Bagikan melalui


Detail inisiatif bawaan Kepatuhan Peraturan FedRAMP High (Azure Government)

Artikel berikut berisi detail bagaimana definisi inisiatif bawaan Kepatuhan Peraturan Azure Policy dipetakan ke domain kepatuhan dan kontrol di FedRAMP High (Azure Government). Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat FedRAMP Tinggi. Untuk memahami Kepemilikan, tinjau jenis kebijakan dan Tanggung jawab bersama di cloud.

Pemetaan berikut adalah untuk kontrol FedRAMP High. Banyak kontrol diimplementasikan dengan definisi inisiatif Azure Policy. Untuk meninjau definisi inisiatif lengkap, buka Kebijakan di portal Microsoft Azure dan pilih halaman Definisi. Kemudian, cari dan pilih definisi inisiatif bawaan Kepatuhan terhadap Peraturan FedRAMP High.

Penting

Setiap kontrol di bawah ini dikaitkan dengan satu atau beberapa definisi Azure Policy. Kebijakan ini mungkin membantu Anda menilai kepatuhan terhadap kontrol; namun, sering kali tidak ada kecocokan satu-ke-satu atau lengkap antara kontrol dan satu atau beberapa kebijakan. Dengan demikian, Kepatuhan di Azure Policy hanya mengacu pada definisi kebijakan itu sendiri; hal tersebut tidak memastikan Anda sepenuhnya mematuhi semua persyaratan kontrol. Selain itu, standar kepatuhan melibatkan kontrol yang tidak dicakup dalam definisi yang ada di Azure Policy saat ini. Oleh karena itu, kepatuhan dalam Azure Policy hanyalah pandangan parsial dari status kepatuhan Anda secara keseluruhan. Hubungan antara domain kepatuhan, kontrol, dan definisi Azure Policy untuk standar kepatuhan ini dapat berubah seiring waktu. Untuk melihat riwayat perubahan, lihat Riwayat Komit GitHub.

Access Control

Manajemen Akun

ID: FedRAMP High AC-2 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Maksimum 3 pemilik harus ditunjuk untuk langganan Anda Direkomendasikan untuk menetapkan hingga 3 pemilik langganan untuk mengurangi potensi pelanggaran oleh pemilik yang disusupi. AuditIfNotExists, Dinonaktifkan 3.0.0
Administrator Azure Active Directory harus disediakan untuk server SQL Penyediaan audit administrator Microsoft Azure Active Directory untuk server SQL Anda agar mengaktifkan autentikasi Microsoft Azure Active Directory. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya AuditIfNotExists, Dinonaktifkan 1.0.0
Aplikasi App Service harus menggunakan identitas terkelola Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 3.0.0
Mengaudit penggunaan peran RBAC kustom Audit peran bawaan seperti 'Pemilik, Kontributor, Pembaca', sebagai pengganti peran RBAC kustom, yang rawan kesalahan. Penggunaan peran kustom diperlakukan sebagai pengecualian dan memerlukan peninjauan yang ketat serta pemodelan ancaman Audit, Dinonaktifkan 1.0.1
Sumber daya Azure AI Services harus menonaktifkan akses kunci (menonaktifkan autentikasi lokal) Akses kunci (autentikasi lokal) disarankan untuk dinonaktifkan untuk keamanan. Azure OpenAI Studio, biasanya digunakan dalam pengembangan/pengujian, memerlukan akses kunci dan tidak akan berfungsi jika akses kunci dinonaktifkan. Setelah menonaktifkan, MICROSOFT Entra ID menjadi satu-satunya metode akses, yang memungkinkan mempertahankan prinsip hak istimewa minimum dan kontrol terperinci. Pelajari lebih lanjut di: https://aka.ms/AI/auth Audit, Tolak, Dinonaktifkan 1.1.0
Akun yang diblokir dengan izin pemilik pada sumber daya Azure harus dihapus Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk. AuditIfNotExists, Dinonaktifkan 1.0.0
Akun yang diblokir dengan izin baca dan tulis pada sumber daya Azure harus dihapus Akun yang tidak digunakan lagi harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk. AuditIfNotExists, Dinonaktifkan 1.0.0
Aplikasi Fungsi harus menggunakan identitas terkelola Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 3.0.0
Akun tamu dengan izin pemilik pada sumber daya Azure harus dihapus Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. AuditIfNotExists, Dinonaktifkan 1.0.0
Akun tamu dengan izin baca pada sumber daya Azure harus dihapus Akun eksternal dengan hak baca istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. AuditIfNotExists, Dinonaktifkan 1.0.0
Akun tamu dengan izin tulis pada sumber daya Azure harus dihapus Akun eksternal dengan hak tulis istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. AuditIfNotExists, Dinonaktifkan 1.0.0
Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien Audit penggunaan autentikasi klien hanya melalui Azure Active Directory di Service Fabric Audit, Tolak, Dinonaktifkan 1.1.0

Manajemen Akun Sistem Otomatis

ID: FedRAMP High AC-2 (1) Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Administrator Azure Active Directory harus disediakan untuk server SQL Penyediaan audit administrator Microsoft Azure Active Directory untuk server SQL Anda agar mengaktifkan autentikasi Microsoft Azure Active Directory. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya AuditIfNotExists, Dinonaktifkan 1.0.0
Sumber daya Azure AI Services harus menonaktifkan akses kunci (menonaktifkan autentikasi lokal) Akses kunci (autentikasi lokal) disarankan untuk dinonaktifkan untuk keamanan. Azure OpenAI Studio, biasanya digunakan dalam pengembangan/pengujian, memerlukan akses kunci dan tidak akan berfungsi jika akses kunci dinonaktifkan. Setelah menonaktifkan, MICROSOFT Entra ID menjadi satu-satunya metode akses, yang memungkinkan mempertahankan prinsip hak istimewa minimum dan kontrol terperinci. Pelajari lebih lanjut di: https://aka.ms/AI/auth Audit, Tolak, Dinonaktifkan 1.1.0
Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien Audit penggunaan autentikasi klien hanya melalui Azure Active Directory di Service Fabric Audit, Tolak, Dinonaktifkan 1.1.0

Skema Berbasis Peran

ID: FedRAMP High AC-2 (7) Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Administrator Azure Active Directory harus disediakan untuk server SQL Penyediaan audit administrator Microsoft Azure Active Directory untuk server SQL Anda agar mengaktifkan autentikasi Microsoft Azure Active Directory. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya AuditIfNotExists, Dinonaktifkan 1.0.0
Mengaudit penggunaan peran RBAC kustom Audit peran bawaan seperti 'Pemilik, Kontributor, Pembaca', sebagai pengganti peran RBAC kustom, yang rawan kesalahan. Penggunaan peran kustom diperlakukan sebagai pengecualian dan memerlukan peninjauan yang ketat serta pemodelan ancaman Audit, Dinonaktifkan 1.0.1
Sumber daya Azure AI Services harus menonaktifkan akses kunci (menonaktifkan autentikasi lokal) Akses kunci (autentikasi lokal) disarankan untuk dinonaktifkan untuk keamanan. Azure OpenAI Studio, biasanya digunakan dalam pengembangan/pengujian, memerlukan akses kunci dan tidak akan berfungsi jika akses kunci dinonaktifkan. Setelah menonaktifkan, MICROSOFT Entra ID menjadi satu-satunya metode akses, yang memungkinkan mempertahankan prinsip hak istimewa minimum dan kontrol terperinci. Pelajari lebih lanjut di: https://aka.ms/AI/auth Audit, Tolak, Dinonaktifkan 1.1.0
Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien Audit penggunaan autentikasi klien hanya melalui Azure Active Directory di Service Fabric Audit, Tolak, Dinonaktifkan 1.1.0

