigurasi dan diizinkan. Jika terdapat gangguan, akses node kontainer dari kontainer harus dibatasi.
(Kebijakan terkait: Volume hostPath pod kluster Kubernetes hanya boleh menggunakan jalur host yang diizinkan)
Medium

Rekomendasi Data

Ada 78 rekomendasi dalam kategori ini.

Rekomendasi Deskripsi Tingkat keparahan
[Aktifkan jika diperlukan] Akun Azure Cosmos DB harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif Rekomendasi untuk menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default tetapi dapat diaktifkan untuk skenario yang sesuai. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan.
Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan.
Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari Azure Cosmos DB Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan. Namun, kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. CMK memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh terhadap siklus hidup kunci, termasuk perputaran dan manajemennya. Pelajari lebih lanjut tentang enkripsi CMK di https://aka.ms/cosmosdb-cmk.
(Kebijakan terkait: Akun Azure Cosmos DB harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif)
Rendah
[Aktifkan jika diperlukan] Ruang kerja Azure Machine Learning harus dienkripsi dengan kunci yang dikelola pelanggan (CMK) Rekomendasi untuk menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default tetapi dapat diaktifkan untuk skenario yang sesuai. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan.
Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan.
Kelola enkripsi di seluruh data ruang kerja Azure Machine Learning Anda dengan kunci yang dikelola pelanggan. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi CMK umumnya diperlukan untuk memenuhi standar kepatuhan peraturan. CMK memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh terhadap siklus hidup kunci, termasuk perputaran dan manajemennya. Pelajari lebih lanjut tentang enkripsi CMK di https://aka.ms/azureml-workspaces-cmk.
(Kebijakan terkait: Ruang kerja Azure Machine Learning harus dienkripsi dengan kunci yang dikelola pelanggan (CMK))
Rendah
[Aktifkan jika diperlukan] Akun Cognitive Services harus mengaktifkan enkripsi data dengan kunci yang dikelola pelanggan (CMK) Rekomendasi untuk menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default tetapi dapat diaktifkan untuk skenario yang sesuai. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan.
Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan.
Kunci yang dikelola pelanggan (CMK) umumnya dibutuhkan untuk memenuhi standar kepatuhan terhadap peraturan. CMK memungkinkan data yang tersimpan di Cognitive Services terenskripsi dengan kunci Azure Key Vault yang Anda buat dan miliki. Anda memiliki kontrol dan tanggung jawab penuh terhadap siklus hidup kunci, termasuk perputaran dan manajemennya. Pelajari lebih lanjut tentang enkripsi CMK di https://aka.ms/cosmosdb-cmk.
(Kebijakan terkait: Akun Cognitive Services harus mengaktifkan enkripsi data dengan kunci yang dikelola pelanggan?(CMK))
Rendah
[Aktifkan jika diperlukan] Server MySQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif Rekomendasi untuk menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default tetapi dapat diaktifkan untuk skenario yang sesuai. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan.
Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan.
Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari server MySQL Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan. Namun, kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. CMK memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh terhadap siklus hidup kunci, termasuk perputaran dan manajemennya.
(Kebijakan terkait: Perlindungan data Bring Your Own Key harus diaktifkan untuk server MySQL)
Rendah
[Aktifkan jika diperlukan] Server PostgreSQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif Rekomendasi untuk menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default tetapi dapat diaktifkan untuk skenario yang sesuai. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan.
Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan.
Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari server PostgreSQL Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan. Namun, kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. CMK memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh terhadap siklus hidup kunci, termasuk perputaran dan manajemennya.
(Kebijakan terkait: Perlindungan data Bring Your Own Key harus diaktifkan untuk server PostgreSQL)
Rendah
[Aktifkan jika diperlukan] Instans terkelola SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif Rekomendasi untuk menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default tetapi dapat diaktifkan untuk skenario yang sesuai. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan.
Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan.
Implementasi Enkripsi Data Transparan (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait.
(Kebijakan terkait: Instans yang dikelola SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif)
Rendah
[Aktifkan jika diperlukan] Server SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif Rekomendasi untuk menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default tetapi dapat diaktifkan untuk skenario yang sesuai. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan.
Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan.
Implementasi Transparent Data Encryption (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait.
(Kebijakan terkait: Server SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif)
Rendah
[Aktifkan jika diperlukan] Akun penyimpanan harus menggunakan kunci yang dikelola pelanggan (CMK) untuk enkripsi Rekomendasi untuk menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default tetapi dapat diaktifkan untuk skenario yang sesuai. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan.
Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan.
Amankan akun penyimpanan Anda dengan fleksibilitas yang lebih besar menggunakan kunci yang dikelola pelanggan (CMK). Saat Anda menentukan CMK, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Menggunakan CMK menyediakan kemampuan tambahan untuk mengontrol rotasi kunci enkripsi utama atau menghapus data secara kriptografis.
(Kebijakan terkait: Akun penyimpanan harus menggunakan kunci yang dikelola pelanggan (CMK) untuk enkripsi)
Rendah
Semua jenis perlindungan ancaman tingkat lanjut harus diaktifkan dalam pengaturan keamanan data tingkat lanjut instans terkelola Bahasa Permintaan Terstruktur Disarankan untuk mengaktifkan semua jenis perlindungan ancaman lanjutan pada instans terkelola SQL Anda. Mengaktifkan semua jenis melindungi terhadap injeksi SQL, kerentanan database, dan aktivitas anomali lainnya.
(Tidak ada kebijakan terkait)
Medium
Semua jenis perlindungan terhadap ancaman tingkat lanjut harus diatur dalam pengaturan keamanan data tingkat lanjut server SQL Disarankan untuk mengaktifkan semua jenis perlindungan ancaman lanjutan di server SQL Anda. Mengaktifkan semua jenis melindungi terhadap injeksi SQL, kerentanan database, dan aktivitas anomali lainnya.
(Tidak ada kebijakan terkait)
Medium
Layanan API Management harus menggunakan jaringan virtual Penyebaran Azure Virtual Network memberikan keamanan yang ditingkatkan, isolasi dan memungkinkan Anda untuk menempatkan layanan API Management Anda di jaringan non-internet routable yang Anda kontrol aksesnya. Jaringan ini kemudian dapat dihubungkan ke jaringan lokal Anda menggunakan berbagai teknologi VPN, yang memungkinkan akses ke layanan backend Anda dalam jaringan dan/atau lokal. Portal pengembang dan gateway API, dapat dikonfigurasi agar dapat diakses baik dari Internet atau hanya dalam jaringan virtual.
(Kebijakan terkait: Layanan API Management harus menggunakan jaringan virtual)
Medium
Azure App Configuration harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke instans konfigurasi aplikasi Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/appconfig/private-endpoint.
(Kebijakan terkait: Azure App Configuration harus menggunakan tautan privat)
Medium
Retensi audit untuk server SQL harus diatur ke minimal 90 hari Audit server SQL yang dikonfigurasi dengan periode retensi audit kurang dari 90 hari.
(Kebijakan terkait: Server SQL harus dikonfigurasi dengan retensi audit 90 hari atau lebih tinggi.)
Rendah
Pengauditan di server SQL harus diaktifkan Aktifkan pengauditan di SQL Server Anda untuk melacak aktivitas database di seluruh database di server dan menyimpannya dalam log audit.
(Kebijakan terkait: Pengauditan di server SQL harus diaktifkan)
Rendah
Provisi otomatis agen Analitik Log harus diaktifkan pada langganan Untuk memantau kerentanan dan ancaman keamanan, Microsoft Defender untuk Cloud mengumpulkan data dari mesin virtual Azure Anda. Data dikumpulkan oleh agen Log Analytics, sebelumnya dikenal sebagai Microsoft Monitoring Agent (MMA), yang membaca berbagai konfigurasi terkait keamanan dan log peristiwa dari komputer dan menyalin data ke ruang kerja Log Analytics Anda untuk analisis. Sebaiknya aktifkan penyediaan otomatis untuk menerapkan agen secara otomatis ke semua Azure VM yang didukung dan yang baru yang dibuat.
(Kebijakan terkait: Provisi otomatis agen Analitik Log harus diaktifkan di langganan Anda)
Rendah
Azure Cache for Redis harus berada dalam jaringan virtual Penerapan Azure Virtual Network (VNet) menyediakan keamanan dan isolasi yang ditingkatkan untuk Azure Cache for Redis, serta subnet, kebijakan kontrol akses, dan fitur lainnya untuk membatasi akses lebih lanjut. Ketika instans Azure Cache for Redis dikonfigurasi dengan VNet, instans tersebut tidak dapat diatasi secara publik dan hanya dapat diakses dari mesin dan aplikasi virtual dalam VNet.
(Kebijakan terkait: Azure Cache for Redis harus berada dalam jaringan virtual)
Medium
Akun Azure Cosmos DB harus memiliki aturan firewall Aturan firewall harus ditentukan di akun Azure Cosmos DB Anda untuk mencegah lalu lintas dari sumber yang tidak sah. Akun yang memiliki setidaknya satu aturan IP yang ditentukan dengan filter jaringan virtual diaktifkan dianggap sesuai. Akun yang menonaktifkan akses publik juga dianggap patuh.
(Kebijakan terkait: Akun Azure Cosmos DB harus memiliki aturan firewall)
Medium
Temuan postur keamanan Azure DevOps harus diselesaikan Pemeriksaan postur keamanan Defender untuk DevOps membantu Anda menjaga artefak ADO seperti berbagai pengaturan organisasi/proyek, konfigurasi build/rilis, koneksi layanan, kumpulan agen, dll., tetap terkonfigurasi dengan aman.
(Tidak ada kebijakan terkait)
Medium
Domain Azure Event Grid harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke domain Event Grid, bukan seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints.
(Kebijakan terkait: Domain Azure Event Grid harus menggunakan tautan privat)
Medium
Topik Azure Event Grid harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke topik Anda, bukan ke seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints.
(Kebijakan terkait: Topik Azure Event Grid harus menggunakan tautan privat)
Medium
Kluster Azure Kubernetes Service harus mengaktifkan profil Defender Microsoft Defender untuk Kontainer menyediakan kemampuan keamanan Kubernetes cloud-native termasuk penguatan lingkungan, perlindungan beban kerja, dan perlindungan run-time.
Saat mengaktifkan profil SecurityProfile.AzureDefender di kluster Azure Kubernetes Service Anda, agen disebarkan ke kluster Anda untuk mengumpulkan data peristiwa keamanan.
Pelajari selengkapnya di Pengantar Microsoft Defender untuk Kontainer.
(Tidak ada kebijakan terkait)
Tinggi
Ruang kerja Azure Machine Learning harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke ruang kerja Azure Machine Learning, bukan seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/azureml-workspaces-privatelink.
(Kebijakan terkait: Ruang kerja Azure Machine Learning harus menggunakan tautan privat)
Medium
