Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel berikut ini merinci cara definisi inisiatif bawaan Kepatuhan Terhadap Peraturan Azure Policy untuk memetakandomain kepatuhan dan kontrol di PBMM Federal Kanada. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat PBMM Federal Kanada. Untuk memahami Kepemilikan, tinjau jenis kebijakan dan Tanggung jawab bersama di cloud.
Pemetaan berikut adalah untuk kontrol PBMM Federal Kanada. Banyak kontrol diimplementasikan dengan definisi inisiatif Azure Policy. Untuk meninjau definisi inisiatif lengkap, buka Kebijakan di portal Microsoft Azure dan pilih halaman Definisi. Kemudian, temukan dan pilih definisi inisiatif bawaan Kepatuhan Terhadap Peraturan PBMM Federal Kanada.
Penting
Setiap kontrol di bawah ini dikaitkan dengan satu atau beberapa definisi Azure Policy. Kebijakan ini mungkin membantu Anda menilai kepatuhan terhadap kontrol; namun, sering kali tidak ada kecocokan satu-ke-satu atau lengkap antara kontrol dan satu atau beberapa kebijakan. Dengan demikian, Kepatuhan di Azure Policy hanya mengacu pada definisi kebijakan itu sendiri; hal tersebut tidak memastikan Anda sepenuhnya mematuhi semua persyaratan kontrol. Selain itu, standar kepatuhan melibatkan kontrol yang tidak dicakup dalam definisi yang ada di Azure Policy saat ini. Oleh karena itu, kepatuhan dalam Azure Policy hanyalah pandangan parsial dari status kepatuhan Anda secara keseluruhan. Hubungan antara domain kepatuhan, kontrol, dan definisi Azure Policy untuk standar kepatuhan ini dapat berubah seiring waktu. Untuk melihat riwayat perubahan, lihat Riwayat Komit GitHub.
Access Control
Manajemen Akun
ID: CCCS AC-2
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun yang diblokir dengan izin pemilik pada sumber daya Azure harus dihapus | Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun yang diblokir dengan izin baca dan tulis pada sumber daya Azure harus dihapus | Akun yang tidak digunakan lagi harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun tamu dengan izin pemilik pada sumber daya Azure harus dihapus | Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun tamu dengan izin baca pada sumber daya Azure harus dihapus | Akun eksternal dengan hak baca istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun tamu dengan izin tulis pada sumber daya Azure harus dihapus | Akun eksternal dengan hak tulis istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Manajemen Akun | Skema Berbasis Peran
ID: CCCS AC-2(7)
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Administrator Azure Active Directory harus disediakan untuk server SQL | Mengaudit penyediaan administrator Azure Active Directory untuk server SQL Anda guna mengaktifkan autentikasi Azure AD. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien | Audit penggunaan autentikasi klien hanya melalui Azure Active Directory di Service Fabric | Audit, Tolak, Dinonaktifkan | 1.1.0 |
Penegakan Arus Informasi
ID: CCCS AC-4
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Aplikasi App Service tidak boleh mengonfigurasi CORS untuk mengizinkan semua sumber daya untuk mengakses aplikasi Anda | Berbagi Sumber Daya Lintas Asal (CORS) tidak boleh mengizinkan semua domain mengakses aplikasi Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Anda. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
Pemisahan Tugas
ID: CCCS AC-5
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Maksimum 3 pemilik harus ditunjuk untuk langganan Anda | Direkomendasikan untuk menetapkan hingga 3 pemilik langganan untuk mengurangi potensi pelanggaran oleh pemilik yang disusupi. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penugasan Konfigurasi Tamu dan harus ditambahkan ke mesin sebelum menggunakan definisi kebijakan Konfigurasi Tamu apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penugasan Konfigurasi Tamu dan harus ditambahkan ke mesin sebelum menggunakan definisi kebijakan Konfigurasi Tamu apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Mengaudit komputer Windows yang tidak memiliki salah satu anggota yang ditentukan dalam grup Administrator | Mengharuskan prasyarat diterapkan pada lingkup penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika grup administrator lokal tidak berisi satu atau lebih anggota yang tercantum dalam parameter kebijakan. | auditJikaTidakAda | 2.0.0 |
| Mengaudit komputer Windows yang memiliki anggota yang ditentukan dalam grup Admin | Mengharuskan prasyarat diterapkan pada lingkup penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika grup Administrator lokal berisi satu atau lebih anggota yang tercantum dalam parameter kebijakan. | auditJikaTidakAda | 2.0.0 |
| Sebarkan ekstensi Konfigurasi Tamu Windows untuk mengaktifkan penugasan Konfigurasi Tamu pada VM Windows | Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Windows ke komputer virtual Windows yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Windows adalah prasyarat untuk semua penugasan Konfigurasi Tamu Windows dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Windows. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | terapkanJikaTidakAda | 1.3.0 |
| Harus ada lebih dari satu pemilik untuk langganan Anda | Sebaiknya tetapkan lebih dari satu pemilik langganan agar memiliki redundansi akses administrator. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Prinsip Hak Istimewa Minimum
ID: CCCS AC-6
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Maksimum 3 pemilik harus ditunjuk untuk langganan Anda | Direkomendasikan untuk menetapkan hingga 3 pemilik langganan untuk mengurangi potensi pelanggaran oleh pemilik yang disusupi. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penugasan Konfigurasi Tamu dan harus ditambahkan ke mesin sebelum menggunakan definisi kebijakan Konfigurasi Tamu apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penugasan Konfigurasi Tamu dan harus ditambahkan ke mesin sebelum menggunakan definisi kebijakan Konfigurasi Tamu apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Mengaudit komputer Windows yang tidak memiliki salah satu anggota yang ditentukan dalam grup Administrator | Mengharuskan prasyarat diterapkan pada lingkup penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika grup administrator lokal tidak berisi satu atau lebih anggota yang tercantum dalam parameter kebijakan. | auditJikaTidakAda | 2.0.0 |
| Mengaudit komputer Windows yang memiliki anggota yang ditentukan dalam grup Admin | Mengharuskan prasyarat diterapkan pada lingkup penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika grup Administrator lokal berisi satu atau lebih anggota yang tercantum dalam parameter kebijakan. | auditJikaTidakAda | 2.0.0 |
| Sebarkan ekstensi Konfigurasi Tamu Windows untuk mengaktifkan penugasan Konfigurasi Tamu pada VM Windows | Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Windows ke komputer virtual Windows yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Windows adalah prasyarat untuk semua penugasan Konfigurasi Tamu Windows dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Windows. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | terapkanJikaTidakAda | 1.3.0 |
| Harus ada lebih dari satu pemilik untuk langganan Anda | Sebaiknya tetapkan lebih dari satu pemilik langganan agar memiliki redundansi akses administrator. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Akses Jarak Jauh | Pemantauan / Kontrol Otomatis
ID: CCCS AC-17(1)
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penugasan Konfigurasi Tamu dan harus ditambahkan ke mesin sebelum menggunakan definisi kebijakan Konfigurasi Tamu apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penugasan Konfigurasi Tamu dan harus ditambahkan ke mesin sebelum menggunakan definisi kebijakan Konfigurasi Tamu apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Aplikasi App Service harus mematikan debugging jarak jauh | Pelacakan kesalahan jarak jauh memerlukan port masuk dibuka pada aplikasi App Service. Penelusuran kesalahan jarak jauh harus dinonaktifkan. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Mengaudit komputer Linux yang memungkinkan koneksi jarak jauh dari akun tanpa sandi | Mengharuskan prasyarat diterapkan pada lingkup penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer dianggap tidak sesuai jika komputer Linux mengizinkan koneksi jarak jauh dari akun tanpa kata sandi. | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