Pemantauan Akun/Penggunaan Atipikal

ID: FedRAMP High AC-2 (12) Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Kluster Kubernetes yang mengaktifkan Azure Arc harus memiliki ekstensi Microsoft Defender untuk Cloud yang diinstal Ekstensi Microsoft Defender untuk Cloud untuk Azure Arc memberikan perlindungan ancaman untuk kluster Kubernetes Anda yang mendukung Arc. Ekstensi ini mengumpulkan data dari simpul dalam kluster dan mengirimkannya ke backend Azure Defender untuk Kube di cloud untuk dianalisis lebih lanjut. Pelajari lebih lanjut di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Dinonaktifkan 4.0.1-pratinjau
Azure Defender untuk server Azure SQL Database harus diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk Resource Manager harus diaktifkan Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Defender untuk server harus diaktifkan Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. AuditIfNotExists, Dinonaktifkan 1.0.2
Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time Kemungkinan akses Just In Time (JIT) jaringan akan dipantau oleh Azure Security Center sebagai rekomendasi AuditIfNotExists, Dinonaktifkan 3.0.0
Pertahanan Microsoft untuk Kontainer harus diaktifkan Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
Pertahanan Microsoft untuk Penyimpanan (Klasik) harus diaktifkan Pertahanan Microsoft untuk Penyimpanan (Klasik) menyediakan deteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. AuditIfNotExists, Dinonaktifkan 1.0.4

Penegakan Akses

ID: FedRAMP High AC-3 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Akun dengan izin pemilik pada sumber daya Azure harus didukung oleh MFA Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan izin pemilik untuk mencegah pelanggaran akun atau sumber daya. AuditIfNotExists, Dinonaktifkan 1.0.0
Akun dengan izin baca pada sumber daya Azure harus didukung oleh MFA Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak baca istimewa untuk mencegah pelanggaran akun atau sumber daya. AuditIfNotExists, Dinonaktifkan 1.0.0
Akun dengan izin tulis pada sumber daya Azure harus didukung oleh MFA Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak tulis istimewa untuk mencegah pelanggaran akun atau sumber daya. AuditIfNotExists, Dinonaktifkan 1.0.0
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. ubah 1.3.0
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. ubah 1.3.0
Administrator Azure Active Directory harus disediakan untuk server SQL Penyediaan audit administrator Microsoft Azure Active Directory untuk server SQL Anda agar mengaktifkan autentikasi Microsoft Azure Active Directory. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya AuditIfNotExists, Dinonaktifkan 1.0.0
Aplikasi App Service harus menggunakan identitas terkelola Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 3.0.0
Mengaudit komputer Linux yang memiliki akun tanpa kata sandi Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Linux memiliki akun tanpa kata sandi AuditIfNotExists, Dinonaktifkan 1.4.0
Sumber daya Azure AI Services harus menonaktifkan akses kunci (menonaktifkan autentikasi lokal) Akses kunci (autentikasi lokal) disarankan untuk dinonaktifkan untuk keamanan. Azure OpenAI Studio, biasanya digunakan dalam pengembangan/pengujian, memerlukan akses kunci dan tidak akan berfungsi jika akses kunci dinonaktifkan. Setelah menonaktifkan, MICROSOFT Entra ID menjadi satu-satunya metode akses, yang memungkinkan mempertahankan prinsip hak istimewa minimum dan kontrol terperinci. Pelajari lebih lanjut di: https://aka.ms/AI/auth Audit, Tolak, Dinonaktifkan 1.1.0
Sebarkan ekstensi Konfigurasi Tamu Linux untuk mengaktifkan penugasan Konfigurasi Tamu di VM Linux Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Linux ke komputer virtual Linux yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Linux adalah prasyarat untuk semua penugasan Konfigurasi Tamu Linux dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Linux. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. deployIfNotExists 1.4.0
Aplikasi Fungsi harus menggunakan identitas terkelola Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 3.0.0
Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien Audit penggunaan autentikasi klien hanya melalui Azure Active Directory di Service Fabric Audit, Tolak, Dinonaktifkan 1.1.0
Akun penyimpanan harus dimigrasikan ke sumber daya Azure Resource Manager baru Gunakan Azure Resource Manager baru untuk akun penyimpanan Anda guna memberikan peningkatan keamanan seperti: kontrol akses yang lebih kuat (RBAC), audit yang lebih baik, penyebaran dan tata kelola berbasis Azure Resource Manager, akses ke identitas terkelola, akses ke brankas kunci untuk rahasia, berbasis Azure Active Directory autentikasi dan dukungan untuk tag dan grup sumber daya untuk manajemen keamanan yang lebih mudah Audit, Tolak, Dinonaktifkan 1.0.0
Komputer virtual harus dimigrasikan ke sumber daya Azure Resource Manager baru Gunakan Azure Resource Manager baru untuk komputer virtual Anda untuk memberikan peningkatan keamanan seperti: kontrol akses yang lebih kuat (RBAC), audit yang lebih baik, penerapan dan tata kelola berbasis Azure Resource Manager, akses ke identitas terkelola, akses ke brankas kunci untuk rahasia, berbasis Azure Active Directory autentikasi dan dukungan untuk tag dan grup sumber daya untuk manajemen keamanan yang lebih mudah Audit, Tolak, Dinonaktifkan 1.0.0

