Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Garis besar keamanan ini menerapkan panduan dari tolok ukur keamanan cloud Microsoft versi 1.0 ke Cadangan. Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh tolok ukur keamanan cloud Microsoft dan panduan terkait yang berlaku untuk Cadangan.
Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Pertahanan Microsoft untuk Cloud. Definisi Azure Policy akan tercantum di bagian Kepatuhan Terhadap Peraturan di halaman portal Microsoft Defender for Cloud.
Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan dengan kontrol dan rekomendasi tolok ukur keamanan cloud Microsoft. Beberapa rekomendasi mungkin memerlukan paket Pertahanan Microsoft berbayar untuk mengaktifkan skenario keamanan tertentu.
Nota
Fitur yang tidak berlaku untuk Backup telah dikecualikan. Untuk melihat bagaimana Backup sepenuhnya memetakan tolok ukur keamanan cloud Microsoft, lihat file pemetaan garis besar keamanan Backup lengkap.
Profil keamanan
Profil keamanan meringkas perilaku Cadangan berdampak tinggi, yang dapat mengakibatkan peningkatan pertimbangan keamanan.
| Atribut Perilaku Layanan | Nilai |
|---|---|
| Kategori Produk | Manajemen/Tata Kelola |
| Pelanggan dapat mengakses HOST / OS | Tidak Ada Akses |
| Layanan dapat disebarkan ke jaringan virtual pelanggan | False |
| Menyimpan konten pelanggan saat tidak aktif | False |
Keamanan jaringan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Keamanan jaringan.
NS-2: Mengamankan layanan cloud dengan kontrol jaringan
Features
Azure Private Link
Deskripsi: Kemampuan pemfilteran IP asli layanan untuk memfilter lalu lintas jaringan (tidak bingung dengan NSG atau Azure Firewall). Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Sebarkan titik akhir privat untuk semua sumber daya Azure yang mendukung fitur Private Link, untuk membuat titik akses privat untuk sumber daya.
Referensi: Ketersediaan Azure Private Link
Nonaktifkan Akses Jaringan Publik
Deskripsi: Layanan mendukung penonaktifan akses jaringan publik baik melalui menggunakan aturan pemfilteran IP ACL tingkat layanan (bukan NSG atau Azure Firewall) atau menggunakan sakelar pengalih 'Nonaktifkan Akses Jaringan Publik'. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Nonaktifkan akses jaringan publik baik menggunakan aturan pemfilteran IP ACL tingkat layanan atau sakelar pengalihan untuk akses jaringan publik.
Referensi: Tolak akses jaringan publik ke vault
Pengelolaan identitas
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen identitas.
IM-3: Mengelola identitas aplikasi dengan aman dan otomatis
Features
Identitas yang Dikelola
Deskripsi: Tindakan bidang data mendukung autentikasi menggunakan identitas terkelola. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| False | Tidak Berlaku | Tidak Berlaku |
Catatan fitur: Identitas terkelola dapat dibuat untuk vault Anda dan hanya beroperasi di pesawat kendali.
Untuk informasi selengkapnya, silakan kunjungi: Aktifkan Identitas Terkelola untuk vault Anda.
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
IM-8: Membatasi paparan informasi kredensial dan rahasia
Features
Dukungan untuk Integrasi dan Penyimpanan Kredensial Layanan dan Rahasia di Azure Key Vault
Deskripsi: Data plane mendukung penggunaan asli Azure Key Vault untuk penyimpanan kredensial dan rahasia. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Catatan fitur: Fitur ini didukung untuk semua skenario, kecuali skenario lokal di mana file kredensial vault tidak disimpan di AKV.
Panduan Konfigurasi: Pastikan bahwa rahasia dan kredensial disimpan di lokasi aman seperti Azure Key Vault, alih-alih menyematkannya ke dalam file kode atau konfigurasi.
Referensi: Mengonfigurasi vault untuk mengenkripsi menggunakan kunci yang dikelola pelanggan
Akses istimewa
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Akses istimewa.
