Detail inisiatif bawaan Cis Microsoft Azure Foundations Benchmark 1.4.0 Regulatory Compliance
Artikel berikut merinci bagaimana definisi inisiatif bawaan Kepatuhan Peraturan Azure Policy dipetakan ke domain kepatuhan dan kontrol di CIS Microsoft Azure Foundations Benchmark 1.4.0. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat CIS Microsoft Azure Foundations Benchmark 1.4.0. Untuk memahami Kepemilikan, lihat definisi kebijakan Azure Policy dan Tanggung jawab bersama di awan.
Pemetaan berikut adalah untuk kontrol CIS Microsoft Azure Foundations Benchmark 1.4.0 . Banyak kontrol diimplementasikan dengan definisi inisiatif Azure Policy. Untuk meninjau definisi inisiatif lengkap, buka Kebijakan di portal Microsoft Azure dan pilih halaman Definisi. Kemudian, temukan dan pilih definisi inisiatif bawaan Cis Microsoft Azure Foundations Benchmark v1.4.0 Regulatory Compliance.
Penting
Setiap kontrol di bawah ini dikaitkan dengan satu atau beberapa definisi Azure Policy. Kebijakan ini mungkin membantu Anda menilai kepatuhan terhadap kontrol; namun, sering kali tidak ada kecocokan satu-ke-satu atau lengkap antara kontrol dan satu atau beberapa kebijakan. Dengan demikian, Kepatuhan di Azure Policy hanya mengacu pada definisi kebijakan itu sendiri; hal tersebut tidak memastikan Anda sepenuhnya mematuhi semua persyaratan kontrol. Selain itu, standar kepatuhan melibatkan kontrol yang tidak dicakup dalam definisi yang ada di Azure Policy saat ini. Oleh karena itu, kepatuhan dalam Azure Policy hanyalah pandangan parsial dari status kepatuhan Anda secara keseluruhan. Hubungan antara domain kepatuhan, kontrol, dan definisi Azure Policy untuk standar kepatuhan ini dapat berubah seiring waktu. Untuk melihat riwayat perubahan, lihat Riwayat Komit GitHub.
1 Manajemen Identitas dan Akses
Pastikan 'Status Autentikasi Multifaktor' 'Diaktifkan' untuk semua Pengguna Istimewa
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 1.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun dengan izin pemilik pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan izin pemilik untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun dengan izin tulis pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak tulis istimewa untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengadopsi mekanisme autentikasi biometrik | CMA_0005 - Mengadopsi mekanisme autentikasi biometrik | Manual, Dinonaktifkan | 1.1.0 |
Pastikan 'Pengguna dapat menambahkan aplikasi galeri ke Aplikasi Saya' diatur ke 'Tidak'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 1.10 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Otorisasi akses ke fungsi dan informasi keamanan | CMA_0022 - Mengotorisasi akses ke fungsi dan informasi keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Otorisasi dan kelola akses | CMA_0023 - Mengotorisasi dan mengelola akses | Manual, Dinonaktifkan | 1.1.0 |
| Terapkan kebijakan kontrol akses wajib dan kewenangan | CMA_0246 - Menerapkan kebijakan kontrol akses yang wajib dan kewenangan | Manual, Dinonaktifkan | 1.1.0 |
Pastikan 'Pengguna dapat mendaftarkan aplikasi' diatur menjadi 'Tidak'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 1.11 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Otorisasi akses ke fungsi dan informasi keamanan | CMA_0022 - Mengotorisasi akses ke fungsi dan informasi keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Otorisasi dan kelola akses | CMA_0023 - Mengotorisasi dan mengelola akses | Manual, Dinonaktifkan | 1.1.0 |
| Terapkan kebijakan kontrol akses wajib dan kewenangan | CMA_0246 - Menerapkan kebijakan kontrol akses yang wajib dan kewenangan | Manual, Dinonaktifkan | 1.1.0 |
Pastikan 'Pembatasan akses pengguna tamu' diatur ke 'Akses pengguna tamu dibatasi untuk properti dan keanggotaan objek direktori mereka sendiri''
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 1.12 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Otorisasi akses ke fungsi dan informasi keamanan | CMA_0022 - Mengotorisasi akses ke fungsi dan informasi keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Otorisasi dan kelola akses | CMA_0023 - Mengotorisasi dan mengelola akses | Manual, Dinonaktifkan | 1.1.0 |
| Mendesain model kontrol akses | CMA_0129 - Mendesain model kontrol akses | Manual, Dinonaktifkan | 1.1.0 |
| Menggunakan akses hak istimewa minimum | CMA_0212 - Menggunakan akses hak istimewa minimum | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan akses logis | CMA_0245 - Menerapkan akses logis | Manual, Dinonaktifkan | 1.1.0 |
| Terapkan kebijakan kontrol akses wajib dan kewenangan | CMA_0246 - Menerapkan kebijakan kontrol akses yang wajib dan kewenangan | Manual, Dinonaktifkan | 1.1.0 |
| Mewajibkan persetujuan untuk pembuatan akun | CMA_0431 - Mewajibkan persetujuan untuk pembuatan akun | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau grup dan aplikasi pengguna yang memiliki akses terhadap data sensitif | CMA_0481 - Meninjau grup dan aplikasi pengguna yang memiliki akses terhadap data sensitif | Manual, Dinonaktifkan | 1.1.0 |
Pastikan bahwa 'Pembatasan undangan tamu' diatur ke "Hanya pengguna yang ditetapkan ke peran admin tertentu yang dapat mengundang pengguna tamu"
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 1.13 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Otorisasi akses ke fungsi dan informasi keamanan | CMA_0022 - Mengotorisasi akses ke fungsi dan informasi keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Otorisasi dan kelola akses | CMA_0023 - Mengotorisasi dan mengelola akses | Manual, Dinonaktifkan | 1.1.0 |
| Mendesain model kontrol akses | CMA_0129 - Mendesain model kontrol akses | Manual, Dinonaktifkan | 1.1.0 |
| Menggunakan akses hak istimewa minimum | CMA_0212 - Menggunakan akses hak istimewa minimum | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan akses logis | CMA_0245 - Menerapkan akses logis | Manual, Dinonaktifkan | 1.1.0 |
| Terapkan kebijakan kontrol akses wajib dan kewenangan | CMA_0246 - Menerapkan kebijakan kontrol akses yang wajib dan kewenangan | Manual, Dinonaktifkan | 1.1.0 |
| Mewajibkan persetujuan untuk pembuatan akun | CMA_0431 - Mewajibkan persetujuan untuk pembuatan akun | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau grup dan aplikasi pengguna yang memiliki akses terhadap data sensitif | CMA_0481 - Meninjau grup dan aplikasi pengguna yang memiliki akses terhadap data sensitif | Manual, Dinonaktifkan | 1.1.0 |
Pastikan 'Batasi akses ke portal administrasi Microsoft Azure AD' Diatur ke "Ya"
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 1.14 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Otorisasi akses ke fungsi dan informasi keamanan | CMA_0022 - Mengotorisasi akses ke fungsi dan informasi keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Otorisasi dan kelola akses | CMA_0023 - Mengotorisasi dan mengelola akses | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan akses logis | CMA_0245 - Menerapkan akses logis | Manual, Dinonaktifkan | 1.1.0 |
| Terapkan kebijakan kontrol akses wajib dan kewenangan | CMA_0246 - Menerapkan kebijakan kontrol akses yang wajib dan kewenangan | Manual, Dinonaktifkan | 1.1.0 |
| Mewajibkan persetujuan untuk pembuatan akun | CMA_0431 - Mewajibkan persetujuan untuk pembuatan akun | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau grup dan aplikasi pengguna yang memiliki akses terhadap data sensitif | CMA_0481 - Meninjau grup dan aplikasi pengguna yang memiliki akses terhadap data sensitif | Manual, Dinonaktifkan | 1.1.0 |
Pastikan bahwa 'Batasi kemampuan pengguna untuk mengakses fitur grup di Panel Akses' diatur ke 'Ya'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 1.15 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Otorisasi akses ke fungsi dan informasi keamanan | CMA_0022 - Mengotorisasi akses ke fungsi dan informasi keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Otorisasi dan kelola akses | CMA_0023 - Mengotorisasi dan mengelola akses | Manual, Dinonaktifkan | 1.1.0 |
| Terapkan kebijakan kontrol akses wajib dan kewenangan | CMA_0246 - Menerapkan kebijakan kontrol akses yang wajib dan kewenangan | Manual, Dinonaktifkan | 1.1.0 |
| Membuat dan mendokumentasikan proses kontrol perubahan | CMA_0265 - Membuat dan mendokumentasikan proses kontrol perubahan | Manual, Dinonaktifkan | 1.1.0 |
Pastikan bahwa 'Pengguna dapat membuat grup keamanan di portal Azure, API, atau PowerShell' diatur ke 'Tidak'
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 1.16 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Otorisasi akses ke fungsi dan informasi keamanan | CMA_0022 - Mengotorisasi akses ke fungsi dan informasi keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Otorisasi dan kelola akses | CMA_0023 - Mengotorisasi dan mengelola akses | Manual, Dinonaktifkan | 1.1.0 |
| Terapkan kebijakan kontrol akses wajib dan kewenangan | CMA_0246 - Menerapkan kebijakan kontrol akses yang wajib dan kewenangan | Manual, Dinonaktifkan | 1.1.0 |
| Membuat dan mendokumentasikan proses kontrol perubahan | CMA_0265 - Membuat dan mendokumentasikan proses kontrol perubahan | Manual, Dinonaktifkan | 1.1.0 |
Pastikan 'Pemilik dapat mengelola permintaan keanggotaan grup di Panel Akses' diatur menjadi 'Tidak'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 1.17 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Otorisasi akses ke fungsi dan informasi keamanan | CMA_0022 - Mengotorisasi akses ke fungsi dan informasi keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Otorisasi dan kelola akses | CMA_0023 - Mengotorisasi dan mengelola akses | Manual, Dinonaktifkan | 1.1.0 |
| Terapkan kebijakan kontrol akses wajib dan kewenangan | CMA_0246 - Menerapkan kebijakan kontrol akses yang wajib dan kewenangan | Manual, Dinonaktifkan | 1.1.0 |
| Membuat dan mendokumentasikan proses kontrol perubahan | CMA_0265 - Membuat dan mendokumentasikan proses kontrol perubahan | Manual, Dinonaktifkan | 1.1.0 |
Pastikan bahwa 'Pengguna dapat membuat grup Microsoft 365 di portal Azure, API, atau PowerShell' diatur ke 'Tidak'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 1.18 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Otorisasi akses ke fungsi dan informasi keamanan | CMA_0022 - Mengotorisasi akses ke fungsi dan informasi keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Otorisasi dan kelola akses | CMA_0023 - Mengotorisasi dan mengelola akses | Manual, Dinonaktifkan | 1.1.0 |
| Terapkan kebijakan kontrol akses wajib dan kewenangan | CMA_0246 - Menerapkan kebijakan kontrol akses yang wajib dan kewenangan | Manual, Dinonaktifkan | 1.1.0 |
| Membuat dan mendokumentasikan proses kontrol perubahan | CMA_0265 - Membuat dan mendokumentasikan proses kontrol perubahan | Manual, Dinonaktifkan | 1.1.0 |
Pastikan bahwa 'Memerlukan Autentikasi Multifaktor untuk mendaftarkan atau menggabungkan perangkat dengan Microsoft Azure AD' diatur ke 'Ya'
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 1.19 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengadopsi mekanisme autentikasi biometrik | CMA_0005 - Mengadopsi mekanisme autentikasi biometrik | Manual, Dinonaktifkan | 1.1.0 |
| Otorisasi akses jarak jauh | CMA_0024 - Mengotorisasi akses jarak jauh | Manual, Dinonaktifkan | 1.1.0 |
| Mendokumentasikan pelatihan mobilitas | CMA_0191 - Mendokumentasikan pelatihan mobilitas | Manual, Dinonaktifkan | 1.1.0 |
| Mendokumentasikan panduan akses jarak jauh | CMA_0196 - Mendokumentasikan panduan akses jarak jauh | Manual, Dinonaktifkan | 1.1.0 |
| Mengidentifikasi dan mengautentikasi perangkat jaringan | CMA_0296 - Mengidentifikasi dan mengautentikasi perangkat jaringan | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan kontrol untuk mengamankan lokasi kerja alternatif | CMA_0315 - Menerapkan kontrol untuk mengamankan lokasi kerja alternatif | Manual, Dinonaktifkan | 1.1.0 |
| Memberikan pelatihan privasi | CMA_0415 - Memberikan pelatihan privasi | Manual, Dinonaktifkan | 1.1.0 |
| Memenuhi persyaratan kualitas token | CMA_0487 - Memenuhi persyaratan kualitas token | Manual, Dinonaktifkan | 1.1.0 |
Pastikan 'Status Autentikasi Multifaktor' 'Diaktifkan' untuk semua Pengguna Yang Tidak Memiliki Hak Istimewa
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 1.2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun dengan izin baca pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak baca istimewa untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengadopsi mekanisme autentikasi biometrik | CMA_0005 - Mengadopsi mekanisme autentikasi biometrik | Manual, Dinonaktifkan | 1.1.0 |
Pastikan Tidak Ada Peran Pemilik Langganan Kustom yang Dibuat
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 1.20 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Otorisasi akses ke fungsi dan informasi keamanan | CMA_0022 - Mengotorisasi akses ke fungsi dan informasi keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Otorisasi dan kelola akses | CMA_0023 - Mengotorisasi dan mengelola akses | Manual, Dinonaktifkan | 1.1.0 |
| Mendesain model kontrol akses | CMA_0129 - Mendesain model kontrol akses | Manual, Dinonaktifkan | 1.1.0 |
| Menggunakan akses hak istimewa minimum | CMA_0212 - Menggunakan akses hak istimewa minimum | Manual, Dinonaktifkan | 1.1.0 |
| Terapkan kebijakan kontrol akses wajib dan kewenangan | CMA_0246 - Menerapkan kebijakan kontrol akses yang wajib dan kewenangan | Manual, Dinonaktifkan | 1.1.0 |
| Membuat dan mendokumentasikan proses kontrol perubahan | CMA_0265 - Membuat dan mendokumentasikan proses kontrol perubahan | Manual, Dinonaktifkan | 1.1.0 |
Pastikan Default Keamanan diaktifkan di Azure Active Directory
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 1.21 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengadopsi mekanisme autentikasi biometrik | CMA_0005 - Mengadopsi mekanisme autentikasi biometrik | Manual, Dinonaktifkan | 1.1.0 |
| Mengautentikasi ke modul kriptografi | CMA_0021 - Mengautentikasi ke modul kriptografi | Manual, Dinonaktifkan | 1.1.0 |
| Otorisasi akses jarak jauh | CMA_0024 - Mengotorisasi akses jarak jauh | Manual, Dinonaktifkan | 1.1.0 |
| Mendokumentasikan pelatihan mobilitas | CMA_0191 - Mendokumentasikan pelatihan mobilitas | Manual, Dinonaktifkan | 1.1.0 |
| Mendokumentasikan panduan akses jarak jauh | CMA_0196 - Mendokumentasikan panduan akses jarak jauh | Manual, Dinonaktifkan | 1.1.0 |
| Mengidentifikasi dan mengautentikasi perangkat jaringan | CMA_0296 - Mengidentifikasi dan mengautentikasi perangkat jaringan | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan kontrol untuk mengamankan lokasi kerja alternatif | CMA_0315 - Menerapkan kontrol untuk mengamankan lokasi kerja alternatif | Manual, Dinonaktifkan | 1.1.0 |
| Memberikan pelatihan privasi | CMA_0415 - Memberikan pelatihan privasi | Manual, Dinonaktifkan | 1.1.0 |
| Memenuhi persyaratan kualitas token | CMA_0487 - Memenuhi persyaratan kualitas token | Manual, Dinonaktifkan | 1.1.0 |
Pastikan Peran Kustom Diberi Izin untuk Mengelola Kunci Sumber Daya
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 1.22 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Otorisasi akses ke fungsi dan informasi keamanan | CMA_0022 - Mengotorisasi akses ke fungsi dan informasi keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Otorisasi dan kelola akses | CMA_0023 - Mengotorisasi dan mengelola akses | Manual, Dinonaktifkan | 1.1.0 |
| Terapkan kebijakan kontrol akses wajib dan kewenangan | CMA_0246 - Menerapkan kebijakan kontrol akses yang wajib dan kewenangan | Manual, Dinonaktifkan | 1.1.0 |
| Membuat dan mendokumentasikan proses kontrol perubahan | CMA_0265 - Membuat dan mendokumentasikan proses kontrol perubahan | Manual, Dinonaktifkan | 1.1.0 |
Pastikan pengguna tamu ditinjau setiap bulan
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 1.3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengaudit status akun pengguna | CMA_0020 - Mengaudit status akun pengguna | Manual, Dinonaktifkan | 1.1.0 |
| Akun tamu dengan izin pemilik pada sumber daya Azure harus dihapus | Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun tamu dengan izin baca pada sumber daya Azure harus dihapus | Akun eksternal dengan hak baca istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun tamu dengan izin tulis pada sumber daya Azure harus dihapus | Akun eksternal dengan hak tulis istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Menetapkan ulang atau menghapus hak istimewa pengguna sesuai kebutuhan | CMA_C1040 - Menetapkan ulang atau menghapus hak istimewa pengguna sesuai kebutuhan | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau log penyediaan akun | CMA_0460 - Meninjau log penyediaan akun | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau akun pengguna | CMA_0480 - Meninjau akun pengguna | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau hak istimewa pengguna | CMA_C1039 - Meninjau hak istimewa pengguna | Manual, Dinonaktifkan | 1.1.0 |
Pastikan bahwa 'Pulihkan autentikasi multifaktor pada semua perangkat yang diingat' Diaktifkan
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 1.4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengadopsi mekanisme autentikasi biometrik | CMA_0005 - Mengadopsi mekanisme autentikasi biometrik | Manual, Dinonaktifkan | 1.1.0 |
| Mengidentifikasi dan mengautentikasi perangkat jaringan | CMA_0296 - Mengidentifikasi dan mengautentikasi perangkat jaringan | Manual, Dinonaktifkan | 1.1.0 |
| Memenuhi persyaratan kualitas token | CMA_0487 - Memenuhi persyaratan kualitas token | Manual, Dinonaktifkan | 1.1.0 |
Pastikan bahwa 'Jumlah hari sebelum pengguna diminta untuk mengonfirmasi ulang informasi autentikasi mereka' tidak diatur ke '0'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 1.6 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengotomatisasi manajemen akun | CMA_0026 - Mengotomatisasi manajemen akun | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola akun sistem dan admin | CMA_0368 - Mengelola akun sistem dan admin | Manual, Dinonaktifkan | 1.1.0 |
| Memantau akses di seluruh organisasi | CMA_0376 - Memantau akses di seluruh organisasi | Manual, Dinonaktifkan | 1.1.0 |
| Memberi tahu saat akun tidak diperlukan | CMA_0383 - Memberi tahu saat akun tidak diperlukan | Manual, Dinonaktifkan | 1.1.0 |
Pastikan bahwa 'Beri tahu pengguna tentang pengaturan ulang kata sandi?' diatur menjadi 'Ya'
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 1.7 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengotomatisasi manajemen akun | CMA_0026 - Mengotomatisasi manajemen akun | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan pelatihan untuk melindungi pengautentikasi | CMA_0329 - Menerapkan pelatihan untuk melindungi pengautentikasi | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola akun sistem dan admin | CMA_0368 - Mengelola akun sistem dan admin | Manual, Dinonaktifkan | 1.1.0 |
| Memantau akses di seluruh organisasi | CMA_0376 - Memantau akses di seluruh organisasi | Manual, Dinonaktifkan | 1.1.0 |
| Memberi tahu saat akun tidak diperlukan | CMA_0383 - Memberi tahu saat akun tidak diperlukan | Manual, Dinonaktifkan | 1.1.0 |
Pastikan Bahwa 'Beri tahu semua admin saat admin lain mengatur ulang kata sandi mereka?' diatur menjadi 'Ya'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 1.8 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengaudit fungsi istimewa | CMA_0019 - Mengaudit fungsi istimewa | Manual, Dinonaktifkan | 1.1.0 |
| Mengotomatisasi manajemen akun | CMA_0026 - Mengotomatisasi manajemen akun | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan pelatihan untuk melindungi pengautentikasi | CMA_0329 - Menerapkan pelatihan untuk melindungi pengautentikasi | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola akun sistem dan admin | CMA_0368 - Mengelola akun sistem dan admin | Manual, Dinonaktifkan | 1.1.0 |
| Memantau akses di seluruh organisasi | CMA_0376 - Memantau akses di seluruh organisasi | Manual, Dinonaktifkan | 1.1.0 |
| Memantau penetapan peran istimewa | CMA_0378 - Memantau penetapan peran istimewa | Manual, Dinonaktifkan | 1.1.0 |
| Memberi tahu saat akun tidak diperlukan | CMA_0383 - Memberi tahu saat akun tidak diperlukan | Manual, Dinonaktifkan | 1.1.0 |
| Membatasi akses ke akun istimewa | CMA_0446 - Membatasi akses terhadap akun istimewa | Manual, Dinonaktifkan | 1.1.0 |
| Mencabut peran istimewa yang sesuai | CMA_0483 - Mencabut peran istimewa sewajarnya | Manual, Dinonaktifkan | 1.1.0 |
| Menggunakan manajemen identitas istimewa | CMA_0533 - Menggunakan manajemen identitas istimewa | Manual, Dinonaktifkan | 1.1.0 |
Pastikan bahwa 'Pengguna dapat menyetujui aplikasi yang mengakses data perusahaan atas nama mereka' diatur menjadi 'Tidak'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 1.9 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Otorisasi akses ke fungsi dan informasi keamanan | CMA_0022 - Mengotorisasi akses ke fungsi dan informasi keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Otorisasi dan kelola akses | CMA_0023 - Mengotorisasi dan mengelola akses | Manual, Dinonaktifkan | 1.1.0 |
| Terapkan kebijakan kontrol akses wajib dan kewenangan | CMA_0246 - Menerapkan kebijakan kontrol akses yang wajib dan kewenangan | Manual, Dinonaktifkan | 1.1.0 |
2 Microsoft Defender untuk Cloud
Pastikan Pertahanan Microsoft untuk Server diatur ke 'Aktif'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure Defender untuk server harus diaktifkan | Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Memblokir proses tidak tepercaya dan tidak resmi yang berjalan dari USB | CMA_0050 - Memblokir proses yang tidak tepercaya dan tidak resmi yang berjalan dari USB | Manual, Dinonaktifkan | 1.1.0 |
| Mendeteksi layanan jaringan yang belum diotorisasi atau belum disetujui | CMA_C1700 - Mendeteksi layanan jaringan yang belum diotorisasi atau belum disetujui | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola gateway | CMA_0363 - Mengelola gateway | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan analisis tren pada ancaman | CMA_0389 - Melakukan analisis tren terhadap ancaman | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan pemindaian kerentanan | CMA_0393 - Melakukan pemindaian kerentanan | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau laporan deteksi malware setiap minggu | CMA_0475 - Meninjau laporan deteksi malware setiap minggu | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau status perlindungan terhadap ancaman setiap minggu | CMA_0479 - Meninjau status perlindungan terhadap ancaman setiap minggu | Manual, Dinonaktifkan | 1.1.0 |
| Memperbarui definisi antivirus | CMA_0517 - Memperbarui definisi antivirus | Manual, Dinonaktifkan | 1.1.0 |
Pastikan integrasi Microsoft Defender untuk Cloud Apps (MCAS) dengan Microsoft Defender untuk Cloud Dipilih
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.10 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memblokir proses tidak tepercaya dan tidak resmi yang berjalan dari USB | CMA_0050 - Memblokir proses yang tidak tepercaya dan tidak resmi yang berjalan dari USB | Manual, Dinonaktifkan | 1.1.0 |
| Mendeteksi layanan jaringan yang belum diotorisasi atau belum disetujui | CMA_C1700 - Mendeteksi layanan jaringan yang belum diotorisasi atau belum disetujui | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola gateway | CMA_0363 - Mengelola gateway | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan analisis tren pada ancaman | CMA_0389 - Melakukan analisis tren terhadap ancaman | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan pemindaian kerentanan | CMA_0393 - Melakukan pemindaian kerentanan | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau laporan deteksi malware setiap minggu | CMA_0475 - Meninjau laporan deteksi malware setiap minggu | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau status perlindungan terhadap ancaman setiap minggu | CMA_0479 - Meninjau status perlindungan terhadap ancaman setiap minggu | Manual, Dinonaktifkan | 1.1.0 |
| Memperbarui definisi antivirus | CMA_0517 - Memperbarui definisi antivirus | Manual, Dinonaktifkan | 1.1.0 |
Pastikan Bahwa Provisi otomatis 'Agen Analitik Log untuk Azure VM' Diatur ke 'Aktif'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.11 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Penyediaan otomatis agen Analisis Log harus diaktifkan pada langganan Anda | Untuk memantau kerentanan dan ancaman keamanan, Azure Security Center mengumpulkan data dari komputer virtual Azure Anda. Data dikumpulkan oleh agen Log Analytics, sebelumnya dikenal sebagai Microsoft Monitoring Agent (MMA), yang membaca berbagai konfigurasi terkait keamanan dan log peristiwa dari komputer dan menyalin data ke ruang kerja Log Analytics Anda untuk analisis. Sebaiknya aktifkan penyediaan otomatis untuk menerapkan agen secara otomatis ke semua Azure VM yang didukung dan yang baru yang dibuat. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| Mendokumentasikan operasi keamanan | CMA_0202 - Mendokumentasikan operasi keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Mengaktifkan sensor untuk solusi keamanan titik akhir | CMA_0514 - Mengaktifkan sensor untuk solusi keamanan titik akhir | Manual, Dinonaktifkan | 1.1.0 |
Pastikan Salah satu Pengaturan Kebijakan Default ASC Tidak Diatur ke 'Dinonaktifkan'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.12 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengonfigurasi tindakan untuk perangkat yang tidak patuh | CMA_0062 - Mengonfigurasi tindakan untuk perangkat yang tidak patuh | Manual, Dinonaktifkan | 1.1.0 |
| Mengembangkan dan memelihara konfigurasi dasar | CMA_0153 - Mengembangkan dan memelihara konfigurasi mendasar | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan pengaturan konfigurasi keamanan | CMA_0249 - Menerapkan pengaturan konfigurasi keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Membuat papan kontrol konfigurasi | CMA_0254 - Membuat papan kontrol konfigurasi | Manual, Dinonaktifkan | 1.1.0 |
| Membuat dan mendokumentasikan rencana manajemen konfigurasi | CMA_0264 - Membuat dan mendokumentasikan rencana manajemen konfigurasi | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan alat manajemen konfigurasi otomatis | CMA_0311 - Menerapkan alat manajemen konfigurasi otomatis | Manual, Dinonaktifkan | 1.1.0 |
Pastikan 'Alamat email tambahan' Dikonfigurasi dengan Email Kontak Keamanan