Penegakan Arus Informasi

ID: FedRAMP High AC-4 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Tidak digunakan lagi]: Azure Cognitive layanan Pencarian s harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Cognitive Search, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Dinonaktifkan 1.0.1-tidak digunakan lagi
[Tidak digunakan lagi]: Cognitive Services harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Cognitive Services, Anda akan mengurangi potensi kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Dinonaktifkan 3.0.1-tidak digunakan lagi
Semua port jaringan harus dibatasi pada grup keamanan jaringan yang terkait dengan komputer virtual Anda Azure Security Center telah mengidentifikasi beberapa aturan masuk grup keamanan jaringan Anda terlalu permisif. Aturan masuk tidak boleh mengizinkan akses dari rentang 'Apa pun' atau 'Internet'. Ini berpotensi memungkinkan penyerang untuk menargetkan sumber daya Anda. AuditIfNotExists, Dinonaktifkan 3.0.0
Layanan API Management harus menggunakan jaringan virtual Penyebaran Azure Virtual Network memberikan keamanan yang ditingkatkan, isolasi dan memungkinkan Anda untuk menempatkan layanan API Management Anda di jaringan non-internet routable yang Anda kontrol aksesnya. Jaringan ini kemudian dapat dihubungkan ke jaringan lokal Anda menggunakan berbagai teknologi VPN, yang memungkinkan akses ke layanan backend Anda dalam jaringan dan/atau lokal. Portal pengembang dan gateway API, dapat dikonfigurasi agar dapat diakses baik dari Internet atau hanya dalam jaringan virtual. Audit, Tolak, Dinonaktifkan 1.0.2
Azure App Configuration harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke instans konfigurasi aplikasi Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Dinonaktifkan 1.0.2
Aplikasi App Service tidak boleh memiliki CORS yang dikonfigurasikan ke mengizinkan semua sumber daya untuk mengakses aplikasi Anda Berbagi Sumber Daya Lintas Asal (CORS) tidak boleh mengizinkan semua domain mengakses aplikasi Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Anda. AuditIfNotExists, Dinonaktifkan 2.0.0
Rentang IP resmi harus ditentukan di Layanan Kube Batasi akses ke API Manajemen Layanan Kube dengan memberikan akses API hanya ke alamat IP dalam rentang tertentu. Disarankan untuk membatasi akses ke rentang IP resmi untuk memastikan bahwa hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses kluster. Audit, Dinonaktifkan 2.0.0
Sumber daya Azure AI Services harus membatasi akses jaringan Dengan membatasi akses jaringan, Anda dapat memastikan bahwa hanya jaringan yang diizinkan yang dapat mengakses layanan. Ini dapat dicapai dengan mengonfigurasi aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses layanan Azure AI. Audit, Tolak, Dinonaktifkan 3.2.0
Azure Cache for Redis harus menggunakan tautan privat Titik akhir privat memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke instans Azure Cache for Redis Anda, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Dinonaktifkan 1.0.0
Layanan Azure Cognitive Search harus menggunakan SKU yang mendukung tautan privat Dengan SKU Azure Cognitive Search yang didukung, Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke layanan Pencarian Anda, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Tolak, Dinonaktifkan 1.0.0
Layanan Azure Cognitive Search harus menonaktifkan akses jaringan publik Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa layanan Azure Cognitive Search Anda tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan layanan Pencarian Anda. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Tolak, Dinonaktifkan 1.0.0
Akun Azure Cosmos DB harus memiliki aturan firewall Aturan firewall harus ditentukan di akun Azure Cosmos DB Anda untuk mencegah lalu lintas dari sumber yang tidak sah. Akun yang memiliki setidaknya satu aturan IP yang ditentukan dengan filter jaringan virtual diaktifkan dianggap sesuai. Akun yang menonaktifkan akses publik juga dianggap patuh. Audit, Tolak, Dinonaktifkan 2.1.0
Azure Data Factory harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Data Factory, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Dinonaktifkan 1.0.0
Domain Azure Event Grid harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke domain Azure Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. Audit, Dinonaktifkan 1.0.2
Topik Azure Event Grid harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke topik Azure Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. Audit, Dinonaktifkan 1.0.2
Azure File Sync harus menggunakan tautan privat Membuat titik akhir pribadi untuk sumber daya Layanan Sinkronisasi Penyimpanan yang ditunjukkan memungkinkan Anda untuk menangani sumber daya Layanan Sinkronisasi Penyimpanan dari dalam ruang alamat IP pribadi jaringan organisasi Anda, bukan melalui titik akhir publik yang dapat diakses internet. Membuat titik akhir pribadi dengan sendirinya tidak menonaktifkan titik akhir publik. AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Key Vault harus mengaktifkan firewall Aktifkan firewall brankas kunci agar brankas kunci tidak dapat diakses secara default ke IP publik mana pun. Secara opsional, Anda dapat mengonfigurasi rentang IP tertentu untuk membatasi akses ke jaringan tersebut. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Tolak, Dinonaktifkan 1.4.1
Ruang kerja Azure Machine Learning harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke ruang kerja Azure Machine Learning, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Dinonaktifkan 1.0.0
Namespace layanan Azure Service Bus harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke namespace layanan Azure Service Bus, risiko kebocoran data akan berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Dinonaktifkan 1.0.0
Layanan Azure SignalR harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke sumber daya Layanan Azure SignalR alih-alih seluruh layanan, Anda akan mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/asrs/privatelink. Audit, Dinonaktifkan 1.0.0
Ruang kerja Azure Synapse harus menggunakan private link Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir pribadi ke ruang kerja Azure Synapse, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Dinonaktifkan 1.0.1
Registri kontainer tidak boleh mengizinkan akses jaringan yang tidak terbatas Azure container registry secara default menerima koneksi melalui internet dari host di jaringan apa pun. Untuk melindungi registri Anda dari potensi ancaman, izinkan akses hanya dari titik akhir privat tertentu, alamat IP publik atau rentang alamat tertentu. Jika registri Anda tidak memiliki aturan jaringan yang dikonfigurasi, registri akan muncul di sumber daya yang tidak sehat. Pelajari selengkapnya tentang aturan jaringan Container Registry di sini: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network dan https://aka.ms/acr/vnet. Audit, Tolak, Dinonaktifkan 2.0.0
Registri kontainer harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform private link menangani konektivitas antara konsumen dan layanan melalui jaringan Azure backbone.Dengan memetakan titik akhir pribadi ke container registry Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/acr/private-link. Audit, Dinonaktifkan 1.0.1
Akun CosmosDB harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir privat ke akun CosmosDB Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Dinonaktifkan 1.0.0
Sumber daya akses disk harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke diskAccesses, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Dinonaktifkan 1.0.0
Namespace layanan Pusat Aktivitas harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke namespace layanan Pusat Aktivitas, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Dinonaktifkan 1.0.0
Komputer virtual yang terhubung ke internet harus dilindungi dengan grup keamanan jaringan Lindungi komputer virtual Anda dari potensi ancaman dengan membatasi akses ke komputer virtual tersebut dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc AuditIfNotExists, Dinonaktifkan 3.0.0
Instans layanan provisi perangkat Azure IoT Hub harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke layanan provisi perangkat Azure IoT Hub, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/iotdpsvnet. Audit, Dinonaktifkan 1.0.0
Penerusan IP pada komputer virtual Anda harus dinonaktifkan Mengaktifkan penerusan IP pada NIC komputer virtual memungkinkan komputer menerima lalu lintas yang ditujukan ke tujuan lain. Penerusan IP jarang diperlukan (misalnya, saat menggunakan VM sebagai appliance virtual jaringan), dan oleh karena itu, hal ini harus ditinjau oleh tim keamanan jaringan. AuditIfNotExists, Dinonaktifkan 3.0.0
Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time Kemungkinan akses Just In Time (JIT) jaringan akan dipantau oleh Azure Security Center sebagai rekomendasi AuditIfNotExists, Dinonaktifkan 3.0.0
Port manajemen harus ditutup pada komputer virtual Anda Port manajemen jarak jauh yang terbuka mengekspos VM Anda ke risiko tinggi dari serangan berbasis internet. Serangan ini mencoba untuk memaksa info masuk guna mendapatkan akses admin ke komputer. AuditIfNotExists, Dinonaktifkan 3.0.0
Komputer virtual yang tidak terhubung ke internet harus dilindungi dengan grup keamanan jaringan Lindungi komputer virtual non-internet Anda dari potensi ancaman dengan membatasi akses dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc AuditIfNotExists, Dinonaktifkan 3.0.0
Koneksi titik akhir pribadi di Azure SQL Database harus diaktifkan Koneksi titik akhir privat menerapkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure SQL Database. Audit, Dinonaktifkan 1.1.0
Akses jaringan publik di Azure SQL Database harus dinonaktifkan Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan Azure SQL Database Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Audit, Tolak, Dinonaktifkan 1.1.0
Akun penyimpanan harus membatasi akses jaringan Akses jaringan ke akun penyimpanan harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk mengizinkan koneksi dari internet tertentu atau klien lokal, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke rentang alamat IP internet publik Audit, Tolak, Dinonaktifkan 1.1.1
Akun penyimpanan harus membatasi akses jaringan menggunakan aturan jaringan virtual Lindungi akun penyimpanan Anda dari potensi ancaman menggunakan aturan jaringan virtual sebagai metode pilihan alih-alih pemfilteran berbasis IP. Menonaktifkan pemfilteran berbasis IP mencegah IP publik mengakses akun penyimpanan Anda. Audit, Tolak, Dinonaktifkan 1.0.1
Akun penyimpanan harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke akun penyimpanan Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan pribadi di - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Dinonaktifkan 2.0.0
Subnet harus dikaitkan dengan Grup Keamanan Jaringan Lindungi subnet Anda dari potensi ancaman dengan membatasi aksesnya dengan Network Security Group (NSG). NSG berisi daftar aturan Access Control List (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke subnet Anda. AuditIfNotExists, Dinonaktifkan 3.0.0

Pemisahan Tugas

ID: FedRAMP High AC-5 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Harus ada lebih dari satu pemilik yang ditetapkan ke langganan Anda Sebaiknya tetapkan lebih dari satu pemilik langganan agar memiliki redundansi akses administrator. AuditIfNotExists, Dinonaktifkan 3.0.0

Hak Istimewa Terendah

ID: FedRAMP High AC-6 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Maksimum 3 pemilik harus ditunjuk untuk langganan Anda Direkomendasikan untuk menetapkan hingga 3 pemilik langganan untuk mengurangi potensi pelanggaran oleh pemilik yang disusupi. AuditIfNotExists, Dinonaktifkan 3.0.0
Mengaudit penggunaan peran RBAC kustom Audit peran bawaan seperti 'Pemilik, Kontributor, Pembaca', sebagai pengganti peran RBAC kustom, yang rawan kesalahan. Penggunaan peran kustom diperlakukan sebagai pengecualian dan memerlukan peninjauan yang ketat serta pemodelan ancaman Audit, Dinonaktifkan 1.0.1

Tinjauan Hak Istimewa Pengguna

ID: FedRAMP High AC-6 (7) Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Maksimum 3 pemilik harus ditunjuk untuk langganan Anda Direkomendasikan untuk menetapkan hingga 3 pemilik langganan untuk mengurangi potensi pelanggaran oleh pemilik yang disusupi. AuditIfNotExists, Dinonaktifkan 3.0.0
Mengaudit penggunaan peran RBAC kustom Audit peran bawaan seperti 'Pemilik, Kontributor, Pembaca', sebagai pengganti peran RBAC kustom, yang rawan kesalahan. Penggunaan peran kustom diperlakukan sebagai pengecualian dan memerlukan peninjauan yang ketat serta pemodelan ancaman Audit, Dinonaktifkan 1.0.1

Akses Jarak Jauh

ID: FedRAMP High AC-17 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Tidak digunakan lagi]: Azure Cognitive layanan Pencarian s harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Cognitive Search, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Dinonaktifkan 1.0.1-tidak digunakan lagi
[Tidak digunakan lagi]: Cognitive Services harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Cognitive Services, Anda akan mengurangi potensi kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Dinonaktifkan 3.0.1-tidak digunakan lagi
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. ubah 1.3.0
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. ubah 1.3.0
Azure App Configuration harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke instans konfigurasi aplikasi Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Dinonaktifkan 1.0.2
Aplikasi App Service harus menonaktifkan penelusuran kesalahan jarak jauh Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi App Service. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 2.0.0
Mengaudit komputer Linux yang memungkinkan koneksi jarak jauh dari akun tanpa sandi Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Linux mengizinkan koneksi jarak jauh dari akun tanpa kata sandi AuditIfNotExists, Dinonaktifkan 1.4.0
Azure Cache for Redis harus menggunakan tautan privat Titik akhir privat memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke instans Azure Cache for Redis Anda, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Dinonaktifkan 1.0.0
Layanan Azure Cognitive Search harus menggunakan SKU yang mendukung tautan privat Dengan SKU Azure Cognitive Search yang didukung, Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke layanan Pencarian Anda, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Tolak, Dinonaktifkan 1.0.0
Azure Data Factory harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Data Factory, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Dinonaktifkan 1.0.0
Domain Azure Event Grid harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke domain Azure Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. Audit, Dinonaktifkan 1.0.2
Topik Azure Event Grid harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke topik Azure Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. Audit, Dinonaktifkan 1.0.2
Azure File Sync harus menggunakan tautan privat Membuat titik akhir pribadi untuk sumber daya Layanan Sinkronisasi Penyimpanan yang ditunjukkan memungkinkan Anda untuk menangani sumber daya Layanan Sinkronisasi Penyimpanan dari dalam ruang alamat IP pribadi jaringan organisasi Anda, bukan melalui titik akhir publik yang dapat diakses internet. Membuat titik akhir pribadi dengan sendirinya tidak menonaktifkan titik akhir publik. AuditIfNotExists, Dinonaktifkan 1.0.0
Ruang kerja Azure Machine Learning harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke ruang kerja Azure Machine Learning, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Dinonaktifkan 1.0.0
Namespace layanan Azure Service Bus harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke namespace layanan Azure Service Bus, risiko kebocoran data akan berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Dinonaktifkan 1.0.0
Layanan Azure SignalR harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke sumber daya Layanan Azure SignalR alih-alih seluruh layanan, Anda akan mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/asrs/privatelink. Audit, Dinonaktifkan 1.0.0
Ruang kerja Azure Synapse harus menggunakan private link Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir pribadi ke ruang kerja Azure Synapse, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Dinonaktifkan 1.0.1
Registri kontainer harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform private link menangani konektivitas antara konsumen dan layanan melalui jaringan Azure backbone.Dengan memetakan titik akhir pribadi ke container registry Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/acr/private-link. Audit, Dinonaktifkan 1.0.1
Akun CosmosDB harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir privat ke akun CosmosDB Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Dinonaktifkan 1.0.0
Sebarkan ekstensi Konfigurasi Tamu Linux untuk mengaktifkan penugasan Konfigurasi Tamu di VM Linux Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Linux ke komputer virtual Linux yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Linux adalah prasyarat untuk semua penugasan Konfigurasi Tamu Linux dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Linux. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. deployIfNotExists 1.4.0
Sebarkan ekstensi Konfigurasi Tamu Windows untuk mengaktifkan penugasan Konfigurasi Tamu pada VM Windows Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Windows ke komputer virtual Windows yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Windows adalah prasyarat untuk semua penugasan Konfigurasi Tamu Windows dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Windows. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. deployIfNotExists 1.2.0
Sumber daya akses disk harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke diskAccesses, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Dinonaktifkan 1.0.0
Namespace layanan Pusat Aktivitas harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke namespace layanan Pusat Aktivitas, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Dinonaktifkan 1.0.0
Aplikasi Fungsi harus menonaktifkan penelusuran kesalahan jarak jauh Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi Fungsi. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 2.0.0
Instans layanan provisi perangkat Azure IoT Hub harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke layanan provisi perangkat Azure IoT Hub, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/iotdpsvnet. Audit, Dinonaktifkan 1.0.0
Koneksi titik akhir pribadi di Azure SQL Database harus diaktifkan Koneksi titik akhir privat menerapkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure SQL Database. Audit, Dinonaktifkan 1.1.0
Akun penyimpanan harus membatasi akses jaringan Akses jaringan ke akun penyimpanan harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk mengizinkan koneksi dari internet tertentu atau klien lokal, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke rentang alamat IP internet publik Audit, Tolak, Dinonaktifkan 1.1.1
Akun penyimpanan harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke akun penyimpanan Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan pribadi di - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Dinonaktifkan 2.0.0