PA-7: Ikuti prinsip administrasi seminimal mungkin (hak istimewa terkecil)
Features
Azure RBAC untuk Data Plane
Deskripsi: Azure Role-Based Access Control (Azure RBAC) dapat digunakan untuk mengelola akses terhadap tindakan pada lapisan data layanan. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| False | Tidak Berlaku | Tidak Berlaku |
Catatan fitur: Azure RBAC didukung untuk tindakan sarana kontrol.
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Perlindungan data
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Perlindungan data.
DP-2: Memantau anomali dan ancaman yang menargetkan data sensitif
Features
Pencegahan Kebocoran/Kehilangan Data
Deskripsi: Layanan mendukung solusi DLP untuk memantau pergerakan data sensitif (dalam konten pelanggan). Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Catatan fitur: Azure Backup mendukung fitur lanjutan seperti vault yang tidak dapat diubah, penghapusan sementara, otorisasi multi-pengguna yang dapat membantu melindungi data cadangan pelanggan yang biasanya sensitif secara alami.
Untuk informasi lebih lanjut, silakan kunjungi: Vault yang tidak dapat diubah, Penghapusan sementara, dan Otorisasi multi-pengguna
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
DP-3: Mengenkripsi data sensitif saat transit
Features
Enkripsi Data yang Sedang Ditransfer
< c0>Deskripsi: Layanan mendukung enkripsi data yang sedang dalam perjalanan untuk lapisan data. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | Benar | Microsoft |
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Transport Layer Security dalam Pencadangan
DP-4: Mengaktifkan enkripsi data yang disimpan secara default
Features
Enkripsi Data yang Tidak Aktif Menggunakan Kunci Platform
Deskripsi: Enkripsi data saat tidak aktif menggunakan kunci platform didukung, konten pelanggan apa pun yang tidak aktif dienkripsi dengan kunci terkelola Microsoft ini. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | Benar | Microsoft |
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: levels-of-encryption-in-azure-backup
DP-5: Gunakan opsi kunci yang dikelola pelanggan dalam enkripsi data tidak aktif saat diperlukan
Features
Enkripsi Data Saat Tidak Aktif Menggunakan CMK
Deskripsi: Enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan didukung untuk konten pelanggan yang disimpan oleh layanan. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Jika diperlukan untuk kepatuhan terhadap peraturan, tentukan kasus penggunaan dan cakupan layanan di mana enkripsi menggunakan kunci yang dikelola pelanggan diperlukan. Aktifkan dan terapkan enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan untuk layanan tersebut.
Referensi: Enkripsi data cadangan menggunakan kunci yang dikelola pelanggan
DP-6: Menggunakan proses manajemen kunci yang aman
Features
Manajemen Kunci di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk kunci pelanggan, rahasia, atau sertifikat apa pun. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Gunakan Azure Key Vault untuk membuat dan mengontrol siklus hidup kunci enkripsi Anda, termasuk pembuatan kunci, distribusi, dan penyimpanan. Lakukan rotasi dan pencabutan kunci Anda di Azure Key Vault dan layanan Anda berdasarkan jadwal yang ditentukan atau saat terjadi penghentian atau kompromi kunci. Ketika ada kebutuhan untuk menggunakan kunci yang dikelola pelanggan (CMK) dalam beban kerja, layanan, atau tingkat aplikasi, pastikan Anda mengikuti praktik terbaik untuk manajemen kunci: Gunakan hierarki kunci untuk menghasilkan kunci enkripsi data (DEK) terpisah dengan kunci enkripsi kunci (KEK) Anda di brankas kunci Anda. Pastikan kunci terdaftar di Azure Key Vault dan direferensikan melalui ID kunci dari layanan atau aplikasi. Jika Anda perlu membawa kunci Anda sendiri (BYOK) ke layanan (seperti mengimpor kunci yang dilindungi HSM dari HSM lokal Anda ke Azure Key Vault), ikuti panduan yang direkomendasikan untuk melakukan pembuatan kunci awal dan transfer kunci.
Referensi: Enkripsi di Azure Backup
DP-7: Menggunakan proses manajemen sertifikat yang aman
Features
Manajemen Sertifikat di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk sertifikat pelanggan apa pun. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Gunakan Azure Key Vault untuk membuat dan mengontrol siklus hidup sertifikat, termasuk pembuatan, impor, rotasi, pencabutan, penyimpanan, dan pembersihan sertifikat. Pastikan pembuatan sertifikat mengikuti standar yang ditentukan tanpa menggunakan properti yang tidak aman, seperti: ukuran kunci yang tidak cukup, periode validitas yang terlalu lama, kriptografi yang tidak aman. Siapkan rotasi otomatis sertifikat di Azure Key Vault dan layanan Azure (jika didukung) berdasarkan jadwal yang ditentukan atau ketika ada kedaluwarsa sertifikat. Jika rotasi otomatis tidak didukung dalam aplikasi, pastikan rotasi masih diputar menggunakan metode manual di Azure Key Vault dan aplikasi.
Referensi: Enkripsi cadangan
Manajemen aset
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen aset.
AM-2: Hanya gunakan layanan yang disetujui
Features
Dukungan Azure Policy
Deskripsi: Konfigurasi layanan dapat dipantau dan diberlakukan melalui Azure Policy. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | Benar | Microsoft |
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Pencadangan kebijakan Azure
Pengelogan dan deteksi ancaman
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pengelogan dan deteksi ancaman.
LT-1: Mengaktifkan kemampuan deteksi ancaman
Features
Microsoft Defender untuk Penawaran Layanan / Produk
Deskripsi: Layanan memiliki solusi Pertahanan Microsoft khusus penawaran untuk memantau dan memperingatkan masalah keamanan. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| False | Tidak Berlaku | Tidak Berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
LT-4: Mengaktifkan pengelogan untuk penyelidikan keamanan
Features
Log Sumber Daya Azure
Deskripsi: Layanan menghasilkan log sumber daya yang dapat menyediakan metrik dan pengelogan khusus layanan yang ditingkatkan. Pelanggan dapat mengonfigurasi log sumber daya ini dan mengirimkannya ke penampung data mereka sendiri seperti akun penyimpanan atau ruang kerja analitik log. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Aktifkan log sumber daya untuk layanan. Misalnya, Key Vault mendukung log sumber daya tambahan untuk tindakan yang mendapatkan rahasia dari brankas kunci atau dan Azure SQL memiliki log sumber daya yang melacak permintaan ke database. Konten log sumber daya bervariasi menurut layanan Azure dan jenis sumber daya.
Referensi: Menggunakan pengaturan diagnostik untuk Layanan Pemulihan vaults
Pencadangan dan pemulihan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pencadangan dan pemulihan.
BR-1: Pastikan pencadangan otomatis dilakukan secara rutin
Features
Azure Backup
Deskripsi: Layanan dapat menggunakan layanan Azure Backup untuk membuat cadangan. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | Benar | Microsoft |
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Microsoft Defender untuk Pemantauan Cloud
Definisi bawaan Azure Policy - Microsoft.RecoveryServices:
| Nama (portal Microsoft Azure) |
Description | Effect(s) | Versi (GitHub) |
|---|---|---|---|
| Azure Backup harus diaktifkan untuk Virtual Machines | Pastikan perlindungan Virtual Machines Azure Anda dengan mengaktifkan Azure Backup. Azure Backup adalah solusi perlindungan data yang aman dan hemat biaya untuk Azure. | AuditIfNotExists, Sudah Dinonaktifkan | 3.0.0 |
Langkah selanjutnya
- Lihat gambaran umum tolok ukur keamanan cloud Microsoft
- Pelajari selengkapnya tentang garis besar keamanan Azure