Postur keamanan untuk Microsoft Defender untuk Cloud

Gambaran umum skor yang aman

Microsoft Defender untuk Cloud memiliki dua tujuan utama:

  • untuk membantu Anda memahami situasi keamanan Anda saat ini
  • untuk membantu Anda meningkatkan keamanan Anda secara efisien dan efektif

Fitur utama di Defender untuk Cloud yang memungkinkan Anda mencapai tujuan tersebut adalah skor aman.

Defender untuk Cloud secara berkelanjutan menilai sumber daya lintas clous Anda untuk masalah keamanan. Kemudian menggabungkan semua temuan ke dalam satu skor sehingga dalam sekejap Anda dapat mengetahui situasi keamanan Anda saat ini: semakin tinggi skor, semakin rendah tingkat risiko yang diidentifikasi.

  • Di halaman portal Microsoft Azure, skor aman ditampilkan sebagai nilai persentase dan nilai yang mendasarinya juga disajikan dengan jelas:

    Skor aman keseluruhan seperti yang ditunjukkan di portal.

  • Di aplikasi ponsel Azure, skor aman ditampilkan sebagai nilai persentase dan Anda dapat mengetuk skor aman untuk melihat detail yang menjelaskan skor:

    Skor aman keseluruhan seperti yang ditunjukkan di aplikasi seluler Azure.

Untuk meningkatkan keamanan Anda, tinjau halaman rekomendasi Defender untuk Cloud dan remediasi rekomendasi dengan menerapkan instruksi remediasi untuk setiap masalah. Rekomendasi dikelompokkan ke dalam kontrol keamanan. Setiap kontrol adalah kelompok logis dari rekomendasi keamanan terkait, dan mencerminkan permukaan serangan Anda yang rentan. Skor Anda akan meningkat ketika Anda memulihkan semua rekomendasi untuk satu sumber daya dalam kontrol. Untuk melihat seberapa baik organisasi Anda mengamankan setiap permukaan serangan individu, tinjau skor untuk setiap kontrol keamanan.

Untuk informasi selengkapnya, lihat Cara perhitungan skor aman Anda di bawah ini.

Mengelola postur keamanan Anda

Di halaman Postur keamanan, Anda dapat melihat skor aman untuk seluruh langganan, dan setiap lingkungan dalam langganan Anda. Secara default semua lingkungan ditampilkan.

Cuplikan layar halaman postur keamanan.

Bagian halaman Deskripsi
Cuplikan layar menunjukkan opsi lingkungan yang berbeda. Pilih lingkungan Anda untuk melihat skor aman dan detail. Beberapa lingkungan dapat dipilih sekaligus. Halaman akan berubah berdasarkan pilihan Anda di sini.
Cuplikan layar bagian lingkungan halaman postur keamanan. Menunjukkan jumlah total langganan, akun, dan proyek yang memengaruhi skor keseluruhan Anda. Ini juga menunjukkan berapa banyak sumber daya yang tidak sehat dan berapa banyak rekomendasi yang ada di lingkungan Anda.

Bagian bawah halaman memungkinkan Anda untuk melihat dan mengelola melihat skor aman individu, jumlah sumber daya yang tidak sehat dan bahkan melihat rekomendasi untuk semua langganan, akun, dan proyek individu Anda.

Anda dapat mengelompokkan bagian ini berdasarkan lingkungan dengan memilih kotak centang Grup menurut Lingkungan.

Cuplikan layar dari bagian bawah halaman postur keamanan.

Cara perhitungan skor aman Anda

Kontribusi setiap kontrol keamanan terhadap skor aman keseluruhan ditampilkan dengan jelas di halaman rekomendasi.

Kontrol keamanan Microsoft Defender untuk Cloud dan dampaknya terhadap skor aman Anda.

Untuk mendapatkan semua titik yang mungkin untuk kontrol keamanan, semua sumber daya Anda harus mematuhi semua rekomendasi keamanan dalam kontrol keamanan. Misalnya, Defender untuk Cloud memiliki beberapa rekomendasi tentang cara mengamankan port manajemen Anda. Anda harus memulihkan semuanya untuk membuat perbedaan pada skor aman Anda.

Contoh skor untuk kontrol

Cuplikan layar menunjukkan cara menerapkan kontrol keamanan pembaruan sistem.

Dalam contoh ini:

  • Memperbaiki kontrol keamanan kerentanan - Kontrol ini mengelompokkan beberapa rekomendasi yang terkait dengan menemukan dan memecahkan kerentanan yang diketahui.

  • Skor maksimum - Jumlah poin maksimum yang bisa Anda peroleh dengan menyelesaikan semua rekomendasi dalam kontrol. Skor maksimum untuk kontrol menunjukkan signifikansi relatif dari kontrol yang ditetapkan untuk setiap lingkungan. Gunakan nilai skor maks untuk triase masalah yang akan dikerjakan terlebih dahulu.
    Untuk daftar semua kontrol dan skor maksimalnya, lihat Kontrol keamanan dan rekomendasinya.

  • Skor saat ini - Skor saat ini untuk kontrol ini.

    Skor saat ini = [Skor per sumber daya] * [Jumlah sumber daya yang sehat]

    Setiap kontrol berkontribusi terhadap skor total. Dalam contoh ini, kontrol berkontribusi 2,00 poin untuk skor aman total saat ini.

  • Potensi peningkatan skor - Poin yang tersisa tersedia untuk Anda dalam kontrol. Jika Anda memulihkan semua rekomendasi dalam kontrol ini, skor Anda akan meningkat sebesar 9%.

    Potensi peningkatan skor = [Skor per sumber daya] * [Jumlah sumber daya tidak sehat]

  • Wawasan - Memberi Anda detail tambahan untuk setiap rekomendasi, seperti:

    • Rekomendasi pratinjau - Rekomendasi ini tidak akan memengaruhi skor aman Anda hingga ini GA.

    • Perbaikan - Dari dalam halaman detail rekomendasi, Anda dapat menggunakan 'Perbaiki' untuk mengatasi masalah ini.

    • Terapkan – Dari dalam halaman detail rekomendasi, Anda dapat secara otomatis menerapkan kebijakan untuk memperbaiki masalah ini kapan pun seseorang membuat sumber daya yang tidak sesuai.

    • Tolak – Dari dalam halaman detail rekomendasi, Anda dapat mencegah sumber daya baru yang akan dibuat dengan masalah ini.

Penghitungan - memahami skor Anda

Metrik Rumus dan contoh
Skor kontrol keamanan saat ini
Persamaan untuk menghitung skor kontrol keamanan.

Setiap kontrol keamanan individu berkontribusi terhadap Skor Keamanan. Setiap sumber daya yang terpengaruh oleh rekomendasi dalam kontrol, berkontribusi terhadap skor kontrol saat ini. Skor saat ini untuk setiap kontrol adalah ukuran status sumber daya dalam kontrol.
Tipsalat menunjukkan nilai yang digunakan saat menghitung skor kontrol keamanan saat ini
Dalam contoh ini, skor maksimal 6 akan dibagi 78 karena itulah jumlah sumber daya yang sehat dan tidak sehat.
6 / 78 = 0.0769
Mengalikannya dengan jumlah sumber daya sehat (4) menghasilkan skor saat ini:
0.0769 * 4 = 0.31

Skor aman
Langganan tunggal, atau konektor

Persamaan untuk menghitung skor aman langganan

Skor aman langganan tunggal dengan semua kontrol diaktifkan
Dalam contoh ini, ada satu langganan, atau konektor dengan semua kontrol keamanan yang tersedia (skor maksimum potensial 60 poin). Skor menunjukkan 28 poin dari kemungkinan 60 dan 32 poin sisanya tercermin dalam angka "Peningkatan skor potensial" dari kontrol keamanan.
Daftar kontrol dan potensi peningkatan skor
Persamaan ini adalah persamaan yang sama untuk konektor hanya dengan langganan kata yang digantikan oleh konektor kata.
Skor aman
Beberapa langganan, dan konektor

Persamaan untuk menghitung skor aman untuk beberapa langganan.

Skor gabungan untuk beberapa langganan dan konektor mencakup bobot untuk setiap langganan, dan konektor. Beban relatif untuk langganan Anda ditentukan oleh Defender untuk Cloud berdasarkan faktor-faktor seperti jumlah sumber daya.
Skor saat ini untuk setiap langganan, dan konektor, dihitung dengan cara yang sama seperti untuk satu langganan, atau konektor, tetapi kemudian bobot diterapkan seperti yang ditunjukkan dalam persamaan.
Saat Anda melihat beberapa langganan dan konektor, skor aman mengevaluasi semua sumber daya dalam semua kebijakan yang diaktifkan dan mengelompokkan dampak gabungannya pada skor maksimum setiap kontrol keamanan.
Skor aman untuk beberapa langganan dengan semua kontrol diaktifkan
Skor gabungan bukanlah rata-rata; melainkan postur yang dievaluasi dari status semua sumber daya di semua langganan, dan konektor.

Di sini juga, jika Anda pergi ke halaman rekomendasi dan menambahkan poin potensial yang tersedia, Anda akan menemukan bahwa poin tersebut merupakan perbedaan antara skor saat ini (22) dan skor maksimum yang tersedia (58).

Rekomendasi mana yang disertakan dalam perhitungan skor aman?

Hanya rekomendasi bawaan yang berdampak pada skor aman.

Rekomendasi yang ditandai sebagai Pratinjau tidak disertakan dalam perhitungan skor aman Anda. Mereka masih harus diremediasi sedapat mungkin, sehingga ketika periode pratinjau berakhir mereka akan berkontribusi terhadap skor Anda.

Rekomendasi pratinjau ditandai dengan:

Meningkatkan skor aman Anda

Untuk meremediasi skor aman Anda, pulihkan rekomendasi keamanan dari daftar rekomendasi Anda. Anda dapat memulihkan setiap rekomendasi secara manual untuk setiap sumber daya, atau menggunakan opsi Perbaiki (bila tersedia) untuk menyelesaikan masalah pada beberapa sumber daya dengan cepat. Untuk informasi selengkapnya, lihat memulihkan sumber daya.

