Pemetaan kontrol sampel cetak biru SWIFT CSP-CSCF v2020

Artikel berikut menjelaskan bagaimana sampel cetak biru SWIFT CSP-CSCF v2020 Azure Blueprints dipetakan ke kontrol SWIFT CSP-CSCF v2020. Untuk informasi selengkapnya tentang kontrol, lihat SWIFT CSP-CSCF v2020.

Pemetaan berikut mengarah ke kontrol SWIFT CSP-CSCF v2020. Gunakan navigasi di sebelah kanan untuk melompat langsung ke pemetaan kontrol tertentu. Banyak kontrol yang dipetakan diterapkan dengan inisiatif Azure Policy. Untuk meninjau inisiatif lengkap, buka Policy di portal Azure dan pilih halaman Definisi. Kemudian, temukan dan pilih [Pratinjau]: Audit SWIFT CSP-CSCF v2020 kontrol dan terapkan Ekstensi VM tertentu untuk mendukung persyaratan audit inisiatif kebijakan bawaan.

Penting

Setiap kontrol di bawah ini dikaitkan dengan satu atau beberapa definisi Azure Policy. Kebijakan ini mungkin membantu Anda menilai kepatuhan terhadap kontrol; namun, sering kali tidak ada kecocokan satu-ke-satu atau lengkap antara kontrol dan satu atau beberapa kebijakan. Dengan demikian, Patuh dalam Azure Policy hanya mengacu pada kebijakan itu sendiri; hal ini tidak memastikan Anda sepenuhnya mematuhi semua persyaratan kontrol. Selain itu, standar kepatuhan melibatkan kontrol yang tidak dicakup dalam definisi yang ada di Azure Policy saat ini. Oleh karena itu, kepatuhan dalam Azure Policy hanyalah pandangan parsial dari status kepatuhan Anda secara keseluruhan. Hubungan antara kontrol dan definisi Azure Policy untuk sampel cetak biru kepatuhan ini dapat berubah seiring waktu. Untuk melihat riwayat perubahan, lihat Riwayat Komit GitHub.

1.2 dan 5.1 Pengelolaan Akun

Cetak biru ini membantu Anda meninjau akun yang mungkin tidak mematuhi persyaratan manajemen akun organisasi. Cetak biru ini menetapkan definisi Azure Policy yang mengaudit akun eksternal dengan izin baca, tulis, dan pemilik pada langganan dan akun yang tidak digunakan lagi. Dengan meninjau akun yang diaudit oleh kebijakan tersebut, Anda dapat mengambil tindakan yang tepat untuk memastikan persyaratan manajemen akun terpenuhi.

• Akun yang tidak digunakan lagi harus dihapus dari langganan Anda
• Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda
• Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda
• Akun eksternal dengan izin baca harus dihapus dari langganan Anda
• Akun eksternal dengan izin menulis harus dihapus dari langganan Anda

2.6, 5.1, 6.4, dan 6.5A Pengelolaan Akun | Skema Berbasis Peran

Kontrol akses berbasis peran Azure (Azure RBAC) untuk membantu Anda mengelola siapa saja yang memiliki akses ke sumber daya di Azure. Dengan menggunakan portal Microsoft Azure, Anda dapat meninjau siapa saja yang memiliki akses ke sumber daya Azure beserta izinnya. Cetak biru ini juga menetapkan definisi Azure Policy untuk mengaudit penggunaan autentikasi Azure Active Directory untuk SQL Server dan Service Fabric. Menggunakan autentikasi Azure Active Directory memungkinkan pengelolaan izin yang mudah dan pengelolaan identitas terpusat pengguna database dan layanan Microsoft lainnya. Selain itu, cetak biru ini menetapkan definisi Azure Policy untuk mengaudit penggunaan aturan RBAC Azure kustom. Memahami tempat aturan Azure RBAC kustom diterapkan dapat membantu Anda memverifikasi kebutuhan dan implementasi yang tepat, karena aturan Azure RBAC kustom rentan terhadap kesalahan.

