Kontrol Kepatuhan Peraturan Kebijakan Azure untuk Manajemen API Azure
BERLAKU UNTUK: Semua tingkatAN API Management
Kepatuhan Terhadap Peraturan dalam Azure Policy menyediakan definisi inisiatif yang dibuat dan dikelola oleh Microsoft, yang dikenal sebagai bawaan, untuk domain kepatuhan dan kontrol keamanan yang terkait dengan standar kepatuhan yang berbeda. Halaman ini mencantumkan domain kepatuhan dan kontrol keamanan untuk Azure API Management. Anda dapat menetapkan bawaan untuk kontrol keamanan satu per satu untuk membantu membuat sumber daya Azure Anda mematuhi standar tertentu.
Judul setiap definisi kebijakan bawaan tertaut ke definisi kebijakan di portal Microsoft Azure. Gunakan tautan di kolom Versi Kebijakan untuk melihat sumber pada repo GitHub Azure Policy.
Penting
Setiap kontrol dikaitkan dengan satu atau beberapa definisi Azure Policy. Kebijakan ini dapat membantu Anda menilai kepatuhan terhadap kontrol. Namun, sering kali tidak ada kecocokan satu sama lain atau benar-benar cocok antara kontrol dan satu atau beberapa kebijakan. Dengan demikian, Syarat di Azure Policy hanya mengacu pada kebijakan itu sendiri. Ini tidak memastikan bahwa Anda sepenuhnya mematuhi semua kontrol persyaratan. Selain itu, standar kepatuhan melibatkan kontrol yang tidak dicakup dalam definisi yang ada di Azure Policy saat ini. Oleh karena itu, kepatuhan dalam Azure Policy hanyalah pandangan parsial dari status kepatuhan Anda secara keseluruhan. Hubungan antara kontrol dan definisi Kepatuhan Peraturan Azure Policy untuk standar kepatuhan ini dapat berubah seiring waktu.
FedRAMP Tinggi
Untuk meninjau bagaimana Azure Policy bawaan yang tersedia untuk semua layanan Azure dipetakan ke standar kepatuhan ini, lihat Kepatuhan Peraturan Azure Policy - Tinggi FedRAMP. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat FedRAMP Tinggi.
| Domain | ID Kontrol | Judul kontrol | Kebijakan (portal Microsoft Azure) |
Versi kebijakan (GitHub) |
|---|---|---|---|---|
| Access Control | AC-4 | Penegakan Arus Informasi | Layanan API Management harus menggunakan jaringan virtual | 1.0.2 |
| Perlindungan Sistem dan Komunikasi | SC-7 | Perlindungan Batas | Layanan API Management harus menggunakan jaringan virtual | 1.0.2 |
| Perlindungan Sistem dan Komunikasi | SC-7 (3) | Titik Akses | Layanan API Management harus menggunakan jaringan virtual | 1.0.2 |
Moderat FedRAMP
Untuk meninjau bagaimana Azure Policy bawaan yang tersedia untuk semua layanan Azure dipetakan ke standar kepatuhan ini, lihat Kepatuhan Peraturan Azure Policy - Moderat FedRAMP. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat Moderat FedRAMP.
| Domain | ID Kontrol | Judul kontrol | Kebijakan (portal Microsoft Azure) |
Versi kebijakan (GitHub) |
|---|---|---|---|---|
| Access Control | AC-4 | Penegakan Arus Informasi | Layanan API Management harus menggunakan jaringan virtual | 1.0.2 |
| Perlindungan Sistem dan Komunikasi | SC-7 | Perlindungan Batas | Layanan API Management harus menggunakan jaringan virtual | 1.0.2 |
| Perlindungan Sistem dan Komunikasi | SC-7 (3) | Titik Akses | Layanan API Management harus menggunakan jaringan virtual | 1.0.2 |
Tolok ukur keamanan cloud Microsoft
Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Untuk melihat bagaimana layanan ini sepenuhnya memetakan tolok ukur keamanan cloud Microsoft, lihat file pemetaan Azure Security Benchmark.
Untuk meninjau bagaimana bawaan Azure Policy yang tersedia untuk semua layanan Azure dipetakan ke standar kepatuhan ini, lihat Kepatuhan Terhadap Peraturan Azure Policy - Tolok ukur keamanan cloud Microsoft.
| Domain | ID Kontrol | Judul kontrol | Kebijakan (portal Microsoft Azure) |
Versi kebijakan (GitHub) |
|---|---|---|---|---|
| Keamanan Jaringan | NS-2 | Mengamankan layanan cloud dengan kontrol jaringan | Layanan API Management harus menggunakan jaringan virtual | 1.0.2 |
| Keamanan Jaringan | NS-2 | Mengamankan layanan cloud dengan kontrol jaringan | API Management harus menonaktifkan akses jaringan publik ke titik akhir konfigurasi layanan | 1.0.1 |
| Manajemen Identitas | IM-4 | Mengautentikasi server dan layanan | Titik akhir API di Azure API Management harus diautentikasi | 1.0.1 |
| Manajemen Identitas | IM-4 | Mengautentikasi server dan layanan | Panggilan API Management ke backend API harus diautentikasi | 1.0.1 |
| Manajemen Identitas | IM-4 | Mengautentikasi server dan layanan | Panggilan API Management ke backend API tidak boleh melewati thumbprint sertifikat atau validasi nama | 1.0.2 |
| Manajemen Identitas | IM-8 | Membatasi paparan kredensial dan rahasia | Versi API minimum API Management harus diatur ke 01-12-2019 atau lebih baru | 1.0.1 |
| Manajemen Identitas | IM-8 | Membatasi paparan kredensial dan rahasia | Nilai bernama rahasia API Management harus disimpan di Azure Key Vault | 1.0.2 |
| Akses dengan Hak Istimewa | PA-7 | Mengikuti prinsip administrasi (setidaknya hak istimewa) secukupnya | Langganan API Management tidak boleh dilingkup ke semua API | 1.1.0 |
| Perlindungan Data | DP-3 | Enkripsi data sensitif saat transit | API Management API hanya boleh menggunakan protokol terenkripsi | 2.0.2 |
| Perlindungan Data | DP-6 | Menggunakan proses manajemen kunci yang aman | Nilai bernama rahasia API Management harus disimpan di Azure Key Vault | 1.0.2 |
| Manajemen Aset | AM-2 | Hanya gunakan layanan yang disetujui | Versi platform Azure API Management harus stv2 | 1.0.0 |
| Manajemen Aset | AM-3 | Memastikan keamanan manajemen siklus hidup aset | Titik akhir API yang tidak digunakan harus dinonaktifkan dan dihapus dari layanan Azure API Management | 1.0.1 |
| Manajemen Postur dan Kerentanan | PV-2 | Mengaudit dan memberlakukan konfigurasi yang aman | Titik akhir manajemen langsung API Management tidak boleh diaktifkan | 1.0.2 |
| Manajemen Postur dan Kerentanan | PV-2 | Mengaudit dan memberlakukan konfigurasi yang aman | Versi API minimum API Management harus diatur ke 01-12-2019 atau lebih baru | 1.0.1 |
| Manajemen Postur dan Kerentanan | PV-2 | Mengaudit dan memberlakukan konfigurasi yang aman | Versi platform Azure API Management harus stv2 | 1.0.0 |
NIST SP 800-171 R2
Untuk meninjau bagaimana Azure Policy bawaan yang tersedia untuk semua layanan Azure dipetakan ke standar kepatuhan ini, lihat Kepatuhan Peraturan Azure Policy - NIST SP 800-171 R2. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat NIST SP 800-171 R2.
| Domain | ID Kontrol | Judul kontrol | Kebijakan (portal Microsoft Azure) |
Versi kebijakan (GitHub) |
|---|---|---|---|---|
| Access Control | +3.1.3 | Mengontrol aliran CUI sesuai dengan otorisasi yang disetujui. | Layanan API Management harus menggunakan jaringan virtual | 1.0.2 |
| Perlindungan Sistem dan Komunikasi | 3.13.1 | Memantau, mengontrol, dan melindungi komunikasi (yaitu informasi yang ditransmisikan atau diterima oleh sistem organisasi) di batasan eksternal dan batasan internal utama sistem organisasi. | Layanan API Management harus menggunakan jaringan virtual | 1.0.2 |
| Perlindungan Sistem dan Komunikasi | 3.13.2 | Mempekerjakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi. | Layanan API Management harus menggunakan jaringan virtual | 1.0.2 |
| Perlindungan Sistem dan Komunikasi | 3.13.5 | Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang terpisah secara fisik atau logis dari jaringan internal. | Layanan API Management harus menggunakan jaringan virtual | 1.0.2 |
NIST SP 800-53 Rev. 4
Untuk meninjau bagaimana Azure Policy bawaan yang tersedia untuk semua layanan Azure dipetakan ke standar kepatuhan ini, lihat Kepatuhan terhadap Peraturan Azure Policy - NIST SP 800-53 Rev. 4. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat NIST SP 800-53 Rev. 4.
| Domain | ID Kontrol | Judul kontrol | Kebijakan (portal Microsoft Azure) |
Versi kebijakan (GitHub) |
|---|---|---|---|---|
| Access Control | AC-4 | Penegakan Arus Informasi | Layanan API Management harus menggunakan jaringan virtual | 1.0.2 |
| Perlindungan Sistem dan Komunikasi | SC-7 | Perlindungan Batas | Layanan API Management harus menggunakan jaringan virtual | 1.0.2 |
| Perlindungan Sistem dan Komunikasi | SC-7 (3) | Titik Akses | Layanan API Management harus menggunakan jaringan virtual | 1.0.2 |
NIST SP 800-53 Rev. 5
Untuk meninjau bagaimana Azure Policy yang tersedia untuk semua layanan Azure dipetakan ke standar kepatuhan ini, lihat Kepatuhan Peraturan Azure Policy - NIST SP 800-53 Rev. 5. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat NIST SP 800-53 Rev. 5.
| Domain | ID Kontrol | Judul kontrol | Kebijakan (portal Microsoft Azure) |
Versi kebijakan (GitHub) |
|---|---|---|---|---|
| Access Control | AC-4 | Penegakan Arus Informasi | Layanan API Management harus menggunakan jaringan virtual | 1.0.2 |
| Perlindungan Sistem dan Komunikasi | SC-7 | Perlindungan Batas | Layanan API Management harus menggunakan jaringan virtual | 1.0.2 |
| Perlindungan Sistem dan Komunikasi | SC-7 (3) | Titik Akses | Layanan API Management harus menggunakan jaringan virtual | 1.0.2 |
Tema NL BIO Cloud
Untuk meninjau bagaimana bawaan Azure Policy yang tersedia untuk semua layanan Azure dipetakan ke standar kepatuhan ini, lihat Detail Kepatuhan Terhadap Peraturan Azure Policy untuk Tema NL BIO Cloud. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat Keamanan Informasi Garis Besar Keamanan Cyber Pemerintah - Digital Government (digitaleoverheid.nl).
| Domain | ID Kontrol | Judul kontrol | Kebijakan (portal Microsoft Azure) |
Versi kebijakan (GitHub) |
|---|---|---|---|---|
| Pemisahan data U.07.1 - Terisolasi | U.07.1 | Isolasi data permanen adalah arsitektur multi-penyewa. Patch diwujudkan dengan cara yang terkontrol. | Layanan API Management harus menggunakan jaringan virtual | 1.0.2 |
Cadangan Kerangka Kerja IT Bank of India untuk Bank v2016
Untuk meninjau bagaimana bawaan Azure Policy yang tersedia untuk semua layanan Azure dipetakan ke standar kepatuhan ini, lihat Kepatuhan Terhadap Peraturan Azure Policy - RBI ITF Banks v2016. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat RBI ITF Banks v2016 (PDF).
| Domain | ID Kontrol | Judul kontrol | Kebijakan (portal Microsoft Azure) |
Versi kebijakan (GitHub) |
|---|---|---|---|---|
| Patch/Kerentanan & Manajemen Perubahan | Patch/Kerentanan & Manajemen Perubahan-7.7 | Layanan API Management harus menggunakan jaringan virtual | 1.0.2 |
RMIT Malaysia
Untuk meninjau bagaimana Azure Policy bawaan yang tersedia untuk semua layanan Azure dipetakan ke standar kepatuhan ini, lihat Kepatuhan Peraturan Azure Policy - RMIT Malaysia. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat RMIT Malaysia.
| Domain | ID Kontrol | Judul kontrol | Kebijakan (portal Microsoft Azure) |
Versi kebijakan (GitHub) |
|---|---|---|---|---|
| Ketahanan Jaringan | 10.33 | Ketahanan Jaringan - 10.33 | Layanan API Management harus menggunakan jaringan virtual | 1.0.2 |
Langkah berikutnya
- Pelajari selengkapnya tentang Kepatuhan Terhadap Peraturan Azure Policy.
- Lihat bawaan pada repositori GitHub Azure Policy.