Anda juga dapat mengonfigurasi opsi Terapkan dan Tolak pada rekomendasi yang relevan untuk meningkatkan skor dan memastikan pengguna tidak membuat sumber daya yang berdampak negatif pada skor Anda.

Kontrol keamanan dan rekomendasi mereka

Tabel di bawah ini mencantumkan kontrol keamanan di Microsoft Defender untuk Cloud. Untuk setiap kontrol, Anda dapat melihat jumlah poin maksimum yang dapat ditambahkan ke skor aman jika Anda memulihkan semua rekomendasi yang tercantum dalam kontrol, untuk semua sumber daya Anda.

Kumpulan rekomendasi keamanan yang diberikan dengan Defender untuk Cloud disesuaikan dengan sumber daya yang tersedia di lingkungan masing-masing organisasi. Anda dapat menonaktifkan kebijakan dan membebaskan sumber daya tertentu dari rekomendasi untuk menyesuaikan rekomendasi lebih lanjut.

Kami merekomendasikan setiap organisasi meninjau inisiatif Azure Policy yang ditetapkan dengan cermat.

Tip

Untuk detail meninjau dan mengedit inisiatif Anda, lihat Bekerja dengan kebijakan keamanan.

Meskipun inisiatif keamanan default Defender untuk Cloud didasarkan pada praktik dan standar terbaik industri, terdapat skenario di mana rekomendasi bawaan yang tercantum di bawah ini mungkin tidak sepenuhnya sesuai dengan organisasi Anda. Akibatnya, terkadang perlu untuk menyesuaikan inisiatif default - tanpa mengorbankan keamanan - untuk memastikannya selaras dengan kebijakan organisasi Anda sendiri, standar industri, standar peraturan, dan tolok ukur.

Skor aman Kontrol dan deskripsi keamanan Rekomendasi
10 Mengaktifkan MFA - Defender untuk Cloud menempatkan nilai tertinggi pada autentikasi multifaktor (MFA). Gunakan rekomendasi ini untuk mengamankan pengguna langganan Anda.
Ada tiga cara untuk mengaktifkan MFA dan mematuhi rekomendasi: default keamanan, penetapan per pengguna, kebijakan akses bersyarat. Pelajari selengkapnya tentang opsi ini di Mengelola pemberlakuan MFA di langganan Anda.
- Akun dengan izin pemilik di sumber daya Azure harus didukung oleh MFA
- Akun dengan izin tulis di sumber daya Azure harus didukung oleh MFA
MFA pada akun yang memiliki izin pemilik di langganan harus diaktifkan
MFA pada akun yang memiliki izin tulis di langganan harus diaktifkan
8 Port manajemen yang aman - Serangan brute force sering kali mengincar port manajemen. Gunakan saran ini untuk mengurangi keterpaparan Anda dengan alat seperti akses mesin virtual just-in-time dan grup keamanan jaringan. - Mesin virtual yang terhubung ke internet harus dilindungi dengan grup keamanan
- Port manajemen mesin virtual harus dilindungi dengan kontrol akses jaringan just-in-time
- Port manajemen harus ditutup pada mesin virtual anda
6 Menerapkan pembaruan sistem - Tidak menerapkan pembaruan membiarkan kerentanan yang tidak di-patch dan menyebabkan terbentuknya lingkungan yang rentan terhadap serangan. Gunakan rekomendasi ini untuk menjaga efisiensi operasional, mengurangi kerentanan keamanan, dan menyediakan lingkungan yang lebih stabil bagi pengguna akhir Anda. Untuk menyebarkan pembaruan sistem, Anda dapat menggunakan solusi Manajemen Pembaruan untuk mengelola patch dan pembaruan untuk mesin Anda. - Agen Analitik Log harus dipasang pada komputer yang diaktifkan Azure Arc berbasis Linux
- Agen Analitik Log harus dipasang di set skala mesin virtual
- Agen Analitik Log harus dipasang di mesin virtual
- Agen Analitik Log harus dipasang pada komputer yang diaktifkan Azure Arc berbasis Windows
- Pembaruan sistem pada set skala mesin virtual harus dipasang
- Pembaruan sistem harus dipasang pada komputer Anda
- Pembaruan sistem harus dipasang pada komputer Anda (didukung oleh Pusat Pembaruan)
6 Remediasi kerentanan - Defender untuk Cloud meliputi beberapa pemindai penilaian kerentanan untuk memeriksa mesin, database, dan registri kontainer Anda untuk mencari kelemahan yang dapat dimanfaatkan oleh pelaku ancaman. Gunakan rekomendasi ini untuk mengaktifkan pemindai ini dan tinjau temuannya.
Pelajari selengkapnya tentang memindai mesin, server SQL, dan registri kontainer.
- Kluster Kubernetes yang diaktifkan Azure Arc harus memasang ekstensi Azure Policy
- Kluster Azure Kubernetes Service harus memastikan add-on Azure Policy untuk Kubernetes terpasang
- Repositori kode harus memiliki temuan pemindaian kode yang diselesaikan
- Repositori kode harus menyelesaikan temuan pemindaian Dependabot
- Repositori kode harus menyelesaikan temuan pemindaian kode sebagai infrastruktur
- Repositori kode harus menyelesaikan temuan pemindaian rahasia
- Gambar kontainer harus disebarkan hanya dari registri tepercaya
- Temuan kerentanan pada gambar registri kontainer harus diatasi
- Aplikasi Function harus menyelesaikan temuan kerentanan
- Kluster Kubernetes harus menjadi gerbang penyebaran gambar yang rentan
- Komputer harus memiliki solusi penilaian kerentanan
- Komputer harus telah mengatasi temuan kerentanan
- Menjalankan gambar kontainer akan menyelesaikan temuan kerentanan
4 Remediasi konfigurasi keamanan - Aset IT dengan kesalahan konfigurasi memiliki risiko lebih tinggi untuk diserang. Gunakan rekomendasi ini untuk memperkuat kesalahan konfigurasi yang teridentifikasi di seluruh infrastruktur Anda. - Kluster Kubernetes yang diaktifkan Azure Arc harus memasang ekstensi Azure Policy
- Temuan postur keamanan Azure DevOps harus diselesaikan
- Kluster Azure Kubernetes Service harus memastikan add-on Azure Policy untuk Kubernetes terpasang
- Kontainer hanya boleh menggunakan profil AppArmor yang diizinkan
- Agen Analitik Log harus dipasang pada komputer yang diaktifkan Azure Arc berbasis Linux
- Agen Analitik Log harus dipasang di set skala mesin virtual
- Agen Analitik Log harus dipasang di mesin virtual
- Agen Analitik Log harus dipasang pada komputer berbasis Windows yang diaktifkan Azure Arc
- Mesin harus dikonfigurasi dengan aman
- Database SQL harus memiliki temuan kerentanan yang diselesaikan
- SQL instans terkelola harus memiliki penilaian kerentanan yang dikonfigurasi
- Server SQL pada mesin harus memiliki temuan kerentanan yang diselesaikan
- Server SQL harus telah mengonfigurasi penilaian kerentanan
- Set skala mesin virtual harus dikonfigurasi dengan aman
- Kerentanan dalam konfigurasi keamanan pada mesin Linux Anda harus diremediasi (didukung oleh Konfigurasi Tamu)
- Kerentanan dalam konfigurasi keamanan pada komputer Windows Anda harus diremediasi (didukung oleh Konfigurasi Tamu)
4 Kelola akses dan izin - Bagian inti dari program keamanan adalah memastikan pengguna Anda memiliki akses yang diperlukan untuk melakukan pekerjaan mereka, tetapi tidak lebih dari itu: model akses hak istimewa terkecil. Gunakan rekomendasi ini untuk mengelola identitas dan persyaratan akses Anda. - Autentikasi ke mesin Linux harus memerlukan kunci SSH
- Kluster Kubernetes yang diaktifkan Azure Arc harus memasang ekstensi Azure Policy
- Akun Azure Cosmos DB harus menggunakan Azure Active Directory sebagai satu-satunya metode autentikasi
- Kluster Azure Kubernetes Service harus memiliki Azure Policy Add-on untuk Kubernetes yang terpasang
- Akun yang diblokir dengan izin pemilik di sumber daya Azure harus dihapus
- Akun yang diblokir dengan izin baca dan tulis pada sumber daya Azure harus dihapus
- Kontainer dengan eskalasi hak istimewa harus dihindari
- Kontainer yang berbagi namespace layanan host yang sensitif harus dihindari