Pemantauan/Kontrol Otomatis

ID: FedRAMP High AC-17 (1) Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Tidak digunakan lagi]: Azure Cognitive layanan Pencarian s harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Cognitive Search, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Dinonaktifkan 1.0.1-tidak digunakan lagi
[Tidak digunakan lagi]: Cognitive Services harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Cognitive Services, Anda akan mengurangi potensi kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Dinonaktifkan 3.0.1-tidak digunakan lagi
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. ubah 1.3.0
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. ubah 1.3.0
Azure App Configuration harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke instans konfigurasi aplikasi Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Dinonaktifkan 1.0.2
Aplikasi App Service harus menonaktifkan penelusuran kesalahan jarak jauh Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi App Service. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 2.0.0
Mengaudit komputer Linux yang memungkinkan koneksi jarak jauh dari akun tanpa sandi Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Linux mengizinkan koneksi jarak jauh dari akun tanpa kata sandi AuditIfNotExists, Dinonaktifkan 1.4.0
Azure Cache for Redis harus menggunakan tautan privat Titik akhir privat memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke instans Azure Cache for Redis Anda, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Dinonaktifkan 1.0.0
Layanan Azure Cognitive Search harus menggunakan SKU yang mendukung tautan privat Dengan SKU Azure Cognitive Search yang didukung, Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke layanan Pencarian Anda, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Tolak, Dinonaktifkan 1.0.0
Azure Data Factory harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Data Factory, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Dinonaktifkan 1.0.0
Domain Azure Event Grid harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke domain Azure Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. Audit, Dinonaktifkan 1.0.2
Topik Azure Event Grid harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke topik Azure Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. Audit, Dinonaktifkan 1.0.2
Azure File Sync harus menggunakan tautan privat Membuat titik akhir pribadi untuk sumber daya Layanan Sinkronisasi Penyimpanan yang ditunjukkan memungkinkan Anda untuk menangani sumber daya Layanan Sinkronisasi Penyimpanan dari dalam ruang alamat IP pribadi jaringan organisasi Anda, bukan melalui titik akhir publik yang dapat diakses internet. Membuat titik akhir pribadi dengan sendirinya tidak menonaktifkan titik akhir publik. AuditIfNotExists, Dinonaktifkan 1.0.0
Ruang kerja Azure Machine Learning harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke ruang kerja Azure Machine Learning, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Dinonaktifkan 1.0.0
Namespace layanan Azure Service Bus harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke namespace layanan Azure Service Bus, risiko kebocoran data akan berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Dinonaktifkan 1.0.0
Layanan Azure SignalR harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke sumber daya Layanan Azure SignalR alih-alih seluruh layanan, Anda akan mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/asrs/privatelink. Audit, Dinonaktifkan 1.0.0
Ruang kerja Azure Synapse harus menggunakan private link Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir pribadi ke ruang kerja Azure Synapse, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Dinonaktifkan 1.0.1
Registri kontainer harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform private link menangani konektivitas antara konsumen dan layanan melalui jaringan Azure backbone.Dengan memetakan titik akhir pribadi ke container registry Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/acr/private-link. Audit, Dinonaktifkan 1.0.1
Akun CosmosDB harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir privat ke akun CosmosDB Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Dinonaktifkan 1.0.0
Sebarkan ekstensi Konfigurasi Tamu Linux untuk mengaktifkan penugasan Konfigurasi Tamu di VM Linux Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Linux ke komputer virtual Linux yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Linux adalah prasyarat untuk semua penugasan Konfigurasi Tamu Linux dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Linux. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. deployIfNotExists 1.4.0
Sebarkan ekstensi Konfigurasi Tamu Windows untuk mengaktifkan penugasan Konfigurasi Tamu pada VM Windows Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Windows ke komputer virtual Windows yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Windows adalah prasyarat untuk semua penugasan Konfigurasi Tamu Windows dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Windows. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. deployIfNotExists 1.2.0
Sumber daya akses disk harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke diskAccesses, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Dinonaktifkan 1.0.0
Namespace layanan Pusat Aktivitas harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke namespace layanan Pusat Aktivitas, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Dinonaktifkan 1.0.0
Aplikasi Fungsi harus menonaktifkan penelusuran kesalahan jarak jauh Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi Fungsi. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 2.0.0
Instans layanan provisi perangkat Azure IoT Hub harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke layanan provisi perangkat Azure IoT Hub, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/iotdpsvnet. Audit, Dinonaktifkan 1.0.0
Koneksi titik akhir pribadi di Azure SQL Database harus diaktifkan Koneksi titik akhir privat menerapkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure SQL Database. Audit, Dinonaktifkan 1.1.0
Akun penyimpanan harus membatasi akses jaringan Akses jaringan ke akun penyimpanan harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk mengizinkan koneksi dari internet tertentu atau klien lokal, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke rentang alamat IP internet publik Audit, Tolak, Dinonaktifkan 1.1.1
Akun penyimpanan harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke akun penyimpanan Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan pribadi di - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Dinonaktifkan 2.0.0

Audit dan Akuntabilitas

Tinjauan, analisis, dan pelaporan audit

ID: FedRAMP High AU-6 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Kluster Kubernetes yang mengaktifkan Azure Arc harus memiliki ekstensi Microsoft Defender untuk Cloud yang diinstal Ekstensi Microsoft Defender untuk Cloud untuk Azure Arc memberikan perlindungan ancaman untuk kluster Kubernetes Anda yang mendukung Arc. Ekstensi ini mengumpulkan data dari simpul dalam kluster dan mengirimkannya ke backend Azure Defender untuk Kube di cloud untuk dianalisis lebih lanjut. Pelajari lebih lanjut di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Dinonaktifkan 4.0.1-pratinjau
[Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Linux Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. AuditIfNotExists, Dinonaktifkan pratinjau-1.0.2
[Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Windows Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. AuditIfNotExists, Dinonaktifkan pratinjau-1.0.2
Azure Defender untuk server Azure SQL Database harus diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk Resource Manager harus diaktifkan Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Defender untuk server harus diaktifkan Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi Audit server SQL tanpa Advanced Data Security AuditIfNotExists, Dinonaktifkan 2.0.1
Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. AuditIfNotExists, Dinonaktifkan 1.0.2
Pertahanan Microsoft untuk Kontainer harus diaktifkan Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
Pertahanan Microsoft untuk Penyimpanan (Klasik) harus diaktifkan Pertahanan Microsoft untuk Penyimpanan (Klasik) menyediakan deteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. AuditIfNotExists, Dinonaktifkan 1.0.4
Network Watcher harus diaktifkan Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan ujung ke ujung. Diperlukan untuk memiliki grup sumber daya pengawas jaringan untuk dibuat di setiap wilayah tempat jaringan virtual berada. Pemberitahuan diaktifkan jika grup sumber daya pengawas jaringan tidak tersedia di wilayah tertentu. AuditIfNotExists, Dinonaktifkan 3.0.0