Layanan Azure SignalR harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke sumber daya SignalR Anda daripada seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/asrs/privatelink.
(Kebijakan terkait: Azure SignalR Service harus menggunakan tautan pribadi)
Medium
Azure Spring Cloud harus menggunakan injeksi jaringan Instans Azure Spring Cloud harus menggunakan injeksi jaringan virtual untuk tujuan berikut: 1. Pisahkan Azure Spring Cloud dari Internet. 2. Aktifkan Azure Spring Cloud untuk berinteraksi dengan sistem baik di pusat data lokal atau layanan Azure di jaringan virtual lainnya. 3. Berdayakan pelanggan untuk mengontrol komunikasi jaringan masuk dan keluar untuk Azure Spring Cloud.
(Kebijakan terkait: Azure Spring Cloud harus menggunakan injeksi jaringan)
Medium
Repositori kode harus memiliki temuan pemindaian kode yang diselesaikan Defender untuk DevOps telah menemukan kerentanan dalam repositori kode. Untuk meningkatkan postur keamanan repositori, sangat disarankan untuk meremediasi kerentanan ini.
(Tidak ada kebijakan terkait)
Medium
Repositori kode harus menyelesaikan temuan pemindaian Dependabot Defender untuk DevOps telah menemukan kerentanan dalam repositori kode. Untuk meningkatkan postur keamanan repositori, sangat disarankan untuk meremediasi kerentanan ini.
(Tidak ada kebijakan terkait)
Medium
Repositori kode harus menyelesaikan temuan pemindaian kode sebagai infrastruktur Defender untuk DevOps telah menemukan masalah konfigurasi keamanan kode sebagai infrastruktur di repositori. Masalah yang ditunjukkan di bawah ini telah terdeteksi di file templat. Untuk meningkatkan postur keamanan sumber daya cloud terkait, sangat disarankan untuk meremediasi masalah tersebut.
(Tidak ada kebijakan terkait)
Medium
Repositori kode harus menyelesaikan temuan pemindaian rahasia Defender untuk DevOps telah menemukan rahasia dalam repositori kode. Hal ini harus segera diremediasi untuk mencegah pelanggaran keamanan. Rahasia yang ditemukan di repositori dapat bocor atau ditemukan oleh musuh, sehingga menyebabkan bahaya pada aplikasi atau layanan. Untuk Azure DevOps, alat CredScan DevOps Microsoft Security hanya memindai build yang telah dikonfigurasi untuk dijalankan. Oleh karena itu, hasil mungkin tidak mencerminkan status lengkap rahasia di repositori Anda.
(Tidak ada kebijakan terkait)
Tinggi
Akun Cognitive Services harus mengaktifkan enkripsi data Kebijakan ini mengaudit akun Azure Cognitive Services apa pun yang tidak menggunakan enkripsi data. Untuk setiap akun Azure Cognitive Services dengan penyimpanan, harus mengaktifkan enkripsi data dengan kunci yang dikelola pelanggan atau Microsoft.
(Kebijakan terkait: Akun Azure Cognitive Services harus mengaktifkan enkripsi data)
Rendah
Akun Azure Cognitive Services harus membatasi akses jaringan Akses jaringan ke akun Azure Cognitive Services harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun Azure Cognitive Services. Untuk memperbolehkan koneksi dari klien internet atau lokal tertentu, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau rentang alamat IP internet publik.
(Kebijakan terkait: Akun Azure Cognitive Services harus membatasi akses jaringan)
Medium
Akun Cognitive Services harus menggunakan penyimpanan milik pelanggan atau mengaktifkan enkripsi data Kebijakan ini mengaudit akun Azure Cognitive Services apa pun yang tidak menggunakan penyimpanan milik pelanggan atau enkripsi data. Untuk setiap akun Azure Cognitive Services dengan penyimpanan, gunakan penyimpanan milik pelanggan atau aktifkan enkripsi data.
(Kebijakan terkait: Akun Cognitive Services harus menggunakan penyimpanan milik pelanggan atau mengaktifkan enkripsi data.)
Rendah
Log diagnostik di Azure Data Lake Store harus diaktifkan Aktifkan log dan pertahankan hingga satu tahun. Hal ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau jaringan Anda disusupi.
(Kebijakan terkait: Log diagnostik di Azure Data Lake Storage harus diaktifkan)
Rendah
Log diagnostik di Data Lake Analytics harus diaktifkan Aktifkan log dan pertahankan hingga satu tahun. Hal ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau jaringan Anda disusupi.
(Kebijakan terkait: Log diagnostik di Data Lake Analytics harus diaktifkan)
Rendah
Pemberitahuan email untuk lansiran tingkat keparahan tinggi harus diaktifkan Untuk memastikan orang yang relevan di organisasi Anda diberi tahu saat terdapat potensi pelanggaran keamanan di salah satu langganan Anda, aktifkan pemberitahuan email untuk peringatan keparahan tinggi di Defender untuk Cloud.
(Kebijakan terkait: Pemberitahuan email untuk peringatan dengan keparahan tinggi harus diaktifkan)
Rendah
Pemberitahuan email kepada pemilik langganan untuk lansiran tingkat keparahan tinggi harus diaktifkan Untuk memastikan pemilik langganan Anda diberi tahu saat terdapat potensi pelanggaran keamanan dalam langganan mereka, atur pemberitahuan email ke pemilik langganan untuk peringatan keparahan tinggi di Defender untuk Cloud.
(Kebijakan terkait: Pemberitahuan email ke pemilik langganan untuk peringatan dengan tingkat keparahan tinggi harus diaktifkan)
Medium
Terapkan koneksi SSL harus diaktifkan untuk server database MySQL Azure Database for MySQL mendukung koneksi server Azure Database for MySQL Anda ke aplikasi klien menggunakan Secure Sockets Layer (SSL).
Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda.
Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda.
(Kebijakan terkait: Penerapan koneksi SSL harus diaktifkan untuk server database MySQL)
Medium
Terapkan koneksi SSL harus diaktifkan untuk server database PostgreSQL Azure Database for PostgreSQL mendukung penyambungan server Azure Database for PostgreSQL ke aplikasi klien menggunakan Secure Sockets Layer (SSL).
Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda.
Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda.
(Kebijakan terkait: Penerapan koneksi SSL harus diaktifkan untuk server database PostgreSQL)
Medium
Temuan kerentanan pada Aplikasi fungsi harus diselesaikan Pemindaian kerentanan runtime untuk fungsi memindai aplikasi fungsi Anda guna mengetahui kerentanan keamanan dan membeberkan temuan yang mendetail. Mengatasi masalah kerentanan dapat meningkatkan postur keamanan kontainer Anda secara signifikan dan melindunginya dari serangan.
(Tidak ada kebijakan terkait)
Tinggi
Cadangan yang berlebihan secara geografis harus diaktifkan pada Azure Database for MariaDB Azure Database for MariaDB memungkinkan Anda memilih opsi redundansi untuk server database Anda.
Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan di wilayah di mana server Anda dihosting, tetapi juga direplikasi ke wilayah yang dipasangkan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah.
Mengonfigurasi penyimpanan geo-redundan untuk cadangan hanya diperbolehkan saat membuat server.
(Kebijakan terkait: Pencadangan berlebih secara geografis harus diaktifkan untuk Azure Database for MariaDB)
Rendah
Pencadangan geo-redundan harus diaktifkan untuk Azure Database for MySQL Azure Database for MySQL memungkinkan Anda memilih opsi redundansi untuk server database Anda.
Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan di wilayah di mana server Anda dihosting, tetapi juga direplikasi ke wilayah yang dipasangkan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah.
Mengonfigurasi penyimpanan geo-redundan untuk cadangan hanya diperbolehkan saat membuat server.
(Kebijakan terkait: Pencadangan berlebih secara geografis harus diaktifkan untuk Azure Database for MySQL)
Rendah
Pencadangan geo-redundan harus diaktifkan untuk Azure Database for PostgreSQL Azure Database for PostgreSQL memungkinkan Anda memilih opsi redundansi untuk server database Anda.
Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan di wilayah di mana server Anda dihosting, tetapi juga direplikasi ke wilayah yang dipasangkan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah.
Mengonfigurasi penyimpanan geo-redundan untuk cadangan hanya diperbolehkan saat membuat server.
(Kebijakan terkait: Pencadangan berlebih secara geografis harus diaktifkan untuk Azure Database for PostgreSQL)
Rendah
Repositori GitHub harus mengaktifkan pemindaian Kode GitHub menggunakan pemindaian kode untuk menganalisis kode guna menemukan kerentanan dan kerentanan keamanan dalam kode. Pemindaian kode dapat digunakan untuk menemukan, melakukan triase, dan memprioritaskan perbaikan untuk masalah yang ada dalam kode Anda. Pemindaian kode juga mencegah pengembang menyebabkan masalah baru. Pemindaian dapat dijadwalkan untuk hari dan waktu tertentu, atau pemindaian dapat dipicu saat peristiwa tertentu terjadi di repositori, seperti pendorongan. Jika pemindaian kode menemukan potensi kerentanan atau kesalahan dalam kode, GitHub akan menampilkan peringatan di repositori. Kerentanan adalah masalah dalam kode proyek yang dapat dieksploitasi untuk merusak kerahasiaan, integritas, atau ketersediaan proyek.
(Tidak ada kebijakan terkait)
Medium
Repositori GitHub harus mengaktifkan pemindaian Dependabot GitHub mengirim peringatan Dependabot saat mendeteksi kerentanan dalam dependensi kode yang memengaruhi repositori. Kerentanan adalah masalah dalam kode proyek yang dapat dieksploitasi untuk merusak kerahasiaan, integritas, atau ketersediaan proyek atau proyek lain yang menggunakan kodenya. Kerentanan bervariasi menurut jenis, tingkat keparahan, dan metode serangan. Saat kode bergantung pada paket yang memiliki kerentanan keamanan, dependensi yang rentan ini dapat menyebabkan berbagai masalah.
(Tidak ada kebijakan terkait)
Medium
Repositori GitHub harus mengaktifkan pemindaian Rahasia GitHub memindai repositori untuk jenis rahasia yang diketahui, untuk mencegah penipuan penggunaan rahasia yang secara tidak sengaja diterapkan ke repositori. Pemindaian rahasia otomatis memindai seluruh riwayat Git Anda di semua cabang yang ada di repositori GitHub untuk menemukan rahasia apa pun. Contoh rahasia adalah token dan kunci privat yang dapat dikeluarkan penyedia layanan untuk autentikasi. Jika rahasia dimasukkan ke dalam repositori, siapa pun yang memiliki akses baca ke repositori dapat menggunakan rahasia untuk mengakses layanan eksternal dengan hak istimewa tersebut. Rahasia harus disimpan di lokasi khusus yang aman di luar repositori untuk proyek.
(Tidak ada kebijakan terkait)
Tinggi
Microsoft Defender untuk server Azure SQL Database harus diaktifkan Microsoft Defender untuk SQL adalah paket terpadu yang menyediakan kemampuan keamanan SQL tingkat lanjut.
Azure Defender untuk SQL menyertakan fungsionalitas guna memunculkan dan mengurangi potensi kerentanan database, dan mendeteksi aktivitas ganjil yang dapat mengindikasikan ancaman terhadap database Anda, dan menemukan serta mengklasifikasikan data sensitif.
Penting: Perlindungan dari paket ini dikenakan biaya seperti yang ditunjukkan pada halaman Paket Defender. Jika Anda tidak memiliki server Azure SQL Database dalam langganan ini, Anda tidak akan dikenakan biaya. Jika nanti Anda membuat server Azure SQL Database pada langganan ini, server tersebut akan otomatis dilindungi dan tagihan akan dimulai. Pelajari tentang detail harga setiap wilayah.
Pelajari selengkapnya di Pengantar Microsoft Defender untuk SQL.
(Kebijakan terkait: Azure Defender untuk server Azure SQL Database harus diaktifkan)
Tinggi
Microsoft Defender untuk DNS harus diaktifkan Microsoft Defender untuk DNS memberikan lapisan perlindungan tambahan untuk sumber daya cloud Anda dengan terus memantau semua kueri DNS dari sumber daya Azure Anda. Defender untuk DNS memberi tahu Anda tentang aktivitas mencurigakan di lapisan DNS. Pelajari selengkapnya di Pengantar Microsoft Defender untuk DNS. Mengaktifkan paket Defender ini akan menghasilkan biaya. Pelajari tentang detail harga setiap wilayah di halaman harga Defender untuk Cloud: https://azure.microsoft.com/services/defender-for-cloud/#pricing.
(Tidak ada kebijakan terkait)
Tinggi
Microsoft Defender untuk database hubungan sumber terbuka harus diaktifkan Microsoft Defender untuk database hubungan sumber terbuka mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. Pelajari selengkapnya di Pengantar Microsoft Defender untuk database hubungan sumber terbuka.

Penting: Mengaktifkan paket ini akan dikenakan biaya untuk melindungi database relasional sumber terbuka Anda. Jika Anda tidak memiliki database hubungan sumber terbuka dalam langganan ini, tidak ada biaya yang akan dikenakan. Jika Anda membuat database hubungan sumber terbuka apa pun pada langganan ini di masa mendatang, database hubungan sumber terbuka tersebut akan secara otomatis dilindungi dan tagihan akan dimulai pada saat itu.
(Tidak ada kebijakan terkait)
Tinggi
Microsoft Defender untuk Resource Manager harus diaktifkan Microsoft Defender untuk Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Defender untuk Cloud mendeteksi ancaman dan memberi tahu Anda tentang aktivitas mencurigakan. Pelajari selengkapnya di Pengantar Microsoft Defender untuk Resource Manager. Mengaktifkan paket Defender ini akan menghasilkan biaya. Pelajari tentang detail harga setiap wilayah di halaman harga Defender untuk Cloud: https://azure.microsoft.com/services/defender-for-cloud/#pricing.
(Tidak ada kebijakan terkait)
Tinggi
Microsoft Defender untuk SQL pada mesin harus diaktifkan di ruang kerja Microsoft Defender untuk server menyediakan deteksi ancaman dan pertahanan tingkat lanjut untuk mesin Windows dan Linux Anda.
Dengan paket Defender ini diaktifkan di langganan tetapi tidak di ruang kerja, Anda membayar kemampuan penuh Microsoft Defender untuk server tetapi kehilangan beberapa keuntungannya.
Saat Anda mengaktifkan Microsoft Defender untuk server di ruang kerja, semua mesin yang melaporkan ke ruang kerja tersebut akan ditagih untuk Microsoft Defender untuk server - bahkan jika mesin berlangganan tanpa mengaktifkan paket Defender. Kecuali Anda juga mengaktifkan Microsoft Defender untuk server pada langganan, mesin tersebut tidak akan dapat memanfaatkan akses Mesin Virtual just-in-time, kontrol aplikasi adaptif, dan deteksi jaringan untuk sumber daya Azure.
Pelajari selengkapnya di Pengantar Microsoft Defender untuk server.
(Tidak ada kebijakan terkait)
Medium
Microsoft Defender untuk server SQL pada mesin harus diaktifkan Microsoft Defender untuk SQL adalah paket terpadu yang menyediakan kemampuan keamanan SQL tingkat lanjut.
Azure Defender untuk SQL menyertakan fungsionalitas guna memunculkan dan mengurangi potensi kerentanan database, dan mendeteksi aktivitas ganjil yang dapat mengindikasikan ancaman terhadap database Anda, dan menemukan serta mengklasifikasikan data sensitif.