- Akun yang tidak digunakan lagi harus dihapus dari langganan
- Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan
- Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda
- Akun eksternal yang memiiliki izin tulis harus dihapus dari langganan
- Aplikasi fungsi harus mengaktifkan Sertifikat Klien (Sertifikat klien masuk)
- Akun tamu dengan izin pemilik pada sumber daya Azure harus dihapus
- Akun tamu dengan izin tulis pada sumber daya Azure harus dihapus
- Ekstensi Konfigurasi Tamu harus dipasang pada mesin
- Sistem file akar yang tidak dapat diubah (baca-saja) harus diterapkan untuk kontainer
- Kapabilitas Linux dengan hak istimewa paling rendah harus diterapkan untuk kontainer
- Identitas terkelola harus digunakan di Aplikasi API
- Identitas terkelola harus digunakan dalam aplikasi fungsi
- Identitas terkelola harus digunakan di aplikasi web
- Kontainer dengan hak istimewa harus dihindari
- Kontrol Akses Berbasis Peran harus digunakan di Layanan Kubernetes
- Menjalankan kontainer sebagai pengguna akar harus dihindari
- Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien
- Akses publik akun penyimpanan harus dilarang
- Penggunaan pemasangan volume HostPath pod harus dibatasi hingga daftar yang diketahui untuk membatasi akses node dari kontainer yang disusupi
- Ekstensi Konfigurasi Tamu mesin virtual harus disebarkan dengan identitas terkelola yang ditetapkan sistem
4 Mengaktifkan enkripsi saat tidak aktif - Gunakan rekomendasi ini untuk memastikan Anda mengurangi kesalahan konfigurasi seputar perlindungan data tersimpan Anda. - Kluster Service Fabric harus memiliki properti ClusterProtectionLevel yang disetel ke EncryptAndSign
- Enkripsi Data Transparan pada database SQL harus diaktifkan
- Mesin virtual harus mengenkripsi disk sementara, cache, dan aliran data antara sumber daya Compute dan Storage
4 Mengenkripsi data dalam transit - Gunakan rekomendasi ini untuk mengamankan data yang berpindah di antara komponen, lokasi, atau program. Data tersebut rentan terhadap serangan man-in-the-middle, penyadapan, dan pembajakan sesi. - Aplikasi API seharusnya hanya dapat diakses melalui HTTPS
- Pemberlakuan koneksi SSL harus diaktifkan untuk server database MySQL
- Terapkan koneksi SSL harus diaktifkan untuk server database PostgreSQL
- FTPS harus diwajibkan dalam aplikasi API
- FTPS harus diwajibkan dalam aplikasi fungsi
- FTPS harus diperlukan dalam aplikasi web
- Aplikasi Fungsi seharusnya hanya dapat diakses melalui HTTPS
- Redis Cache harus memungkinkan akses hanya melalui SSL
- Transfer aman ke akun penyimpanan harus diaktifkan
- TLS harus diperbarui ke versi terbaru untuk aplikasi API
- TLS harus diperbarui ke versi terbaru untuk aplikasi fungsi
- TLS harus diperbarui ke versi terbaru untuk aplikasi web Anda
- Aplikasi Web hanya dapat diakses melalui HTTPS
4 Batasi akses jaringan tanpa izin - Azure menawarkan serangkaian alat yang dirancang untuk memastikan akses di seluruh jaringan Anda memenuhi standar keamanan tertinggi.
Gunakan rekomendasi ini untuk mengelola pengaturan Penguatan jaringan adaptif Defender untuk Cloud, pastikan Anda telah mengonfigurasi Azure Private Link untuk semua layanan PaaS yang relevan, aktifkan Azure Firewall di virtual Anda jaringan, dan lainnya.
- Rekomendasi penguatan jaringan adaptif harus diterapkan pada mesin virtual yang menghadap internet
- Semua port jaringan harus dibatasi pada grup keamanan jaringan yang terkait dengan mesin virtual Anda
- Azure App Configuration harus menggunakan tautan privat
- Kluster Kubernetes yang diaktifkan Azure Arc harus memasang ekstensi Azure Policy
- Azure Cache for Redis harus berada dalam jaringan virtual
- Domain Azure Event Grid harus menggunakan tautan privat
- Topik Azure Event Grid harus menggunakan tautan privat
- Kluster Azure Kubernetes Service harus memiliki Azure Policy Add-on untuk Kubernetes yang terpasang
- Ruang kerja Azure Machine Learning harus menggunakan tautan privat
- Azure SignalR Service harus menggunakan tautan privat
- Azure Spring Cloud harus menggunakan injeksi jaringan
- Registri kontainer tidak boleh mengizinkan akses jaringan tidak terbatas
- Registri kontainer harus menggunakan tautan privat
- CORS tidak boleh mengizinkan setiap sumber daya mengakses Aplikasi API
- CORS tidak boleh mengizinkan setiap sumber daya mengakses Aplikasi Fungsi
- CORS tidak boleh mengizinkan setiap sumber daya mengakses Aplikasi Web
- Firewall harus diaktifkan pada Brankas kunci
- Mesin virtual yang terhubung ke internet harus dilindungi dengan grup keamanan
- Penerusan IP pada mesin virtual Anda harus dinonaktifkan
- Server API Kubernetes harus dikonfigurasi dengan akses terbatas
- Titik akhir privat harus dikonfigurasi untuk Brankas Kunci
- Titik akhir privat harus diaktifkan untuk server MariaDB
- Titik akhir privat harus diaktifkan untuk server MySQL
- Titik akhir privat harus diaktifkan untuk server PostgreSQL
- Akses jaringan publik harus dinonaktifkan untuk server MariaDB
- Akses jaringan publik harus dinonaktifkan untuk server MySQL
- Akses jaringan publik harus dinonaktifkan untuk server PostgreSQL
- Layanan hanya mendengarkan pada port yang diizinkan
- Akun penyimpanan harus menggunakan koneksi tautan privat
- Akun penyimpanan harus membatasi akses jaringan menggunakan aturan jaringan virtual
- Penggunaan jaringan hosting dan port harus dibatasi
- Jaringan virtual harus dilindungi oleh Azure Firewall
- Templat VM Image Builder harus menggunakan tautan privat
3 Menerapkan kontrol aplikasi adaptif - Kontrol aplikasi adaptif adalah solusi end-to-end yang cerdas dan otomatis untuk mengontrol aplikasi mana yang dapat berjalan di komputer Anda. Ini juga membantu mengeraskan mesin Anda terhadap malware. - Kontrol aplikasi adaptif untuk menentukan aplikasi yang aman harus diaktifkan pada mesin Anda
- Aturan daftar izin dalam kebijakan kontrol aplikasi adaptif Anda harus diperbarui
- Agen Analitik Log harus dipasang pada komputer berbasis Linux yang diaktifkan Azure Arc
- Agen Analitik Log harus dipasang di mesin virtual
- Agen Analitik Log harus dipasang pada komputer berbasis Windows yang diaktifkan Azure Arc
2 Melindungi aplikasi dari serangan DDoS Solusi keamanan jaringan tingkat lanjut Azure meliputi Azure DDoS Protection, Azure Web Application Firewall, dan Add-on Azure Policy untuk Kubernetes. Gunakan rekomendasi ini untuk memastikan aplikasi Anda dilindungi dengan alat-alat ini dan lainnya. - Kluster Kubernetes yang diaktifkan Azure Arc harus memasang ekstensi Azure Policy
- Standar Azure DDoS Protection harus diaktifkan
- Kluster Azure Kubernetes Service harus memastikan add-on Azure Policy untuk Kubernetes terpasang
- CPU kontainer dan batas memori harus diberlakukan
- Web Application Firewall (WAF) harus diaktifkan untuk Application Gateway
- Web Application Firewall (WAF) harus diaktifkan untuk layanan Azure Front Door Service
2 Mengaktifkan perlindungan titik akhir - Defender untuk Cloud memeriksa titik akhir organisasi Anda untuk deteksi ancaman aktif dan solusi respons seperti Microsoft Defender untuk Titik Akhir atau solusi utama lainnya yang ditampilkan dalam daftar ini.
Saat solusi Deteksi dan Respons Titik Akhir (EDR) tidak ditemukan, Anda dapat menggunakan rekomendasi ini untuk menyebarkan Pertahanan Microsoft untuk Titik Akhir (termasuk bagian dari Microsoft Defender untuk server).
Rekomendasi lainnya dalam kontrol ini membantu Anda menyebarkan agen Log Analytics dan mengonfigurasi pemantauan integritas file.
- Masalah kesehatan perlindungan titik akhir pada komputer harus diselesaikan
- Masalah kesehatan perlindungan titik akhir pada komputer harus diselesaikan
- Masalah kesehatan perlindungan titik akhir pada set skala mesin virtual harus diatasi
- Perlindungan titik akhir harus dipasang pada komputer
- Perlindungan titik akhir harus dipasang pada komputer
- Perlindungan titik akhir harus dipasang pada set skala mesin virtual
- Memasang solusi perlindungan titik akhir pada mesin virtual
- Agen Analitik Log harus dipasang pada komputer berbasis Linux yang diaktifkan Azure Arc
- Agen Analitik Log harus dipasang di set skala mesin virtual
- Agen Analitik Log harus dipasang di mesin virtual
- Agen Analitik Log harus dipasang pada komputer berbasis Windows yang diaktifkan Azure Arc
1 Mengaktifkan audit dan pengelogan - Log detail adalah bagian penting penyelidikan insiden dan berbagai operasi pemecahan masalah lainnya. Rekomendasi dalam kontrol ini fokus pada memastikan bahwa Anda telah mengaktifkan log diagnostik di tempat yang relevan. - Audit di server SQL harus diaktifkan
- Log diagnostik di App Service harus diaktifkan
- Log diagnostik di Azure Data Lake Store harus diaktifkan
- Log diagnostik di Azure Stream Analytics harus diaktifkan
- Log diagnostik di akun Azure Batch harus diaktifkan
- Log diagnostik di Data Lake Analytics harus diaktifkan
- Log diagnostik di Event Hub harus diaktifkan
- Log diagnostik di Key Vault harus diaktifkan
- Log diagnostik di layanan Kubernetes harus diaktifkan
- Log diagnostik di Logic Apps harus diaktifkan
- Log diagnostik di layanan Pencarian harus diaktifkan
- Log diagnostik di Bus Layanan harus diaktifkan
- Log diagnostik di Microsoft Azure Virtual Machine Scale Sets harus diaktifkan
0 Aktifkan fitur keamanan yang disempurnakan - Gunakan rekomendasi ini untuk mengaktifkan salah satu paket fitur keamanan yang ditingkatkan. - Kluster Kubernetes yang diaktifkan Azure Arc harus memasang ekstensi Defender
- Kluster Azure Kubernetes Service harus mengaktifkan profil Defender
- Pemantauan integritas file harus diaktifkan di komputer
- Repositori GitHub harus mengaktifkan pemindaian Kode
- Repositori GitHub harus mengaktifkan pemindaian Dependabot
- Repositori GitHub harus mengaktifkan pemindaian Rahasia
- Microsoft Defender untuk App Service harus diaktifkan
- Microsoft Defender untuk server Azure SQL Database harus diaktifkan
- Microsoft Defender untuk Kontainer harus diaktifkan
- Microsoft Defender untuk DNS harus diaktifkan
- Microsoft Defender untuk Key Vault harus diaktifkan
- Microsoft Defender untuk database hubungan sumber terbuka harus diaktifkan
- Microsoft Defender untuk Resource Manager harus diaktifkan
- Microsoft Defender untuk server harus diaktifkan
- Microsoft Defender untuk server harus diaktifkan di ruang kerja
- Microsoft Defender untuk SQL pada komputer harus diaktifkan di ruang kerja Anda
- Microsoft Defender untuk server SQL pada komputer harus diaktifkan
- Microsoft Defender untuk Storage harus diaktifkan
0 Menerapkan praktik terbaik keamanan - Kontrol ini tidak berdampak pada skor aman Anda. Oleh karena itu, ini adalah kumpulan rekomendasi yang penting untuk dipenuhi demi keamanan organisasi Anda, tetapi yang kami rasa seharusnya tidak menjadi bagian dari bagaimana Anda menilai skor keseluruhan Anda sendiri. - [Aktifkan jika diperlukan] Akun Azure Cosmos DB harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif
- [Aktifkan jika diperlukan] Ruang kerja Azure Machine Learning harus dienkripsi dengan kunci yang dikelola pelanggan (CMK)
- [Aktifkan jika diperlukan] Akun Cognitive Services harus mengaktifkan enkripsi data dengan kunci yang dikelola pelanggan (CMK)
- [Aktifkan jika diperlukan] Registri kontainer harus dienkripsi dengan kunci yang dikelola pelanggan (CMK)
- [Aktifkan jika diperlukan] Server MySQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif
- [Aktifkan jika diperlukan] Server PostgreSQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif
- [Aktifkan jika diperlukan] Instans terkelola SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif
- [Aktifkan jika diperlukan] Server SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif
- [Aktifkan jika diperlukan] Akun penyimpanan harus menggunakan kunci yang dikelola pelanggan (CMK) untuk enkripsi
- Maksimum 3 pemilik harus ditunjuk untuk langganan Anda
- Akses ke akun penyimpanan dengan konfigurasi jaringan virtual dan firewall harus dibatasi
- Akun dengan izin baca di sumber daya Azure harus didukung oleh MFA
- Semua jenis perlindungan ancaman tingkat lanjut harus diaktifkan dalam pengaturan keamanan data tingkat lanjut instans terkelola SQL
- Semua jenis perlindungan ancaman tingkat lanjut harus diaktifkan di pengaturan keamanan data tingkat lanjut SQL server
- Layanan API Management harus menggunakan jaringan virtual
- Retensi audit untuk server SQL harus diatur ke minimal 90 hari
- Provisi otomatis agen Analitik Log harus diaktifkan pada langganan
- Variabel akun Azure Automation harus dienkripsi
- Azure Backup harus diaktifkan untuk komputer virtual
- Akun Azure Cosmos DB harus memiliki aturan firewall
- Akun Cognitive Services harus mengaktifkan enkripsi data
- Akun Azure Cognitive Services harus membatasi akses jaringan
- Akun Cognitive Services harus menggunakan penyimpanan milik pelanggan atau mengaktifkan enkripsi data
- Host kontainer harus dikonfigurasi dengan aman
- Default Policy Filter IP harus pada posisi Menolak
- Log diagnostik di IoT Hub harus diaktifkan
- Pemberitahuan email untuk peringatan dengan tingkat keparahan tinggi harus diaktifkan
- Pemberitahuan email kepada pemilik langganan tentang peringatan dengan tingkat keparahan tinggi harus diaktifkan
- Pastikan aplikasi API memiliki sertifikat klien masuk Sertifikat Klien disetel ke Aktif
- Akun eksternal yang memiiliki izin baca harus dihapus dari langganan
- Cadangan geo-redundan harus diaktifkan untuk Azure Database for MariaDB
- Cadangan geo-redundan harus diaktifkan untuk Azure Database for MySQL
- Cadangan geo-redundan harus diaktifkan untuk Azure Database for PostgreSQL
- Akun tamu dengan izin baca di sumber daya Azure harus dihapus
- Ekstensi Attestation tamu harus dipasang pada set skala mesin virtual Linux yang didukung
- Ekstensi Attestation tamu harus dipasang pada mesin virtual yang didukung Linux
- Ekstensi Attestation tamu harus dipasang pada set skala mesin virtual Windows yang didukung
- Ekstensi Attestation tamu harus dipasang pada mesin virtual Windows yang didukung
- Ekstensi Konfigurasi Tamu harus dipasang pada mesin
- Info Masuk Autentikasi Identik
- Aturan Filter IP dengan rentang IP besar
- Java harus diperbarui ke versi terbaru untuk aplikasi API Anda
- Java harus diperbarui ke versi terbaru untuk aplikasi fungsi Anda
- Java harus diperbarui ke versi terbaru untuk aplikasi web
- Kunci Key Vault harus memiliki tanggal kedaluwarsa
- Rahasia Key Vault harus memiliki tanggal kedaluwarsa
- Brankas kunci harus mengaktifkan perlindungan dari penghapusan menyeluruh
- Brankas kunci harus mengaktifkan penghapusan sementara
- Kluster Kubernetes hanya dapat diakses melalui HTTPS
- Kluster Kubernetes harus menonaktifkan pemasangan otomatis info masuk API
- Kluster Kubernetes tidak boleh memberi kemampuan keamanan CAPSYSADMIN
- Kluster Kubernetes tidak boleh menggunakan namespace layanan default
- Mesin virtual Linux harus menerapkan validasi tanda tangan modul kernel
- Mesin virtual Linux hanya harus menggunakan komponen boot yang ditandatangani dan tepercaya
- Mesin virtual Linux harus menggunakan Boot Aman
- Komputer harus dimulai ulang untuk menerapkan pembaruan konfigurasi keamanan
- Mesin harus menutup port yang mungkin mengekspos vektor serangan
- MFA harus diaktifkan pada akun yang memiliki izin baca di langganan
- Microsoft Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi
- Microsoft Defender untuk SQL harus diaktifkan untuk SQL Managed Instances yang tidak terlindungi
- Network Watcher harus diaktifkan
- Mesin virtual yang tidak menghadap ke internet harus dilindungi dengan grup keamanan jaringan
- Identitas dengan provisi berlebihan dalam langganan harus diselidiki untuk mengurangi Indeks Kebocoran Izin (PCI)
- PHP harus diperbarui ke versi terbaru untuk aplikasi API Anda
- PHP harus diperbarui ke versi terbaru untuk aplikasi web
- Koneksi titik akhir privat di Azure SQL Database harus diaktifkan
- Akses jaringan publik di Azure SQL Database harus dinonaktifkan
- Akses jaringan publik harus dinonaktifkan untuk akun Azure Cognitive Services
- Python harus diperbarui ke versi terbaru untuk aplikasi API Anda
- Python harus diperbarui ke versi terbaru untuk aplikasi fungsi
- Python harus diperbarui ke versi terbaru untuk aplikasi web
- Penelusuran kesalahan jarak jauh harus dimatikan untuk Aplikasi API
- Penelusuran kesalahan jarak jauh harus dimatikan untuk Aplikasi Fungsi
- Penelusuran kesalahan jarak jauh harus dimatikan untuk Aplikasi Web
- Boot aman harus diaktifkan pada mesin virtual Windows yang didukung
- Server SQL harus memiliki administrator Azure Active Directory yang tersedia
- Akun penyimpanan harus dimigrasikan ke sumber daya Azure Resource Manager baru
- Subnet harus dikaitkan dengan kelompok keamanan jaringan
- Langganan harus memiliki alamat email kontak untuk masalah keamanan
- Harus ada lebih dari satu pemilik yang ditetapkan untuk langganan Anda
- Masa berlaku sertifikat yang disimpan di Azure Key Vault tidak boleh melebihi 12 bulan
- Status pengesahan tamu mesin virtual harus dalam keadaan sehat
- Ekstensi Konfigurasi Tamu mesin virtual harus disebarkan dengan identitas terkelola yang ditetapkan sistem
- Mesin virtual harus dimigrasikan ke sumber daya Azure Resource Manager baru
- vTPM harus diaktifkan pada mesin virtual yang didukung
- Aplikasi web harus meminta sertifikat SSL untuk semua permintaan masuk
- Windows Defender Exploit Guard harus diaktifkan di komputer
- Server web Windows harus dikonfigurasi untuk menggunakan protokol komunikasi yang aman

FAQ - Skor aman

Jika saya hanya membahas tiga dari empat rekomendasi dalam kontrol keamanan, apakah skor aman saya akan berubah?

Nomor. Ini tidak akan berubah sampai Anda memulihkan semua rekomendasi untuk satu sumber daya. Untuk mendapatkan skor maksimum untuk kontrol, Anda harus memulihkan semua rekomendasi, untuk semua sumber daya.

Jika rekomendasi tidak berlaku untuk saya, dan saya menonaktifkannya dalam kebijakan, apakah kontrol keamanan saya akan terpenuhi dan skor aman saya diperbarui?

Ya. Sebaiknya nonaktifkan rekomendasi saat tidak diterapkan di lingkungan Anda. Untuk instruksi tentang cara menonaktifkan rekomendasi tertentu, lihat Menonaktifkan kebijakan keamanan.

Jika kontrol keamanan menawarkan saya nol poin menuju skor aman saya, haruskah saya mengabaikannya?

Dalam beberapa kasus, Anda akan melihat skor maksimum kontrol yang lebih besar dari nol, tetapi dampaknya adalah nol. Ketika skor inkremental untuk memperbaiki sumber daya dapat diabaikan, skor tersebut akan dibulatkan ke nol. Jangan abaikan rekomendasi ini karena masih membawa peningkatan keamanan. Satu-satunya pengecualian adalah kontrol "Praktik Terbaik Tambahan". Memulihkan rekomendasi ini tidak akan meningkatkan skor Anda, tetapi itu akan meningkatkan keamanan Anda secara keseluruhan.

Langkah berikutnya

Artikel ini menjelaskan skor aman dan kontrol keamanan yang disertakan.

Untuk materi terkait, lihat artikel berikut ini: