Detail inisiatif bawaan Kepatuhan terhadap Peraturan CIS Microsoft Azure Foundations Benchmark 1.3.0 (Azure Government)
Artikel berikut menjelaskan secara detail bagaimana definisi inisiatif bawaan Kepatuhan terhadap Peraturan Azure Policy dipetakan ke domain kepatuhan dan kontrol di CIS Microsoft Azure Foundations Benchmark 1.3.0 (Azure Government). Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat CIS Microsoft Azure Foundations Benchmark 1.3.0. Untuk memahami Kepemilikan, lihat definisi kebijakan Azure Policy dan Tanggung jawab bersama di awan.
Pemetaan berikut adalah untuk kontrol CIS Microsoft Azure Foundations Benchmark 1.3.0. Banyak kontrol diimplementasikan dengan definisi inisiatif Azure Policy. Untuk meninjau definisi inisiatif lengkap, buka Kebijakan di portal Microsoft Azure dan pilih halaman Definisi. Kemudian, temukan dan pilih CIS Microsoft Azure Foundations Benchmark v1.3.0 definisi inisiatif bawaan Kepatuhan Peraturan.
Penting
Setiap kontrol di bawah ini dikaitkan dengan satu atau beberapa definisi Azure Policy. Kebijakan ini mungkin membantu Anda menilai kepatuhan terhadap kontrol; namun, sering kali tidak ada kecocokan satu-ke-satu atau lengkap antara kontrol dan satu atau beberapa kebijakan. Dengan demikian, Kepatuhan di Azure Policy hanya mengacu pada definisi kebijakan itu sendiri; hal tersebut tidak memastikan Anda sepenuhnya mematuhi semua persyaratan kontrol. Selain itu, standar kepatuhan melibatkan kontrol yang tidak dicakup dalam definisi yang ada di Azure Policy saat ini. Oleh karena itu, kepatuhan dalam Azure Policy hanyalah pandangan parsial dari status kepatuhan Anda secara keseluruhan. Hubungan antara domain kepatuhan, kontrol, dan definisi Azure Policy untuk standar kepatuhan ini dapat berubah seiring waktu. Untuk melihat riwayat perubahan, lihat Riwayat Komit GitHub.
1 Manajemen Identitas dan Akses
Pastikan autentikasi multi-faktor diaktifkan untuk semua pengguna yang memiliki hak istimewa
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 1.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun dengan izin pemilik pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan izin pemilik untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun dengan izin tulis pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak tulis istimewa untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Pastikan autentikasi multi-faktor diaktifkan untuk semua pengguna yang tidak memiliki hak istimewa
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 1.2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun dengan izin baca pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak baca istimewa untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Pastikan pengguna tamu ditinjau setiap bulan
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 1.3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun tamu dengan izin pemilik pada sumber daya Azure harus dihapus | Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun tamu dengan izin baca pada sumber daya Azure harus dihapus | Akun eksternal dengan hak baca istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun tamu dengan izin tulis pada sumber daya Azure harus dihapus | Akun eksternal dengan hak tulis istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
2 Security Center
Pastikan Azure Defender diatur ke Aktif untuk Server
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure Defender untuk server harus diaktifkan | Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
Pastikan 'Penyediaan agen pemantauan otomatis' disetel ke 'Aktif'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.11 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Penyediaan otomatis agen Analisis Log harus diaktifkan pada langganan Anda | Untuk memantau kerentanan dan ancaman keamanan, Azure Security Center mengumpulkan data dari komputer virtual Azure Anda. Data dikumpulkan oleh agen Log Analytics, sebelumnya dikenal sebagai Microsoft Monitoring Agent (MMA), yang membaca berbagai konfigurasi terkait keamanan dan log peristiwa dari komputer dan menyalin data ke ruang kerja Log Analytics Anda untuk analisis. Sebaiknya aktifkan penyediaan otomatis untuk menerapkan agen secara otomatis ke semua Azure VM yang didukung dan yang baru yang dibuat. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Pastikan 'Alamat email tambahan' dikonfigurasi dengan email kontak keamanan
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.13 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Langganan harus memiliki alamat email kontak untuk masalah keamanan | Untuk memastikan orang yang relevan di organisasi Anda diberi tahu saat ada potensi pelanggaran keamanan di salah satu langganan Anda, atur kontak keamanan untuk menerima pemberitahuan email dari Security Center. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Pastikan 'Beri tahu tentang lansiran dengan tingkat keparahan berikut' disetel ke 'Tinggi'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.14 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Pemberitahuan email untuk lansiran tingkat keparahan tinggi harus diaktifkan | Untuk memastikan orang yang relevan di organisasi Anda diberi tahu ketika terdapat potensi pelanggaran keamanan di salah satu langganan Anda, aktifkan pemberitahuan email untuk peringatan tingkat keparahan tinggi di Security Center. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Pastikan bahwa Azure Defender diatur ke Aktif untuk server database Azure SQL
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure Defender untuk server Azure SQL Database harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
Pastikan Azure Defender disetel ke Aktif untuk Penyimpanan
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 2.5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Pertahanan Microsoft untuk Penyimpanan (Klasik) harus diaktifkan | Pertahanan Microsoft untuk Penyimpanan (Klasik) menyediakan deteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. | AuditIfNotExists, Dinonaktifkan | 1.0.4 |
Pastikan Azure Defender disetel ke Aktif untuk Kubernetes
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 2.6 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Pertahanan Microsoft untuk Kontainer harus diaktifkan | Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Pastikan Azure Defender disetel ke Aktif untuk Registri Kontainer
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 2.7 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Pertahanan Microsoft untuk Kontainer harus diaktifkan | Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
3 Akun Penyimpanan
Pastikan 'Transfer aman diperlukan' diatur ke 'Aktif'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 3.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Transfer aman ke akun penyimpanan harus diaktifkan | Persyaratan audit Transfer aman di akun penyimpanan Anda. Transfer aman adalah opsi yang memaksa akun penyimpanan Anda untuk menerima permintaan hanya dari koneksi aman (HTTPS). Penggunaan HTTPS memastikan autentikasi antara server dan layanan dan melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking | Audit, Tolak, Dinonaktifkan | 2.0.0 |
Pastikan aturan akses jaringan default untuk Akun Storage diatur ke ‘Tolak’
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 3.6 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun penyimpanan harus membatasi akses jaringan | Akses jaringan ke akun penyimpanan harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk mengizinkan koneksi dari internet tertentu atau klien lokal, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke rentang alamat IP internet publik | Audit, Tolak, Dinonaktifkan | 1.1.1 |
| Akun penyimpanan harus membatasi akses jaringan menggunakan aturan jaringan virtual | Lindungi akun penyimpanan Anda dari potensi ancaman menggunakan aturan jaringan virtual sebagai metode pilihan alih-alih pemfilteran berbasis IP. Menonaktifkan pemfilteran berbasis IP mencegah IP publik mengakses akun penyimpanan Anda. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Pastikan 'Layanan Microsoft Tepercaya' diaktifkan untuk akses Akun Storage
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 3.7 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun penyimpanan harus mengizinkan akses dari layanan Microsoft tepercaya | Beberapa layanan Microsoft yang berinteraksi dengan akun penyimpanan beroperasi dari jaringan yang tidak dapat diberikan akses melalui aturan jaringan. Untuk membantu jenis layanan ini berfungsi sebagaimana mestinya, izinkan kumpulan layanan Microsoft tepercaya untuk mengabaikan aturan jaringan. Layanan ini kemudian akan menggunakan autentikasi yang kuat untuk mengakses akun penyimpanan. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Pastikan penyimpanan untuk data penting dienkripsi dengan Kunci yang Dikelola Pelanggan
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 3.9 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun penyimpanan harus menggunakan kunci yang dikelola pelanggan untuk enkripsi | Amankan akun penyimpanan blob dan file Anda dengan fleksibilitas yang lebih besar menggunakan kunci yang dikelola pelanggan. Saat Anda menentukan kunci yang dikelola pelanggan, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Menggunakan kunci yang dikelola pelanggan memberikan kemampuan tambahan untuk mengontrol rotasi kunci enkripsi kunci atau menghapus data secara kriptografis. | Audit, Dinonaktifkan | 1.0.3 |
4 Layanan Database
Pastikan 'Audit' disetel ke 'On'
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.1.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Audit di server SQL harus diaktifkan | Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
Pastikan 'Enkripsi data' disetel ke 'Aktif' pada Azure SQL Database
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.1.2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Enkripsi Data Transparan pada database SQL harus diaktifkan | Enkripsi data transparan harus diaktifkan untuk melindungi data-yang-tidak-aktif dan memenuhi persyaratan kepatuhan | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
Pastikan bahwa Retensi 'Audit' adalah 'lebih dari 90 hari'
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.1.3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Server SQL dengan audit ke tujuan akun penyimpanan harus dikonfigurasi dengan retensi 90 hari atau lebih tinggi | Untuk tujuan penyelidikan insiden, kami menyarankan pengaturan retensi data untuk audit SQL Server Anda ke tujuan akun penyimpanan setidaknya 90 hari. Konfirmasikan bahwa Anda memenuhi aturan retensi yang diperlukan untuk wilayah tempat Anda beroperasi. Ini terkadang diperlukan untuk memenuhi standar peraturan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Pastikan bahwa Advanced Threat Protection (ATP) pada server SQL diatur ke 'Enabled'
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.2.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi | Audit server SQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi | Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
Pastikan bahwa Penilaian Kerentanan (VA) diaktifkan di server SQL dengan mengatur Akun Penyimpanan
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.2.2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Penilaian kerentanan harus diaktifkan di SQL Managed Instance | Audit setiap Instans Terkelola SQL yang tidak mengaktifkan pemindaian penilaian kerentanan berulang. Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda meremediasi kerentanan database potensial. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| Penilaian kerentanan harus diaktifkan di server SQL Anda | Audit server Azure SQL yang tidak memiliki penilaian kerentanan yang dikonfigurasi dengan benar. Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda meremediasi kerentanan database potensial. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Pastikan 'Terapkan koneksi SSL' diatur ke 'AKTIF' untuk Server Database PostgreSQL
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.3.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Terapkan koneksi SSL harus diaktifkan untuk server database PostgreSQL | Azure Database for PostgreSQL mendukung penyambungan server Azure Database for PostgreSQL ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda. | Audit, Dinonaktifkan | 1.0.1 |
Pastikan 'Terapkan koneksi SSL' diatur ke 'AKTIF' untuk Server Database MySQL
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.3.2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Terapkan koneksi SSL harus diaktifkan untuk server database MySQL | Azure Database for MySQL mendukung koneksi server Azure Database for MySQL Anda ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda. | Audit, Dinonaktifkan | 1.0.1 |
parameter server 'log_checkpoints' diatur ke 'AKTIF' untuk Server Database PostgreSQL
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.3.3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Titik pemeriksaan log harus diaktifkan untuk server database PostgreSQL | Kebijakan ini membantu mengaudit semua database PostgreSQL di lingkungan Anda tanpa mengaktifkan pengaturan log_checkpoints. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Pastikan parameter server 'log_connections' diatur ke 'AKTIF' untuk Server Database PostgreSQL
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 4.3.4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Koneksi log harus diaktifkan untuk server database PostgreSQL | Kebijakan ini membantu mengaudit database PostgreSQL di lingkungan Anda tanpa mengaktifkan pengaturan log_connections. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Pastikan parameter server ‘log_disconnections’ diatur ke ‘AKTIF’ untuk Server Database PostgreSQL
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 4.3.5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Pemutusan sambungan harus dicatat untuk server database PostgreSQL. | Kebijakan ini membantu mengaudit database PostgreSQL di lingkungan Anda tanpa mengaktifkan log_disconnections. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Pastikan parameter server 'connection_throttling' diatur ke 'AKTIF' untuk Server Database PostgreSQL
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 4.3.6 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Pembatasan koneksi harus diaktifkan untuk server database PostgreSQL | Kebijakan ini membantu mengaudit database PostgreSQL di lingkungan Anda tanpa mengaktifkan pembatasan Koneksi. Pengaturan ini memungkinkan pembatasan koneksi sementara per IP untuk terlalu banyak kegagalan upaya masuk kata sandi yang tidak valid. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Pastikan Admin Direktori Aktif Azure dikonfigurasi
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 4.4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Administrator Azure Active Directory harus disediakan untuk server SQL | Penyediaan audit administrator Microsoft Azure Active Directory untuk server SQL Anda agar mengaktifkan autentikasi Microsoft Azure Active Directory. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Pastikan pelindung TDE server SQL dienkripsi dengan kunci yang dikelola Pelanggan
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 4.5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| ISQL managed instances harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data yang tidak aktif | Implementasi Enkripsi Data Transparan (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Server SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif | Implementasi Transparent Data Encryption (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. | Audit, Tolak, Dinonaktifkan | 2.0.1 |
5 Pengelogan dan Pemantauan
Pastikan akun penyimpanan yang berisi kontainer dengan log aktivitas dienkripsi dengan BYOK (Use Your Own Key/Gunakan Kunci Anda Sendiri)
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 5.1.4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun penyimpanan yang berisi kontainer dengan log aktivitas harus dienkripsi dengan BYOK | Kebijakan ini mengaudit jika akun Azure Storage yang berisi kontainer dengan log aktivitas dienkripsi dengan BYOK. Kebijakan hanya berfungsi jika akun penyimpanan berada pada langganan yang sama dengan log aktivitas berdasarkan desain. Informasi selengkapnya tentang enkripsi Azure Storage saat tidak aktif dapat ditemukan di sini https://aka.ms/azurestoragebyok. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Pastikan pengelogan untuk Azure KeyVault diatur ke ‘Aktif’
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 5.1.5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Log sumber daya di Key Vault harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda membuat ulang jejak aktivitas yang akan digunakan untuk penyelidikan saat terjadi insiden keamanan atau jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
Memastikan bahwa Pemberitahuan Log Aktivitas ada untuk Buat Penugasan Azure Policy
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 5.2.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Peringatan log aktivitas harus ada untuk operasi Kebijakan tertentu | Kebijakan ini mengaudit operasi Kebijakan tertentu tanpa pemberitahuan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Memastikan bahwa Pemberitahuan Log Aktivitas ada untuk Hapus Penugasan Azure Policy
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 5.2.2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Peringatan log aktivitas harus ada untuk operasi Kebijakan tertentu | Kebijakan ini mengaudit operasi Kebijakan tertentu tanpa pemberitahuan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Memastikan bahwa Pemberitahuan Log Aktivitas ada untuk Buat atau Perbarui Kelompok Keamanan Jaringan
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 5.2.3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Peringatan log aktivitas harus ada untuk operasi Administratif tertentu | Kebijakan ini mengaudit operasi Administratif tertentu tanpa pemberitahuan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Memastikan bahwa Pemberitahuan Log Aktivitas ada untuk Hapus Kelompok Keamanan Jaringan
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 5.2.4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Peringatan log aktivitas harus ada untuk operasi Administratif tertentu | Kebijakan ini mengaudit operasi Administratif tertentu tanpa pemberitahuan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Memastikan bahwa Pemberitahuan Log Aktivitas ada untuk Buat atau Perbarui Aturan Kelompok Keamanan Jaringan
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 5.2.5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Peringatan log aktivitas harus ada untuk operasi Administratif tertentu | Kebijakan ini mengaudit operasi Administratif tertentu tanpa pemberitahuan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Memastikan bahwa pemberitahuan log aktivitas ada untuk Hapus Aturan Kelompok Keamanan Jaringan
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 5.2.6 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Peringatan log aktivitas harus ada untuk operasi Administratif tertentu | Kebijakan ini mengaudit operasi Administratif tertentu tanpa pemberitahuan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Memastikan bahwa Pemberitahuan Log Aktivitas ada untuk Buat atau Perbarui Solusi Keamanan
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 5.2.7 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Peringatan log aktivitas harus ada untuk operasi Keamanan tertentu | Kebijakan ini mengaudit operasi Keamanan tertentu tanpa peringatan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Memastikan bahwa Pemberitahuan Log Aktivitas ada untuk Hapus Solusi Keamanan
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 5.2.8 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Peringatan log aktivitas harus ada untuk operasi Keamanan tertentu | Kebijakan ini mengaudit operasi Keamanan tertentu tanpa peringatan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Pastikan bahwa Pemberitahuan Log Aktivitas ada untuk Buat atau Perbarui atau Hapus Aturan Firewall SQL Server
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 5.2.9 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Peringatan log aktivitas harus ada untuk operasi Administratif tertentu | Kebijakan ini mengaudit operasi Administratif tertentu tanpa pemberitahuan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Pastikan bahwa Log Diagnostik diaktifkan untuk semua layanan yang mendukungnya.
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 5.3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Aplikasi App Service harus mengaktifkan log sumber daya | Audit yang mengaktifkan log sumber daya di aplikasi. Ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi jika terjadi insiden keamanan atau jaringan Anda disusupi. | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Log sumber daya di Azure Data Lake Store harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Azure Stream Analytics harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di akun Azure Batch harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Data Lake Analytics harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Event Hub harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Key Vault harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda membuat ulang jejak aktivitas yang akan digunakan untuk penyelidikan saat terjadi insiden keamanan atau jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Logic Apps harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.1.0 |
| Log sumber daya di layanan Pencarian harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Azure Service Bus harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
6 Jaringan
Pastikan Network Watcher 'Diaktifkan'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 6.5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Network Watcher harus diaktifkan | Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan ujung ke ujung. Diperlukan untuk memiliki grup sumber daya pengawas jaringan untuk dibuat di setiap wilayah tempat jaringan virtual berada. Pemberitahuan diaktifkan jika grup sumber daya pengawas jaringan tidak tersedia di wilayah tertentu. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
7 Virtual Machines
Memastikan Virtual Machines menggunakan Disk Terkelola
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 7.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengaudit VM yang tidak menggunakan disk terkelola | Kebijakan ini mengaudit VM yang tidak menggunakan disk terkelola | audit | 1.0.0 |
Memastikan bahwa disk 'OS dan Data' dienkripsi dengan CMK
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 7.2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Komputer virtual harus mengenkripsi disk sementara, cache, serta aliran data antara sumber daya Komputasi dan Penyimpanan | Secara default, OS dan disk data mesin virtual dienkripsi saat tidak aktif menggunakan kunci yang dikelola platform. Disk sementara, cache data, dan data yang mengalir di antara komputasi dan penyimpanan tidak dienkripsi. Abaikan rekomendasi ini jika: 1. menggunakan enkripsi di host, atau 2. enkripsi sisi server pada Disk Terkelola memenuhi persyaratan keamanan Anda. Pelajari lebih lanjut dalam: Enkripsi sisi server dari Azure Disk Storage: https://aka.ms/disksse, Penawaran enkripsi disk yang berbeda: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Dinonaktifkan | 2.0.3 |
Memastikan bahwa hanya ekstensi yang disetujui yang diinstal
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 7.4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Hanya ekstensi VM yang disetujui yang dapat diinstal | Kebijakan ini mengatur ekstensi komputer virtual yang tidak disetujui. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Memastikan bahwa Patch OS terbaru untuk semua Virtual Machines diterapkan
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 7.5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Pembaruan sistem harus dipasang di komputer Anda | Pembaruan sistem keamanan yang hilang di server Anda akan dipantau oleh Azure Security Center sebagai rekomendasi | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Memastikan bahwa perlindungan titik akhir untuk semua Virtual Machines diinstal
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 7.6 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memantau Perlindungan Titik Akhir yang tidak ada di Azure Security Center | Server tanpa agen Perlindungan Titik Akhir yang diinstal akan dipantau oleh Azure Security Center sebagai rekomendasi | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
8 Pertimbangan Keamanan Lainnya
Pastikan key vault dapat dipulihkan
ID: REKOMENDASI CIS Microsoft Azure Foundations Benchmark 8.4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Brankas kunci harus mengaktifkan perlindungan penghapusan | Penghapusan brankas kunci yang berbahaya dapat menyebabkan hilangnya data secara permanen. Anda dapat mencegah kehilangan data permanen dengan mengaktifkan perlindungan penghapusan menyeluruh dan penghapusan sementara. Perlindungan penghapusan menyeluruh melindungi Anda dari serangan orang dalam dengan memberlakukan periode retensi wajib untuk brankas kunci yang dihapus sementara. Tidak ada seorang pun di dalam organisasi Anda atau Microsoft yang dapat membersihkan brankas kunci Anda selama periode penyimpanan penghapusan sementara. Perlu diingat bahwa brankas kunci yang dibuat setelah 1 September 2019 mengaktifkan penghapusan sementara secara default. | Audit, Tolak, Dinonaktifkan | 2.1.0 |
Aktifkan kontrol akses berbasis peran (RBAC) dalam Azure Kubernetes Service
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 8.5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Kontrol Akses Berbasis Peran Azure (RBAC) harus digunakan pada Layanan Kubernetes | Untuk menyediakan pemfilteran terperinci pada tindakan yang dapat dilakukan pengguna, gunakan Kontrol Akses Berbasis Peran Azure (RBAC) untuk mengelola izin di Kluster Layanan Kubernetes dan mengonfigurasi kebijakan otorisasi yang relevan. | Audit, Dinonaktifkan | 1.0.3 |
9 AppService
Pastikan Autentikasi App Service telah diatur pada Azure App Service
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 9.1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Aplikasi App Service harus mengaktifkan autentikasi | Autentikasi Azure App Service adalah fitur yang dapat mencegah permintaan HTTP anonim mencapai aplikasi web, atau mengautentikasi permintaan HTTP yang memiliki token sebelum permintaan mencapai aplikasi web. | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Aplikasi Fungsi harus mengaktifkan autentikasi | Autentikasi Azure App Service adalah fitur yang dapat mencegah permintaan HTTP anonim mencapai aplikasi Fungsi, atau mengautentikasi permintaan HTTP yang memiliki token sebelum permintaan mencapai aplikasi Fungsi. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Pastikan penerapan FTP dinonaktifkan
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 9.10 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Aplikasi App Service hanya memerlukan FTPS | Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Aplikasi Fungsi harus memerlukan hanya FTPS | Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Pastikan aplikasi web mengalihkan semua lalu lintas HTTP ke HTTPS di Azure App Service
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 9.2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Aplikasi App Service hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Audit, Dinonaktifkan, Tolak | 4.0.0 |
Pastikan bahwa aplikasi web menggunakan versi enkripsi TLS terbaru
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 9.3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Aplikasi App Service harus menggunakan versi TLS terbaru | Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi App Service untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Aplikasi Fungsi harus menggunakan versi TLS terbaru | Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi Fungsi untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
Pastikan bahwa 'Sertifikat Klien (Sertifikat klien masuk)' untuk aplikasi web diatur ke 'Aktif'
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 9.4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Tidak digunakan lagi]: Aplikasi fungsi harus mengaktifkan 'Sertifikat Klien (Sertifikat klien masuk)' | Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien dengan sertifikat yang valid yang dapat menjangkau aplikasi. Kebijakan ini telah digantikan oleh kebijakan baru dengan nama yang sama karena Http 2.0 tidak mendukung sertifikat klien. | Audit, Dinonaktifkan | 3.1.0-tidak digunakan lagi |
| Aplikasi App Service harus mengaktifkan Sertifikat Klien (Sertifikat klien masuk) | Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi. Kebijakan ini berlaku untuk aplikasi dengan versi Http yang diatur ke 1.1. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Pastikan bahwa Daftar dengan Azure Active Directory telah diaktifkan di App Service
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 9.5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Aplikasi App Service harus menggunakan identitas terkelola | Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Aplikasi Fungsi harus menggunakan identitas terkelola | Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Pastikan 'Versi HTTP' adalah yang terbaru, jika digunakan untuk menjalankan aplikasi web
ID: Rekomendasi CIS Microsoft Azure Foundations Benchmark 9.9 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Aplikasi App Service harus menggunakan 'Versi HTTP' terbaru | Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru. | AuditIfNotExists, Dinonaktifkan | 4.0.0 |
| Aplikasi Fungsi harus menggunakan 'Versi HTTP' terbaru | Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru. | AuditIfNotExists, Dinonaktifkan | 4.0.0 |
Langkah berikutnya
Artikel tambahan tentang Azure Policy:
- Ikhtisar Kepatuhan terhadap Peraturan.
- Lihat struktur definisi inisiatif.
- Tinjau contoh lain di Contoh Azure Policy.
- Tinjau Memahami efek kebijakan.
- Pelajari cara memulihkan sumber daya yang tidak sesuai syarat.