Detail inisiatif bawaan Kepatuhan Peraturan CIS Microsoft Azure Foundations Benchmark 1.1.0 (Azure Government)
Artikel berikut merinci bagaimana definisi inisiatif bawaan Kepatuhan Peraturan Azure Policy dipetakan ke domain kepatuhan dan kontrol di CIS Microsoft Azure Foundations Benchmark 1.1.0 (Azure Government). Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat CIS Microsoft Azure Foundations Benchmark 1.1.0. Untuk memahami Kepemilikan, lihat definisi kebijakan Azure Policy dan Tanggung jawab bersama di awan.
Pemetaan berikut adalah untuk kontrol CIS Microsoft Azure Foundations Benchmark 1.1.0. Banyak kontrol diimplementasikan dengan definisi inisiatif Azure Policy. Untuk meninjau definisi inisiatif lengkap, buka Kebijakan di portal Microsoft Azure dan pilih halaman Definisi. Kemudian, temukan dan pilih definisi inisiatif bawaan CIS Microsoft Azure Foundations Benchmark v1.1.0 Regulatory Compliance.
Penting
Setiap kontrol di bawah ini dikaitkan dengan satu atau beberapa definisi Azure Policy. Kebijakan ini mungkin membantu Anda menilai kepatuhan terhadap kontrol; namun, sering kali tidak ada kecocokan satu-ke-satu atau lengkap antara kontrol dan satu atau beberapa kebijakan. Dengan demikian, Kepatuhan di Azure Policy hanya mengacu pada definisi kebijakan itu sendiri; hal tersebut tidak memastikan Anda sepenuhnya mematuhi semua persyaratan kontrol. Selain itu, standar kepatuhan melibatkan kontrol yang tidak dicakup dalam definisi yang ada di Azure Policy saat ini. Oleh karena itu, kepatuhan dalam Azure Policy hanyalah pandangan parsial dari status kepatuhan Anda secara keseluruhan. Hubungan antara domain kepatuhan, kontrol, dan definisi Azure Policy untuk standar kepatuhan ini dapat berubah seiring waktu. Untuk melihat riwayat perubahan, lihat Riwayat Komit GitHub.
1 Manajemen Identitas dan Akses
Pastikan autentikasi multi-faktor diaktifkan untuk semua pengguna yang memiliki hak istimewa
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 1.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun dengan izin pemilik pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan izin pemilik untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun dengan izin tulis pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak tulis istimewa untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Pastikan autentikasi multi-faktor diaktifkan untuk semua pengguna yang tidak memiliki hak istimewa
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 1.2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun dengan izin baca pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak baca istimewa untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Pastikan tidak ada pengguna tamu
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 1.3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun tamu dengan izin pemilik pada sumber daya Azure harus dihapus | Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun tamu dengan izin baca pada sumber daya Azure harus dihapus | Akun eksternal dengan hak baca istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun tamu dengan izin tulis pada sumber daya Azure harus dihapus | Akun eksternal dengan hak tulis istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
2 Security Center
Pastikan bahwa tingkat harga standar dipilih
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure Defender untuk server Azure SQL Database harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Azure Defender untuk server harus diaktifkan | Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Pertahanan Microsoft untuk Kontainer harus diaktifkan | Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Pertahanan Microsoft untuk Penyimpanan (Klasik) harus diaktifkan | Pertahanan Microsoft untuk Penyimpanan (Klasik) menyediakan deteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. | AuditIfNotExists, Dinonaktifkan | 1.0.4 |
Memastikan Pengaturan kebijakan default ASC "Pantau Akses Jaringan JIT" tidak diatur ke "Dinonaktifkan"
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.12 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time | Kemungkinan akses Just In Time (JIT) jaringan akan dipantau oleh Azure Security Center sebagai rekomendasi | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Memastikan Pengaturan kebijakan default ASC "Pantau Daftar Putih Aplikasi Adaptif" tidak diatur ke "Dinonaktifkan"
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.13 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Kontrol aplikasi adaptif untuk menetapkan aplikasi yang aman harus diaktifkan di komputer Anda | Aktifkan kontrol aplikasi untuk menentukan daftar aplikasi yang diketahui aman yang sedang berjalan di komputer Anda, dan aktifkan pemberitahuan ketika aplikasi lain berjalan. Hal ini membantu memperkuat komputer Anda terhadap malware. Untuk menyederhanakan proses konfigurasi dan pemeliharaan aturan Anda, Security Center menggunakan pembelajaran mesin untuk menganalisis aplikasi yang berjalan di setiap komputer dan menyarankan daftar aplikasi yang diketahui aman. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Pastikan pengaturan kebijakan ASC Default "Monitor SQL Auditing" bukan "Disabled"
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.14 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Audit di server SQL harus diaktifkan | Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
Pastikan pengaturan kebijakan ASC Default "Monitor SQL Encryption" bukan "Disabled"
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.15 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Enkripsi Data Transparan pada database SQL harus diaktifkan | Enkripsi data transparan harus diaktifkan untuk melindungi data-yang-tidak-aktif dan memenuhi persyaratan kepatuhan | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
Pastikan 'Email kontak keamanan' disetel
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.16 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Langganan harus memiliki alamat email kontak untuk masalah keamanan | Untuk memastikan orang yang relevan di organisasi Anda diberi tahu saat ada potensi pelanggaran keamanan di salah satu langganan Anda, atur kontak keamanan untuk menerima pemberitahuan email dari Security Center. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Pastikan 'Kirim pemberitahuan email untuk peringatan tingkat keparahan tinggi' disetel ke 'Aktif'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.18 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Pemberitahuan email untuk lansiran tingkat keparahan tinggi harus diaktifkan | Untuk memastikan orang yang relevan di organisasi Anda diberi tahu ketika terdapat potensi pelanggaran keamanan di salah satu langganan Anda, aktifkan pemberitahuan email untuk peringatan tingkat keparahan tinggi di Security Center. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Pastikan 'Kirim email juga ke pemilik langganan' disetel ke 'Aktif'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.19 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Pemberitahuan email kepada pemilik langganan untuk lansiran tingkat keparahan tinggi harus diaktifkan | Untuk memastikan pemilik langganan Anda diberitahu ketika ada potensi pelanggaran keamanan di langganan mereka, atur pemberitahuan email ke pemilik langganan untuk peringatan tingkat keparahan tinggi di Security Center. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
Pastikan 'Penyediaan agen pemantauan otomatis' disetel ke 'Aktif'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Penyediaan otomatis agen Analisis Log harus diaktifkan pada langganan Anda | Untuk memantau kerentanan dan ancaman keamanan, Azure Security Center mengumpulkan data dari komputer virtual Azure Anda. Data dikumpulkan oleh agen Log Analytics, sebelumnya dikenal sebagai Microsoft Monitoring Agent (MMA), yang membaca berbagai konfigurasi terkait keamanan dan log peristiwa dari komputer dan menyalin data ke ruang kerja Log Analytics Anda untuk analisis. Sebaiknya aktifkan penyediaan otomatis untuk menerapkan agen secara otomatis ke semua Azure VM yang didukung dan yang baru yang dibuat. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Memastikan Pengaturan kebijakan default ASC "Pantau Pembaruan Sistem" tidak diatur ke "Dinonaktifkan"
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Pembaruan sistem harus dipasang di komputer Anda | Pembaruan sistem keamanan yang hilang di server Anda akan dipantau oleh Azure Security Center sebagai rekomendasi | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Memastikan Pengaturan kebijakan default ASC "Pantau Kerentanan OS" tidak diatur ke "Dinonaktifkan"
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Kerentanan dalam konfigurasi keamanan di komputer Anda harus diremediasi | Server yang tidak memenuhi baseline yang dikonfigurasi akan dipantau oleh Azure Security Center sebagai rekomendasi | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
Memastikan Pengaturan kebijakan default ASC "Pantau Perlindungan Titik Akhir" tidak diatur ke "Dinonaktifkan"
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 2.5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memantau Perlindungan Titik Akhir yang tidak ada di Azure Security Center | Server tanpa agen Perlindungan Titik Akhir yang diinstal akan dipantau oleh Azure Security Center sebagai rekomendasi | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
Memastikan Pengaturan kebijakan default ASC "Pantau Enkripsi Disk" tidak diatur ke "Dinonaktifkan"
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.6 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Komputer virtual harus mengenkripsi disk sementara, cache, serta aliran data antara sumber daya Komputasi dan Penyimpanan | Secara default, OS dan disk data mesin virtual dienkripsi saat tidak aktif menggunakan kunci yang dikelola platform. Disk sementara, cache data, dan data yang mengalir di antara komputasi dan penyimpanan tidak dienkripsi. Abaikan rekomendasi ini jika: 1. menggunakan enkripsi di host, atau 2. enkripsi sisi server pada Disk Terkelola memenuhi persyaratan keamanan Anda. Pelajari lebih lanjut dalam: Enkripsi sisi server dari Azure Disk Storage: https://aka.ms/disksse, Penawaran enkripsi disk yang berbeda: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Dinonaktifkan | 2.0.3 |
Pastikan pengaturan kebijakan ASC Default "Enable Next Generation Firewall(NGFW) Monitoring" bukan "Disabled"
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.9 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Komputer virtual yang terhubung ke internet harus dilindungi dengan grup keamanan jaringan | Lindungi komputer virtual Anda dari potensi ancaman dengan membatasi akses ke komputer virtual tersebut dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Subnet harus dikaitkan dengan Grup Keamanan Jaringan | Lindungi subnet Anda dari potensi ancaman dengan membatasi aksesnya dengan Network Security Group (NSG). NSG berisi daftar aturan Access Control List (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke subnet Anda. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
3 Akun Penyimpanan
Pastikan 'Transfer aman diperlukan' diatur ke 'Aktif'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 3.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Transfer aman ke akun penyimpanan harus diaktifkan | Persyaratan audit Transfer aman di akun penyimpanan Anda. Transfer aman adalah opsi yang memaksa akun penyimpanan Anda untuk menerima permintaan hanya dari koneksi aman (HTTPS). Penggunaan HTTPS memastikan autentikasi antara server dan layanan dan melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking | Audit, Tolak, Dinonaktifkan | 2.0.0 |
Pastikan aturan akses jaringan default untuk Akun Storage diatur ke ‘Tolak’
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 3.7 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun penyimpanan harus membatasi akses jaringan | Akses jaringan ke akun penyimpanan harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk mengizinkan koneksi dari internet tertentu atau klien lokal, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke rentang alamat IP internet publik | Audit, Tolak, Dinonaktifkan | 1.1.1 |
Pastikan 'Layanan Microsoft Tepercaya' diaktifkan untuk akses Akun Storage
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 3.8 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun penyimpanan harus mengizinkan akses dari layanan Microsoft tepercaya | Beberapa layanan Microsoft yang berinteraksi dengan akun penyimpanan beroperasi dari jaringan yang tidak dapat diberikan akses melalui aturan jaringan. Untuk membantu jenis layanan ini berfungsi sebagaimana mestinya, izinkan kumpulan layanan Microsoft tepercaya untuk mengabaikan aturan jaringan. Layanan ini kemudian akan menggunakan autentikasi yang kuat untuk mengakses akun penyimpanan. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
4 Layanan Database
Pastikan 'Audit' disetel ke 'On'
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Audit di server SQL harus diaktifkan | Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
Pastikan pelindung TDE SQL server dienkripsi dengan BYOK (Gunakan kunci Anda sendiri)
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 4.10 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| ISQL managed instances harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data yang tidak aktif | Implementasi Enkripsi Data Transparan (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Server SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif | Implementasi Transparent Data Encryption (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. | Audit, Tolak, Dinonaktifkan | 2.0.1 |
Pastikan 'Terapkan koneksi SSL' diatur ke 'AKTIF' untuk Server Database MySQL
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.11 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Terapkan koneksi SSL harus diaktifkan untuk server database MySQL | Azure Database for MySQL mendukung koneksi server Azure Database for MySQL Anda ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda. | Audit, Dinonaktifkan | 1.0.1 |
parameter server 'log_checkpoints' diatur ke 'AKTIF' untuk Server Database PostgreSQL
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 4.12 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Titik pemeriksaan log harus diaktifkan untuk server database PostgreSQL | Kebijakan ini membantu mengaudit semua database PostgreSQL di lingkungan Anda tanpa mengaktifkan pengaturan log_checkpoints. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Pastikan 'Terapkan koneksi SSL' diatur ke 'AKTIF' untuk Server Database PostgreSQL
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 4.13 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Terapkan koneksi SSL harus diaktifkan untuk server database PostgreSQL | Azure Database for PostgreSQL mendukung penyambungan server Azure Database for PostgreSQL ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda. | Audit, Dinonaktifkan | 1.0.1 |
Pastikan parameter server 'log_connections' diatur ke 'AKTIF' untuk Server Database PostgreSQL
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 4.14 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Koneksi log harus diaktifkan untuk server database PostgreSQL | Kebijakan ini membantu mengaudit database PostgreSQL di lingkungan Anda tanpa mengaktifkan pengaturan log_connections. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Pastikan parameter server ‘log_disconnections’ diatur ke ‘AKTIF’ untuk Server Database PostgreSQL
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 4.15 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Pemutusan sambungan harus dicatat untuk server database PostgreSQL. | Kebijakan ini membantu mengaudit database PostgreSQL di lingkungan Anda tanpa mengaktifkan log_disconnections. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Pastikan parameter server 'connection_throttling' diatur ke 'AKTIF' untuk Server Database PostgreSQL
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.17 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Pembatasan koneksi harus diaktifkan untuk server database PostgreSQL | Kebijakan ini membantu mengaudit database PostgreSQL di lingkungan Anda tanpa mengaktifkan pembatasan Koneksi. Pengaturan ini memungkinkan pembatasan koneksi sementara per IP untuk terlalu banyak kegagalan upaya masuk kata sandi yang tidak valid. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Pastikan bahwa 'AuditActionGroups' dalam kebijakan 'auditing' untuk server SQL diatur dengan benar
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 4.2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Setelan Audit SQL harus memiliki Grup Tindakan yang dikonfigurasi untuk menangkap aktivitas penting | Properti AuditActionsAndGroups harus berisi setidaknya SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP untuk memastikan pencatatan audit yang menyeluruh | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Pastikan bahwa Retensi 'Audit' adalah 'lebih dari 90 hari'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 4.3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Server SQL dengan audit ke tujuan akun penyimpanan harus dikonfigurasi dengan retensi 90 hari atau lebih tinggi | Untuk tujuan penyelidikan insiden, kami menyarankan pengaturan retensi data untuk audit SQL Server Anda ke tujuan akun penyimpanan setidaknya 90 hari. Konfirmasikan bahwa Anda memenuhi aturan retensi yang diperlukan untuk wilayah tempat Anda beroperasi. Ini terkadang diperlukan untuk memenuhi standar peraturan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Pastikan 'Advanced Data Security' pada server SQL diatur ke 'Aktif'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 4.4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi | Audit server SQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi | Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
Pastikan Admin Direktori Aktif Azure dikonfigurasi
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.8 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Administrator Azure Active Directory harus disediakan untuk server SQL | Penyediaan audit administrator Microsoft Azure Active Directory untuk server SQL Anda agar mengaktifkan autentikasi Microsoft Azure Active Directory. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Pastikan 'Enkripsi data' disetel ke 'Aktif' pada Azure SQL Database
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 4.9 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Enkripsi Data Transparan pada database SQL harus diaktifkan | Enkripsi data transparan harus diaktifkan untuk melindungi data-yang-tidak-aktif dan memenuhi persyaratan kepatuhan | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
5 Pengelogan dan Pemantauan
Pastikan bahwa Profil Log ada
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 5.1.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Langganan Azure harus memiliki profil log untuk Log Aktivitas | Kebijakan ini memastikan jika profil log diaktifkan untuk mengekspor log aktivitas. Ini mengaudit jika tidak ada profil log yang dibuat untuk mengekspor log ke akun penyimpanan atau ke hub acara. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Memastikan Retensi Log Aktivitas diatur 365 hari atau lebih
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 5.1.2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Log aktivitas harus disimpan setidaknya selama satu tahun | Kebijakan ini mengaudit log aktivitas jika retensi tidak disetel selama 365 hari atau selamanya (hari retensi disetel ke 0). | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Memastikan profil audit mengambil semua aktivitas
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 5.1.3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Profil log Azure Monitor harus mengumpulkan log untuk kategori 'tulis,' 'hapus,' dan 'tindakan' | Kebijakan ini memastikan bahwa profil log mengumpulkan log untuk kategori 'tulis,' 'hapus,' dan 'tindakan' | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Memastikan profil log mengambil log aktivitas untuk semua wilayah termasuk global
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 5.1.4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure Monitor harus mengumpulkan log aktivitas dari semua wilayah | Kebijakan ini mengaudit profil log Azure Monitor yang tidak mengekspor aktivitas dari semua wilayah yang didukung Azure termasuk global. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
Pastikan akun penyimpanan yang berisi kontainer dengan log aktivitas dienkripsi dengan BYOK (Use Your Own Key/Gunakan Kunci Anda Sendiri)
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 5.1.6 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun penyimpanan yang berisi kontainer dengan log aktivitas harus dienkripsi dengan BYOK | Kebijakan ini mengaudit jika akun Azure Storage yang berisi kontainer dengan log aktivitas dienkripsi dengan BYOK. Kebijakan hanya berfungsi jika akun penyimpanan berada pada langganan yang sama dengan log aktivitas berdasarkan desain. Informasi selengkapnya tentang enkripsi Azure Storage saat tidak aktif dapat ditemukan di sini https://aka.ms/azurestoragebyok. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Pastikan pengelogan untuk Azure KeyVault diatur ke ‘Aktif’
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 5.1.7 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Log sumber daya di Key Vault harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda membuat ulang jejak aktivitas yang akan digunakan untuk penyelidikan saat terjadi insiden keamanan atau jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
Memastikan bahwa Pemberitahuan Log Aktivitas ada untuk Buat Penugasan Azure Policy
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 5.2.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Peringatan log aktivitas harus ada untuk operasi Kebijakan tertentu | Kebijakan ini mengaudit operasi Kebijakan tertentu tanpa pemberitahuan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Memastikan bahwa Pemberitahuan Log Aktivitas ada untuk Buat atau Perbarui Kelompok Keamanan Jaringan
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 5.2.2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Peringatan log aktivitas harus ada untuk operasi Administratif tertentu | Kebijakan ini mengaudit operasi Administratif tertentu tanpa pemberitahuan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Memastikan bahwa Pemberitahuan Log Aktivitas ada untuk Hapus Kelompok Keamanan Jaringan
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 5.2.3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Peringatan log aktivitas harus ada untuk operasi Administratif tertentu | Kebijakan ini mengaudit operasi Administratif tertentu tanpa pemberitahuan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Memastikan bahwa Pemberitahuan Log Aktivitas ada untuk Buat atau Perbarui Aturan Kelompok Keamanan Jaringan
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 5.2.4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Peringatan log aktivitas harus ada untuk operasi Administratif tertentu | Kebijakan ini mengaudit operasi Administratif tertentu tanpa pemberitahuan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Memastikan bahwa pemberitahuan log aktivitas ada untuk Hapus Aturan Kelompok Keamanan Jaringan
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 5.2.5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Peringatan log aktivitas harus ada untuk operasi Administratif tertentu | Kebijakan ini mengaudit operasi Administratif tertentu tanpa pemberitahuan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Memastikan bahwa Pemberitahuan Log Aktivitas ada untuk Buat atau Perbarui Solusi Keamanan
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 5.2.6 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Peringatan log aktivitas harus ada untuk operasi Keamanan tertentu | Kebijakan ini mengaudit operasi Keamanan tertentu tanpa peringatan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Memastikan bahwa Pemberitahuan Log Aktivitas ada untuk Hapus Solusi Keamanan
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 5.2.7 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Peringatan log aktivitas harus ada untuk operasi Keamanan tertentu | Kebijakan ini mengaudit operasi Keamanan tertentu tanpa peringatan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Pastikan bahwa Pemberitahuan Log Aktivitas ada untuk Buat atau Perbarui atau Hapus Aturan Firewall SQL Server
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 5.2.8 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Peringatan log aktivitas harus ada untuk operasi Administratif tertentu | Kebijakan ini mengaudit operasi Administratif tertentu tanpa pemberitahuan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Memastikan bahwa Pemberitahuan Log Aktivitas ada untuk Perbarui Kebijakan Keamanan
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 5.2.9 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Peringatan log aktivitas harus ada untuk operasi Keamanan tertentu | Kebijakan ini mengaudit operasi Keamanan tertentu tanpa peringatan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
6 Jaringan
Pastikan Network Watcher 'Diaktifkan'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 6.5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Network Watcher harus diaktifkan | Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan ujung ke ujung. Diperlukan untuk memiliki grup sumber daya pengawas jaringan untuk dibuat di setiap wilayah tempat jaringan virtual berada. Pemberitahuan diaktifkan jika grup sumber daya pengawas jaringan tidak tersedia di wilayah tertentu. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
7 Virtual Machines
Memastikan bahwa 'Disk OS' dienkripsi
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 7.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Komputer virtual harus mengenkripsi disk sementara, cache, serta aliran data antara sumber daya Komputasi dan Penyimpanan | Secara default, OS dan disk data mesin virtual dienkripsi saat tidak aktif menggunakan kunci yang dikelola platform. Disk sementara, cache data, dan data yang mengalir di antara komputasi dan penyimpanan tidak dienkripsi. Abaikan rekomendasi ini jika: 1. menggunakan enkripsi di host, atau 2. enkripsi sisi server pada Disk Terkelola memenuhi persyaratan keamanan Anda. Pelajari lebih lanjut dalam: Enkripsi sisi server dari Azure Disk Storage: https://aka.ms/disksse, Penawaran enkripsi disk yang berbeda: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Dinonaktifkan | 2.0.3 |
Memastikan bahwa 'Disk data' dienkripsi
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 7.2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Komputer virtual harus mengenkripsi disk sementara, cache, serta aliran data antara sumber daya Komputasi dan Penyimpanan | Secara default, OS dan disk data mesin virtual dienkripsi saat tidak aktif menggunakan kunci yang dikelola platform. Disk sementara, cache data, dan data yang mengalir di antara komputasi dan penyimpanan tidak dienkripsi. Abaikan rekomendasi ini jika: 1. menggunakan enkripsi di host, atau 2. enkripsi sisi server pada Disk Terkelola memenuhi persyaratan keamanan Anda. Pelajari lebih lanjut dalam: Enkripsi sisi server dari Azure Disk Storage: https://aka.ms/disksse, Penawaran enkripsi disk yang berbeda: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Dinonaktifkan | 2.0.3 |
Memastikan bahwa hanya ekstensi yang disetujui yang diinstal
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 7.4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Hanya ekstensi VM yang disetujui yang dapat diinstal | Kebijakan ini mengatur ekstensi komputer virtual yang tidak disetujui. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Memastikan bahwa Patch OS terbaru untuk semua Virtual Machines diterapkan
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 7.5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Pembaruan sistem harus dipasang di komputer Anda | Pembaruan sistem keamanan yang hilang di server Anda akan dipantau oleh Azure Security Center sebagai rekomendasi | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Memastikan bahwa perlindungan titik akhir untuk semua Virtual Machines diinstal
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 7.6 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memantau Perlindungan Titik Akhir yang tidak ada di Azure Security Center | Server tanpa agen Perlindungan Titik Akhir yang diinstal akan dipantau oleh Azure Security Center sebagai rekomendasi | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
8 Pertimbangan Keamanan Lainnya
Pastikan key vault dapat dipulihkan
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 8.4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Brankas kunci harus mengaktifkan perlindungan penghapusan | Penghapusan brankas kunci yang berbahaya dapat menyebabkan hilangnya data secara permanen. Anda dapat mencegah kehilangan data permanen dengan mengaktifkan perlindungan penghapusan menyeluruh dan penghapusan sementara. Perlindungan penghapusan menyeluruh melindungi Anda dari serangan orang dalam dengan memberlakukan periode retensi wajib untuk brankas kunci yang dihapus sementara. Tidak ada seorang pun di dalam organisasi Anda atau Microsoft yang dapat membersihkan brankas kunci Anda selama periode penyimpanan penghapusan sementara. Perlu diingat bahwa brankas kunci yang dibuat setelah 1 September 2019 mengaktifkan penghapusan sementara secara default. | Audit, Tolak, Dinonaktifkan | 2.1.0 |
Aktifkan kontrol akses berbasis peran (RBAC) dalam Azure Kubernetes Service
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 8.5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Kontrol Akses Berbasis Peran Azure (RBAC) harus digunakan pada Layanan Kubernetes | Untuk menyediakan pemfilteran terperinci pada tindakan yang dapat dilakukan pengguna, gunakan Kontrol Akses Berbasis Peran Azure (RBAC) untuk mengelola izin di Kluster Layanan Kubernetes dan mengonfigurasi kebijakan otorisasi yang relevan. | Audit, Dinonaktifkan | 1.0.3 |
9 AppService
Pastikan Autentikasi App Service telah diatur pada Azure App Service
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 9.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Aplikasi App Service harus mengaktifkan autentikasi | Autentikasi Azure App Service adalah fitur yang dapat mencegah permintaan HTTP anonim mencapai aplikasi web, atau mengautentikasi permintaan HTTP yang memiliki token sebelum permintaan mencapai aplikasi web. | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Aplikasi Fungsi harus mengaktifkan autentikasi | Autentikasi Azure App Service adalah fitur yang dapat mencegah permintaan HTTP anonim mencapai aplikasi Fungsi, atau mengautentikasi permintaan HTTP yang memiliki token sebelum permintaan mencapai aplikasi Fungsi. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Pastikan 'Versi HTTP' adalah yang terbaru, jika digunakan untuk menjalankan aplikasi web
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 9.10 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Aplikasi App Service harus menggunakan 'Versi HTTP' terbaru | Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru. | AuditIfNotExists, Dinonaktifkan | 4.0.0 |
| Aplikasi Fungsi harus menggunakan 'Versi HTTP' terbaru | Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru. | AuditIfNotExists, Dinonaktifkan | 4.0.0 |
Pastikan aplikasi web mengalihkan semua lalu lintas HTTP ke HTTPS di Azure App Service
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 9.2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Aplikasi App Service hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Audit, Dinonaktifkan, Tolak | 4.0.0 |
Pastikan bahwa aplikasi web menggunakan versi enkripsi TLS terbaru
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 9.3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Aplikasi App Service harus menggunakan versi TLS terbaru | Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi App Service untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Aplikasi Fungsi harus menggunakan versi TLS terbaru | Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi Fungsi untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
Pastikan bahwa 'Sertifikat Klien (Sertifikat klien masuk)' untuk aplikasi web diatur ke 'Aktif'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 9.4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Tidak digunakan lagi]: Aplikasi fungsi harus mengaktifkan 'Sertifikat Klien (Sertifikat klien masuk)' | Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien dengan sertifikat yang valid yang dapat menjangkau aplikasi. Kebijakan ini telah digantikan oleh kebijakan baru dengan nama yang sama karena Http 2.0 tidak mendukung sertifikat klien. | Audit, Dinonaktifkan | 3.1.0-tidak digunakan lagi |
| Aplikasi App Service harus mengaktifkan Sertifikat Klien (Sertifikat klien masuk) | Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi. Kebijakan ini berlaku untuk aplikasi dengan versi Http yang diatur ke 1.1. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Pastikan bahwa Daftar dengan Azure Active Directory telah diaktifkan di App Service
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 9.5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Aplikasi App Service harus menggunakan identitas terkelola | Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Aplikasi Fungsi harus menggunakan identitas terkelola | Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Langkah berikutnya
Artikel tambahan tentang Azure Policy:
- Ikhtisar Kepatuhan terhadap Peraturan.
- Lihat struktur definisi inisiatif.
- Tinjau contoh lain di Contoh Azure Policy.
- Tinjau Memahami efek kebijakan.
- Pelajari cara memulihkan sumber daya yang tidak sesuai syarat.