• Administrator Azure Active Directory harus disediakan untuk server SQL
• Mengaudit VM yang tidak menggunakan disk terkelola
• Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien

2.9A Pengelolaan Akun | Pemantauan Akun / Penggunaan Atipikal

Akses komputer virtual Just-in-time (JIT) mengunci lalu lintas masuk ke komputer virtual Azure, mengurangi paparan serangan sekaligus memberikan akses yang mudah untuk terhubung ke komputer virtual saat diperlukan. Semua permintaan JIT untuk mengakses komputer virtual dicatat dalam Log Aktivitas yang memungkinkan Anda memantau penggunaan atipikal. Cetak biru ini menetapkan definisi Azure Policy yang memudahkan Anda memantau komputer virtual yang dapat mendukung akses just-in-time tetapi belum dikonfigurasi.

• Port pengelolaan komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time

1.3, 5.1, dan 6.4 Pemisahan Tugas

Hanya memiliki satu pemilik langganan Azure tidak mengizinkan redundansi administratif. Sebaliknya, memiliki terlalu banyak pemilik langganan Azure dapat meningkatkan potensi pelanggaran melalui akun pemilik yang disusupi. Cetak biru ini membantu Anda mempertahankan jumlah pemilik langganan Azure yang sesuai dengan menetapkan definisi Azure Policy yang mengaudit jumlah pemilik untuk langganan Azure. Cetak biru ini juga menetapkan definisi Azure Policy yang membantu Anda mengontrol keanggotaan grup Administrator pada komputer virtual Windows. Mengelola izin pemilik langganan dan admin komputer virtual dapat membantu Anda menerapkan pemisahan tugas yang sesuai.

• Maksimum 3 pemilik harus ditunjuk untuk langganan Anda
• Menampilkan hasil audit dari VM Windows yang grup Administratornya tidak berisi semua anggota yang ditentukan
• Menyebarkan prasyarat untuk mengaudit VM Windows yang grup Administratornya tidak berisi semua anggota yang ditentukan
• Harus ada lebih dari satu pemilik yang ditetapkan ke langganan Anda

1.3, 5.1, dan 6.4 Hak Istimewa Paling Sedikit | Peninjauan Hak Istimewa Pengguna

Kontrol akses berbasis peran Azure (Azure RBAC) membantu Anda mengelola siapa yang memiliki akses ke sumber daya di Azure. Dengan menggunakan portal Microsoft Azure, Anda dapat meninjau siapa saja yang memiliki akses ke sumber daya Azure beserta izinnya. Cetak biru ini menetapkan definisi Azure Policy untuk mengaudit akun yang harus diprioritaskan untuk ditinjau. Meninjau indikator akun tersebut dapat membantu Anda memastikan kontrol hak istimewa terkecil diterapkan.

• Maksimum 3 pemilik harus ditunjuk untuk langganan Anda
• Tampilkan hasil audit dari VM Windows yang tidak bergabung ke domain yang ditentukan
• Sebarkan prasyarat untuk mengaudit VM Windows yang tidak bergabung ke domain yang ditentukan
• Harus ada lebih dari satu pemilik yang ditetapkan ke langganan Anda

2.2 dan 2.7 Atribut Keamanan

Penemuan data dan kemampuan klasifikasi keamanan data tingkat lanjut untuk Azure SQL Database dilengkapi dengan kemampuan untuk menemukan, mengklasifikasikan, memberi label, dan melindungi data sensitif dalam database Anda. Ini dapat digunakan untuk memberikan visibilitas ke status klasifikasi database Anda, dan untuk melacak akses ke data sensitif dalam database dan di luar batasnya. Keamanan data tingkat lanjut dapat membantu Anda memastikan informasi yang terkait dengan atribut keamanan yang sesuai untuk organisasi. Cetak biru ini menetapkan definisi Azure Policy untuk memantau dan memberlakukan penggunaan keamanan data tingkat lanjut di server SQL.

• Keamanan data lanjutan harus diaktifkan di server SQL Anda
• Menyebarkan Advanced Data Security di server SQL

2.2, 2.7, 4.1, dan 6.1 Akses Jauh | Pemantauan / Kontrol Otomatis

Cetak biru ini membantu Anda memantau dan mengontrol akses jarak jauh dengan menetapkan definisi Azure Policy untuk memantau apakah penelusuran kesalahan jarak jauh untuk aplikasi Azure App Service dimatikan dan definisi kebijakan yang mengaudit komputer virtual Linux yang memungkinkan sambungan jarak jauh dari akun tanpa kata sandi. Cetak biru ini juga menetapkan definisi Azure Policy yang membantu Anda memantau akses tidak terbatas ke akun penyimpanan. Pemantauan indikator tersebut dapat membantu memastikan bahwa metode akses jarak jauh mematuhi kebijakan keamanan Anda.

• Menampilkan hasil audit dari VM Linux yang memungkinkan koneksi jarak jauh dari akun tanpa kata sandi
• Menyebarkan prasyarat untuk mengaudit VM Linux yang memungkinkan koneksi jarak jauh dari akun tanpa kata sandi
• Akun penyimpanan harus membatasi akses jaringan
• Penelusuran kesalahan jarak jauh harus dinonaktifkan untuk Aplikasi API
• Penelusuran kesalahan jarak jauh harus dimatikan untuk Aplikasi Fungsi
• Penelusuran kesalahan jarak jauh harus dinonaktifkan untuk Aplikasi Web

1.3 dan 6.4 Konten Rekaman Audit | Pengelolaan Terpusat Konten Rekaman Audit Terencana

Data log yang dikumpulkan oleh Azure Monitor disimpan di ruang kerja Log Analytics yang memungkinkan konfigurasi dan manajemen terpusat. Cetak biru ini membantu Anda memastikan bahwa peristiwa dicatat di log dengan menetapkan definisi Azure Policy yang mengaudit dan menerapkan penyebaran agen Log Analytics di komputer virtual Azure.

• [Pratinjau]: Penyebaran Agen Log Analytics Audit - VM Image (OS) tidak tercantum
• Sebarkan Agen Analitik Log untuk VM Linux
• Menyebarkan Agen Analitik Log untuk VM Windows

2.2, 2.7, dan 6.4 Tanggapan atas Kegagalan Pemrosesan Audit

Cetak biru ini menetapkan definisi Azure Policy yang memantau konfigurasi pengelogan peristiwa dan audit. Pemantauan konfigurasi ini dapat memberikan indikator kegagalan atau kesalahan konfigurasi sistem audit dan membantu Anda mengambil tindakan korektif.

• Keamanan data lanjutan harus diaktifkan di server SQL Anda
• Pengaturan diagnostik audit
• Audit di server SQL harus diaktifkan

1.3 dan 6.4 Tinjauan Audit, Analisis, dan Pelaporan | Tinjauan dan Analisis Pusat

Data log yang dikumpulkan oleh Azure Monitor disimpan di ruang kerja Analitik Log yang memungkinkan pelaporan dan analisis terpusat. Cetak biru ini membantu Anda memastikan bahwa peristiwa dicatat di log dengan menetapkan definisi Azure Policy yang mengaudit dan menerapkan penyebaran agen Log Analytics di komputer virtual Azure.

• [Pratinjau]: Penyebaran Agen Log Analytics Audit - VM Image (OS) tidak tercantum
• Sebarkan Agen Analitik Log untuk VM Linux
• Menyebarkan Agen Analitik Log untuk VM Windows

1.3, 2.2, 2.7, 6.4, dan 6.5A Pembuatan Audit

Cetak biru ini membantu Anda memastikan kejadian sistem dicatat dengan menetapkan definisi Azure Policy yang mengaudit pengaturan log pada sumber daya Azure. Definisi kebijakan ini mengaudit dan memberlakukan penyebaran agen Analitik Log pada komputer virtual Azure dan konfigurasi pengaturan audit untuk jenis sumber daya Azure lainnya. Definisi kebijakan ini juga mengaudit konfigurasi log diagnostik untuk memberikan insight tentang operasi yang dilakukan dalam sumber daya Azure. Selain itu, audit dan Advanced Data Security dikonfigurasi pada server SQL.

• Penyebaran Agen Analitik Log Audit - Gambar VM (OS) tidak dicantumkan
• Sebarkan Agen Analitik Log untuk Virtual Machine Scale Sets (VMSS) Linux
• Sebarkan Agen Analitik Log untuk VM Linux
• Sebarkan Agen Log Analytics untuk Virtual Machine Scale Sets (VMSS) Windows
• Menyebarkan Agen Analitik Log untuk VM Windows
• Pengaturan diagnostik audit
• Mengaudit pengaturan Pengauditan tingkat server SQL
• Keamanan data lanjutan harus diaktifkan di server SQL Anda
• Menyebarkan Advanced Data Security di server SQL
• Audit di server SQL harus diaktifkan
• Menyebarkan Pengaturan Diagnostik untuk Grup Keamanan Jaringan

1.1 Fungsi Paling Sedikit | Mencegah Eksekusi Program

Kontrol aplikasi adaptif di Azure Security Center adalah solusi pemfilteran aplikasi end-to-end yang cerdas dan otomatis yang dapat memblokir atau mencegah perangkat lunak tertentu berjalan pada komputer virtual Anda. Kontrol aplikasi dapat berjalan dalam mode penerapan yang melarang aplikasi yang tidak disetujui dijalankan. Cetak biru ini menetapkan definisi Azure Policy yang membantu Anda memantau komputer virtual tempat daftar aplikasi yang diizinkan direkomendasikan tetapi belum dikonfigurasi.

• Kontrol aplikasi adaptif untuk menetapkan aplikasi yang aman harus diaktifkan di komputer Anda

1.1 Fungsi Paling Sedikit | Perangkat Lunak Resmi / Daftar yang Diizinkan

Kontrol aplikasi adaptif di Azure Security Center adalah solusi pemfilteran aplikasi end-to-end yang cerdas dan otomatis yang dapat memblokir atau mencegah perangkat lunak tertentu berjalan pada komputer virtual Anda. Kontrol aplikasi membantu Anda membuat daftar aplikasi yang disetujui untuk komputer virtual Anda. Cetak biru ini menetapkan definisi Azure Policy yang membantu Anda memantau komputer virtual tempat daftar aplikasi yang diizinkan direkomendasikan tetapi belum dikonfigurasi.

• Kontrol aplikasi adaptif untuk menetapkan aplikasi yang aman harus diaktifkan di komputer Anda

1.1 Perangkat Lunak yang Dipasang Pengguna

Kontrol aplikasi adaptif di Azure Security Center adalah solusi pemfilteran aplikasi end-to-end yang cerdas dan otomatis yang dapat memblokir atau mencegah perangkat lunak tertentu berjalan pada komputer virtual Anda. Kontrol aplikasi dapat membantu Anda menerapkan dan memantau kepatuhan terhadap kebijakan pembatasan perangkat lunak. Cetak biru ini menetapkan definisi Azure Policy yang membantu Anda memantau komputer virtual tempat daftar aplikasi yang diizinkan direkomendasikan tetapi belum dikonfigurasi.

• Kontrol aplikasi adaptif untuk menetapkan aplikasi yang aman harus diaktifkan di komputer Anda
• Komputer virtual harus dimigrasikan ke sumber daya Azure Resource Manager baru

4.2 Identifikasi dan Autentikasi (Pengguna Organisasi) | Akses Jaringan ke Akun Istimewa

Cetak biru ini membantu Anda membatasi dan mengontrol akses hak istimewa dengan menetapkan definisi Azure Policy untuk mengaudit akun dengan izin pemilik dan/atau tulis yang tidak mengaktifkan autentikasi multifaktor. Autentikasi multifaktor membantu menjaga akun tetap aman bahkan jika satu bagian informasi autentikasi disusupi. Dengan memantau akun yang tidak mengaktifkan autentikasi multifaktor, Anda dapat mengidentifikasi akun yang lebih berpotensi disusupi.

• MFA harus diaktifkan pada akun dengan izin pemilik pada langganan Anda
• MFA harus diaktifkan di akun dengan izin tulis di langganan Anda

4.2 Identifikasi dan Autentikasi (Pengguna Organisasi) | Akses Jaringan ke Akun Non-Istimewa

Cetak biru ini membantu Anda membatasi dan mengontrol akses dengan menetapkan definisi Azure Policy untuk mengaudit akun dengan izin baca yang autentikasi multifaktornya tidak diaktifkan. Autentikasi multifaktor membantu menjaga akun tetap aman bahkan jika satu bagian informasi autentikasi disusupi. Dengan memantau akun yang tidak mengaktifkan autentikasi multifaktor, Anda dapat mengidentifikasi akun yang lebih berpotensi disusupi.

• MFA harus diaktifkan pada akun dengan izin baca pada langganan Anda

2.3 dan 4.1 Pengelolaan Pengautentikasi

Cetak biru ini menetapkan definisi Azure Policy yang mengaudit komputer virtual Linux yang memungkinkan koneksi jarak jauh dari akun tanpa kata sandi dan/atau akun yang menetapkan izin yang salah pada file passwd. Cetak biru ini juga menetapkan definisi kebijakan yang mengaudit konfigurasi jenis enkripsi kata sandi untuk komputer virtual Windows. Pemantauan indikator ini membantu Anda memastikan bahwa pengautentikasi sistem mematuhi kebijakan identifikasi dan autentikasi organisasi Anda.

• Tampilkan hasil audit dari VM Linux yang izin file passwd-nya belum diatur ke 0644
• Menyebarkan persyaratan untuk mengaudit VM Linux yang tidak memiliki izin file passwd yang diatur ke 0644
• Menampilkan hasil audit dari VM Linux yang memiliki akun tanpa kata sandi
• Menyebarkan persyaratan untuk mengaudit VM Linux yang memiliki akun tanpa kata sandi
• Menampilkan hasil audit dari VM Windows yang tidak menyimpan kata sandi menggunakan enkripsi yang dapat dibatalkan
• Terapkan persyaratan untuk mengaudit VM Windows yang tidak menyimpan kata sandi menggunakan enkripsi yang dapat dibatalkan

2.3 dan 4.1 Pengelolaan Pengautentikasi | Autentikasi Berbasis Kata Sandi

Cetak biru ini membantu Anda menerapkan kata sandi kuat dengan menetapkan definisi Azure Policy yang mengaudit komputer virtual Windows yang tidak memberlakukan persyaratan kekuatan minimum dan persyaratan kata sandi lainnya. Pemantauan terhadap komputer virtual yang melanggar kebijakan kekuatan kata sandi membantu Anda mengambil tindakan perbaikan guna memastikan bahwa kata sandi untuk semua akun pengguna komputer virtual mematuhi kebijakan kata sandi organisasi Anda.

• Menampilkan hasil audit dari komputer virtual Windows yang memungkinkan penggunaan kembali 24 kata sandi sebelumnya
• Menampilkan hasil audit dari VM Windows yang tidak memiliki usia kata sandi maksimum 70 hari
• Menampilkan hasil audit dari VM Windows yang tidak memiliki usia kata sandi minimum 1 hari
• Menampilkan hasil audit dari VM Windows yang tidak mengaktifkan pengaturan kompleksitas kata sandi
• Menampilkan hasil audit dari VM Windows yang tidak membatasi panjang kata sandi minimum hingga 14 karakter
• Menampilkan hasil audit dari VM Windows yang tidak menyimpan kata sandi menggunakan enkripsi yang dapat dibatalkan
• Menyebarkan prasyarat untuk mengaudit VM Windows yang memungkinkan penggunaan kembali 24 kata sandi sebelumnya
• Menyebarkan prasyarat untuk mengaudit VM Windows yang tidak memiliki usia kata sandi maksimal 70 hari
• Menyebarkan prasyarat untuk mengaudit VM Windows yang tidak memiliki usia kata sandi minimal 1 hari
• Menyebarkan prasyarat untuk mengaudit VM Windows yang tidak mengaktifkan pengaturan kompleksitas kata sandi
• Menyebarkan prasyarat untuk mengaudit VM Windows yang tidak membatasi panjang kata sandi minimal hingga 14 karakter
• Menyebarkan prasyarat untuk mengaudit VM Windows yang tidak menyimpan kata sandi menggunakan enkripsi yang dapat dibatalkan

2.2 dan 2.7 Pemindaian Kerentanan

Cetak biru ini membantu Anda mengelola kerentanan sistem informasi dengan menetapkan definisi Azure Policy yang memantau kerentanan sistem operasi, kerentanan SQL, dan kerentanan komputer virtual di Azure Security Center. Azure Security Center dapat membuat laporan yang memberikan Anda wawasan secara real time mengenai kondisi keamanan sumber daya Azure yang disebarkan. Cetak biru ini juga menetapkan definisi kebijakan yang mengaudit dan menerapkan Advanced Data Security di server SQL. Advanced data security lanjut mencakup penilaian kerentanan dan kemampuan perlindungan ancaman tingkat lanjut untuk membantu Anda memahami kerentanan dalam sumber daya yang Anda terapkan.

• Keamanan data lanjutan harus diaktifkan di server SQL Anda
• Audit di server SQL harus diaktifkan
• Kerentanan dalam konfigurasi keamanan di set skala komputer virtual Anda harus diremediasi
• Kerentanan pada database SQL Anda harus diremediasi
• Kerentanan dalam konfigurasi keamanan di komputer Anda harus diremediasi

1.3 Penolakan Perlindungan Layanan

Tingkat standar penolakan layanan terdistribusi (DDoS) Azure dilengkapi dengan fitur tambahan dan kemampuan mitigasi melalui tingkat layanan dasar. Fitur tambahan tersebut termasuk integrasi Azure Monitor dan kemampuan untuk meninjau laporan mitigasi pasca-serangan. Cetak biru ini menetapkan definisi Azure Policy yang mengaudit apakah tingkat Standar DDoS diaktifkan. Memahami perbedaan kemampuan antara tingkat layanan dapat membantu Anda memilih solusi terbaik untuk mengatasi penolakan perlindungan layanan untuk lingkungan Azure Anda.

• Azure DDoS Protection harus diaktifkan

1.1 dan 6.1 Perlindungan Batasan

Cetak biru ini membantu Anda mengelola dan mengontrol batas sistem dengan menetapkan definisi Azure Policy yang memantau rekomendasi pengetatan kelompok keamanan jaringan di Azure Security Center. Azure Security Center menganalisis pola lalu lintas dari komputer virtual yang tersambung ke Internet dan memberikan rekomendasi aturan kelompok keamanan jaringan untuk mengurangi potensi permukaan serangan. Selain itu, cetak biru ini juga menetapkan definisi kebijakan yang memantau titik akhir, aplikasi, dan akun penyimpanan yang tidak dilindungi. Titik akhir dan aplikasi yang tidak dilindungi oleh firewall, dan akun penyimpanan dengan akses tidak dibatasi dapat memungkinkan akses yang tidak diinginkan ke informasi yang ada di dalam sistem informasi.

• Rekomendasi Penguatan Jaringan Adaptif harus diterapkan pada komputer virtual yang menghadap internet
• Akses melalui titik akhir yang tersambung ke Internet harus dibatasi
• Mengaudit akses jaringan yang tidak dibatasi ke akun penyimpanan

2.9A Perlindungan Batasan | Titik Akses

Akses komputer virtual Just-in-time (JIT) mengunci lalu lintas masuk ke komputer virtual Azure, mengurangi paparan serangan sekaligus memberikan akses yang mudah untuk terhubung ke komputer virtual saat diperlukan. Akses komputer virtual JIT membantu Anda membatasi jumlah sambungan eksternal ke sumber daya di Azure. Cetak biru ini menetapkan definisi Azure Policy yang memudahkan Anda memantau komputer virtual yang dapat mendukung akses just-in-time tetapi belum dikonfigurasi.

• Port pengelolaan komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time

2.9A Perlindungan Batasan | Layanan Telekomunikasi Eksternal

Akses komputer virtual Just-in-time (JIT) mengunci lalu lintas masuk ke komputer virtual Azure, mengurangi paparan serangan sekaligus memberikan akses yang mudah untuk terhubung ke komputer virtual saat diperlukan. Akses komputer virtual JIT membantu Anda mengelola pengecualian terhadap kebijakan alur lalu lintas Anda dengan memudahkan permintaan akses dan proses persetujuan. Cetak biru ini menetapkan definisi Azure Policy yang memudahkan Anda memantau komputer virtual yang dapat mendukung akses just-in-time tetapi belum dikonfigurasi.

• Port pengelolaan komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time

2.1, 2.4, 2.4A, 2.5A, dan 2.6 Kerahasiaan dan Integritas Transmisi | Perlindungan Kriptografi atau Fisik Alternatif

Cetak biru ini membantu Anda melindungi kerahasiaan dan integritas informasi yang dikirimkan dengan menetapkan definisi Azure Policy yang membantu Anda memantau mekanisme kriptografi yang diterapkan untuk protokol komunikasi. Memastikan komunikasi dienkripsi dengan benar dapat membantu Anda memenuhi persyaratan organisasi atau melindungi informasi dari pengungkapan dan modifikasi yang tidak diotorisasi.

• Aplikasi API seharusnya hanya dapat diakses melalui HTTPS
• Tampilkan hasil audit dari server web Windows yang tak menggunakan protokol komunikasi aman
• Menyebarkan prasyarat untuk mengaudit server web Windows yang tidak menggunakan protokol komunikasi aman
• Aplikasi Fungsi seharusnya hanya dapat diakses melalui HTTPS
• Hanya koneksi aman ke Redis Cache Anda yang harus diaktifkan
• Transfer aman ke akun penyimpanan harus diaktifkan
• Aplikasi Web hanya boleh diakses melalui HTTPS

2.2, 2.3, 2.5, 4.1, dan 2.7 Perlindungan Informasi yang Tidak Aktif | Perlindungan Kriptografi

Cetak biru ini membantu menerapkan kebijakan Anda tentang penggunaan kontrol kriptografi untuk melindungi informasi yang tidak aktif dengan menetapkan definisi Azure Policy yang menerapkan kontrol kriptografi tertentu dan penggunaan audit terhadap pengaturan kriptografi yang lemah. Memahami tempat sumber daya Azure Anda mungkin memiliki konfigurasi kriptografi yang tidak optimal dapat membantu Anda mengambil tindakan korektif untuk memastikan bahwa sumber daya dikonfigurasi sesuai dengan kebijakan keamanan informasi Anda. Secara khusus, definisi kebijakan yang ditetapkan oleh cetak biru ini mewajibkan enkripsi untuk akun penyimpanan data lake; mewajibkan enkripsi data transparan pada database SQL; dan mengaudit enkripsi yang hilang di database SQL, disk komputer virtual, dan variabel akun otomatisasi.

• Keamanan data lanjutan harus diaktifkan di server SQL Anda
• Menyebarkan Advanced Data Security di server SQL
• Menyebarkan enkripsi data transparan DB SQL
• Enkripsi Data Transparan pada database SQL harus diaktifkan

1.3, 2.2, dan 2.7 Remediasi Cacat

Cetak biru ini membantu Anda mengelola kerusakan sistem informasi dengan menetapkan definisi Azure Policy yang memantau pembaruan sistem yang hilang, kerentanan sistem operasi, kerentanan SQL, dan kerentanan komputer virtual di Azure Security Center. Azure Security Center dapat membuat laporan yang memberikan Anda wawasan secara real time mengenai kondisi keamanan sumber daya Azure yang disebarkan. Cetak biru ini juga menetapkan definisi kebijakan yang memastikan patching sistem operasi untuk Microsoft Azure Virtual Machine Scale Sets.

• Wajibkan patching citra OS otomatis pada Virtual Machine Scale Sets
• Pembaruan sistem pada set skala komputer virtual harus diinstal
• Pembaruan sistem harus dipasang pada komputer virtual
• Penyebaran agen Dependensi Audit dalam set skala komputer virtual - VM Image (OS) tidak tercantum
• Variabel akun Automation harus dienkripsi
• Kerentanan dalam konfigurasi keamanan di set skala komputer virtual Anda harus diremediasi
• Kerentanan dalam konfigurasi keamanan di komputer virtual Anda harus diremediasi
• Kerentanan pada database SQL Anda harus diremediasi

6.1 Perlindungan Kode Berbahaya

Cetak biru ini membantu Anda mengelola perlindungan titik akhir, termasuk perlindungan terhadap kode berbahaya, dengan menetapkan definisi Azure Policy yang memantau perlindungan titik akhir yang tidak ada di komputer virtual di Azure Security Center dan menerapkan solusi antimalware Microsoft di komputer virtual Windows.

• Menyebarkan ekstensi Microsoft IaaSAntimalware default untuk Server Windows
• Solusi perlindungan titik akhir harus diinstal di set skala komputer virtual
• Memantau Perlindungan Titik Akhir yang hilang di Azure Security Center
• Akun penyimpanan harus dimigrasikan ke sumber daya Azure Resource Manager baru

6.1 Perlindungan Kode Berbahaya | Pengelolaan Pusat

Cetak biru ini membantu Anda mengelola perlindungan titik akhir, termasuk perlindungan kode berbahaya, dengan menetapkan definisi Azure Policy yang memantau perlindungan titik akhir yang tidak ada pada komputer virtual di Azure Security Center. Azure Security Center memberikan kemampuan manajemen dan pelaporan terpusat yang memungkinkan Anda memiliki insight real time mengenai status keamanan sumber daya Azure yang disebarkan.

• Solusi perlindungan titik akhir harus diinstal di set skala komputer virtual
• Memantau Perlindungan Titik Akhir yang hilang di Azure Security Center

1.1, 1.3, 2.2, 2.7, 2.8, dan 6.4 Pemantauan Sistem Informasi

Cetak biru ini membantu Anda memantau sistem dengan mengaudit dan menerapkan pengelogan dan keamanan data di seluruh sumber daya Azure. Secara khusus, kebijakan yang ditetapkan mengaudit dan menerapkan penyebaran agen Analitik Log, dan pengaturan keamanan yang disempurnakan untuk database SQL, akun penyimpanan, dan sumber daya jaringan. Kemampuan tersebut dapat membantu mendeteksi perilaku anomali dan indikator serangan sehingga Anda dapat mengambil tindakan yang tepat.

• Tampilkan hasil audit dari VM Windows di mana agen Analitik Log tidak terhubung seperti yang diharapkan
• Sebarkan Agen Analitik Log untuk Virtual Machine Scale Sets (VMSS) Linux
• Sebarkan Agen Analitik Log untuk VM Linux
• Sebarkan Agen Log Analytics untuk Virtual Machine Scale Sets (VMSS) Windows
• Menyebarkan Agen Analitik Log untuk VM Windows
• Keamanan data lanjutan harus diaktifkan di server SQL Anda
• Pengaturan keamanan data tingkat lanjut untuk server SQL harus berisi alamat email untuk menerima pemberitahuan keamanan
• Log diagnostik di Azure Stream Analytics harus diaktifkan
• Menyebarkan Advanced Data Security di server SQL
• Menyebarkan Audit di server SQL
• Menyebarkan pengamat jaringan saat jaringan virtual dibuat
• Menyebarkan Deteksi Ancaman di server SQL

2.2 dan 2.8 Pemantauan Sistem Informasi | Menganalisis Lalu Lintas / Eksfiltrasi Tersembunyi

Perlindungan Terhadap Ancaman Tingkat Lanjut untuk Azure Storage mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. Pemberitahuan perlindungan mencakup pola akses anomali, ekstraksi/unggahan anomali, dan aktivitas penyimpanan yang mencurigakan. Indikator ini dapat membantu Anda mendeteksi eksfiltrasi informasi yang tersembunyi.

• Menyebarkan Deteksi Ancaman di server SQL

Catatan

Ketersediaan definisi Azure Policy tertentu mungkin berbeda di Azure Government dan cloud nasional lainnya.

Langkah berikutnya

Setelah Anda meninjau pemetaan kontrol cetak biru SWIFT CSP-CSCF v2020, kunjungi artikel berikut untuk mempelajari cetak biru dan cara menyebarkan sampel ini:

Cetak biru SWIFT CSP-CSCF v2020 - RingkasanCetak biru SWIFT CSP-CSCF v2020 - Langkah-langkah penyebaran

Artikel tambahan tentang cetak biru dan cara menggunakannya:

• Pelajari tentang siklus hidup cetak biru.
• Pahami cara menggunakan parameter statik dan dinamis.
• Pelajari cara menyesuaikan urutan rangkaian cetak biru.
• Cari tahu cara memanfaatkan penguncian sumber daya cetak biru.
• Pelajari cara memperbarui tugas yang sudah ada.