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.13 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Langganan harus memiliki alamat email kontak untuk masalah keamanan | Untuk memastikan orang yang relevan di organisasi Anda diberi tahu saat ada potensi pelanggaran keamanan di salah satu langganan Anda, atur kontak keamanan untuk menerima pemberitahuan email dari Security Center. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Pastikan 'Beri tahu tentang pemberitahuan dengan tingkat keparahan berikut' diatur ke 'Tinggi'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.14 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Pemberitahuan email untuk lansiran tingkat keparahan tinggi harus diaktifkan | Untuk memastikan orang yang relevan di organisasi Anda diberi tahu ketika terdapat potensi pelanggaran keamanan di salah satu langganan Anda, aktifkan pemberitahuan email untuk peringatan tingkat keparahan tinggi di Security Center. | AuditIfNotExists, Dinonaktifkan | 1.1.0 |
Pastikan Pertahanan Microsoft untuk App Service diatur ke 'Aktif'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure Defender untuk App Service harus diaktifkan | Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Memblokir proses tidak tepercaya dan tidak resmi yang berjalan dari USB | CMA_0050 - Memblokir proses yang tidak tepercaya dan tidak resmi yang berjalan dari USB | Manual, Dinonaktifkan | 1.1.0 |
| Mendeteksi layanan jaringan yang belum diotorisasi atau belum disetujui | CMA_C1700 - Mendeteksi layanan jaringan yang belum diotorisasi atau belum disetujui | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola gateway | CMA_0363 - Mengelola gateway | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan analisis tren pada ancaman | CMA_0389 - Melakukan analisis tren terhadap ancaman | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan pemindaian kerentanan | CMA_0393 - Melakukan pemindaian kerentanan | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau laporan deteksi malware setiap minggu | CMA_0475 - Meninjau laporan deteksi malware setiap minggu | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau status perlindungan terhadap ancaman setiap minggu | CMA_0479 - Meninjau status perlindungan terhadap ancaman setiap minggu | Manual, Dinonaktifkan | 1.1.0 |
| Memperbarui definisi antivirus | CMA_0517 - Memperbarui definisi antivirus | Manual, Dinonaktifkan | 1.1.0 |
Pastikan bahwa Microsoft Defender untuk Azure SQL Database diatur ke 'Aktif'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure Defender untuk server Azure SQL Database harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Memblokir proses tidak tepercaya dan tidak resmi yang berjalan dari USB | CMA_0050 - Memblokir proses yang tidak tepercaya dan tidak resmi yang berjalan dari USB | Manual, Dinonaktifkan | 1.1.0 |
| Mendeteksi layanan jaringan yang belum diotorisasi atau belum disetujui | CMA_C1700 - Mendeteksi layanan jaringan yang belum diotorisasi atau belum disetujui | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola gateway | CMA_0363 - Mengelola gateway | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan analisis tren pada ancaman | CMA_0389 - Melakukan analisis tren terhadap ancaman | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan pemindaian kerentanan | CMA_0393 - Melakukan pemindaian kerentanan | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau laporan deteksi malware setiap minggu | CMA_0475 - Meninjau laporan deteksi malware setiap minggu | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau status perlindungan terhadap ancaman setiap minggu | CMA_0479 - Meninjau status perlindungan terhadap ancaman setiap minggu | Manual, Dinonaktifkan | 1.1.0 |
| Memperbarui definisi antivirus | CMA_0517 - Memperbarui definisi antivirus | Manual, Dinonaktifkan | 1.1.0 |
Pastikan bahwa Microsoft Defender untuk server SQL pada komputer diatur ke 'Aktif'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure Defender untuk server SQL pada mesin harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Memblokir proses tidak tepercaya dan tidak resmi yang berjalan dari USB | CMA_0050 - Memblokir proses yang tidak tepercaya dan tidak resmi yang berjalan dari USB | Manual, Dinonaktifkan | 1.1.0 |
| Mendeteksi layanan jaringan yang belum diotorisasi atau belum disetujui | CMA_C1700 - Mendeteksi layanan jaringan yang belum diotorisasi atau belum disetujui | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola gateway | CMA_0363 - Mengelola gateway | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan analisis tren pada ancaman | CMA_0389 - Melakukan analisis tren terhadap ancaman | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan pemindaian kerentanan | CMA_0393 - Melakukan pemindaian kerentanan | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau laporan deteksi malware setiap minggu | CMA_0475 - Meninjau laporan deteksi malware setiap minggu | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau status perlindungan terhadap ancaman setiap minggu | CMA_0479 - Meninjau status perlindungan terhadap ancaman setiap minggu | Manual, Dinonaktifkan | 1.1.0 |
| Memperbarui definisi antivirus | CMA_0517 - Memperbarui definisi antivirus | Manual, Dinonaktifkan | 1.1.0 |
Pastikan Pertahanan Microsoft untuk Penyimpanan diatur ke 'Aktif'
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 2.5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memblokir proses tidak tepercaya dan tidak resmi yang berjalan dari USB | CMA_0050 - Memblokir proses yang tidak tepercaya dan tidak resmi yang berjalan dari USB | Manual, Dinonaktifkan | 1.1.0 |
| Mendeteksi layanan jaringan yang belum diotorisasi atau belum disetujui | CMA_C1700 - Mendeteksi layanan jaringan yang belum diotorisasi atau belum disetujui | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola gateway | CMA_0363 - Mengelola gateway | Manual, Dinonaktifkan | 1.1.0 |
| Pertahanan Microsoft untuk Penyimpanan harus diaktifkan | Microsoft Defender for Storage mendeteksi potensi ancaman terhadap akun penyimpanan Anda. Ini membantu mencegah tiga dampak utama pada data dan beban kerja Anda: unggahan file berbahaya, penyelundupan data sensitif, dan kerusakan data. Paket Defender for Storage baru mencakup Pemindaian Malware dan Deteksi Ancaman Data Sensitif. Paket ini juga menyediakan struktur harga yang dapat diprediksi (per akun penyimpanan) untuk kontrol atas cakupan dan biaya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Melakukan analisis tren pada ancaman | CMA_0389 - Melakukan analisis tren terhadap ancaman | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan pemindaian kerentanan | CMA_0393 - Melakukan pemindaian kerentanan | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau laporan deteksi malware setiap minggu | CMA_0475 - Meninjau laporan deteksi malware setiap minggu | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau status perlindungan terhadap ancaman setiap minggu | CMA_0479 - Meninjau status perlindungan terhadap ancaman setiap minggu | Manual, Dinonaktifkan | 1.1.0 |
| Memperbarui definisi antivirus | CMA_0517 - Memperbarui definisi antivirus | Manual, Dinonaktifkan | 1.1.0 |
Pastikan Pertahanan Microsoft untuk Kubernetes diatur ke 'Aktif'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.6 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memblokir proses tidak tepercaya dan tidak resmi yang berjalan dari USB | CMA_0050 - Memblokir proses yang tidak tepercaya dan tidak resmi yang berjalan dari USB | Manual, Dinonaktifkan | 1.1.0 |
| Mendeteksi layanan jaringan yang belum diotorisasi atau belum disetujui | CMA_C1700 - Mendeteksi layanan jaringan yang belum diotorisasi atau belum disetujui | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola gateway | CMA_0363 - Mengelola gateway | Manual, Dinonaktifkan | 1.1.0 |
| Pertahanan Microsoft untuk Kontainer harus diaktifkan | Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Melakukan analisis tren pada ancaman | CMA_0389 - Melakukan analisis tren terhadap ancaman | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan pemindaian kerentanan | CMA_0393 - Melakukan pemindaian kerentanan | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau laporan deteksi malware setiap minggu | CMA_0475 - Meninjau laporan deteksi malware setiap minggu | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau status perlindungan terhadap ancaman setiap minggu | CMA_0479 - Meninjau status perlindungan terhadap ancaman setiap minggu | Manual, Dinonaktifkan | 1.1.0 |
| Memperbarui definisi antivirus | CMA_0517 - Memperbarui definisi antivirus | Manual, Dinonaktifkan | 1.1.0 |
Pastikan Pertahanan Microsoft untuk Container Registries diatur ke 'Aktif'
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 2.7 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memblokir proses tidak tepercaya dan tidak resmi yang berjalan dari USB | CMA_0050 - Memblokir proses yang tidak tepercaya dan tidak resmi yang berjalan dari USB | Manual, Dinonaktifkan | 1.1.0 |
| Mendeteksi layanan jaringan yang belum diotorisasi atau belum disetujui | CMA_C1700 - Mendeteksi layanan jaringan yang belum diotorisasi atau belum disetujui | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola gateway | CMA_0363 - Mengelola gateway | Manual, Dinonaktifkan | 1.1.0 |
| Pertahanan Microsoft untuk Kontainer harus diaktifkan | Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Melakukan analisis tren pada ancaman | CMA_0389 - Melakukan analisis tren terhadap ancaman | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan pemindaian kerentanan | CMA_0393 - Melakukan pemindaian kerentanan | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau laporan deteksi malware setiap minggu | CMA_0475 - Meninjau laporan deteksi malware setiap minggu | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau status perlindungan terhadap ancaman setiap minggu | CMA_0479 - Meninjau status perlindungan terhadap ancaman setiap minggu | Manual, Dinonaktifkan | 1.1.0 |
| Memperbarui definisi antivirus | CMA_0517 - Memperbarui definisi antivirus | Manual, Dinonaktifkan | 1.1.0 |
Pastikan Pertahanan Microsoft untuk Key Vault diatur ke 'Aktif'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.8 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure Defender untuk Key Vault harus diaktifkan | Azure Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun key vault. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Memblokir proses tidak tepercaya dan tidak resmi yang berjalan dari USB | CMA_0050 - Memblokir proses yang tidak tepercaya dan tidak resmi yang berjalan dari USB | Manual, Dinonaktifkan | 1.1.0 |
| Mendeteksi layanan jaringan yang belum diotorisasi atau belum disetujui | CMA_C1700 - Mendeteksi layanan jaringan yang belum diotorisasi atau belum disetujui | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola gateway | CMA_0363 - Mengelola gateway | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan analisis tren pada ancaman | CMA_0389 - Melakukan analisis tren terhadap ancaman | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan pemindaian kerentanan | CMA_0393 - Melakukan pemindaian kerentanan | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau laporan deteksi malware setiap minggu | CMA_0475 - Meninjau laporan deteksi malware setiap minggu | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau status perlindungan terhadap ancaman setiap minggu | CMA_0479 - Meninjau status perlindungan terhadap ancaman setiap minggu | Manual, Dinonaktifkan | 1.1.0 |
| Memperbarui definisi antivirus | CMA_0517 - Memperbarui definisi antivirus | Manual, Dinonaktifkan | 1.1.0 |
Pastikan integrasi Microsoft Defender untuk Titik Akhir (WDATP) dengan Microsoft Defender untuk Cloud dipilih
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.9 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memblokir proses tidak tepercaya dan tidak resmi yang berjalan dari USB | CMA_0050 - Memblokir proses yang tidak tepercaya dan tidak resmi yang berjalan dari USB | Manual, Dinonaktifkan | 1.1.0 |
| Mendeteksi layanan jaringan yang belum diotorisasi atau belum disetujui | CMA_C1700 - Mendeteksi layanan jaringan yang belum diotorisasi atau belum disetujui | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola gateway | CMA_0363 - Mengelola gateway | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan analisis tren pada ancaman | CMA_0389 - Melakukan analisis tren terhadap ancaman | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan pemindaian kerentanan | CMA_0393 - Melakukan pemindaian kerentanan | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau laporan deteksi malware setiap minggu | CMA_0475 - Meninjau laporan deteksi malware setiap minggu | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau status perlindungan terhadap ancaman setiap minggu | CMA_0479 - Meninjau status perlindungan terhadap ancaman setiap minggu | Manual, Dinonaktifkan | 1.1.0 |
| Memperbarui definisi antivirus | CMA_0517 - Memperbarui definisi antivirus | Manual, Dinonaktifkan | 1.1.0 |
3 Akun Penyimpanan
Pastikan 'Transfer aman diperlukan' diatur ke 'Aktif'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 3.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengonfigurasi stasiun kerja untuk memeriksa sertifikat digital | CMA_0073 - Mengonfigurasi stasiun kerja untuk memeriksa sertifikat digital | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi data dalam transit menggunakan enkripsi | CMA_0403 - Melindungi data dalam transit menggunakan enkripsi | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi kata sandi dengan enkripsi | CMA_0408 - Melindungi kata sandi dengan enkripsi | Manual, Dinonaktifkan | 1.1.0 |
| Transfer aman ke akun penyimpanan harus diaktifkan | Persyaratan audit Transfer aman di akun penyimpanan Anda. Transfer aman adalah opsi yang memaksa akun penyimpanan Anda untuk menerima permintaan hanya dari koneksi aman (HTTPS). Penggunaan HTTPS memastikan autentikasi antara server dan layanan dan melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking | Audit, Tolak, Dinonaktifkan | 2.0.0 |
Pastikan pengelogan Penyimpanan Diaktifkan untuk permintaan Blob Service untuk permintaan 'Baca', 'Tulis', dan 'Hapus'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 3.10 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengaudit fungsi istimewa | CMA_0019 - Mengaudit fungsi istimewa | Manual, Dinonaktifkan | 1.1.0 |
| Mengaudit status akun pengguna | CMA_0020 - Mengaudit status akun pengguna | Manual, Dinonaktifkan | 1.1.0 |
| Mengonfigurasi kemampuan Azure Audit | CMA_C1108 - Mengonfigurasi kemampuan Azure Audit | Manual, Dinonaktifkan | 1.1.1 |
| Menentukan kejadian yang dapat diaudit | CMA_0137 - Menentukan peristiwa yang dapat diaudit | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau data audit | CMA_0466 - Meninjau data audit | Manual, Dinonaktifkan | 1.1.0 |
Pastikan Pengelogan Penyimpanan Diaktifkan untuk Layanan Tabel untuk Permintaan 'Baca', 'Tulis', dan 'Hapus'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 3.11 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengaudit fungsi istimewa | CMA_0019 - Mengaudit fungsi istimewa | Manual, Dinonaktifkan | 1.1.0 |
| Mengaudit status akun pengguna | CMA_0020 - Mengaudit status akun pengguna | Manual, Dinonaktifkan | 1.1.0 |
| Mengonfigurasi kemampuan Azure Audit | CMA_C1108 - Mengonfigurasi kemampuan Azure Audit | Manual, Dinonaktifkan | 1.1.1 |
| Menentukan kejadian yang dapat diaudit | CMA_0137 - Menentukan peristiwa yang dapat diaudit | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau data audit | CMA_0466 - Meninjau data audit | Manual, Dinonaktifkan | 1.1.0 |
Pastikan "Versi TLS minimum" diatur ke "Versi 1.2"
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 3.12 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengonfigurasi stasiun kerja untuk memeriksa sertifikat digital | CMA_0073 - Mengonfigurasi stasiun kerja untuk memeriksa sertifikat digital | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi data dalam transit menggunakan enkripsi | CMA_0403 - Melindungi data dalam transit menggunakan enkripsi | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi kata sandi dengan enkripsi | CMA_0408 - Melindungi kata sandi dengan enkripsi | Manual, Dinonaktifkan | 1.1.0 |
Pastikan Kunci Akses Akun Penyimpanan Diregenerasi Secara Berkala
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 3.2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menentukan proses manajemen kunci fisik | CMA_0115 - Menentukan proses manajemen kunci fisik | Manual, Dinonaktifkan | 1.1.0 |
| Menentukan penggunaan kriptografis | CMA_0120 - Menentukan penggunaan kriptografis | Manual, Dinonaktifkan | 1.1.0 |
| Menentukan persyaratan organisasi untuk manajemen kunci kriptografis | CMA_0123 - Menentukan persyaratan organisasi untuk manajemen kunci kriptografis | Manual, Dinonaktifkan | 1.1.0 |
| Menentukan persyaratan pernyataan | CMA_0136 - Menentukan persyaratan pernyataan | Manual, Dinonaktifkan | 1.1.0 |
| Menerbitkan sertifikat kunci umum | CMA_0347 - Menerbitkan sertifikat kunci umum | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola kunci kriptografi simetris | CMA_0367 - Mengelola kunci kriptografi simetris | Manual, Dinonaktifkan | 1.1.0 |
| Membatasi akses ke kunci privat | CMA_0445 - Membatasi akses terhadap kunci privat | Manual, Dinonaktifkan | 1.1.0 |
Pastikan Pengelogan Penyimpanan Diaktifkan untuk Layanan Antrean untuk permintaan 'Baca', 'Tulis', dan 'Hapus'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 3.3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengaudit fungsi istimewa | CMA_0019 - Mengaudit fungsi istimewa | Manual, Dinonaktifkan | 1.1.0 |
| Mengaudit status akun pengguna | CMA_0020 - Mengaudit status akun pengguna | Manual, Dinonaktifkan | 1.1.0 |
| Mengonfigurasi kemampuan Azure Audit | CMA_C1108 - Mengonfigurasi kemampuan Azure Audit | Manual, Dinonaktifkan | 1.1.1 |
| Menentukan kejadian yang dapat diaudit | CMA_0137 - Menentukan peristiwa yang dapat diaudit | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau data audit | CMA_0466 - Meninjau data audit | Manual, Dinonaktifkan | 1.1.0 |
Pastikan Token Tanda Tangan Akses Bersama Kedaluwarsa Dalam Satu Jam
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 3.4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menonaktifkan pengautentikasi setelah penghentian | CMA_0169 - Menonaktifkan pengautentikasi setelah penghentian | Manual, Dinonaktifkan | 1.1.0 |
| Mencabut peran istimewa yang sesuai | CMA_0483 - Mencabut peran istimewa sewajarnya | Manual, Dinonaktifkan | 1.1.0 |
| Menghentikan sesi pengguna secara otomatis | CMA_C1054 - Menghentikan sesi pengguna secara otomatis | Manual, Dinonaktifkan | 1.1.0 |
Pastikan 'Tingkat akses umum' diatur ke Privat untuk kontainer blob
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 3.5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Akses publik akun penyimpanan tidak boleh diizinkan | Akses baca publik anonim ke container dan blob di Azure Storage adalah cara yang nyaman untuk berbagi data tetapi dapat menimbulkan risiko keamanan. Untuk mencegah pelanggaran data yang disebabkan oleh akses anonim yang tidak diinginkan, Microsoft merekomendasikan untuk mencegah akses publik ke akun penyimpanan kecuali skenario Anda memerlukannya. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 3.1.0-pratinjau |
| Otorisasi akses ke fungsi dan informasi keamanan | CMA_0022 - Mengotorisasi akses ke fungsi dan informasi keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Otorisasi dan kelola akses | CMA_0023 - Mengotorisasi dan mengelola akses | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan akses logis | CMA_0245 - Menerapkan akses logis | Manual, Dinonaktifkan | 1.1.0 |
| Terapkan kebijakan kontrol akses wajib dan kewenangan | CMA_0246 - Menerapkan kebijakan kontrol akses yang wajib dan kewenangan | Manual, Dinonaktifkan | 1.1.0 |
| Mewajibkan persetujuan untuk pembuatan akun | CMA_0431 - Mewajibkan persetujuan untuk pembuatan akun | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau grup dan aplikasi pengguna yang memiliki akses terhadap data sensitif | CMA_0481 - Meninjau grup dan aplikasi pengguna yang memiliki akses terhadap data sensitif | Manual, Dinonaktifkan | 1.1.0 |
Pastikan Aturan Akses Jaringan Default untuk Akun Penyimpanan Diatur ke Tolak
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 3.6 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun penyimpanan harus membatasi akses jaringan | Akses jaringan ke akun penyimpanan harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk mengizinkan koneksi dari internet tertentu atau klien lokal, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke rentang alamat IP internet publik | Audit, Tolak, Dinonaktifkan | 1.1.1 |
| Akun penyimpanan harus membatasi akses jaringan menggunakan aturan jaringan virtual | Lindungi akun penyimpanan Anda dari potensi ancaman menggunakan aturan jaringan virtual sebagai metode pilihan alih-alih pemfilteran berbasis IP. Menonaktifkan pemfilteran berbasis IP mencegah IP publik mengakses akun penyimpanan Anda. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Pastikan 'Layanan Microsoft Tepercaya' Diaktifkan untuk Akses Akun Penyimpanan
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 3.7 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengontrol alur informasi | CMA_0079 - Mengontrol alur informasi | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan mekanisme kontrol alur informasi terenkripsi | CMA_0211 - Menerapkan mekanisme kontrol alur informasi terenkripsi | Manual, Dinonaktifkan | 1.1.0 |
| Membuat standar konfigurasi firewall dan router | CMA_0272 - Membuat standar konfigurasi firewall dan router | Manual, Dinonaktifkan | 1.1.0 |
| Membuat segmentasi jaringan untuk lingkungan data pemegang kartu | CMA_0273 - Membuat segmentasi jaringan untuk lingkungan data pemegang kartu | Manual, Dinonaktifkan | 1.1.0 |
| Mengidentifikasi dan mengelola pertukaran informasi hilir | CMA_0298 - Mengidentifikasi dan mengelola pertukaran informasi hilir | Manual, Dinonaktifkan | 1.1.0 |
| Akun penyimpanan harus mengizinkan akses dari layanan Microsoft tepercaya | Beberapa layanan Microsoft yang berinteraksi dengan akun penyimpanan beroperasi dari jaringan yang tidak dapat diberikan akses melalui aturan jaringan. Untuk membantu jenis layanan ini berfungsi sebagaimana mestinya, izinkan kumpulan layanan Microsoft tepercaya untuk mengabaikan aturan jaringan. Layanan ini kemudian akan menggunakan autentikasi yang kuat untuk mengakses akun penyimpanan. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Pastikan Penyimpanan untuk Data Penting Dienkripsi dengan Kunci yang Dikelola Pelanggan
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 3.9 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Membuat prosedur manajemen kebocoran data | CMA_0255 - Membuat prosedur manajemen kebocoran data | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan kontrol untuk mengamankan semua media | CMA_0314 - Menerapkan kontrol untuk mengamankan semua media | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi data dalam transit menggunakan enkripsi | CMA_0403 - Melindungi data dalam transit menggunakan enkripsi | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi informasi khusus | CMA_0409 - Melindungi informasi khusus | Manual, Dinonaktifkan | 1.1.0 |
| Akun penyimpanan harus menggunakan kunci yang dikelola pelanggan untuk enkripsi | Amankan akun penyimpanan blob dan file Anda dengan fleksibilitas yang lebih besar menggunakan kunci yang dikelola pelanggan. Saat Anda menentukan kunci yang dikelola pelanggan, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Menggunakan kunci yang dikelola pelanggan memberikan kemampuan tambahan untuk mengontrol rotasi kunci enkripsi kunci atau menghapus data secara kriptografis. | Audit, Dinonaktifkan | 1.0.3 |
4 Layanan Database
Pastikan 'Audit' disetel ke 'On'
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.1.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengaudit fungsi istimewa | CMA_0019 - Mengaudit fungsi istimewa | Manual, Dinonaktifkan | 1.1.0 |
| Mengaudit status akun pengguna | CMA_0020 - Mengaudit status akun pengguna | Manual, Dinonaktifkan | 1.1.0 |
| Audit di server SQL harus diaktifkan | Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Menentukan kejadian yang dapat diaudit | CMA_0137 - Menentukan peristiwa yang dapat diaudit | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau data audit | CMA_0466 - Meninjau data audit | Manual, Dinonaktifkan | 1.1.0 |
Pastikan 'Enkripsi data' disetel ke 'Aktif' pada Azure SQL Database
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.1.2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Membuat prosedur manajemen kebocoran data | CMA_0255 - Membuat prosedur manajemen kebocoran data | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan kontrol untuk mengamankan semua media | CMA_0314 - Menerapkan kontrol untuk mengamankan semua media | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi data dalam transit menggunakan enkripsi | CMA_0403 - Melindungi data dalam transit menggunakan enkripsi | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi informasi khusus | CMA_0409 - Melindungi informasi khusus | Manual, Dinonaktifkan | 1.1.0 |
| Enkripsi Data Transparan pada database SQL harus diaktifkan | Enkripsi data transparan harus diaktifkan untuk melindungi data-yang-tidak-aktif dan memenuhi persyaratan kepatuhan | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
Pastikan bahwa Retensi 'Audit' adalah 'lebih dari 90 hari'
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.1.3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mematuhi periode retensi yang ditentukan | CMA_0004 - Mematuhi periode retensi yang ditentukan | Manual, Dinonaktifkan | 1.1.0 |
| Mengatur dan memantau aktivitas pemrosesan audit | CMA_0289 - Mengatur dan memantau aktivitas pemrosesan audit | Manual, Dinonaktifkan | 1.1.0 |
| Mempertahankan kebijakan dan prosedur keamanan | CMA_0454 - Mempertahankan kebijakan dan prosedur keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Mempertahankan data pengguna yang dihentikan | CMA_0455 - Mempertahankan data pengguna yang dihentikan | Manual, Dinonaktifkan | 1.1.0 |
| Server SQL dengan audit ke tujuan akun penyimpanan harus dikonfigurasi dengan retensi 90 hari atau lebih tinggi | Untuk tujuan penyelidikan insiden, kami menyarankan pengaturan retensi data untuk audit SQL Server Anda ke tujuan akun penyimpanan setidaknya 90 hari. Konfirmasikan bahwa Anda memenuhi aturan retensi yang diperlukan untuk wilayah tempat Anda beroperasi. Ini terkadang diperlukan untuk memenuhi standar peraturan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Pastikan Perlindungan Ancaman Tingkat Lanjut (ATP) pada SQL Server Diatur ke 'Diaktifkan'
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.2.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi | Audit server SQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi | Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Melakukan analisis tren pada ancaman | CMA_0389 - Melakukan analisis tren terhadap ancaman | Manual, Dinonaktifkan | 1.1.0 |
Pastikan bahwa Penilaian Kerentanan (VA) diaktifkan di server SQL dengan mengatur Akun Penyimpanan
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.2.2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Melakukan pemindaian kerentanan | CMA_0393 - Melakukan pemindaian kerentanan | Manual, Dinonaktifkan | 1.1.0 |
| Remediasi kelemahan sistem informasi | CMA_0427 - Remediasi kelemahan sistem informasi | Manual, Dinonaktifkan | 1.1.0 |
| Penilaian kerentanan harus diaktifkan di SQL Managed Instance | Audit setiap Instans Terkelola SQL yang tidak mengaktifkan pemindaian penilaian kerentanan berulang. Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda meremediasi kerentanan database potensial. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| Penilaian kerentanan harus diaktifkan di server SQL Anda | Audit server Azure SQL yang tidak memiliki penilaian kerentanan yang dikonfigurasi dengan benar. Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda meremediasi kerentanan database potensial. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Pastikan pengaturan VA 'Pemindaian berulang berkala' ke 'aktif' untuk setiap server SQL
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.2.3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Melakukan pemindaian kerentanan | CMA_0393 - Melakukan pemindaian kerentanan | Manual, Dinonaktifkan | 1.1.0 |
| Remediasi kelemahan sistem informasi | CMA_0427 - Remediasi kelemahan sistem informasi | Manual, Dinonaktifkan | 1.1.0 |
Pastikan pengaturan VA 'Kirim laporan pemindaian ke' dikonfigurasi untuk server SQL
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.2.4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menghubungkan informasi pemindaian kerentanan | CMA_C1558 - Menghubungkan informasi pemindaian Kerentanan | Manual, Dinonaktifkan | 1.1.1 |
| Melakukan pemindaian kerentanan | CMA_0393 - Melakukan pemindaian kerentanan | Manual, Dinonaktifkan | 1.1.0 |
| Remediasi kelemahan sistem informasi | CMA_0427 - Remediasi kelemahan sistem informasi | Manual, Dinonaktifkan | 1.1.0 |
Pastikan bahwa Pengaturan Penilaian Kerentanan 'Juga kirim pemberitahuan email ke admin dan pemilik langganan' Diatur untuk Setiap SQL Server
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.2.5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menghubungkan informasi pemindaian kerentanan | CMA_C1558 - Menghubungkan informasi pemindaian Kerentanan | Manual, Dinonaktifkan | 1.1.1 |
| Melakukan pemindaian kerentanan | CMA_0393 - Melakukan pemindaian kerentanan | Manual, Dinonaktifkan | 1.1.0 |
| Remediasi kelemahan sistem informasi | CMA_0427 - Remediasi kelemahan sistem informasi | Manual, Dinonaktifkan | 1.1.0 |
Pastikan 'Terapkan koneksi SSL' diatur ke 'AKTIF' untuk Server Database PostgreSQL
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.3.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengonfigurasi stasiun kerja untuk memeriksa sertifikat digital | CMA_0073 - Mengonfigurasi stasiun kerja untuk memeriksa sertifikat digital | Manual, Dinonaktifkan | 1.1.0 |
| Terapkan koneksi SSL harus diaktifkan untuk server database PostgreSQL | Azure Database for PostgreSQL mendukung penyambungan server Azure Database for PostgreSQL ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda. | Audit, Dinonaktifkan | 1.0.1 |
| Melindungi data dalam transit menggunakan enkripsi | CMA_0403 - Melindungi data dalam transit menggunakan enkripsi | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi kata sandi dengan enkripsi | CMA_0408 - Melindungi kata sandi dengan enkripsi | Manual, Dinonaktifkan | 1.1.0 |
Pastikan Parameter Server 'log_checkpoints' diatur ke 'ON' untuk Server Database PostgreSQL
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.3.2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengaudit fungsi istimewa | CMA_0019 - Mengaudit fungsi istimewa | Manual, Dinonaktifkan | 1.1.0 |
| Mengaudit status akun pengguna | CMA_0020 - Mengaudit status akun pengguna | Manual, Dinonaktifkan | 1.1.0 |
| Menentukan kejadian yang dapat diaudit | CMA_0137 - Menentukan peristiwa yang dapat diaudit | Manual, Dinonaktifkan | 1.1.0 |
| Titik pemeriksaan log harus diaktifkan untuk server database PostgreSQL | Kebijakan ini membantu mengaudit semua database PostgreSQL di lingkungan Anda tanpa mengaktifkan pengaturan log_checkpoints. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Meninjau data audit | CMA_0466 - Meninjau data audit | Manual, Dinonaktifkan | 1.1.0 |
Pastikan parameter server 'log_connections' diatur ke 'AKTIF' untuk Server Database PostgreSQL
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.3.3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengaudit fungsi istimewa | CMA_0019 - Mengaudit fungsi istimewa | Manual, Dinonaktifkan | 1.1.0 |
| Mengaudit status akun pengguna | CMA_0020 - Mengaudit status akun pengguna | Manual, Dinonaktifkan | 1.1.0 |
| Menentukan kejadian yang dapat diaudit | CMA_0137 - Menentukan peristiwa yang dapat diaudit | Manual, Dinonaktifkan | 1.1.0 |
| Koneksi log harus diaktifkan untuk server database PostgreSQL | Kebijakan ini membantu mengaudit database PostgreSQL di lingkungan Anda tanpa mengaktifkan pengaturan log_connections. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Meninjau data audit | CMA_0466 - Meninjau data audit | Manual, Dinonaktifkan | 1.1.0 |
Pastikan parameter server ‘log_disconnections’ diatur ke ‘AKTIF’ untuk Server Database PostgreSQL
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 4.3.4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengaudit fungsi istimewa | CMA_0019 - Mengaudit fungsi istimewa | Manual, Dinonaktifkan | 1.1.0 |
| Mengaudit status akun pengguna | CMA_0020 - Mengaudit status akun pengguna | Manual, Dinonaktifkan | 1.1.0 |
| Menentukan kejadian yang dapat diaudit | CMA_0137 - Menentukan peristiwa yang dapat diaudit | Manual, Dinonaktifkan | 1.1.0 |
| Pemutusan sambungan harus dicatat untuk server database PostgreSQL. | Kebijakan ini membantu mengaudit database PostgreSQL di lingkungan Anda tanpa mengaktifkan log_disconnections. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Meninjau data audit | CMA_0466 - Meninjau data audit | Manual, Dinonaktifkan | 1.1.0 |
Pastikan parameter server 'connection_throttling' diatur ke 'AKTIF' untuk Server Database PostgreSQL
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 4.3.5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengaudit fungsi istimewa | CMA_0019 - Mengaudit fungsi istimewa | Manual, Dinonaktifkan | 1.1.0 |
| Mengaudit status akun pengguna | CMA_0020 - Mengaudit status akun pengguna | Manual, Dinonaktifkan | 1.1.0 |
| Pembatasan koneksi harus diaktifkan untuk server database PostgreSQL | Kebijakan ini membantu mengaudit database PostgreSQL di lingkungan Anda tanpa mengaktifkan pembatasan Koneksi. Pengaturan ini memungkinkan pembatasan koneksi sementara per IP untuk terlalu banyak kegagalan upaya masuk kata sandi yang tidak valid. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Menentukan kejadian yang dapat diaudit | CMA_0137 - Menentukan peristiwa yang dapat diaudit | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau data audit | CMA_0466 - Meninjau data audit | Manual, Dinonaktifkan | 1.1.0 |
Pastikan parameter server ‘log_retention_days’ lebih dari 3 hari untuk Server Database PostgreSQL
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.3.6 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mematuhi periode retensi yang ditentukan | CMA_0004 - Mematuhi periode retensi yang ditentukan | Manual, Dinonaktifkan | 1.1.0 |
| Mengatur dan memantau aktivitas pemrosesan audit | CMA_0289 - Mengatur dan memantau aktivitas pemrosesan audit | Manual, Dinonaktifkan | 1.1.0 |
| Mempertahankan kebijakan dan prosedur keamanan | CMA_0454 - Mempertahankan kebijakan dan prosedur keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Mempertahankan data pengguna yang dihentikan | CMA_0455 - Mempertahankan data pengguna yang dihentikan | Manual, Dinonaktifkan | 1.1.0 |
Pastikan 'Izinkan akses ke layanan Azure' untuk Server Database PostgreSQL dinonaktifkan
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.3.7 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengontrol alur informasi | CMA_0079 - Mengontrol alur informasi | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan mekanisme kontrol alur informasi terenkripsi | CMA_0211 - Menerapkan mekanisme kontrol alur informasi terenkripsi | Manual, Dinonaktifkan | 1.1.0 |
| Membuat standar konfigurasi firewall dan router | CMA_0272 - Membuat standar konfigurasi firewall dan router | Manual, Dinonaktifkan | 1.1.0 |
| Membuat segmentasi jaringan untuk lingkungan data pemegang kartu | CMA_0273 - Membuat segmentasi jaringan untuk lingkungan data pemegang kartu | Manual, Dinonaktifkan | 1.1.0 |
| Mengidentifikasi dan mengelola pertukaran informasi hilir | CMA_0298 - Mengidentifikasi dan mengelola pertukaran informasi hilir | Manual, Dinonaktifkan | 1.1.0 |
Pastikan 'Enkripsi ganda infrastruktur' untuk Server Database PostgreSQL 'Diaktifkan'
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.3.8 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Membuat prosedur manajemen kebocoran data | CMA_0255 - Membuat prosedur manajemen kebocoran data | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan kontrol untuk mengamankan semua media | CMA_0314 - Menerapkan kontrol untuk mengamankan semua media | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi data dalam transit menggunakan enkripsi | CMA_0403 - Melindungi data dalam transit menggunakan enkripsi | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi informasi khusus | CMA_0409 - Melindungi informasi khusus | Manual, Dinonaktifkan | 1.1.0 |
Pastikan 'Terapkan koneksi SSL' diatur ke 'Diaktifkan' untuk Server Database MySQL Standar
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.4.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengonfigurasi stasiun kerja untuk memeriksa sertifikat digital | CMA_0073 - Mengonfigurasi stasiun kerja untuk memeriksa sertifikat digital | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi data dalam transit menggunakan enkripsi | CMA_0403 - Melindungi data dalam transit menggunakan enkripsi | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi kata sandi dengan enkripsi | CMA_0408 - Melindungi kata sandi dengan enkripsi | Manual, Dinonaktifkan | 1.1.0 |
Pastikan 'Versi TLS' diatur ke 'TLSV1.2' untuk Server Database fleksibel MySQL
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.4.2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengonfigurasi stasiun kerja untuk memeriksa sertifikat digital | CMA_0073 - Mengonfigurasi stasiun kerja untuk memeriksa sertifikat digital | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi data dalam transit menggunakan enkripsi | CMA_0403 - Melindungi data dalam transit menggunakan enkripsi | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi kata sandi dengan enkripsi | CMA_0408 - Melindungi kata sandi dengan enkripsi | Manual, Dinonaktifkan | 1.1.0 |
Pastikan Admin Direktori Aktif Azure dikonfigurasi
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 4.5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Administrator Azure Active Directory harus disediakan untuk server SQL | Penyediaan audit administrator Microsoft Azure Active Directory untuk server SQL Anda agar mengaktifkan autentikasi Microsoft Azure Active Directory. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengotomatisasi manajemen akun | CMA_0026 - Mengotomatisasi manajemen akun | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola akun sistem dan admin | CMA_0368 - Mengelola akun sistem dan admin | Manual, Dinonaktifkan | 1.1.0 |
| Memantau akses di seluruh organisasi | CMA_0376 - Memantau akses di seluruh organisasi | Manual, Dinonaktifkan | 1.1.0 |
| Memberi tahu saat akun tidak diperlukan | CMA_0383 - Memberi tahu saat akun tidak diperlukan | Manual, Dinonaktifkan | 1.1.0 |
Pastikan pelindung TDE server SQL dienkripsi dengan kunci yang dikelola Pelanggan
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.6 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Membuat prosedur manajemen kebocoran data | CMA_0255 - Membuat prosedur manajemen kebocoran data | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan kontrol untuk mengamankan semua media | CMA_0314 - Menerapkan kontrol untuk mengamankan semua media | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi data dalam transit menggunakan enkripsi | CMA_0403 - Melindungi data dalam transit menggunakan enkripsi | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi informasi khusus | CMA_0409 - Melindungi informasi khusus | Manual, Dinonaktifkan | 1.1.0 |
| ISQL managed instances harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data yang tidak aktif | Implementasi Enkripsi Data Transparan (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Server SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif | Implementasi Transparent Data Encryption (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. | Audit, Tolak, Dinonaktifkan | 2.0.1 |
5 Pengelogan dan Pemantauan
Pastikan bahwa ada 'Pengaturan Diagnostik'
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 5.1.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menentukan kejadian yang dapat diaudit | CMA_0137 - Menentukan peristiwa yang dapat diaudit | Manual, Dinonaktifkan | 1.1.0 |
Pastikan Pengaturan Diagnostik mengambil kategori yang sesuai
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 5.1.2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengaudit fungsi istimewa | CMA_0019 - Mengaudit fungsi istimewa | Manual, Dinonaktifkan | 1.1.0 |
| Mengaudit status akun pengguna | CMA_0020 - Mengaudit status akun pengguna | Manual, Dinonaktifkan | 1.1.0 |
| Mengonfigurasi kemampuan Azure Audit | CMA_C1108 - Mengonfigurasi kemampuan Azure Audit | Manual, Dinonaktifkan | 1.1.1 |
| Menentukan kejadian yang dapat diaudit | CMA_0137 - Menentukan peristiwa yang dapat diaudit | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau data audit | CMA_0466 - Meninjau data audit | Manual, Dinonaktifkan | 1.1.0 |
Pastikan kontainer penyimpanan yang menyimpan log aktivitas tidak dapat diakses oleh umum
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 5.1.3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Akses publik akun penyimpanan tidak boleh diizinkan | Akses baca publik anonim ke container dan blob di Azure Storage adalah cara yang nyaman untuk berbagi data tetapi dapat menimbulkan risiko keamanan. Untuk mencegah pelanggaran data yang disebabkan oleh akses anonim yang tidak diinginkan, Microsoft merekomendasikan untuk mencegah akses publik ke akun penyimpanan kecuali skenario Anda memerlukannya. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 3.1.0-pratinjau |
| Mengaktifkan otorisasi ganda atau gabungan | CMA_0226 - Mengaktifkan otorisasi ganda atau gabungan | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi informasi audit | CMA_0401 - Melindungi informasi audit | Manual, Dinonaktifkan | 1.1.0 |
Pastikan akun penyimpanan yang berisi kontainer dengan log aktivitas dienkripsi dengan BYOK (Use Your Own Key/Gunakan Kunci Anda Sendiri)
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 5.1.4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengaktifkan otorisasi ganda atau gabungan | CMA_0226 - Mengaktifkan otorisasi ganda atau gabungan | Manual, Dinonaktifkan | 1.1.0 |
| Menjaga integritas sistem audit | CMA_C1133 - Menjaga integritas sistem audit | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi informasi audit | CMA_0401 - Melindungi informasi audit | Manual, Dinonaktifkan | 1.1.0 |
| Akun penyimpanan yang berisi kontainer dengan log aktivitas harus dienkripsi dengan BYOK | Kebijakan ini mengaudit jika akun Azure Storage yang berisi kontainer dengan log aktivitas dienkripsi dengan BYOK. Kebijakan hanya berfungsi jika akun penyimpanan berada pada langganan yang sama dengan log aktivitas berdasarkan desain. Informasi selengkapnya tentang enkripsi Azure Storage saat tidak aktif dapat ditemukan di sini https://aka.ms/azurestoragebyok. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Pastikan pengelogan untuk Azure KeyVault diatur ke ‘Aktif’
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 5.1.5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengaudit fungsi istimewa | CMA_0019 - Mengaudit fungsi istimewa | Manual, Dinonaktifkan | 1.1.0 |
| Mengaudit status akun pengguna | CMA_0020 - Mengaudit status akun pengguna | Manual, Dinonaktifkan | 1.1.0 |
| Menentukan kejadian yang dapat diaudit | CMA_0137 - Menentukan peristiwa yang dapat diaudit | Manual, Dinonaktifkan | 1.1.0 |
| Log sumber daya di Key Vault harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda membuat ulang jejak aktivitas yang akan digunakan untuk penyelidikan saat terjadi insiden keamanan atau jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Meninjau data audit | CMA_0466 - Meninjau data audit | Manual, Dinonaktifkan | 1.1.0 |
Memastikan bahwa Pemberitahuan Log Aktivitas ada untuk Buat Penugasan Azure Policy
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 5.2.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memperingatkan personel mengenai kebocoran informasi | CMA_0007 - Memperingatkan personel mengenai kebocoran informasi | Manual, Dinonaktifkan | 1.1.0 |
| Peringatan log aktivitas harus ada untuk operasi Kebijakan tertentu | Kebijakan ini mengaudit operasi Kebijakan tertentu tanpa pemberitahuan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Mengembangkan rencana respons insiden | CMA_0145 - Mengembangkan rencana respons insiden | Manual, Dinonaktifkan | 1.1.0 |
| Mengatur pemberitahuan otomatis untuk aplikasi cloud baru dan cloud yang sedang tren di organisasi Anda | CMA_0495 - Mengatur pemberitahuan otomatis untuk aplikasi cloud baru dan yang sedang tren di organisasi Anda | Manual, Dinonaktifkan | 1.1.0 |
Memastikan bahwa Pemberitahuan Log Aktivitas ada untuk Hapus Penugasan Azure Policy
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 5.2.2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memperingatkan personel mengenai kebocoran informasi | CMA_0007 - Memperingatkan personel mengenai kebocoran informasi | Manual, Dinonaktifkan | 1.1.0 |
| Peringatan log aktivitas harus ada untuk operasi Kebijakan tertentu | Kebijakan ini mengaudit operasi Kebijakan tertentu tanpa pemberitahuan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Mengembangkan rencana respons insiden | CMA_0145 - Mengembangkan rencana respons insiden | Manual, Dinonaktifkan | 1.1.0 |
| Mengatur pemberitahuan otomatis untuk aplikasi cloud baru dan cloud yang sedang tren di organisasi Anda | CMA_0495 - Mengatur pemberitahuan otomatis untuk aplikasi cloud baru dan yang sedang tren di organisasi Anda | Manual, Dinonaktifkan | 1.1.0 |
Memastikan bahwa Pemberitahuan Log Aktivitas ada untuk Buat atau Perbarui Kelompok Keamanan Jaringan
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 5.2.3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memperingatkan personel mengenai kebocoran informasi | CMA_0007 - Memperingatkan personel mengenai kebocoran informasi | Manual, Dinonaktifkan | 1.1.0 |
| Peringatan log aktivitas harus ada untuk operasi Administratif tertentu | Kebijakan ini mengaudit operasi Administratif tertentu tanpa pemberitahuan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengembangkan rencana respons insiden | CMA_0145 - Mengembangkan rencana respons insiden | Manual, Dinonaktifkan | 1.1.0 |
| Mengatur pemberitahuan otomatis untuk aplikasi cloud baru dan cloud yang sedang tren di organisasi Anda | CMA_0495 - Mengatur pemberitahuan otomatis untuk aplikasi cloud baru dan yang sedang tren di organisasi Anda | Manual, Dinonaktifkan | 1.1.0 |
Memastikan bahwa Pemberitahuan Log Aktivitas ada untuk Hapus Kelompok Keamanan Jaringan
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 5.2.4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memperingatkan personel mengenai kebocoran informasi | CMA_0007 - Memperingatkan personel mengenai kebocoran informasi | Manual, Dinonaktifkan | 1.1.0 |
| Peringatan log aktivitas harus ada untuk operasi Administratif tertentu | Kebijakan ini mengaudit operasi Administratif tertentu tanpa pemberitahuan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengembangkan rencana respons insiden | CMA_0145 - Mengembangkan rencana respons insiden | Manual, Dinonaktifkan | 1.1.0 |
| Mengatur pemberitahuan otomatis untuk aplikasi cloud baru dan cloud yang sedang tren di organisasi Anda | CMA_0495 - Mengatur pemberitahuan otomatis untuk aplikasi cloud baru dan yang sedang tren di organisasi Anda | Manual, Dinonaktifkan | 1.1.0 |
Memastikan bahwa Pemberitahuan Log Aktivitas ada untuk Buat atau Perbarui Kelompok Keamanan Jaringan
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 5.2.5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memperingatkan personel mengenai kebocoran informasi | CMA_0007 - Memperingatkan personel mengenai kebocoran informasi | Manual, Dinonaktifkan | 1.1.0 |
| Peringatan log aktivitas harus ada untuk operasi Administratif tertentu | Kebijakan ini mengaudit operasi Administratif tertentu tanpa pemberitahuan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengembangkan rencana respons insiden | CMA_0145 - Mengembangkan rencana respons insiden | Manual, Dinonaktifkan | 1.1.0 |
| Mengatur pemberitahuan otomatis untuk aplikasi cloud baru dan cloud yang sedang tren di organisasi Anda | CMA_0495 - Mengatur pemberitahuan otomatis untuk aplikasi cloud baru dan yang sedang tren di organisasi Anda | Manual, Dinonaktifkan | 1.1.0 |
Memastikan bahwa pemberitahuan log aktivitas ada untuk Hapus Aturan Kelompok Keamanan Jaringan
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 5.2.6 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memperingatkan personel mengenai kebocoran informasi | CMA_0007 - Memperingatkan personel mengenai kebocoran informasi | Manual, Dinonaktifkan | 1.1.0 |
| Peringatan log aktivitas harus ada untuk operasi Administratif tertentu | Kebijakan ini mengaudit operasi Administratif tertentu tanpa pemberitahuan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengembangkan rencana respons insiden | CMA_0145 - Mengembangkan rencana respons insiden | Manual, Dinonaktifkan | 1.1.0 |
| Mengatur pemberitahuan otomatis untuk aplikasi cloud baru dan cloud yang sedang tren di organisasi Anda | CMA_0495 - Mengatur pemberitahuan otomatis untuk aplikasi cloud baru dan yang sedang tren di organisasi Anda | Manual, Dinonaktifkan | 1.1.0 |
Memastikan bahwa Pemberitahuan Log Aktivitas ada untuk Buat atau Perbarui Solusi Keamanan
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 5.2.7 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memperingatkan personel mengenai kebocoran informasi | CMA_0007 - Memperingatkan personel mengenai kebocoran informasi | Manual, Dinonaktifkan | 1.1.0 |
| Peringatan log aktivitas harus ada untuk operasi Keamanan tertentu | Kebijakan ini mengaudit operasi Keamanan tertentu tanpa peringatan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengembangkan rencana respons insiden | CMA_0145 - Mengembangkan rencana respons insiden | Manual, Dinonaktifkan | 1.1.0 |
| Mengatur pemberitahuan otomatis untuk aplikasi cloud baru dan cloud yang sedang tren di organisasi Anda | CMA_0495 - Mengatur pemberitahuan otomatis untuk aplikasi cloud baru dan yang sedang tren di organisasi Anda | Manual, Dinonaktifkan | 1.1.0 |
Memastikan bahwa Pemberitahuan Log Aktivitas ada untuk Hapus Solusi Keamanan
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 5.2.8 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memperingatkan personel mengenai kebocoran informasi | CMA_0007 - Memperingatkan personel mengenai kebocoran informasi | Manual, Dinonaktifkan | 1.1.0 |
| Peringatan log aktivitas harus ada untuk operasi Keamanan tertentu | Kebijakan ini mengaudit operasi Keamanan tertentu tanpa peringatan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengembangkan rencana respons insiden | CMA_0145 - Mengembangkan rencana respons insiden | Manual, Dinonaktifkan | 1.1.0 |
| Mengatur pemberitahuan otomatis untuk aplikasi cloud baru dan cloud yang sedang tren di organisasi Anda | CMA_0495 - Mengatur pemberitahuan otomatis untuk aplikasi cloud baru dan yang sedang tren di organisasi Anda | Manual, Dinonaktifkan | 1.1.0 |
Pastikan bahwa Pemberitahuan Log Aktivitas ada untuk Buat atau Perbarui atau Hapus Aturan Firewall SQL Server
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 5.2.9 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memperingatkan personel mengenai kebocoran informasi | CMA_0007 - Memperingatkan personel mengenai kebocoran informasi | Manual, Dinonaktifkan | 1.1.0 |
| Peringatan log aktivitas harus ada untuk operasi Administratif tertentu | Kebijakan ini mengaudit operasi Administratif tertentu tanpa pemberitahuan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengembangkan rencana respons insiden | CMA_0145 - Mengembangkan rencana respons insiden | Manual, Dinonaktifkan | 1.1.0 |
| Mengatur pemberitahuan otomatis untuk aplikasi cloud baru dan cloud yang sedang tren di organisasi Anda | CMA_0495 - Mengatur pemberitahuan otomatis untuk aplikasi cloud baru dan yang sedang tren di organisasi Anda | Manual, Dinonaktifkan | 1.1.0 |
Pastikan bahwa Log Diagnostik Diaktifkan untuk Semua Layanan yang Mendukungnya.
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 5.3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mematuhi periode retensi yang ditentukan | CMA_0004 - Mematuhi periode retensi yang ditentukan | Manual, Dinonaktifkan | 1.1.0 |
| Aplikasi App Service harus mengaktifkan log sumber daya | Audit yang mengaktifkan log sumber daya di aplikasi. Ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi jika terjadi insiden keamanan atau jaringan Anda disusupi. | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Mengaudit fungsi istimewa | CMA_0019 - Mengaudit fungsi istimewa | Manual, Dinonaktifkan | 1.1.0 |
| Mengaudit status akun pengguna | CMA_0020 - Mengaudit status akun pengguna | Manual, Dinonaktifkan | 1.1.0 |
| Mengonfigurasi kemampuan Azure Audit | CMA_C1108 - Mengonfigurasi kemampuan Azure Audit | Manual, Dinonaktifkan | 1.1.1 |
| Menentukan kejadian yang dapat diaudit | CMA_0137 - Menentukan peristiwa yang dapat diaudit | Manual, Dinonaktifkan | 1.1.0 |
| Mengatur dan memantau aktivitas pemrosesan audit | CMA_0289 - Mengatur dan memantau aktivitas pemrosesan audit | Manual, Dinonaktifkan | 1.1.0 |
| Log sumber daya di Azure Data Lake Store harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Azure Stream Analytics harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di akun Azure Batch harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Data Lake Analytics harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Event Hub harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Azure IoT Hub harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
| Log sumber daya di Key Vault harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda membuat ulang jejak aktivitas yang akan digunakan untuk penyelidikan saat terjadi insiden keamanan atau jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Logic Apps harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.1.0 |
| Log sumber daya di layanan Pencarian harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Azure Service Bus harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Mempertahankan kebijakan dan prosedur keamanan | CMA_0454 - Mempertahankan kebijakan dan prosedur keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Mempertahankan data pengguna yang dihentikan | CMA_0455 - Mempertahankan data pengguna yang dihentikan | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau data audit | CMA_0466 - Meninjau data audit | Manual, Dinonaktifkan | 1.1.0 |
6 Jaringan
Pastikan tidak ada SQL Database yang mengizinkan ingress 0.0.0.0/0 (IP APA PUN)
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 6.3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengontrol alur informasi | CMA_0079 - Mengontrol alur informasi | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan mekanisme kontrol alur informasi terenkripsi | CMA_0211 - Menerapkan mekanisme kontrol alur informasi terenkripsi | Manual, Dinonaktifkan | 1.1.0 |
Pastikan periode retensi Log Alur Kelompok Keamanan Jaringan diatur menjadi 'lebih dari 90 hari'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 6.4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mematuhi periode retensi yang ditentukan | CMA_0004 - Mematuhi periode retensi yang ditentukan | Manual, Dinonaktifkan | 1.1.0 |
| Mempertahankan kebijakan dan prosedur keamanan | CMA_0454 - Mempertahankan kebijakan dan prosedur keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Mempertahankan data pengguna yang dihentikan | CMA_0455 - Mempertahankan data pengguna yang dihentikan | Manual, Dinonaktifkan | 1.1.0 |
Pastikan Network Watcher 'Diaktifkan'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 6.5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Network Watcher harus diaktifkan | Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan ujung ke ujung. Diperlukan untuk memiliki grup sumber daya pengawas jaringan untuk dibuat di setiap wilayah tempat jaringan virtual berada. Pemberitahuan diaktifkan jika grup sumber daya pengawas jaringan tidak tersedia di wilayah tertentu. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Memverifikasi fungsi keamanan | CMA_C1708 - Memverifikasi fungsi keamanan | Manual, Dinonaktifkan | 1.1.0 |
7 Virtual Machines
Memastikan Virtual Machines menggunakan Disk Terkelola
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 7.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengaudit VM yang tidak menggunakan disk terkelola | Kebijakan ini mengaudit VM yang tidak menggunakan disk terkelola | audit | 1.0.0 |
| Mengontrol akses fisik | CMA_0081 - Mengontrol akses fisik | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola input, output, pemrosesan, dan penyimpanan data | CMA_0369 - Mengelola input, output, pemrosesan, dan penyimpanan data | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau aktivitas dan analitik label | CMA_0474 - Meninjau aktivitas dan analitik label | Manual, Dinonaktifkan | 1.1.0 |
Pastikan disk 'OS dan Data' dienkripsi dengan Kunci yang Dikelola Pelanggan (CMK)
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 7.2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Membuat prosedur manajemen kebocoran data | CMA_0255 - Membuat prosedur manajemen kebocoran data | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan kontrol untuk mengamankan semua media | CMA_0314 - Menerapkan kontrol untuk mengamankan semua media | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi data dalam transit menggunakan enkripsi | CMA_0403 - Melindungi data dalam transit menggunakan enkripsi | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi informasi khusus | CMA_0409 - Melindungi informasi khusus | Manual, Dinonaktifkan | 1.1.0 |
| Komputer virtual harus mengenkripsi disk sementara, cache, serta aliran data antara sumber daya Komputasi dan Penyimpanan | Secara default, OS dan disk data mesin virtual dienkripsi saat tidak aktif menggunakan kunci yang dikelola platform. Disk sementara, cache data, dan data yang mengalir di antara komputasi dan penyimpanan tidak dienkripsi. Abaikan rekomendasi ini jika: 1. menggunakan enkripsi di host, atau 2. enkripsi sisi server pada Disk Terkelola memenuhi persyaratan keamanan Anda. Pelajari lebih lanjut dalam: Enkripsi sisi server dari Azure Disk Storage: https://aka.ms/disksse, Penawaran enkripsi disk yang berbeda: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Dinonaktifkan | 2.0.3 |
Memastikan bahwa 'Disk yang tidak terpasang' dienkripsi dengan CMK
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 7.3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Membuat prosedur manajemen kebocoran data | CMA_0255 - Membuat prosedur manajemen kebocoran data | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan kontrol untuk mengamankan semua media | CMA_0314 - Menerapkan kontrol untuk mengamankan semua media | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi data dalam transit menggunakan enkripsi | CMA_0403 - Melindungi data dalam transit menggunakan enkripsi | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi informasi khusus | CMA_0409 - Melindungi informasi khusus | Manual, Dinonaktifkan | 1.1.0 |
Pastikan Bahwa Hanya Ekstensi yang Disetujui yang Diinstal
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 7.4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Hanya ekstensi VM yang disetujui yang dapat diinstal | Kebijakan ini mengatur ekstensi komputer virtual yang tidak disetujui. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Memastikan bahwa Patch OS terbaru untuk semua Virtual Machines diterapkan
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 7.5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Remediasi kelemahan sistem informasi | CMA_0427 - Remediasi kelemahan sistem informasi | Manual, Dinonaktifkan | 1.1.0 |
| Pembaruan sistem harus dipasang di komputer Anda | Pembaruan sistem keamanan yang hilang di server Anda akan dipantau oleh Azure Security Center sebagai rekomendasi | AuditIfNotExists, Dinonaktifkan | 4.0.0 |
Memastikan bahwa perlindungan titik akhir untuk semua Virtual Machines diinstal
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 7.6 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memblokir proses tidak tepercaya dan tidak resmi yang berjalan dari USB | CMA_0050 - Memblokir proses yang tidak tepercaya dan tidak resmi yang berjalan dari USB | Manual, Dinonaktifkan | 1.1.0 |
| Mendokumentasikan operasi keamanan | CMA_0202 - Mendokumentasikan operasi keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola gateway | CMA_0363 - Mengelola gateway | Manual, Dinonaktifkan | 1.1.0 |
| Memantau Perlindungan Titik Akhir yang tidak ada di Azure Security Center | Server tanpa agen Perlindungan Titik Akhir yang diinstal akan dipantau oleh Azure Security Center sebagai rekomendasi | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Melakukan analisis tren pada ancaman | CMA_0389 - Melakukan analisis tren terhadap ancaman | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan pemindaian kerentanan | CMA_0393 - Melakukan pemindaian kerentanan | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau laporan deteksi malware setiap minggu | CMA_0475 - Meninjau laporan deteksi malware setiap minggu | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau status perlindungan terhadap ancaman setiap minggu | CMA_0479 - Meninjau status perlindungan terhadap ancaman setiap minggu | Manual, Dinonaktifkan | 1.1.0 |
| Mengaktifkan sensor untuk solusi keamanan titik akhir | CMA_0514 - Mengaktifkan sensor untuk solusi keamanan titik akhir | Manual, Dinonaktifkan | 1.1.0 |
| Memperbarui definisi antivirus | CMA_0517 - Memperbarui definisi antivirus | Manual, Dinonaktifkan | 1.1.0 |
| Memverifikasi integritas perangkat lunak, firmware, dan informasi | CMA_0542 - Memverifikasi integritas perangkat lunak, firmware, dan informasi | Manual, Dinonaktifkan | 1.1.0 |
Pastikan VHD dienkripsi
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 7.7 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Membuat prosedur manajemen kebocoran data | CMA_0255 - Membuat prosedur manajemen kebocoran data | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan kontrol untuk mengamankan semua media | CMA_0314 - Menerapkan kontrol untuk mengamankan semua media | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi data dalam transit menggunakan enkripsi | CMA_0403 - Melindungi data dalam transit menggunakan enkripsi | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi informasi khusus | CMA_0409 - Melindungi informasi khusus | Manual, Dinonaktifkan | 1.1.0 |
8 Pertimbangan Keamanan Lainnya
Pastikan bahwa Tanggal Kedaluwarsa diatur untuk semua Kunci di Key Vault RBAC
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 8.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menentukan proses manajemen kunci fisik | CMA_0115 - Menentukan proses manajemen kunci fisik | Manual, Dinonaktifkan | 1.1.0 |
| Menentukan penggunaan kriptografis | CMA_0120 - Menentukan penggunaan kriptografis | Manual, Dinonaktifkan | 1.1.0 |
| Menentukan persyaratan organisasi untuk manajemen kunci kriptografis | CMA_0123 - Menentukan persyaratan organisasi untuk manajemen kunci kriptografis | Manual, Dinonaktifkan | 1.1.0 |
| Menentukan persyaratan pernyataan | CMA_0136 - Menentukan persyaratan pernyataan | Manual, Dinonaktifkan | 1.1.0 |
| Menerbitkan sertifikat kunci umum | CMA_0347 - Menerbitkan sertifikat kunci umum | Manual, Dinonaktifkan | 1.1.0 |
| Kunci Azure Key Vault harus memiliki tanggal kedaluwarsa | Kunci kriptografi harus memiliki tanggal kedaluwarsa yang ditentukan dan tidak permanen. Kunci yang valid selamanya memberikan lebih banyak waktu bagi penyerang potensial untuk menyusupi kunci tersebut. Menetapkan tanggal kedaluwarsa pada kunci kriptografi adalah praktik keamanan yang direkomendasikan. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
| Mengelola kunci kriptografi simetris | CMA_0367 - Mengelola kunci kriptografi simetris | Manual, Dinonaktifkan | 1.1.0 |
| Membatasi akses ke kunci privat | CMA_0445 - Membatasi akses terhadap kunci privat | Manual, Dinonaktifkan | 1.1.0 |
Pastikan bahwa Tanggal Kedaluwarsa diatur untuk semua Kunci di Key Vault Non-RBAC.
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 8.2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menentukan proses manajemen kunci fisik | CMA_0115 - Menentukan proses manajemen kunci fisik | Manual, Dinonaktifkan | 1.1.0 |
| Menentukan penggunaan kriptografis | CMA_0120 - Menentukan penggunaan kriptografis | Manual, Dinonaktifkan | 1.1.0 |
| Menentukan persyaratan organisasi untuk manajemen kunci kriptografis | CMA_0123 - Menentukan persyaratan organisasi untuk manajemen kunci kriptografis | Manual, Dinonaktifkan | 1.1.0 |
| Menentukan persyaratan pernyataan | CMA_0136 - Menentukan persyaratan pernyataan | Manual, Dinonaktifkan | 1.1.0 |
| Menerbitkan sertifikat kunci umum | CMA_0347 - Menerbitkan sertifikat kunci umum | Manual, Dinonaktifkan | 1.1.0 |
| Kunci Azure Key Vault harus memiliki tanggal kedaluwarsa | Kunci kriptografi harus memiliki tanggal kedaluwarsa yang ditentukan dan tidak permanen. Kunci yang valid selamanya memberikan lebih banyak waktu bagi penyerang potensial untuk menyusupi kunci tersebut. Menetapkan tanggal kedaluwarsa pada kunci kriptografi adalah praktik keamanan yang direkomendasikan. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
| Mengelola kunci kriptografi simetris | CMA_0367 - Mengelola kunci kriptografi simetris | Manual, Dinonaktifkan | 1.1.0 |
| Membatasi akses ke kunci privat | CMA_0445 - Membatasi akses terhadap kunci privat | Manual, Dinonaktifkan | 1.1.0 |
Pastikan bahwa Tanggal Kedaluwarsa diatur untuk semua Rahasia di Key Vault RBAC
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 8.3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menentukan proses manajemen kunci fisik | CMA_0115 - Menentukan proses manajemen kunci fisik | Manual, Dinonaktifkan | 1.1.0 |
| Menentukan penggunaan kriptografis | CMA_0120 - Menentukan penggunaan kriptografis | Manual, Dinonaktifkan | 1.1.0 |
| Menentukan persyaratan organisasi untuk manajemen kunci kriptografis | CMA_0123 - Menentukan persyaratan organisasi untuk manajemen kunci kriptografis | Manual, Dinonaktifkan | 1.1.0 |
| Menentukan persyaratan pernyataan | CMA_0136 - Menentukan persyaratan pernyataan | Manual, Dinonaktifkan | 1.1.0 |
| Menerbitkan sertifikat kunci umum | CMA_0347 - Menerbitkan sertifikat kunci umum | Manual, Dinonaktifkan | 1.1.0 |
| Rahasia Azure Key Vault harus memiliki tanggal kedaluwarsa | Rahasia harus memiliki tanggal kedaluwarsa yang ditentukan dan tidak bersifat permanen. Rahasia yang berlaku selamanya memberi lebih banyak waktu kepada penyerang potensial untuk menyusupinya. Menetapkan tanggal kedaluwarsa pada rahasia adalah praktik keamanan yang direkomendasikan. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
| Mengelola kunci kriptografi simetris | CMA_0367 - Mengelola kunci kriptografi simetris | Manual, Dinonaktifkan | 1.1.0 |
| Membatasi akses ke kunci privat | CMA_0445 - Membatasi akses terhadap kunci privat | Manual, Dinonaktifkan | 1.1.0 |
Pastikan bahwa Tanggal Kedaluwarsa diatur untuk semua Rahasia di Key Vault Non-RBAC
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 8.4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menentukan proses manajemen kunci fisik | CMA_0115 - Menentukan proses manajemen kunci fisik | Manual, Dinonaktifkan | 1.1.0 |
| Menentukan penggunaan kriptografis | CMA_0120 - Menentukan penggunaan kriptografis | Manual, Dinonaktifkan | 1.1.0 |
| Menentukan persyaratan organisasi untuk manajemen kunci kriptografis | CMA_0123 - Menentukan persyaratan organisasi untuk manajemen kunci kriptografis | Manual, Dinonaktifkan | 1.1.0 |
| Menentukan persyaratan pernyataan | CMA_0136 - Menentukan persyaratan pernyataan | Manual, Dinonaktifkan | 1.1.0 |
| Menerbitkan sertifikat kunci umum | CMA_0347 - Menerbitkan sertifikat kunci umum | Manual, Dinonaktifkan | 1.1.0 |
| Rahasia Azure Key Vault harus memiliki tanggal kedaluwarsa | Rahasia harus memiliki tanggal kedaluwarsa yang ditentukan dan tidak bersifat permanen. Rahasia yang berlaku selamanya memberi lebih banyak waktu kepada penyerang potensial untuk menyusupinya. Menetapkan tanggal kedaluwarsa pada rahasia adalah praktik keamanan yang direkomendasikan. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
| Mengelola kunci kriptografi simetris | CMA_0367 - Mengelola kunci kriptografi simetris | Manual, Dinonaktifkan | 1.1.0 |
| Membatasi akses ke kunci privat | CMA_0445 - Membatasi akses terhadap kunci privat | Manual, Dinonaktifkan | 1.1.0 |
Pastikan Kunci Sumber Daya diatur untuk Mission Critical Azure Resources
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 8.5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Membuat dan mendokumentasikan proses kontrol perubahan | CMA_0265 - Membuat dan mendokumentasikan proses kontrol perubahan | Manual, Dinonaktifkan | 1.1.0 |
Pastikan key vault dapat dipulihkan
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 8.6 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Brankas kunci harus mengaktifkan perlindungan penghapusan | Penghapusan brankas kunci yang berbahaya dapat menyebabkan hilangnya data secara permanen. Anda dapat mencegah kehilangan data permanen dengan mengaktifkan perlindungan penghapusan menyeluruh dan penghapusan sementara. Perlindungan penghapusan menyeluruh melindungi Anda dari serangan orang dalam dengan memberlakukan periode retensi wajib untuk brankas kunci yang dihapus sementara. Tidak ada seorang pun di dalam organisasi Anda atau Microsoft yang dapat membersihkan brankas kunci Anda selama periode penyimpanan penghapusan sementara. Perlu diingat bahwa brankas kunci yang dibuat setelah 1 September 2019 mengaktifkan penghapusan sementara secara default. | Audit, Tolak, Dinonaktifkan | 2.1.0 |
| Menjaga ketersediaan informasi | CMA_C1644 - Menjaga ketersediaan informasi | Manual, Dinonaktifkan | 1.1.0 |
Aktifkan kontrol akses berbasis peran (RBAC) dalam Azure Kubernetes Service
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 8.7 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Otorisasi akses ke fungsi dan informasi keamanan | CMA_0022 - Mengotorisasi akses ke fungsi dan informasi keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Otorisasi dan kelola akses | CMA_0023 - Mengotorisasi dan mengelola akses | Manual, Dinonaktifkan | 1.1.0 |
| Kontrol Akses Berbasis Peran Azure (RBAC) harus digunakan pada Layanan Kubernetes | Untuk menyediakan pemfilteran terperinci pada tindakan yang dapat dilakukan pengguna, gunakan Kontrol Akses Berbasis Peran Azure (RBAC) untuk mengelola izin di Kluster Layanan Kubernetes dan mengonfigurasi kebijakan otorisasi yang relevan. | Audit, Dinonaktifkan | 1.0.3 |
| Menerapkan akses logis | CMA_0245 - Menerapkan akses logis | Manual, Dinonaktifkan | 1.1.0 |
| Terapkan kebijakan kontrol akses wajib dan kewenangan | CMA_0246 - Menerapkan kebijakan kontrol akses yang wajib dan kewenangan | Manual, Dinonaktifkan | 1.1.0 |
| Mewajibkan persetujuan untuk pembuatan akun | CMA_0431 - Mewajibkan persetujuan untuk pembuatan akun | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau grup dan aplikasi pengguna yang memiliki akses terhadap data sensitif | CMA_0481 - Meninjau grup dan aplikasi pengguna yang memiliki akses terhadap data sensitif | Manual, Dinonaktifkan | 1.1.0 |
9 AppService
Pastikan Autentikasi App Service disiapkan untuk aplikasi di Azure App Service
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 9.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Aplikasi App Service harus mengaktifkan autentikasi | Autentikasi Azure App Service adalah fitur yang dapat mencegah permintaan HTTP anonim mencapai aplikasi web, atau mengautentikasi permintaan HTTP yang memiliki token sebelum permintaan mencapai aplikasi web. | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Mengautentikasi ke modul kriptografi | CMA_0021 - Mengautentikasi ke modul kriptografi | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan keunikan pengguna | CMA_0250 - Menerapkan keunikan pengguna | Manual, Dinonaktifkan | 1.1.0 |
| Aplikasi Fungsi harus mengaktifkan autentikasi | Autentikasi Azure App Service adalah fitur yang dapat mencegah permintaan HTTP anonim mencapai aplikasi Fungsi, atau mengautentikasi permintaan HTTP yang memiliki token sebelum permintaan mencapai aplikasi Fungsi. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Mendukung kredensial verifikasi pribadi yang dikeluarkan oleh otoritas hukum | CMA_0507 - Mendukung kredensial verifikasi pribadi yang dikeluarkan oleh otoritas hukum | Manual, Dinonaktifkan | 1.1.0 |
Pastikan penyebaran FTP Dinonaktifkan
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 9.10 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Aplikasi App Service hanya memerlukan FTPS | Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Mengonfigurasi stasiun kerja untuk memeriksa sertifikat digital | CMA_0073 - Mengonfigurasi stasiun kerja untuk memeriksa sertifikat digital | Manual, Dinonaktifkan | 1.1.0 |
| Aplikasi Fungsi harus memerlukan hanya FTPS | Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Melindungi data dalam transit menggunakan enkripsi | CMA_0403 - Melindungi data dalam transit menggunakan enkripsi | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi kata sandi dengan enkripsi | CMA_0408 - Melindungi kata sandi dengan enkripsi | Manual, Dinonaktifkan | 1.1.0 |
Memastikan Azure Keyvaults Digunakan untuk Menyimpan Rahasia
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 9.11 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menentukan proses manajemen kunci fisik | CMA_0115 - Menentukan proses manajemen kunci fisik | Manual, Dinonaktifkan | 1.1.0 |
| Menentukan penggunaan kriptografis | CMA_0120 - Menentukan penggunaan kriptografis | Manual, Dinonaktifkan | 1.1.0 |
| Menentukan persyaratan organisasi untuk manajemen kunci kriptografis | CMA_0123 - Menentukan persyaratan organisasi untuk manajemen kunci kriptografis | Manual, Dinonaktifkan | 1.1.0 |
| Menentukan persyaratan pernyataan | CMA_0136 - Menentukan persyaratan pernyataan | Manual, Dinonaktifkan | 1.1.0 |
| Pastikan mekanisme kriptografi berada di bawah manajemen konfigurasi | CMA_C1199 - Memastikan mekanisme kriptografi berada di bawah manajemen konfigurasi | Manual, Dinonaktifkan | 1.1.0 |
| Menerbitkan sertifikat kunci umum | CMA_0347 - Menerbitkan sertifikat kunci umum | Manual, Dinonaktifkan | 1.1.0 |
| Menjaga ketersediaan informasi | CMA_C1644 - Menjaga ketersediaan informasi | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola kunci kriptografi simetris | CMA_0367 - Mengelola kunci kriptografi simetris | Manual, Dinonaktifkan | 1.1.0 |
| Membatasi akses ke kunci privat | CMA_0445 - Membatasi akses terhadap kunci privat | Manual, Dinonaktifkan | 1.1.0 |
Pastikan Aplikasi Web Mengalihkan Semua lalu lintas HTTP ke HTTPS di Azure App Service
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 9.2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Aplikasi App Service hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Audit, Dinonaktifkan, Tolak | 4.0.0 |
| Mengonfigurasi stasiun kerja untuk memeriksa sertifikat digital | CMA_0073 - Mengonfigurasi stasiun kerja untuk memeriksa sertifikat digital | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi data dalam transit menggunakan enkripsi | CMA_0403 - Melindungi data dalam transit menggunakan enkripsi | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi kata sandi dengan enkripsi | CMA_0408 - Melindungi kata sandi dengan enkripsi | Manual, Dinonaktifkan | 1.1.0 |
Pastikan Aplikasi Web menggunakan versi terbaru enkripsi TLS
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 9.3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Aplikasi App Service harus menggunakan versi TLS terbaru | Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi App Service untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Mengonfigurasi stasiun kerja untuk memeriksa sertifikat digital | CMA_0073 - Mengonfigurasi stasiun kerja untuk memeriksa sertifikat digital | Manual, Dinonaktifkan | 1.1.0 |
| Aplikasi Fungsi harus menggunakan versi TLS terbaru | Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi Fungsi untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Melindungi data dalam transit menggunakan enkripsi | CMA_0403 - Melindungi data dalam transit menggunakan enkripsi | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi kata sandi dengan enkripsi | CMA_0408 - Melindungi kata sandi dengan enkripsi | Manual, Dinonaktifkan | 1.1.0 |
Pastikan bahwa 'Sertifikat Klien (Sertifikat klien masuk)' untuk aplikasi web diatur ke 'Aktif'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 9.4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Tidak digunakan lagi]: Aplikasi fungsi harus mengaktifkan 'Sertifikat Klien (Sertifikat klien masuk)' | Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien dengan sertifikat yang valid yang dapat menjangkau aplikasi. Kebijakan ini telah digantikan oleh kebijakan baru dengan nama yang sama karena Http 2.0 tidak mendukung sertifikat klien. | Audit, Dinonaktifkan | 3.1.0-tidak digunakan lagi |
| Aplikasi App Service harus mengaktifkan Sertifikat Klien (Sertifikat klien masuk) | Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi. Kebijakan ini berlaku untuk aplikasi dengan versi Http yang diatur ke 1.1. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengautentikasi ke modul kriptografi | CMA_0021 - Mengautentikasi ke modul kriptografi | Manual, Dinonaktifkan | 1.1.0 |
Pastikan bahwa Daftar dengan Azure Active Directory telah diaktifkan di App Service
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 9.5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Aplikasi App Service harus menggunakan identitas terkelola | Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Mengotomatisasi manajemen akun | CMA_0026 - Mengotomatisasi manajemen akun | Manual, Dinonaktifkan | 1.1.0 |
| Aplikasi Fungsi harus menggunakan identitas terkelola | Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Mengelola akun sistem dan admin | CMA_0368 - Mengelola akun sistem dan admin | Manual, Dinonaktifkan | 1.1.0 |
| Memantau akses di seluruh organisasi | CMA_0376 - Memantau akses di seluruh organisasi | Manual, Dinonaktifkan | 1.1.0 |
| Memberi tahu saat akun tidak diperlukan | CMA_0383 - Memberi tahu saat akun tidak diperlukan | Manual, Dinonaktifkan | 1.1.0 |
Pastikan 'Versi PHP' adalah Yang Terbaru, Jika Digunakan untuk Menjalankan Aplikasi Web
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 9.6 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Remediasi kelemahan sistem informasi | CMA_0427 - Remediasi kelemahan sistem informasi | Manual, Dinonaktifkan | 1.1.0 |
Pastikan bahwa 'Versi Python' adalah Versi Stabil Terbaru, jika Digunakan untuk Menjalankan Aplikasi Web
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 9.7 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Remediasi kelemahan sistem informasi | CMA_0427 - Remediasi kelemahan sistem informasi | Manual, Dinonaktifkan | 1.1.0 |
Pastikan 'Versi Java' adalah yang terbaru, jika digunakan untuk menjalankan Aplikasi Web
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 9.8 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Remediasi kelemahan sistem informasi | CMA_0427 - Remediasi kelemahan sistem informasi | Manual, Dinonaktifkan | 1.1.0 |
Pastikan 'Versi HTTP' adalah Yang Terbaru, jika Digunakan untuk Menjalankan Aplikasi Web
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 9.9 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Aplikasi App Service harus menggunakan 'Versi HTTP' terbaru | Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru. | AuditIfNotExists, Dinonaktifkan | 4.0.0 |
| Aplikasi Fungsi harus menggunakan 'Versi HTTP' terbaru | Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru. | AuditIfNotExists, Dinonaktifkan | 4.0.0 |
| Remediasi kelemahan sistem informasi | CMA_0427 - Remediasi kelemahan sistem informasi | Manual, Dinonaktifkan | 1.1.0 |
Langkah berikutnya
Artikel tambahan tentang Azure Policy:
- Ikhtisar Kepatuhan terhadap Peraturan.
- Lihat struktur definisi inisiatif.
- Tinjau contoh lain di Contoh Azure Policy.
- Tinjau Memahami efek kebijakan.
- Pelajari cara memulihkan sumber daya yang tidak sesuai syarat.