Penting: Meremediasi rekomendasi ini akan dikenakan biaya untuk melindungi server SQL Anda di komputer. Jika Anda tidak memiliki server SQL apa pun di komputer dalam langganan ini, tidak ada biaya yang akan dikenakan.
Jika Anda membuat server SQL apa pun di komputer pada langganan ini di masa mendatang, server tersebut akan secara otomatis dilindungi dan tagihan akan dimulai pada saat itu.
Pelajari selengkapnya tentang Microsoft Defender untuk server SQL pada mesin.
(Kebijakan terkait: Azure Defender untuk server SQL di komputer harus diakifkan)
Tinggi
Microsoft Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi Microsoft Defender untuk SQL adalah paket terpadu yang menyediakan kemampuan keamanan SQL tingkat lanjut. Ini muncul dan mengurangi potensi kerentanan database, dan mendeteksi aktivitas anomali yang dapat menunjukkan ancaman terhadap database Anda. Microsoft Defender untuk SQL ditagih seperti yang ditunjukkan pada detail harga setiap wilayah.
(Kebijakan terkait: Keamanan data tingkat lanjut harus diaktifkan di server SQL Anda)
Tinggi
Microsoft Defender untuk SQL harus diaktifkan untuk SQL Managed Instances yang tidak terlindungi Microsoft Defender untuk SQL adalah paket terpadu yang menyediakan kemampuan keamanan SQL tingkat lanjut. Ini muncul dan mengurangi potensi kerentanan database, dan mendeteksi aktivitas anomali yang dapat menunjukkan ancaman terhadap database Anda. Microsoft Defender untuk SQL ditagih seperti yang ditunjukkan pada detail harga setiap wilayah.
(Kebijakan terkait: Keamanan data tingkat lanjut harus diaktifkan di SQL Managed Instance)
Tinggi
Microsoft Defender untuk Penyimpanan harus diaktifkan Microsoft Defender untuk penyimpanan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya yang akan mengakses atau mengeksploitasi akun penyimpanan.
Penting: Perlindungan dari paket ini dikenakan biaya seperti yang ditunjukkan pada halaman Paket Defender. Jika Anda tidak memiliki akun Azure Storage dalam langganan ini, Anda tidak akan dikenakan biaya. Jika nanti Anda membuat akun Azure Storage pada langganan ini, akun tersebut akan secara otomatis dilindungi dan tagihan akan dimulai. Pelajari tentang detail harga setiap wilayah.
Pelajari lebih lanjut di Pengantar Microsoft Defender untuk Penyimpanan.
(Kebijakan terkait: Azure Defender untuk Azure Storage harus diaktifkan)
Tinggi
Network Watcher harus diaktifkan Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan end-to-end. Alat diagnostik dan visualisasi jaringan yang tersedia dengan Network Watcher membantu Anda memahami, mendiagnosis, dan mendapatkan wawasan ke jaringan Anda di Azure.
(Kebijakan terkait: Network Watcher harus diaktifkan)
Rendah
Identitas dengan provisi berlebihan dalam langganan harus diselidiki untuk mengurangi Indeks Kebocoran Izin (PCI) Identitas dengan provisi berlebihan di dalam langganan harus diselidiki untuk mengurangi Indeks Kebocoran Izin (PCI) dan melindungi infrastruktur Anda. Kurangi PCI dengan menghapus penetapan izin berisiko tinggi yang tidak digunakan. PCI yang tinggi mencerminkan risiko terkait identitas dengan izin yang melebihi penggunaan normal atau yang diperlukan
(Tidak ada kebijakan terkait)
Medium
Koneksi titik akhir privat pada Azure SQL Database harus diaktifkan Koneksi titik akhir privat menerapkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure SQL Database.
(Kebijakan terkait: Koneksi titik akhir privat pada Azure SQL Database harus diaktifkan)
Medium
Titik akhir privat harus diaktifkan untuk server MariaDB Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for MariaDB.
Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure.
(Kebijakan terkait: Titik akhir privat harus diaktifkan untuk server MariaDB)
Medium
Titik akhir pribadi harus diaktifkan untuk server MySQL Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for MySQL.
Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure.
(Kebijakan terkait: Titik akhir privat harus diaktifkan untuk server MySQL)
Medium
Titik akhir pribadi harus diaktifkan untuk server PostgreSQL Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for PostgreSQL.
Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure.
(Kebijakan terkait: Titik akhir privat harus diaktifkan untuk server PostgreSQL)
Medium
Akses jaringan publik di Azure SQL Database harus dinonaktifkan Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan Azure SQL Database Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual.
(Kebijakan terkait: Akses jaringan publik di Azure SQL Database harus dinonaktifkan)
Medium
Akses jaringan publik harus dinonaktifkan untuk akun Azure Cognitive Services Kebijakan ini mengaudit akun Azure Cognitive Services apa pun di lingkungan Anda dengan akses jaringan publik diaktifkan. Akses jaringan publik harus dinon-fungsikan agar hanya sambungan dari titik akhir privat yang diperbolehkan.
(Kebijakan terkait: Akses jaringan publik harus dinonaktifkan untuk akun Azure Cognitive Services)
Medium
Akses jaringan publik harus dinonaktifkan untuk server MariaDB Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for MariaDB Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini secara ketat menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual.
(Kebijakan terkait: Akses jaringan publik harus dinonaktifkan untuk server MariaDB)
Medium
Akses jaringan publik harus dinonaktifkan untuk server MySQL Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for MySQL Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini secara ketat menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual.
(Kebijakan terkait: Akses jaringan publik harus dinonaktifkan untuk server MySQL)
Medium
Akses jaringan publik harus dinonaktifkan untuk server PostgreSQL Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for PostgreSQL Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menolak semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual.
(Kebijakan terkait: Akses jaringan publik harus dinonaktifkan untuk server PostgreSQL)
Medium
Redis Cache harus mengizinkan akses hanya melalui SSL Aktifkan hanya koneksi melalui SSL ke Redis Cache. Penggunaan koneksi aman memastikan autentikasi antara server dan layanan serta melindungi data saat transit dari serangan lapisan jaringan seperti man-in-the-middle, penyadapan, dan sesi-pembajakan.
(Kebijakan terkait: Hanya koneksi aman ke Azure Cache for Redis yang harus diaktifkan)
Tinggi
Database SQL harus memiliki temuan kerentanan yang diselesaikan Penilaian Kerentanan SQL memindai database Anda untuk kerentanan keamanan, dan memaparkan setiap penyimpangan dari praktik terbaik seperti kesalahan konfigurasi, izin berlebihan, dan data sensitif yang tidak terlindungi. Menyelesaikan kerentanan yang ditemukan dapat sangat meningkatkan postur keamanan database Anda. Pelajari lebih lanjut
(Kebijakan terkait: Kerentanan pada Database SQL Anda harus diperbaiki)
Tinggi
Instans terkelola SQL harus mengonfigurasi penilaian kerentanan Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda meremediasi kerentanan database potensial.
(Kebijakan terkait: Penilaian kerentanan harus diaktifkan di Azure SQL Managed Instance)
Tinggi
SQL Server pada komputer harus mengatasi temuan kerentanan Penilaian Kerentanan SQL memindai database Anda untuk kerentanan keamanan, dan memaparkan setiap penyimpangan dari praktik terbaik seperti kesalahan konfigurasi, izin berlebihan, dan data sensitif yang tidak terlindungi. Menyelesaikan kerentanan yang ditemukan dapat sangat meningkatkan postur keamanan database Anda. Pelajari lebih lanjut
(Kebijakan terkait: Kerentanan pada server SQL Anda pada mesin harus dimediasi)
Tinggi
Server SQL harus memprovisikan administrator Azure Active Directory Menyediakan administrator Microsoft Azure Active Directory untuk server SQL Anda untuk mengaktifkan autentikasi Microsoft Azure Active Directory. Autentikasi Azure AD memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat pengguna database dan layanan Microsoft lainnya.
(Kebijakan terkait: Administrator Azure Active Directory harus disediakan untuk Server SQL)
Tinggi
Server SQL harus mengonfigurasi penilaian kerentanan Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda meremediasi kerentanan database potensial.
(Kebijakan terkait: Penilaian kerentanan harus diaktifkan di server SQL Anda)
Tinggi
Akun penyimpanan harus menggunakan koneksi tautan privat Tautan pribadi memberlakukan komunikasi aman, dengan menyediakan konektivitas pribadi ke akun penyimpanan
(Kebijakan terkait: Akun penyimpanan harus menggunakan koneksi tautan privat)
Medium
Akun penyimpanan harus dimigrasikan ke sumber daya Azure Resource Manager baru Untuk mendapatkan manfaat dari kemampuan baru di Azure Resource Manager, Anda dapat memigrasikan penyebaran yang ada dari model penyebaran Klasik. Azure Resource Manager mengaktifkan peningkatan keamanan seperti: kontrol akses yang lebih kuat (RBAC), audit yang lebih baik, penyebaran dan tata kelola berbasis ARM, akses ke identitas terkelola, akses ke brankas kunci untuk rahasia, autentikasi berbasis Azure Active Directory, dan dukungan untuk tag serta grup sumber daya untuk manajemen keamanan yang lebih mudah. Pelajari lebih lanjut
(Kebijakan terkait: Akun penyimpanan harus dimigrasikan ke sumber daya Azure Resource Manager baru)
Rendah
Akun penyimpanan harus membatasi akses jaringan menggunakan aturan jaringan virtual Lindungi akun penyimpanan Anda dari potensi ancaman menggunakan aturan jaringan virtual sebagai metode pilihan alih-alih pemfilteran berbasis IP. Menonaktifkan pemfilteran berbasis IP mencegah IP publik mengakses akun penyimpanan Anda.
(Kebijakan terkait: Akun penyimpanan harus membatasi akses jaringan menggunakan aturan jaringan virtual)
Medium
Langganan harus memiliki alamat email kontak untuk masalah keamanan Untuk memastikan orang yang relevan di organisasi Anda diberi tahu saat terjadi potensi pelanggaran keamanan di salah satu langganan Anda, atur kontak keamanan untuk menerima pemberitahuan email dari Defender untuk Cloud.
(Kebijakan terkait: Langganan harus memiliki alamat email kontak untuk masalah keamanan)
Rendah
Enkripsi Data Transparan pada database SQL harus diaktifkan Aktifkan enkripsi data transparan untuk melindungi data yang tidak aktif dan memenuhi persyaratan kepatuhan
(Kebijakan terkait: Enkripsi Data Transparan di database SQL harus diaktifkan)
Rendah
Template Image Builder VM harus menggunakan private link Audit VM Image Builder template yang tidak memiliki jaringan virtual dikonfigurasi. Ketika jaringan virtual tidak dikonfigurasi, IP publik dibuat dan digunakan sebagai gantinya, yang dapat langsung mengekspos sumber daya ke internet dan meningkatkan permukaan serangan potensial.
(Kebijakan terkait: Templat VM Image Builder harus menggunakan tautan privat)
Medium
Web Application Firewall (WAF) harus diaktifkan untuk Azure Application Gateway Menyebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom.
(Kebijakan terkait: Web Application Firewall (WAF) harus diaktifkan untuk Application Gateway)
Rendah
Web Application Firewall (WAF) harus diaktifkan untuk layanan Azure Front Door Service Menyebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom.
(Kebijakan terkait: Web Application Firewall (WAF) harus diaktifkan untuk Azure Front Door Service?service)
Rendah

Rekomendasi IdentityAndAccess

Ada 29 rekomendasi dalam kategori ini.

Rekomendasi Deskripsi Tingkat keparahan
Maksimum 3 pemilik harus ditunjuk untuk langganan Untuk mengurangi potensi pelanggaran oleh akun pemilik yang disusupi, sebaiknya batasi jumlah akun pemilik hingga maksimal 3
(Kebijakan terkait: Maksimal 3 pemilik harus ditetapkan untuk langganan Anda)
Tinggi
Akun dengan izin pemilik pada sumber daya Azure harus didukung oleh MFA Jika hanya menggunakan kata sandi untuk mengautentikasi pengguna, Anda membiarkan vektor serangan tetap terbuka. Pengguna sering menggunakan kata sandi yang lemah atau menggunakannya kembali untuk beberapa layanan. Dengan mengaktifkan Autentikasi Multifaktor (MFA), Anda memberikan keamanan yang lebih baik untuk akun, sambil tetap memungkinkan pengguna untuk mengautentikasi ke hampir semua aplikasi dengan akses menyeluruh (SSO). Autentikasi multifaktor adalah proses di mana pengguna diminta, selama proses masuk, bentuk identifikasi tambahan. Misalnya, kode dapat dikirim ke ponsel mereka, atau mungkin mereka diminta untuk pemindaian sidik jari. Sebaiknya aktifkan MFA untuk semua akun yang memiliki izin pemilik di sumber daya Azure, untuk mencegah pelanggaran dan serangan.
Detail lebih lanjut dan pertanyaan umum tersedia di sini: Mengelola penerapan autentikasi multifaktor (MFA) pada langganan Anda
(Tidak ada kebijakan terkait)
Tinggi
Akun dengan izin baca pada sumber daya Azure harus didukung oleh MFA Jika hanya menggunakan kata sandi untuk mengautentikasi pengguna, Anda membiarkan vektor serangan tetap terbuka. Pengguna sering menggunakan kata sandi yang lemah atau menggunakannya kembali untuk beberapa layanan. Dengan mengaktifkan Autentikasi Multifaktor (MFA), Anda memberikan keamanan yang lebih baik untuk akun, sambil tetap memungkinkan pengguna untuk mengautentikasi ke hampir semua aplikasi dengan akses menyeluruh (SSO). Autentikasi multifaktor adalah proses di mana pengguna diminta, selama proses masuk, bentuk identifikasi tambahan. Misalnya, kode dapat dikirim ke ponsel mereka, atau mungkin mereka diminta untuk pemindaian sidik jari. Sebaiknya aktifkan MFA untuk semua akun yang memiliki izin baca di sumber daya Azure, untuk mencegah pelanggaran dan serangan.
Detail lebih lanjut dan pertanyaan umum tersedia di sini: Mengelola penerapan autentikasi multifaktor (MFA) pada langganan Anda
(Tidak ada kebijakan terkait)
Tinggi
Akun dengan izin tulis pada sumber daya Azure harus didukung oleh MFA Jika hanya menggunakan kata sandi untuk mengautentikasi pengguna, Anda membiarkan vektor serangan tetap terbuka. Pengguna sering menggunakan kata sandi yang lemah atau menggunakannya kembali untuk beberapa layanan. Dengan mengaktifkan Autentikasi Multifaktor (MFA), Anda memberikan keamanan yang lebih baik untuk akun, sambil tetap memungkinkan pengguna untuk mengautentikasi ke hampir semua aplikasi dengan akses menyeluruh (SSO). Autentikasi multifaktor adalah proses di mana pengguna diminta, selama proses masuk, bentuk identifikasi tambahan. Misalnya, kode dapat dikirim ke ponsel mereka, atau mungkin mereka diminta untuk pemindaian sidik jari. Sebaiknya aktifkan MFA untuk semua akun yang memiliki izin tulis di sumber daya Azure, untuk mencegah pelanggaran dan serangan.
Detail lebih lanjut dan pertanyaan umum tersedia di sini: Mengelola penerapan autentikasi multifaktor (MFA) pada langganan Anda
(Tidak ada kebijakan terkait)
Tinggi
Akun Azure Cosmos DB harus menggunakan Azure Active Directory sebagai satu-satunya metode autentikasi Cara terbaik untuk mengautentikasi ke layanan Azure adalah menggunakan Kontrol Akses Berbasis Peran (RBAC). RBAC memungkinkan Anda mempertahankan prinsip hak istimewa minimum dan mendukung kemampuan untuk mencabut izin sebagai metode respons yang efektif ketika disusupi. Anda dapat mengonfigurasi akun Azure Cosmos DB untuk memberlakukan RBAC sebagai satu-satunya metode autentikasi. Saat penerapan dikonfigurasi, semua metode akses lain akan ditolak (kunci primer/sekunder dan token akses).
(Tidak ada kebijakan terkait)
Medium
Akun yang diblokir dengan izin pemilik pada sumber daya Azure harus dihapus Akun pengguna yang telah diblokir untuk masuk di Active Directory, harus dihapus dari sumber daya Anda. Akun tersebut dapat menjadi target bagi penyerang yang mencari cara untuk mengakses data Anda tanpa diketahui.
(Tidak ada kebijakan terkait)
Tinggi
Akun yang diblokir dengan izin baca dan tulis di sumber daya Azure harus dihapus Akun pengguna yang telah diblokir untuk masuk di Active Directory, harus dihapus dari sumber daya Anda. Akun tersebut dapat menjadi target bagi penyerang yang mencari cara untuk mengakses data Anda tanpa diketahui.
(Tidak ada kebijakan terkait)
Tinggi
Akun yang tidak digunakan lagi harus dihapus dari langganan Akun pengguna yang telah diblokir untuk masuk, harus dihapus dari langganan Anda.
Akun tersebut dapat menjadi target bagi penyerang yang mencari cara untuk mengakses data Anda tanpa diketahui.
(Kebijakan terkait: Akun yang tidak digunakan lagi harus dihapus dari langganan Anda)
Tinggi
Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Akun pengguna yang telah diblokir untuk masuk, harus dihapus dari langganan Anda.
Akun tersebut dapat menjadi target bagi penyerang yang mencari cara untuk mengakses data Anda tanpa diketahui.
(Kebijakan terkait: Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda)
Tinggi
Log diagnostik di Key Vault harus diaktifkan Aktifkan log dan pertahankan hingga satu tahun. Hal ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau jaringan Anda disusupi.
(Kebijakan terkait: Log diagnostik di Key Vault harus diaktifkan)
Rendah
Akun eksternal dengan izin pemilik harus dihapus dari langganan Akun dengan izin pemilik yang memiliki nama domain lain (akun eksternal), harus dihapus dari langganan Anda. Ini mencegah akses yang tidak terpantau. Akun tersebut dapat menjadi target bagi penyerang yang mencari cara untuk mengakses data Anda tanpa diketahui.
(Kebijakan terkait: Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda)
Tinggi
Akun eksternal dengan izin baca harus dihapus dari langganan Akun dengan izin baca yang memiliki nama domain lain (akun eksternal), harus dihapus dari langganan Anda. Ini mencegah akses yang tidak terpantau. Akun tersebut dapat menjadi target bagi penyerang yang mencari cara untuk mengakses data Anda tanpa diketahui.
(Kebijakan terkait: Akun eksternal dengan izin baca harus dihapus dari langganan Anda)
Tinggi
Akun eksternal dengan izin tulis harus dihapus dari langganan Akun dengan izin tulis yang memiliki nama domain lain (akun eksternal), harus dihapus dari langganan Anda. Ini mencegah akses yang tidak terpantau. Akun tersebut dapat menjadi target bagi penyerang yang mencari cara untuk mengakses data Anda tanpa diketahui.
(Kebijakan terkait: Akun eksternal dengan izin tulis harus dihapus dari langganan Anda)
Tinggi
Firewall harus diaktifkan pada Key Vault Firewall brankas kunci mencegah lalu lintas yang tidak sah mencapai brankas kunci dan memberikan lapisan perlindungan tambahan untuk rahasia Anda. Aktifkan firewall untuk memastikan bahwa hanya lalu lintas dari jaringan yang diizinkan yang dapat mengakses brankas kunci Anda.
(Kebijakan terkait: Firewall harus diaktifkan di Key Vault)
Medium
Akun tamu dengan izin pemilik pada sumber daya Azure harus dihapus Akun dengan izin pemilik yang telah diprovisikan di luar penyewa Azure Active Directory (nama domain yang berbeda), harus dihapus dari sumber daya Azure Anda. Akun tamu tidak dikelola dengan standar yang sama seperti identitas penyewa perusahaan. Akun tersebut dapat menjadi target bagi penyerang yang mencari cara untuk mengakses data Anda tanpa diketahui.
(Tidak ada kebijakan terkait)
Tinggi
Akun tamu dengan izin baca pada sumber daya Azure harus dihapus Akun dengan izin baca yang telah diprovisikan di luar penyewa Azure Active Directory (nama domain yang berbeda), harus dihapus dari sumber daya Azure Anda. Akun tamu tidak dikelola dengan standar yang sama seperti identitas penyewa perusahaan. Akun tersebut dapat menjadi target bagi penyerang yang mencari cara untuk mengakses data Anda tanpa diketahui.
(Tidak ada kebijakan terkait)
Tinggi
Akun tamu dengan izin tulis pada sumber daya Azure harus dihapus Akun dengan izin tulis yang telah diprovisikan di luar penyewa Azure Active Directory (nama domain yang berbeda), harus dihapus dari sumber daya Azure Anda. Akun tamu tidak dikelola dengan standar yang sama seperti identitas penyewa perusahaan. Akun tersebut dapat menjadi target bagi penyerang yang mencari cara untuk mengakses data Anda tanpa diketahui.
(Tidak ada kebijakan terkait)
Tinggi
Kunci Azure Key Vault harus memiliki tanggal kedaluwarsa Kunci kriptografi harus memiliki tanggal kedaluwarsa yang ditentukan dan tidak permanen. Kunci yang valid selamanya memberikan lebih banyak waktu bagi penyerang potensial untuk menyusupi kunci tersebut. Menetapkan tanggal kedaluwarsa pada kunci kriptografi adalah praktik keamanan yang direkomendasikan.
(Kebijakan terkait: Kunci Key Vault harus memiliki tanggal kedaluwarsa)
Tinggi
Rahasia Azure Key Vault harus memiliki tanggal kedaluwarsa Rahasia harus memiliki tanggal kedaluwarsa yang ditentukan dan tidak bersifat permanen. Rahasia yang berlaku selamanya memberi lebih banyak waktu kepada penyerang potensial untuk menyusupinya. Menetapkan tanggal kedaluwarsa pada rahasia adalah praktik keamanan yang direkomendasikan.
(Kebijakan terkait: Rahasia Key Vault harus memiliki tanggal kedaluwarsa)
Tinggi
Azure Key Vault harus mengaktifkan perlindungan dari penghapusan menyeluruh Penghapusan brankas kunci yang berbahaya dapat menyebabkan hilangnya data secara permanen. Orang dalam berbahaya di organisasi Anda dapat berpotensi menghapus dan membersihkan brankas kunci. Perlindungan penghapusan menyeluruh melindungi Anda dari serangan orang dalam dengan memberlakukan periode retensi wajib untuk brankas kunci yang dihapus sementara. Tidak ada seorang pun di dalam organisasi Anda atau Microsoft yang dapat menghapus menyeluruh brankas kunci selama periode retensi penghapusan sementara.
(Kebijakan terkait: Brankas kunci harus mengaktifkan perlindungan hapus menyeluruh)
Medium
Brankas kunci harus mengaktifkan penghapusan sementara Menghapus brankas kunci tanpa mengaktifkan penghapusan sementara akan menghapus semua rahasia, kunci, dan sertifikat yang disimpan di brankas kunci secara permanen. Penghapusan brankas kunci secara tidak sengaja dapat menyebabkan hilangnya data secara permanen. Penghapusan sementara memungkinkan Anda memulihkan brankas kunci yang terhapus secara tidak sengaja untuk periode retensi yang dapat dikonfigurasi.
(Kebijakan terkait: Brankas kunci harus mengaktifkan penghapusan sementara)
Tinggi
MFA harus diaktifkan pada akun dengan izin pemilik pada langganan Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan izin pemilik untuk mencegah pelanggaran akun atau sumber daya.
(Kebijakan terkait: MFA harus diaktifkan pada akun dengan izin pemilik pada langganan Anda)
Tinggi
MFA harus diaktifkan pada akun dengan izin baca pada langganan Autentikasi Multifaktor (MFA) harus diaktifkan bagi semua akun langganan dengan hak istimewa baca untuk mencegah pelanggaran akun atau sumber daya.
(Kebijakan terkait: MFA harus diaktifkan pada akun dengan izin baca pada langganan Anda)
Tinggi
MFA harus diaktifkan pada akun dengan izin tulis pada langganan Autentikasi Multifaktor (MFA) harus diaktifkan bagi semua akun langganan dengan hak istimewa tulis untuk mencegah pelanggaran akun atau sumber daya.
(Kebijakan terkait: MFA harus diaktifkan pada akun dengan izin tulis pada langganan Anda)
Tinggi
Microsoft Defender untuk Key Vault harus diaktifkan Microsoft Defender untuk Cloud menyertakan Microsoft Defender untuk Key Vault, yang menyediakan lapisan kecerdasan keamanan tambahan.
Pertahanan Microsoft untuk Key Vault mendeteksi upaya yang mencurigakan dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun Key Vault.
Penting: Perlindungan dari paket ini dikenakan biaya seperti yang ditunjukkan pada halaman Paket Defender. Jika Anda tidak memiliki brankas kunci dalam langganan ini, Anda tidak akan dikenakan biaya. Jika nanti Anda membuat brankas kunci pada langganan ini, brankas kunci tersebut akan secara otomatis dilindungi dan tagihan akan dimulai. Pelajari tentang detail harga setiap wilayah.
Pelajari selengkapnya di Pengantar Microsoft Defender untuk Key Vault.
(Kebijakan terkait: Azure Defender untuk Key Vault harus diaktifkan)
Tinggi
Titik akhir privat harus dikonfigurasi untuk Azure Key Vault Tautan privat menyediakan cara untuk menghubungkan Key Vault ke sumber daya Azure Anda tanpa mengirimkan lalu lintas melalui internet publik. Tautan privat memberikan perlindungan mendalam terhadap penyelundupan data.
(Kebijakan terkait: Titik akhir privat harus dikonfigurasi untuk Key Vault)
Medium
Akses publik akun penyimpanan harus dilarang Akses baca publik anonim ke kontainer dan blob di Azure Storage merupakan cara yang mudah untuk berbagi data, tetapi dapat menimbulkan risiko keamanan. Untuk mencegah pelanggaran data oleh akses anonim yang tidak diinginkan, Microsoft merekomendasikan untuk mencegah akses publik ke akun penyimpanan kecuali skenario Anda memerlukannya.
(Kebijakan terkait: Akses publik akun penyimpanan tidak boleh diizinkan)
Medium
Harus ada lebih dari satu pemilik yang ditetapkan untuk langganan Tetapkan lebih dari satu pemilik langganan untuk mendapatkan redundansi akses administrator.
(Kebijakan terkait: Harus ada lebih dari satu pemilik yang ditetapkan untuk langganan Anda)
Tinggi
Masa berlaku sertifikat yang disimpan di Azure Key Vault tidak boleh melebihi 12 bulan Pastikan sertifikat Anda tidak memiliki masa berlaku yang melebihi 12 bulan.
(Kebijakan terkait: Sertifikat harus memiliki masa berlaku maksimum yang ditentukan)
Medium

Rekomendasi IoT

Terdapat 4 rekomendasi dalam kategori ini.

Rekomendasi Deskripsi Tingkat keparahan
Kebijakan Filter IP Default harus Ditolak Konfigurasi Filter IP harus memiliki aturan yang ditentukan untuk lalu lintas yang diizinkan dan harus menolak semua lalu lintas lainnya secara default
(Tidak ada kebijakan terkait)
Medium
Log diagnostik di Hub IoT harus diaktifkan Aktifkan log dan pertahankan hingga satu tahun. Hal ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau jaringan Anda disusupi.
(Kebijakan terkait: Log diagnostik di IoT Hub harus diaktifkan)
Rendah
Kredensial Autentikasi Identik Kredensial autentikasi identik ke IoT Hub yang digunakan oleh beberapa perangkat. Ini dapat menunjukkan perangkat tidak sah yang menyamar sebagai perangkat yang sah. Ini juga mengekspos risiko penyamaran perangkat oleh penyerang
(Tidak ada kebijakan terkait)
Tinggi
Aturan Filter IP dengan rentang IP besar Rentang IP sumber untuk aturan Perbolehkan Filter IP terlalu besar. Aturan yang terlalu permisif mungkin mengekspos hub IoT Anda kepada pihak-pihak yang punya niat jahat
(Tidak ada kebijakan terkait)
Medium

Rekomendasi jaringan

Terdapat 13 rekomendasi dalam kategori ini.

Rekomendasi Deskripsi Tingkat keparahan
Akses ke akun penyimpanan dengan konfigurasi jaringan virtual dan firewall harus dibatasi Tinjau pengaturan akses jaringan di pengaturan firewall akun penyimpanan Anda. Sebaiknya konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk memungkinkan koneksi dari internet atau klien lokal tertentu, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke beberapa alamat IP internet publik.
(Kebijakan terkait: Akun penyimpanan harus membatasi akses jaringan)
Rendah
Rekomendasi pengerasan jaringan adaptif harus diterapkan pada komputer virtual yang menghadap internet Defender untuk Cloud telah menganalisis pola komunikasi lalu lintas internet dari mesin virtual yang tercantum di bawah ini, dan menetapkan bahwa aturan yang ada di NSG yang terkait dengan NSG terlalu permisif, sehingga berpotensi meningkatkan permukaan serangan.
Ini biasanya terjadi ketika alamat IP ini tidak berkomunikasi secara teratur dengan sumber daya ini. Atau, alamat IP telah ditandai sebagai berbahaya oleh sumber inteligensi ancaman Defender untuk Cloud. Pelajari selengkapnya di Meningkatkan postur keamanan jaringan Anda dengan penguatan jaringan adaptif.
(Kebijakan terkait: Rekomendasi penguatan jaringan adaptif harus diterapkan pada komputer virtual yang terhubung ke internet)
Tinggi
Semua port jaringan harus dibatasi pada grup keamanan jaringan yang terkait dengan komputer virtual Anda Defender untuk Cloud telah mengidentifikasi beberapa aturan masuk kelompok keamanan jaringan Anda yang terlalu permisif. Aturan masuk tidak boleh mengizinkan akses dari rentang 'Apa pun' atau 'Internet'. Ini berpotensi membuka peluang bagi penyerang untuk menargetkan sumber daya Anda.
(Kebijakan terkait: Semua port jaringan harus dibatasi pada kelompok keamanan jaringan yang terkait dengan komputer virtual Anda)
Tinggi
Standar Azure DDoS Protection harus diaktifkan Defender untuk Cloud telah menemukan jaringan virtual dengan sumber daya Application Gateway yang tidak dilindungi oleh layanan perlindungan DDoS. Sumber daya ini berisi IP publik. Aktifkan mitigasi serangan volumetrik dan protokol jaringan.
(Kebijakan terkait: Azure DDoS Protection Standard harus diaktifkan)
Medium
Komputer virtual yang memiliki akses Internet harus dilindungi dengan kelompok keamanan jaringan Lindungi VM Anda dari potensi ancaman melalui pembatasan akses ke VM dengan kelompok keamanan jaringan (NSG). NSG berisi daftar aturan Daftar Kontrol Akses (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke VM Anda dari instans lain, baik di dalam ataupun di luar subnet yang sama.
Untuk menjaga komputer Anda seaman mungkin, akses VM ke internet harus dibatasi dan NSG harus diaktifkan pada subnet.
VM dengan tingkat keparahan 'Tinggi' adalah VM yang terhubung ke internet.
(Kebijakan terkait: Komputer virtual yang terhubung ke Internet harus dilindungi dengan kelompok keamanan jaringan)
Tinggi
Penerusan IP di komputer virtual Anda harus dinonaktifkan Defender untuk Cloud telah menemukan bahwa penerusan IP diaktifkan di beberapa mesin virtual Anda. Mengaktifkan penerusan IP pada NIC komputer virtual memungkinkan komputer menerima lalu lintas yang ditujukan ke tujuan lain. Penerusan IP jarang diperlukan (misalnya, ketika menggunakan VM sebagai alat virtual jaringan), dan oleh karena itu, ini harus ditinjau oleh tim keamanan jaringan.
(Kebijakan terkait: Penerusan IP pada komputer virtual Anda harus dinonaktifkan)
Medium
Mesin harus menutup port yang mungkin mengekspos vektor serangan Ketentuan penggunaan Azure melarang penggunaan layanan Azure dengan cara yang dapat merusak, menonaktifkan, membebani, atau mengganggu server Microsoft, atau jaringan. Rekomendasi ini mencantumkan port-port terbuka yang perlu ditutup demi keamanan berkelanjutan Anda. Rekomendasi ini juga menggambarkan potensi ancaman terhadap setiap port.
(Tidak ada kebijakan terkait)
Tinggi
Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time Defender untuk Cloud telah mengidentifikasi beberapa aturan masuk yang terlalu permisif untuk port manajemen di Kelompok Keamanan Jaringan Anda. Aktifkan kontrol akses just-in-time untuk melindungi VM Anda dari serangan brute force berbasis internet. Pelajari selengkapnya di Memahami akses Mesin Virtual just-in-time (JIT).
(Kebijakan terkait: Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time)
Tinggi
Port manajemen harus ditutup pada komputer virtual Anda Port manajemen jarak jauh yang terbuka mengekspos VM Anda ke risiko tinggi dari serangan berbasis internet. Serangan ini berupaya menerapkan brute force pada info masuk untuk mendapatkan akses admin ke komputer.
(Kebijakan terkait: Port manajemen pada komputer virtual Anda harus ditutup)
Medium
Komputer virtual yang tidak terhubung ke internet harus dilindungi dengan kelompok keamanan jaringan Lindungi komputer virtual yang tidak terhubung ke internet dari potensi ancaman melalui pembatasan akses ke komputer tersebut dengan kelompok keamanan jaringan (NSG). NSG berisi daftar aturan Daftar Kontrol Akses (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke VM Anda dari instans lain, baik jika berada di subnet yang sama atau tidak.
Perlu diketahui bahwa untuk menjaga komputer Anda seaman mungkin, akses VM ke internet harus dibatasi dan NSG harus diaktifkan pada subnet.
(Kebijakan terkait: Komputer virtual yang tidak terhubung ke internet harus dilindungi dengan kelompok keamanan jaringan)
Rendah
Transfer aman ke akun penyimpanan harus diaktifkan Transfer aman adalah opsi yang memaksa akun penyimpanan Anda untuk menerima permintaan hanya dari koneksi yang aman (HTTPS). Penggunaan HTTPS memastikan autentikasi antara server dan layanan serta melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, penyadapan, dan pembajakan sesi.
(Kebijakan terkait: Transfer aman ke akun penyimpanan harus diaktifkan)
Tinggi
Subnet harus dikaitkan dengan kelompok keamanan jaringan Lindungi subnet Anda dari potensi ancaman melalui pembatasan akses ke subnet dengan kelompok keamanan jaringan (NSG). NSG berisi daftar aturan Daftar Kontrol Akses (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke subnet Anda. Saat NSG dikaitkan dengan subnet, aturan ACL berlaku untuk semua instans VM dan layanan terintegrasi di subnet tersebut. Namun, aturan tersebut tidak berlaku untuk lalu lintas internal di dalam subnet. Untuk mengamankan sumber daya dalam satu subnet dari serangan sesamanya, aktifkan juga NSG langsung pada sumber daya.
Perhatikan bahwa jenis subnet berikut akan dicantumkan sebagai tidak berlaku: GatewaySubnet, AzureFirewallSubnet, AzureBastionSubnet.
(Kebijakan terkait: Subnet harus dikaitkan dengan Kelompok Keamanan Jaringan)
Rendah
Jaringan virtual harus dilindungi oleh Azure Firewall Beberapa jaringan virtual Anda tidak dilindungi dengan firewall. Gunakan Azure Firewall untuk membatasi akses ke jaringan virtual Anda dan mencegah potensi ancaman. Pelajari selengkapnya tentang Azure Firewall.
(Kebijakan terkait: Semua lalu lintas Internet harus dialihkan melalui Azure Firewall yang Anda sebarkan)
Rendah

Rekomendasi yang tidak digunakan lagi

Rekomendasi Kebijakan terkait & deskripsi Tingkat keparahan
Akses ke App Services harus dibatasi Batasi akses ke App Services Anda dengan mengubah konfigurasi jaringan, untuk menolak lalu lintas masuk dari rentang yang terlalu luas.
(Kebijakan terkait: [Pratinjau]: Akses ke App Services harus dibatasi)
Tinggi
Aturan NSG untuk aplikasi web di IaaS harus diperkuat Perkuat kelompok keamanan jaringan (NSG) komputer virtual Anda yang menjalankan aplikasi web, dengan aturan NSG yang terlalu permisif sehubungan dengan port aplikasi web.
(Kebijakan terkait: Aturan NSGs untuk aplikasi web di IaaS harus diperkuat)
Tinggi
Kebijakan Keamanan Pod untuk mengurangi vektor serangan dengan menghapus hak istimewa aplikasi yang tidak perlu (Pratinjau) Tentukan Kebijakan Keamanan Pod untuk mengurangi vektor serangan dengan menghapus hak istimewa aplikasi yang tidak perlu. Disarankan untuk mengonfigurasi kebijakan keamanan Pod sehingga Pod hanya dapat mengakses resource yang diizinkan untuk diakses.
(Kebijakan terkait: [Pratinjau]: Kebijakan Keamanan Pod harus ditentukan pada Layanan Kube)
Medium
Memasang modul keamanan Azure Security Center untuk IoT untuk mendapatkan visibilitas lebih ke perangkat IoT Anda Pasang modul keamanan Azure Security Center untuk IoT untuk mendapatkan visibilitas lebih ke perangkat IoT Anda. Rendah
Mesin Anda harus dihidupkan ulang untuk menerapkan pembaruan sistem Mulai ulang mesin Anda untuk menerapkan pembaruan sistem dan mengamankan komputer dari kerentanan. (Kebijakan terkait: Pembaruan sistem harus dipasang pada komputer Anda) Medium
Agen pemantauan harus dipasang di komputer Anda Aksi ini memasang agen pemantau pada komputer virtual terpilih. Pilih ruang kerja untuk dilaporkan oleh agen. (Tidak ada kebijakan terkait) Tinggi

Langkah berikutnya

Untuk mempelajari selengkapnya tentang rekomendasi, lihat yang berikut ini: