Pemetaan kontrol sampel cetak biru ISO 27001 Shared Services

Penting

Pada 11 Juli 2026, Cetak Biru (Pratinjau) tidak akan digunakan lagi. Migrasikan definisi dan penugasan cetak biru yang ada ke Spesifikasi Templat dan Tumpukan Penyebaran. Artefak cetak biru akan dikonversi ke templat ARM JSON atau file Bicep yang digunakan untuk menentukan tumpukan penyebaran. Untuk mempelajari cara menulis artefak sebagai sumber daya ARM, lihat:

• Kebijakan
• RBAC
• Penyebaran

Artikel berikut ini menjabarkan cara sampel cetak biru Azure Blueprints ISO 27001 Shared Services memetakan ke kontrol ISO 27001.

Pemetaan berikut menuju ke kontrol ISO 27001:2013. Gunakan navigasi di sebelah kanan untuk melompat langsung ke pemetaan kontrol tertentu. Banyak kontrol yang dipetakan diterapkan dengan inisiatif Azure Policy. Untuk meninjau inisiatif lengkap, buka Policy di portal Azure dan pilih halaman Definisi. Kemudian, temukan dan pilih kontrol [Pratinjau] Audit ISO 27001:2013 dan terapkan Ekstensi Mesin Virtual tertentu untuk mendukung persyaratan audit inisiatif kebijakan bawaan.

Penting

Setiap kontrol di bawah ini dikaitkan dengan satu atau beberapa definisi Azure Policy. Kebijakan ini mungkin membantu Anda menilai kepatuhan terhadap kontrol; namun, sering kali tidak ada kecocokan satu-ke-satu atau lengkap antara kontrol dan satu atau beberapa kebijakan. Dengan demikian, Patuh dalam Azure Policy hanya mengacu pada kebijakan itu sendiri; hal ini tidak memastikan Anda sepenuhnya mematuhi semua persyaratan kontrol. Selain itu, standar kepatuhan melibatkan kontrol yang tidak dicakup dalam definisi yang ada di Azure Policy saat ini. Oleh karena itu, kepatuhan dalam Azure Policy hanyalah pandangan parsial dari status kepatuhan Anda secara keseluruhan. Hubungan antara kontrol dan definisi Azure Policy untuk sampel cetak biru kepatuhan ini dapat berubah seiring waktu. Untuk melihat riwayat perubahan, lihat Riwayat Komit GitHub.

A.6.1.2 Pemisahan tugas

Hanya memiliki satu pemilik langganan Azure tidak mengizinkan redundansi administratif. Sebaliknya, memiliki terlalu banyak pemilik langganan Azure dapat meningkatkan potensi pelanggaran melalui akun pemilik yang disusupi. Cetak biru ini membantu Anda mempertahankan jumlah pemilik langganan Azure yang sesuai dengan menetapkan dua definisi Azure Policy yang mengaudit jumlah pemilik untuk langganan Azure. Mengelola izin pemilik langganan dapat membantu Anda menerapkan pemisahan tugas yang sesuai.

• Maksimum 3 pemilik harus ditunjuk untuk langganan Anda
• Harus ada lebih dari satu pemilik yang ditetapkan ke langganan Anda

A.8.2.1 Klasifikasi informasi

Layanan Penilaian Kerentanan SQL Azure dapat membantu Anda menemukan data sensitif yang disimpan dalam database Anda dan menyertakan rekomendasi untuk mengklasifikasikan data tersebut. Cetak biru ini menetapkan definisi Azure Policy untuk mengaudit bahwa kerentanan telah diidentifikasi selama pemindaian Penilaian Kerentanan SQL dimediasi.

• Kerentanan pada database SQL Anda harus diremediasi

A.9.1.2 Akses ke jaringan dan layanan jaringan

Kontrol akses berbasis peran Azure (Azure RBAC) membantu Anda mengelola siapa saja yang memiliki akses ke sumber daya Azure. Cetak biru ini membantu Anda mengontrol akses ke sumber daya Azure dengan menetapkan tujuh definisi Azure Policy. Kebijakan ini mengaudit penggunaan jenis sumber daya dan konfigurasi yang memungkinkan akses lebih permisif ke sumber daya. Memahami sumber daya yang melanggar kebijakan ini dapat membantu Anda mengambil tindakan korektif untuk memastikan bahwa akses ke sumber daya Azure dibatasi untuk pengguna yang sah.

• Menampilkan hasil audit dari VM Linux yang memiliki akun tanpa kata sandi
• Menampilkan hasil audit dari VM Linux yang memungkinkan koneksi jarak jauh dari akun tanpa kata sandi
• Akun penyimpanan harus dimigrasikan ke sumber daya Azure Resource Manager baru
• Komputer virtual harus dimigrasikan ke sumber daya Azure Resource Manager baru
• Mengaudit VM yang tidak menggunakan disk terkelola

A.9.2.3 Manajemen hak akses istimewa

Cetak biru ini membantu Anda membatasi dan mengontrol hak akses dengan menetapkan empat definisi Azure Policy untuk mengaudit akun eksternal dengan izin pemilik dan/atau tulis serta akun dengan izin pemilik dan/atau tulis yang autentikasi multifaktornya tidak diaktifkan. Kontrol akses berbasis peran Azure (Azure RBAC) membantu Anda mengelola siapa saja yang memiliki akses ke sumber daya Azure. Cetak biru ini juga menetapkan tiga definisi Azure Policy untuk mengaudit penggunaan autentikasi Azure Active Directory untuk SQL Server dan Service Fabric. Menggunakan autentikasi Azure Active Directory memungkinkan pengelolaan izin yang mudah dan pengelolaan identitas terpusat pengguna database dan layanan Microsoft lainnya. Selain itu, cetak biru ini menetapkan definisi Azure Policy untuk mengaudit penggunaan aturan Azure RBAC kustom. Memahami tempat aturan Azure RBAC kustom diterapkan dapat membantu Anda memverifikasi kebutuhan dan implementasi yang tepat, karena aturan Azure RBAC kustom rentan terhadap kesalahan.

• MFA harus diaktifkan pada akun dengan izin pemilik pada langganan Anda
• MFA harus mengaktifkan akun dengan izin menulis pada langganan Anda
• Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda
• Akun eksternal dengan izin menulis harus dihapus dari langganan Anda
• Administrator Azure Active Directory harus disediakan untuk server SQL
• Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien
• Mengaudit penggunaan aturan RBAC kustom

A.9.2.4 Manajemen informasi autentikasi rahasia pengguna

Cetak biru ini menetapkan tiga definisi Azure Policy untuk mengaudit akun yang tidak mengaktifkan autentikasi multifaktor. Autentikasi multifaktor membantu menjaga akun tetap aman bahkan jika satu bagian informasi autentikasi disusupi. Dengan memantau akun yang tidak mengaktifkan autentikasi multifaktor, Anda dapat mengidentifikasi akun yang lebih berpotensi disusupi. Cetak biru ini juga menetapkan dua definisi Azure Policy yang mengaudit izin file kata sandi VM Linux untuk memberi tahu apakah izin tersebut salah diatur. Pengaturan ini memungkinkan Anda mengambil tindakan korektif untuk memastikan bahwa pengautentikasi tidak disusupi.

• MFA harus diaktifkan pada akun dengan izin pemilik pada langganan Anda
• MFA harus diaktifkan pada akun dengan izin baca pada langganan Anda
• MFA harus mengaktifkan akun dengan izin menulis pada langganan Anda
• Tampilkan hasil audit dari VM Linux yang izin file passwd-nya belum diatur ke 0644

A.9.2.5 Tinjauan hak akses pengguna

Kontrol akses berbasis peran Azure (Azure RBAC) membantu Anda mengelola siapa yang memiliki akses ke sumber daya di Azure. Dengan menggunakan portal Microsoft Azure, Anda dapat meninjau siapa saja yang memiliki akses ke sumber daya Azure beserta izinnya. Cetak biru ini menetapkan empat definisi Azure Policy untuk mengaudit akun yang harus diprioritaskan untuk ditinjau, termasuk akun yang tidak digunakan lagi dan akun eksternal dengan izin yang ditingkatkan.

• Akun yang tidak digunakan lagi harus dihapus dari langganan Anda
• Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda
• Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda
• Akun eksternal dengan izin menulis harus dihapus dari langganan Anda

A.9.2.6 Penghapusan atau penyesuaian hak akses

Kontrol akses berbasis peran Azure (Azure RBAC) membantu Anda mengelola siapa yang memiliki akses ke sumber daya di Azure. Dengan menggunakan Azure Active Directory dan Azure RBAC, Anda dapat memperbarui peran pengguna untuk mencerminkan perubahan organisasi. Jika perlu, akun dapat diblokir agar tidak masuk (atau dihapus), yang langsung menghapus hak akses ke sumber daya Azure. Cetak biru ini menetapkan dua definisi Azure Policy untuk mengaudit akun yang tidak digunakan lagi yang harus dipertimbangkan untuk dihapus.

• Akun yang tidak digunakan lagi harus dihapus dari langganan Anda
• Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda

A.9.4.2 Prosedur masuk yang aman

Cetak biru ini menetapkan tiga definisi Azure Policy untuk mengaudit akun yang tidak mengaktifkan autentikasi multifaktor. Autentikasi Multifaktor Azure Active Directory memberikan keamanan tambahan dengan mengharuskan bentuk autentikasi kedua dan memberikan autentikasi yang kuat. Dengan memantau akun yang tidak mengaktifkan autentikasi multifaktor, Anda dapat mengidentifikasi akun yang lebih berpotensi disusupi.

• MFA harus diaktifkan pada akun dengan izin pemilik pada langganan Anda
• MFA harus diaktifkan pada akun dengan izin baca pada langganan Anda
• MFA harus mengaktifkan akun dengan izin menulis pada langganan Anda

A.9.4.3 Sistem manajemen kata sandi

Cetak biru ini membantu Anda memberlakukan kata sandi kuat dengan menetapkan 10 definisi Azure Policy yang mengaudit VM Windows yang tidak memberlakukan kekuatan minimum dan persyaratan kata sandi lainnya. Ditemukannya VM yang melanggar kebijakan kekuatan kata sandi membantu Anda mengambil tindakan korektif untuk memastikan bahwa kata sandi untuk semua akun pengguna VM mematuhi kebijakan.

• Menampilkan hasil audit dari VM Windows yang tidak mengaktifkan pengaturan kompleksitas kata sandi
• Menampilkan hasil audit dari VM Windows yang tidak memiliki usia kata sandi maksimum 70 hari
• Menampilkan hasil audit dari VM Windows yang tidak memiliki usia kata sandi minimum 1 hari
• Menampilkan hasil audit dari VM Windows yang tidak membatasi panjang kata sandi minimum hingga 14 karakter
• Menampilkan hasil audit dari komputer virtual Windows yang memungkinkan penggunaan kembali 24 kata sandi sebelumnya

A.10.1.1 Kebijakan tentang penggunaan kontrol kriptografi

Cetak biru ini membantu Anda memberlakukan kebijakan tentang penggunaan kontrol kriptografi dengan menetapkan 13 definisi Azure Policy yang memberlakukan kontrol kriptografi tertentu dan mengaudit penggunaan pengaturan kriptografi yang lemah. Memahami tempat sumber daya Azure Anda mungkin memiliki konfigurasi kriptografi yang tidak optimal dapat membantu Anda mengambil tindakan korektif untuk memastikan bahwa sumber daya dikonfigurasi sesuai dengan kebijakan keamanan informasi Anda. Khususnya, kebijakan yang ditetapkan oleh cetak biru ini memerlukan enkripsi untuk akun penyimpanan blob dan penyimpanan Data Lake; memerlukan enkripsi data transparan pada database SQL; mengaudit enkripsi yang hilang pada akun penyimpanan, database SQL, disk komputer virtual, dan variabel akun otomatisasi; mengaudit koneksi yang tidak aman ke akun penyimpanan, Aplikasi Fungsi, Aplikasi Web, Aplikasi API, dan Redis Cache; mengaudit enkripsi kata sandi komputer virtual yang lemah; dan mengaudit komunikasi Service Fabric yang tidak terenkripsi.

• Aplikasi Fungsi seharusnya hanya dapat diakses melalui HTTPS
• Aplikasi Web hanya boleh diakses melalui HTTPS
• Aplikasi API seharusnya hanya dapat diakses melalui HTTPS
• Menampilkan hasil audit dari VM Windows yang tidak menyimpan kata sandi menggunakan enkripsi yang dapat dibatalkan
• Enkripsi disk harus diterapkan pada komputer virtual
• Variabel akun Automation harus dienkripsi
• Hanya koneksi aman ke Azure Cache for Redis Anda yang harus diaktifkan
• Transfer aman ke akun penyimpanan harus diaktifkan
• Kluster Service Fabric harus memiliki properti ClusterProtectionLevel yang disetel ke EncryptAndSign
• Enkripsi Data Transparan pada database SQL harus diaktifkan

A.12.4.1 Pencatatan peristiwa

Cetak biru ini membantu Anda memastikan peristiwa sistem dicatat dalam log dengan menetapkan tujuh definisi Azure Policy yang mengaudit pengaturan log di sumber daya Azure. Log diagnostik memberikan wawasan tentang operasi yang dilakukan dalam sumber daya Azure.

• Penyebaran agen Dependensi Audit - VM Image (OS) tidak tercantum
• Penyebaran agen Dependensi Audit dalam set skala komputer virtual - VM Image (OS) tidak tercantum
• [Pratinjau]: Penyebaran Agen Log Analytics Audit - VM Image (OS) tidak tercantum
• Penyebaran agen Analitik Log Audit dalam set skala komputer virtual - Gambar VM (OS) tidak tercantum
• Pengaturan diagnostik audit
• Audit di server SQL harus diaktifkan

A.12.4.3 Log administrator dan operator

Cetak biru ini membantu Anda memastikan peristiwa sistem dicatat dalam log dengan menetapkan tujuh definisi Azure Policy yang mengaudit pengaturan log di sumber daya Azure. Log diagnostik memberikan wawasan tentang operasi yang dilakukan dalam sumber daya Azure.

• Penyebaran agen Dependensi Audit - VM Image (OS) tidak tercantum
• Penyebaran agen Dependensi Audit dalam set skala komputer virtual - VM Image (OS) tidak tercantum
• [Pratinjau]: Penyebaran Agen Log Analytics Audit - VM Image (OS) tidak tercantum
• Penyebaran agen Analitik Log Audit dalam set skala komputer virtual - Gambar VM (OS) tidak tercantum
• Pengaturan diagnostik audit
• Audit di server SQL harus diaktifkan

A.12.4.4 Sinkronisasi Jam

Cetak biru ini membantu Anda memastikan peristiwa sistem dicatat dalam log dengan menetapkan tujuh definisi Azure Policy yang mengaudit pengaturan log di sumber daya Azure. Log Azure mengandalkan jam internal yang disinkronkan untuk membuat catatan peristiwa yang berkorelasi waktu di seluruh sumber daya.

• Penyebaran agen Dependensi Audit - VM Image (OS) tidak tercantum
• Penyebaran agen Dependensi Audit dalam set skala komputer virtual - VM Image (OS) tidak tercantum
• [Pratinjau]: Penyebaran Agen Log Analytics Audit - VM Image (OS) tidak tercantum
• Penyebaran agen Analitik Log Audit dalam set skala komputer virtual - Gambar VM (OS) tidak tercantum
• Pengaturan diagnostik audit
• Audit di server SQL harus diaktifkan

A.12.5.1 Penginstalan perangkat lunak pada sistem operasional

Kontrol aplikasi adaptif adalah solusi dari Azure Security Center yang membantu Anda mengontrol aplikasi mana yang dapat berjalan pada VM yang terletak di Azure. Cetak biru ini menetapkan definisi Azure Policy yang memantau perubahan pada kumpulan aplikasi yang diizinkan. Kemampuan ini membantu Anda mengontrol instalasi perangkat lunak dan aplikasi pada VM Azure.

• Kontrol aplikasi adaptif untuk menetapkan aplikasi yang aman harus diaktifkan di komputer Anda

A.12.6.1 Manajemen kerentanan teknis

Cetak biru ini membantu Anda mengelola kerentanan sistem informasi dengan menetapkan lima definisi Azure Policy yang memantau pembaruan sistem yang hilang, kerentanan sistem operasi, kerentanan SQL, dan kerentanan komputer virtual di Azure Security Center. Azure Security Center dapat membuat laporan yang memberikan Anda wawasan secara real time mengenai kondisi keamanan sumber daya Azure yang disebarkan.

• Memantau Perlindungan Titik Akhir yang hilang di Azure Security Center
• Pembaruan sistem harus dipasang di komputer Anda
• Kerentanan dalam konfigurasi keamanan di komputer Anda harus diremediasi
• Kerentanan pada database SQL Anda harus diremediasi
• Kerentanan harus diatasi dengan solusi Penilaian Kerentanan

A.12.6.2 Pembatasan penginstalan perangkat lunak

Kontrol aplikasi adaptif adalah solusi dari Azure Security Center yang membantu Anda mengontrol aplikasi mana yang dapat berjalan pada VM yang terletak di Azure. Cetak biru ini menetapkan definisi Azure Policy yang memantau perubahan pada kumpulan aplikasi yang diizinkan. Pembatasan penginstalan perangkat lunak dapat membantu Anda mengurangi kemungkinan pengenalan kerentanan perangkat lunak.

• Kontrol aplikasi adaptif untuk menetapkan aplikasi yang aman harus diaktifkan di komputer Anda

A.13.1.1 Kontrol jaringan

Cetak biru ini membantu Anda mengelola dan mengontrol jaringan dengan menetapkan definisi Azure Policy yang memantau grup keamanan jaringan dengan aturan permisif. Aturan yang terlalu permisif dapat memungkinkan akses jaringan yang tidak diinginkan dan harus ditinjau. Cetak biru ini juga menetapkan tiga definisi Azure Policy yang memantau titik akhir, aplikasi, dan akun penyimpanan yang tidak dilindungi. Titik akhir dan aplikasi yang tidak dilindungi oleh firewall, dan akun penyimpanan dengan akses tidak dibatasi dapat memungkinkan akses yang tidak diinginkan ke informasi yang ada di dalam sistem informasi.

• Akses melalui titik akhir yang tersambung ke Internet harus dibatasi
• Akun penyimpanan harus membatasi akses jaringan

A.13.2.1 Kebijakan dan prosedur transfer informasi

Cetak biru membantu Anda memastikan keamanan transfer informasi melalui layanan Azure dengan menetapkan dua definisi Azure Policy yang mengaudit sambungan yang tidak aman ke akun penyimpanan dan Azure Cache for Redis.

• Hanya koneksi aman ke Azure Cache for Redis Anda yang harus diaktifkan
• Transfer aman ke akun penyimpanan harus diaktifkan

Langkah berikutnya

Setelah Anda meninjau pemetaan kontrol cetak biru ISO 27001 Shared Services, kunjungi artikel berikut untuk mempelajari lebih lanjut arsitektur dan cara menerapkan sampel ini:

Cetak biru ISO 27001 Shared Services - Gambaran umumCetak biru ISO 27001 Shared Services - Langkah-langkah penerapan

Artikel tambahan tentang cetak biru dan cara menggunakannya:

• Pelajari tentang siklus hidup cetak biru.
• Pahami cara menggunakan parameter statik dan dinamis.
• Pelajari cara menyesuaikan urutan rangkaian cetak biru.
• Cari tahu cara memanfaatkan penguncian sumber daya cetak biru.
• Pelajari cara memperbarui tugas yang sudah ada.