| Sebarkan ekstensi Konfigurasi Tamu Linux untuk mengaktifkan penugasan Konfigurasi Tamu di VM Linux | Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Linux ke komputer virtual Linux yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Linux adalah prasyarat untuk semua penugasan Konfigurasi Tamu Linux dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Linux. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | terapkanJikaTidakAda | 3.2.0 |
| Aplikasi Fungsi harus menonaktifkan penelusuran kesalahan jarak jauh | Debugging jarak jauh mengharuskan port masuk dibuka pada Aplikasi Fungsi. Penelusuran kesalahan jarak jauh harus dinonaktifkan. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Akun penyimpanan harus membatasi akses jaringan | Akses jaringan ke akun penyimpanan harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk mengizinkan koneksi dari internet tertentu atau klien lokal, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke rentang alamat IP internet publik | Audit, Tolak, Dinonaktifkan | 1.1.1 |
Audit dan Akuntabilitas
Respons terhadap Kegagalan Pemrosesan Audit
ID: CCCS AU-5
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Pengaturan diagnostik audit untuk jenis sumber daya yang dipilih | Audit pengaturan diagnostik untuk jenis sumber daya yang dipilih. Pastikan untuk memilih hanya jenis sumber daya yang mendukung pengaturan diagnostik. | AuditJikaTidakAda | 2.0.1 |
| Audit di server SQL harus diaktifkan | Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak dilindungi | Mengaudit server SQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi | Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
Pembuatan Audit
ID: CCCS AU-12
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Pengaturan diagnostik audit untuk jenis sumber daya yang dipilih | Audit pengaturan diagnostik untuk jenis sumber daya yang dipilih. Pastikan untuk memilih hanya jenis sumber daya yang mendukung pengaturan diagnostik. | AuditJikaTidakAda | 2.0.1 |
| Audit di server SQL harus diaktifkan | Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak dilindungi | Mengaudit server SQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi | Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
Perencanaan Kontingensi
Situs Pemrosesan Alternatif
ID: CCCS CP-7
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Komputer virtual audit tanpa konfigurasi pemulihan bencana | Mengaudit komputer virtual yang tidak memiliki konfigurasi pemulihan bencana. Untuk mempelajari pemulihan bencana lebih lanjut, kunjungi https://aka.ms/asr-doc. | auditJikaTidakAda | 1.0.0 |
Identifikasi dan Autentikasi
Pengelolaan Otentikasi
ID: CCCS IA-5
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penugasan Konfigurasi Tamu dan harus ditambahkan ke mesin sebelum menggunakan definisi kebijakan Konfigurasi Tamu apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penugasan Konfigurasi Tamu dan harus ditambahkan ke mesin sebelum menggunakan definisi kebijakan Konfigurasi Tamu apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Audit mesin Linux yang tidak memiliki izin file passwd diatur ke 0644 | Mengharuskan prasyarat diterapkan pada lingkup penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin dinyatakan tidak sesuai jika mesin Linux tidak memiliki izin akses file passwd yang diatur ke 0644. | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
| Mengaudit komputer Linux yang memiliki akun tanpa kata sandi | Mengharuskan prasyarat diterapkan pada lingkup penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Perangkat tidak sesuai jika perangkat Linux memiliki akun tanpa kata sandi | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
| Sebarkan ekstensi Konfigurasi Tamu Linux untuk mengaktifkan penugasan Konfigurasi Tamu di VM Linux | Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Linux ke komputer virtual Linux yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Linux adalah prasyarat untuk semua penugasan Konfigurasi Tamu Linux dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Linux. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | terapkanJikaTidakAda | 3.2.0 |
Manajemen Authenticator | Pengautentikasi Berbasis Kata Sandi
ID: CCCS IA-5(1)
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penugasan Konfigurasi Tamu dan harus ditambahkan ke mesin sebelum menggunakan definisi kebijakan Konfigurasi Tamu apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penugasan Konfigurasi Tamu dan harus ditambahkan ke mesin sebelum menggunakan definisi kebijakan Konfigurasi Tamu apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Mengaudit komputer Windows yang memungkinkan penggunaan kembali kata sandi setelah jumlah kata sandi unik yang ditentukan | Mengharuskan prasyarat diterapkan pada lingkup penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer Windows dianggap tidak sesuai jika memungkinkan penggunaan kembali kata sandi setelah jumlah kata sandi unik yang ditentukan. Nilai default untuk kata sandi unik adalah 24 | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
| Mengaudit komputer Windows yang tidak memiliki usia kata sandi maksimum yang diatur ke jumlah hari yang ditentukan | Mengharuskan prasyarat diterapkan pada lingkup penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin dianggap tidak sesuai jika mesin Windows tidak memiliki usia maksimum kata sandi yang diatur ke jumlah hari yang ditentukan. Nilai default untuk usia kata sandi maksimum adalah 70 hari | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
| Mengaudit komputer Windows yang tidak memiliki usia kata sandi minimum yang diatur ke jumlah hari yang ditentukan | Mengharuskan prasyarat diterapkan pada lingkup penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika mesin Windows tidak memiliki usia minimum kata sandi yang diatur ke sejumlah hari yang ditentukan. Nilai default untuk usia kata sandi minimum adalah 1 hari | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
| Audit mesin Windows yang tidak memiliki pengaturan kompleksitas kata sandi yang diaktifkan | Mengharuskan prasyarat diterapkan pada lingkup penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows tidak memiliki setelan kompleksitas kata sandi yang diaktifkan | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Mengaudit komputer Windows yang tidak membatasi panjang kata sandi minimum untuk jumlah karakter yang ditentukan | Mengharuskan prasyarat diterapkan pada lingkup penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak mematuhi ketentuan jika mesin Windows tidak membatasi panjang minimum kata sandi menjadi jumlah karakter yang ditentukan. Nilai default untuk panjang kata sandi minimum adalah 14 karakter | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
| Sebarkan ekstensi Konfigurasi Tamu Windows untuk mengaktifkan penugasan Konfigurasi Tamu pada VM Windows | Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Windows ke komputer virtual Windows yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Windows adalah prasyarat untuk semua penugasan Konfigurasi Tamu Windows dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Windows. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | terapkanJikaTidakAda | 1.3.0 |
Penilaian Risiko
Pemindaian Kerentanan
ID: CCCS RA-5
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Solusi penilaian kerentanan harus diaktifkan pada komputer virtual Anda | Mengaudit komputer virtual untuk mendeteksi apakah mereka menjalankan solusi penilaian kerentanan yang didukung. Komponen inti dari setiap risiko cyber dan program keamanan adalah identifikasi dan analisis kerentanan. Tingkat harga standar Azure Security Center mencakup pemindaian kerentanan untuk komputer virtual Anda tanpa biaya tambahan. Selain itu, Pusat Keamanan dapat secara otomatis menyebarkan alat ini untuk Anda. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak dilindungi | Mengaudit server SQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi | Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Database SQL harus memiliki temuan kerentanan yang diselesaikan | Pantau hasil pemindaian penilaian kerentanan dan rekomendasi tentang cara memulihkan kerentanan basis data. | AuditIfNotExists, Dinonaktifkan | 4.1.0 |
Perlindungan Sistem dan Komunikasi
Penolakan Perlindungan Layanan
ID: CCCS SC-5
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure DDoS Protection harus diaktifkan | Perlindungan DDoS harus diaktifkan untuk semua jaringan virtual dengan subnet yang merupakan bagian dari gateway aplikasi dengan IP publik. | AuditIfNotExists, Dinonaktifkan | 3.0.1 |
Perlindungan Batas
ID: CCCS SC-7
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Semua port jaringan harus dibatasi pada grup keamanan jaringan yang terkait dengan komputer virtual Anda | Azure Security Center telah mengidentifikasi beberapa aturan masuk grup keamanan jaringan Anda terlalu permisif. Aturan masuk tidak boleh mengizinkan akses dari alamat 'Siapa pun' atau 'Internet'. Ini berpotensi memungkinkan penyerang untuk menargetkan sumber daya Anda. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Akun penyimpanan harus membatasi akses jaringan | Akses jaringan ke akun penyimpanan harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk mengizinkan koneksi dari internet tertentu atau klien lokal, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke rentang alamat IP internet publik | Audit, Tolak, Dinonaktifkan | 1.1.1 |
Perlindungan Batasan | Titik Akses
ID: CCCS SC-7(3)
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Port manajemen mesin virtual harus dilindungi dengan kontrol akses jaringan yang tepat waktu | Kemungkinan akses jaringan Just In Time (JIT) akan dipantau oleh Azure Security Center dalam bentuk rekomendasi. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Perlindungan Batasan | Layanan Telekomunikasi Eksternal
ID: CCCS SC-7(4)
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Port manajemen mesin virtual harus dilindungi dengan kontrol akses jaringan yang tepat waktu | Kemungkinan akses jaringan Just In Time (JIT) akan dipantau oleh Azure Security Center dalam bentuk rekomendasi. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Kerahasiaan dan Integritas Transmisi | Kriptografis atau Perlindungan Fisik Alternatif
ID: CCCS SC-8(1)
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Aplikasi App Service hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Audit, Dinonaktifkan, Tolak | 4.0.0 |
| Aplikasi fungsi seharusnya hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Audit, Dinonaktifkan, Tolak | 5.0.0 |
| Hanya koneksi aman ke Azure Cache for Redis Anda yang harus diaktifkan | Audit memungkinkan hanya koneksi melalui SSL ke Azure Cache for Redis. Penggunaan koneksi aman memastikan autentikasi antara server dan layanan serta melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Transfer aman ke akun penyimpanan harus diaktifkan | Persyaratan audit untuk Transfer Aman di akun penyimpanan Anda. Transfer aman adalah opsi yang memaksa akun penyimpanan Anda untuk menerima permintaan hanya dari koneksi aman (HTTPS). Penggunaan HTTPS memastikan autentikasi antara server dan layanan dan melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Komputer Windows harus dikonfigurasi untuk menggunakan protokol komunikasi yang aman | Untuk melindungi privasi informasi yang dikomunikasikan melalui Internet, komputer Anda harus menggunakan versi terbaru protokol kriptografi standar industri, Keamanan Lapisan Transportasi (TLS). TLS mengamankan komunikasi melalui jaringan dengan mengenkripsi koneksi antar mesin. | AuditIfNotExists, Dinonaktifkan | 4.1.1 |
Perlindungan Informasi Saat Istirahat
ID: CCCS SC-28
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak dilindungi | Mengaudit server SQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi | Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Enkripsi Data Transparan pada database SQL harus diaktifkan | Enkripsi data transparan harus diaktifkan untuk melindungi data diam dan memenuhi persyaratan kepatuhan. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
Integritas Sistem dan Informasi
Remediasi Kerusakan
ID: CCCS SI-2
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Database SQL harus memiliki temuan kerentanan yang diselesaikan | Pantau hasil pemindaian penilaian kerentanan dan rekomendasi tentang cara memulihkan kerentanan basis data. | AuditIfNotExists, Dinonaktifkan | 4.1.0 |
Pemantauan Sistem Informasi
ID: CCCS SI-4
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak dilindungi | Mengaudit server SQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi | Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
Langkah berikutnya
Artikel tambahan tentang Azure Policy:
- Ikhtisar Kepatuhan terhadap Peraturan.
- Lihat struktur definisi inisiatif.
- Tinjau contoh lain di Contoh Azure Policy.
- Tinjau Memahami efek kebijakan.
- Pelajari cara memulihkan sumber daya yang tidak sesuai syarat.