Tinjauan dan Analisis Pusat

ID: FedRAMP High AU-6 (4) Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Kluster Kubernetes yang mengaktifkan Azure Arc harus memiliki ekstensi Microsoft Defender untuk Cloud yang diinstal Ekstensi Microsoft Defender untuk Cloud untuk Azure Arc memberikan perlindungan ancaman untuk kluster Kubernetes Anda yang mendukung Arc. Ekstensi ini mengumpulkan data dari simpul dalam kluster dan mengirimkannya ke backend Azure Defender untuk Kube di cloud untuk dianalisis lebih lanjut. Pelajari lebih lanjut di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Dinonaktifkan 4.0.1-pratinjau
[Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Linux Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. AuditIfNotExists, Dinonaktifkan pratinjau-1.0.2
[Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Windows Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. AuditIfNotExists, Dinonaktifkan pratinjau-1.0.2
Aplikasi App Service harus mengaktifkan log sumber daya Audit yang mengaktifkan log sumber daya di aplikasi. Ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi jika terjadi insiden keamanan atau jaringan Anda disusupi. AuditIfNotExists, Dinonaktifkan 2.0.1
Audit di server SQL harus diaktifkan Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit. AuditIfNotExists, Dinonaktifkan 2.0.0
Azure Defender untuk server Azure SQL Database harus diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk Resource Manager harus diaktifkan Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Defender untuk server harus diaktifkan Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi Audit server SQL tanpa Advanced Data Security AuditIfNotExists, Dinonaktifkan 2.0.1
Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. AuditIfNotExists, Dinonaktifkan 1.0.2
Ekstensi Konfigurasi Tamu harus dipasang di mesin Anda Untuk memastikan konfigurasi yang aman dari pengaturan in-guest mesin Anda, instal ekstensi Guest Configuration. Pengaturan tamu yang dipantau ekstensi mencakup konfigurasi sistem operasi, konfigurasi atau keberadaan aplikasi, dan pengaturan lingkungan. Setelah diinstal, kebijakan tamu akan tersedia seperti 'Windows Exploit guard harus diaktifkan'. Pelajari lebih lanjut di https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 1.0.2
Pertahanan Microsoft untuk Kontainer harus diaktifkan Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
Pertahanan Microsoft untuk Penyimpanan (Klasik) harus diaktifkan Pertahanan Microsoft untuk Penyimpanan (Klasik) menyediakan deteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. AuditIfNotExists, Dinonaktifkan 1.0.4
Network Watcher harus diaktifkan Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan ujung ke ujung. Diperlukan untuk memiliki grup sumber daya pengawas jaringan untuk dibuat di setiap wilayah tempat jaringan virtual berada. Pemberitahuan diaktifkan jika grup sumber daya pengawas jaringan tidak tersedia di wilayah tertentu. AuditIfNotExists, Dinonaktifkan 3.0.0
Log sumber daya di Azure Data Lake Store harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Azure Stream Analytics harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di akun Azure Batch harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Data Lake Analytics harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Event Hub harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Key Vault harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda membuat ulang jejak aktivitas yang akan digunakan untuk penyelidikan saat terjadi insiden keamanan atau jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Logic Apps harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.1.0
Log sumber daya di layanan Pencarian harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Azure Service Bus harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Ekstensi Konfigurasi Tamu komputer virtual harus diterapkan dengan identitas terkelola yang ditetapkan sistem Ekstensi Konfigurasi Tamu memerlukan identitas terkelola yang ditetapkan sistem. Komputer virtual Azure dalam cakupan kebijakan ini tidak akan mematuhi kebijakan jika ekstensi Konfigurasi Tamu diinstal tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Pelajari lebih lanjut di https://aka.ms/gcpol AuditIfNotExists, Dinonaktifkan 1.0.1

Kemampuan Integrasi / Pemindaian dan Pemantauan

ID: FedRAMP High AU-6 (5) Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Kluster Kubernetes yang mengaktifkan Azure Arc harus memiliki ekstensi Microsoft Defender untuk Cloud yang diinstal Ekstensi Microsoft Defender untuk Cloud untuk Azure Arc memberikan perlindungan ancaman untuk kluster Kubernetes Anda yang mendukung Arc. Ekstensi ini mengumpulkan data dari simpul dalam kluster dan mengirimkannya ke backend Azure Defender untuk Kube di cloud untuk dianalisis lebih lanjut. Pelajari lebih lanjut di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Dinonaktifkan 4.0.1-pratinjau
[Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Linux Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. AuditIfNotExists, Dinonaktifkan pratinjau-1.0.2
[Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Windows Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. AuditIfNotExists, Dinonaktifkan pratinjau-1.0.2
Aplikasi App Service harus mengaktifkan log sumber daya Audit yang mengaktifkan log sumber daya di aplikasi. Ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi jika terjadi insiden keamanan atau jaringan Anda disusupi. AuditIfNotExists, Dinonaktifkan 2.0.1
Audit di server SQL harus diaktifkan Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit. AuditIfNotExists, Dinonaktifkan 2.0.0
Azure Defender untuk server Azure SQL Database harus diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk Resource Manager harus diaktifkan Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Defender untuk server harus diaktifkan Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi Audit server SQL tanpa Advanced Data Security AuditIfNotExists, Dinonaktifkan 2.0.1
Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. AuditIfNotExists, Dinonaktifkan 1.0.2
Ekstensi Konfigurasi Tamu harus dipasang di mesin Anda Untuk memastikan konfigurasi yang aman dari pengaturan in-guest mesin Anda, instal ekstensi Guest Configuration. Pengaturan tamu yang dipantau ekstensi mencakup konfigurasi sistem operasi, konfigurasi atau keberadaan aplikasi, dan pengaturan lingkungan. Setelah diinstal, kebijakan tamu akan tersedia seperti 'Windows Exploit guard harus diaktifkan'. Pelajari lebih lanjut di https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 1.0.2
Pertahanan Microsoft untuk Kontainer harus diaktifkan Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
Pertahanan Microsoft untuk Penyimpanan (Klasik) harus diaktifkan Pertahanan Microsoft untuk Penyimpanan (Klasik) menyediakan deteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. AuditIfNotExists, Dinonaktifkan 1.0.4
Network Watcher harus diaktifkan Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan ujung ke ujung. Diperlukan untuk memiliki grup sumber daya pengawas jaringan untuk dibuat di setiap wilayah tempat jaringan virtual berada. Pemberitahuan diaktifkan jika grup sumber daya pengawas jaringan tidak tersedia di wilayah tertentu. AuditIfNotExists, Dinonaktifkan 3.0.0
Log sumber daya di Azure Data Lake Store harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Azure Stream Analytics harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di akun Azure Batch harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Data Lake Analytics harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Event Hub harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Key Vault harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda membuat ulang jejak aktivitas yang akan digunakan untuk penyelidikan saat terjadi insiden keamanan atau jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Logic Apps harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.1.0
Log sumber daya di layanan Pencarian harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Azure Service Bus harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Ekstensi Konfigurasi Tamu komputer virtual harus diterapkan dengan identitas terkelola yang ditetapkan sistem Ekstensi Konfigurasi Tamu memerlukan identitas terkelola yang ditetapkan sistem. Komputer virtual Azure dalam cakupan kebijakan ini tidak akan mematuhi kebijakan jika ekstensi Konfigurasi Tamu diinstal tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Pelajari lebih lanjut di https://aka.ms/gcpol AuditIfNotExists, Dinonaktifkan 1.0.1

Retensi Catatan Audit

ID: FedRAMP High AU-11 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Server SQL dengan audit ke tujuan akun penyimpanan harus dikonfigurasi dengan retensi 90 hari atau lebih tinggi Untuk tujuan penyelidikan insiden, kami menyarankan pengaturan retensi data untuk audit SQL Server Anda ke tujuan akun penyimpanan setidaknya 90 hari. Konfirmasikan bahwa Anda memenuhi aturan retensi yang diperlukan untuk wilayah tempat Anda beroperasi. Ini terkadang diperlukan untuk memenuhi standar peraturan. AuditIfNotExists, Dinonaktifkan 3.0.0

Pembuatan Audit

ID: FedRAMP High AU-12 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Kluster Kubernetes yang mengaktifkan Azure Arc harus memiliki ekstensi Microsoft Defender untuk Cloud yang diinstal Ekstensi Microsoft Defender untuk Cloud untuk Azure Arc memberikan perlindungan ancaman untuk kluster Kubernetes Anda yang mendukung Arc. Ekstensi ini mengumpulkan data dari simpul dalam kluster dan mengirimkannya ke backend Azure Defender untuk Kube di cloud untuk dianalisis lebih lanjut. Pelajari lebih lanjut di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Dinonaktifkan 4.0.1-pratinjau
[Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Linux Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. AuditIfNotExists, Dinonaktifkan pratinjau-1.0.2
[Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Windows Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. AuditIfNotExists, Dinonaktifkan pratinjau-1.0.2
Aplikasi App Service harus mengaktifkan log sumber daya Audit yang mengaktifkan log sumber daya di aplikasi. Ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi jika terjadi insiden keamanan atau jaringan Anda disusupi. AuditIfNotExists, Dinonaktifkan 2.0.1
Audit di server SQL harus diaktifkan Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit. AuditIfNotExists, Dinonaktifkan 2.0.0
Azure Defender untuk server Azure SQL Database harus diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk Resource Manager harus diaktifkan Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Defender untuk server harus diaktifkan Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi Audit server SQL tanpa Advanced Data Security AuditIfNotExists, Dinonaktifkan 2.0.1
Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. AuditIfNotExists, Dinonaktifkan 1.0.2
Ekstensi Konfigurasi Tamu harus dipasang di mesin Anda Untuk memastikan konfigurasi yang aman dari pengaturan in-guest mesin Anda, instal ekstensi Guest Configuration. Pengaturan tamu yang dipantau ekstensi mencakup konfigurasi sistem operasi, konfigurasi atau keberadaan aplikasi, dan pengaturan lingkungan. Setelah diinstal, kebijakan tamu akan tersedia seperti 'Windows Exploit guard harus diaktifkan'. Pelajari lebih lanjut di https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 1.0.2
Pertahanan Microsoft untuk Kontainer harus diaktifkan Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
Pertahanan Microsoft untuk Penyimpanan (Klasik) harus diaktifkan Pertahanan Microsoft untuk Penyimpanan (Klasik) menyediakan deteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. AuditIfNotExists, Dinonaktifkan 1.0.4
Network Watcher harus diaktifkan Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan ujung ke ujung. Diperlukan untuk memiliki grup sumber daya pengawas jaringan untuk dibuat di setiap wilayah tempat jaringan virtual berada. Pemberitahuan diaktifkan jika grup sumber daya pengawas jaringan tidak tersedia di wilayah tertentu. AuditIfNotExists, Dinonaktifkan 3.0.0
Log sumber daya di Azure Data Lake Store harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Azure Stream Analytics harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di akun Azure Batch harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Data Lake Analytics harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Event Hub harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Key Vault harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda membuat ulang jejak aktivitas yang akan digunakan untuk penyelidikan saat terjadi insiden keamanan atau jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Logic Apps harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.1.0
Log sumber daya di layanan Pencarian harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Azure Service Bus harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Ekstensi Konfigurasi Tamu komputer virtual harus diterapkan dengan identitas terkelola yang ditetapkan sistem Ekstensi Konfigurasi Tamu memerlukan identitas terkelola yang ditetapkan sistem. Komputer virtual Azure dalam cakupan kebijakan ini tidak akan mematuhi kebijakan jika ekstensi Konfigurasi Tamu diinstal tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Pelajari lebih lanjut di https://aka.ms/gcpol AuditIfNotExists, Dinonaktifkan 1.0.1

Jejak Audit Seluruh Sistem / Berkorelasi Waktu

ID: FedRAMP High AU-12 (1) Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Kluster Kubernetes yang mengaktifkan Azure Arc harus memiliki ekstensi Microsoft Defender untuk Cloud yang diinstal Ekstensi Microsoft Defender untuk Cloud untuk Azure Arc memberikan perlindungan ancaman untuk kluster Kubernetes Anda yang mendukung Arc. Ekstensi ini mengumpulkan data dari simpul dalam kluster dan mengirimkannya ke backend Azure Defender untuk Kube di cloud untuk dianalisis lebih lanjut. Pelajari lebih lanjut di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Dinonaktifkan 4.0.1-pratinjau
[Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Linux Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. AuditIfNotExists, Dinonaktifkan pratinjau-1.0.2
[Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Windows Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. AuditIfNotExists, Dinonaktifkan pratinjau-1.0.2
Aplikasi App Service harus mengaktifkan log sumber daya Audit yang mengaktifkan log sumber daya di aplikasi. Ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi jika terjadi insiden keamanan atau jaringan Anda disusupi. AuditIfNotExists, Dinonaktifkan 2.0.1
Audit di server SQL harus diaktifkan Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit. AuditIfNotExists, Dinonaktifkan 2.0.0
Azure Defender untuk server Azure SQL Database harus diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk Resource Manager harus diaktifkan Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Defender untuk server harus diaktifkan Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi Audit server SQL tanpa Advanced Data Security AuditIfNotExists, Dinonaktifkan 2.0.1
Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. AuditIfNotExists, Dinonaktifkan 1.0.2
Ekstensi Konfigurasi Tamu harus dipasang di mesin Anda Untuk memastikan konfigurasi yang aman dari pengaturan in-guest mesin Anda, instal ekstensi Guest Configuration. Pengaturan tamu yang dipantau ekstensi mencakup konfigurasi sistem operasi, konfigurasi atau keberadaan aplikasi, dan pengaturan lingkungan. Setelah diinstal, kebijakan tamu akan tersedia seperti 'Windows Exploit guard harus diaktifkan'. Pelajari lebih lanjut di https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 1.0.2
Pertahanan Microsoft untuk Kontainer harus diaktifkan Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
Pertahanan Microsoft untuk Penyimpanan (Klasik) harus diaktifkan Pertahanan Microsoft untuk Penyimpanan (Klasik) menyediakan deteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. AuditIfNotExists, Dinonaktifkan 1.0.4
Network Watcher harus diaktifkan Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan ujung ke ujung. Diperlukan untuk memiliki grup sumber daya pengawas jaringan untuk dibuat di setiap wilayah tempat jaringan virtual berada. Pemberitahuan diaktifkan jika grup sumber daya pengawas jaringan tidak tersedia di wilayah tertentu. AuditIfNotExists, Dinonaktifkan 3.0.0
Log sumber daya di Azure Data Lake Store harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Azure Stream Analytics harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di akun Azure Batch harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Data Lake Analytics harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Event Hub harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Key Vault harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda membuat ulang jejak aktivitas yang akan digunakan untuk penyelidikan saat terjadi insiden keamanan atau jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Logic Apps harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.1.0
Log sumber daya di layanan Pencarian harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Azure Service Bus harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Ekstensi Konfigurasi Tamu komputer virtual harus diterapkan dengan identitas terkelola yang ditetapkan sistem Ekstensi Konfigurasi Tamu memerlukan identitas terkelola yang ditetapkan sistem. Komputer virtual Azure dalam cakupan kebijakan ini tidak akan mematuhi kebijakan jika ekstensi Konfigurasi Tamu diinstal tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Pelajari lebih lanjut di https://aka.ms/gcpol AuditIfNotExists, Dinonaktifkan 1.0.1

Manajemen Konfigurasi

Pengaturan konfigurasi

ID: FedRAMP High CM-6 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Aplikasi App Service harus mengaktifkan Sertifikat Klien (Sertifikat klien masuk) Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi. Kebijakan ini berlaku untuk aplikasi dengan versi Http yang diatur ke 1.1. AuditIfNotExists, Dinonaktifkan 1.0.0
Aplikasi App Service harus menonaktifkan penelusuran kesalahan jarak jauh Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi App Service. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 2.0.0
Aplikasi App Service tidak boleh mengonfigurasi CORS untuk mengizinkan semua sumber daya untuk mengakses aplikasi Anda Berbagi Sumber Daya Lintas Asal (CORS) tidak boleh mengizinkan semua domain mengakses aplikasi Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Anda. AuditIfNotExists, Dinonaktifkan 2.0.0
Add-on Azure Policy untuk layanan Kube (AKS) harus dipasang dan diaktifkan di kluster Anda Azure Policy Add-on for Kubernetes service (AKS) memperluas Gatekeeper v3, webhook pengontrol penerimaan untuk Open Policy Agent (OPA), untuk menerapkan penegakan dan pengamanan skala besar pada klaster Anda secara terpusat dan konsisten. Audit, Dinonaktifkan 1.0.2
Aplikasi fungsi harus mengaktifkan Sertifikat Klien (Sertifikat klien masuk) Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi. Kebijakan ini berlaku untuk aplikasi dengan versi Http yang diatur ke 1.1. AuditIfNotExists, Dinonaktifkan 1.0.0
Aplikasi Fungsi harus menonaktifkan penelusuran kesalahan jarak jauh Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi Fungsi. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 2.0.0
Aplikasi Fungsi tidak boleh memiliki CORS yang terkonfigurasi untuk mengizinkan setiap sumber daya mengakses aplikasi Anda Cross-Origin Resource Sharing (CORS) seharusnya tidak mengizinkan semua domain mengakses aplikasi Fungsi Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Fungsi Anda. AuditIfNotExists, Dinonaktifkan 2.0.0
Batas sumber daya memori dan CPU kontainer kluster Kube tidak boleh melebihi batas yang ditetapkan Terapkan batas sumber daya CPU dan memori kontainer untuk mencegah serangan kehabisan sumber daya di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 10.2.0
Wadah klaster Kubernetes tidak boleh berbagi ID proses host atau namespace IPC host Blokir kontainer pod agar tidak membagikan namespace ID proses host dan namespace IPC host di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.2 dan CIS 5.2.3 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 6.1.0
Kontainer kluster Kube hanya boleh menggunakan profil AppArmor yang diizinkan Container hanya boleh menggunakan profil AppArmor yang diizinkan di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 7.1.1
Kontainer kluster Kube hanya boleh menggunakan kemampuan yang diizinkan Batasi kemampuan untuk mengurangi permukaan serangan kontainer di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.8 dan CIS 5.2.9 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 7.1.0
Kontainer kluster Kube hanya boleh menggunakan gambar yang diizinkan Gunakan gambar dari registry tepercaya untuk mengurangi risiko paparan kluster Kubernetes terhadap kerentanan yang tidak diketahui, masalah keamanan, dan gambar berbahaya. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 10.2.0
Kontainer kluster Kube harus dijalankan dengan sistem file akar baca saja Jalankan kontainer dengan sistem file root hanya baca untuk melindungi dari perubahan saat run-time dengan binari berbahaya yang ditambahkan ke PATH di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 7.1.0
Volume hostPath pod kluster Kube hanya boleh menggunakan jalur host yang diizinkan Batasi mount volume HostPath pod ke jalur host yang diizinkan di Cluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 7.1.1
Pod dan kontainer kluster Kube hanya boleh dijalankan dengan ID pengguna dan grup yang disetujui Kontrol ID pengguna, grup utama, grup tambahan, dan grup sistem file yang dapat digunakan pod dan kontainer untuk dijalankan di Cluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 7.1.1
Pod kluster Kube hanya boleh menggunakan jaringan host dan rentang port yang disetujui Batasi akses pod ke jaringan host dan rentang port host yang diizinkan di kluster Kubernetes. Rekomendasi ini adalah bagian dari CIS 5.2.4 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 7.1.0
Layanan kluster Kube hanya boleh mendengarkan port yang diizinkan Batasi layanan untuk mendengarkan hanya pada port yang diizinkan untuk mengamankan akses ke kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 9.1.0
Kluster Kube seharusnya tidak mengizinkan kontainer dengan hak istimewa Jangan izinkan pembuatan kontainer yang diistimewakan di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.1 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 10.1.0
Kluster Kubernetes tidak boleh mengizinkan eskalasi hak istimewa kontainer Jangan izinkan kontainer berjalan dengan eskalasi hak istimewa untuk melakukan root di kluster Kubernetes. Rekomendasi ini adalah bagian dari CIS 5.2.5 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 8.1.0
Mesin Linux harus memenuhi persyaratan untuk dasar keamanan komputasi Azure Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika mesin tidak dikonfigurasi dengan benar untuk salah satu rekomendasi di dasar keamanan komputasi Azure. AuditIfNotExists, Dinonaktifkan 1.5.0
Mesin Windows harus memenuhi persyaratan dasar keamanan komputasi Azure Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika mesin tidak dikonfigurasi dengan benar untuk salah satu rekomendasi di dasar keamanan komputasi Azure. AuditIfNotExists, Dinonaktifkan 1.0.0

Fungsionalitas Terendah

ID: FedRAMP High CM-7 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure Defender untuk server harus diaktifkan Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3

Perencanaan Kontingensi

Situs Penyimpanan Alternatif

ID: FedRAMP High CP-6 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Cadangan geo-redundan harus diaktifkan pada Azure Database for MariaDB Azure Database for MariaDB memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. Audit, Dinonaktifkan 1.0.1
Pencadangan geo-redundan harus diaktifkan untuk Azure Database for MySQL Azure Database for MySQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. Audit, Dinonaktifkan 1.0.1
Pencadangan geo-redundan harus diaktifkan untuk Azure Database for PostgreSQL Azure Database for PostgreSQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. Audit, Dinonaktifkan 1.0.1
Penyimpanan geo-redundan harus diaktifkan untuk Akun Penyimpanan Gunakan geo-redundansi untuk membuat aplikasi yang sangat tersedia Audit, Dinonaktifkan 1.0.0
Cadangan geo-redundan jangka panjang harus diaktifkan untuk Azure SQL Database Kebijakan ini mengaudit Azure SQL Database dengan pencadangan geo-redundan jangka panjang yang tidak diaktifkan. AuditIfNotExists, Dinonaktifkan 2.0.0

Pemisahan dari Situs Utama

ID: FedRAMP High CP-6 (1) Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Cadangan geo-redundan harus diaktifkan pada Azure Database for MariaDB Azure Database for MariaDB memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. Audit, Dinonaktifkan 1.0.1
Pencadangan geo-redundan harus diaktifkan untuk Azure Database for MySQL Azure Database for MySQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. Audit, Dinonaktifkan 1.0.1
Pencadangan geo-redundan harus diaktifkan untuk Azure Database for PostgreSQL Azure Database for PostgreSQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. Audit, Dinonaktifkan 1.0.1
Penyimpanan geo-redundan harus diaktifkan untuk Akun Penyimpanan Gunakan geo-redundansi untuk membuat aplikasi yang sangat tersedia Audit, Dinonaktifkan 1.0.0
Cadangan geo-redundan jangka panjang harus diaktifkan untuk Azure SQL Database Kebijakan ini mengaudit Azure SQL Database dengan pencadangan geo-redundan jangka panjang yang tidak diaktifkan. AuditIfNotExists, Dinonaktifkan 2.0.0

Situs Pemrosesan Alternatif

ID: FedRAMP High CP-7 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Komputer virtual audit tanpa konfigurasi pemulihan bencana Mengaudit komputer virtual yang tidak memiliki konfigurasi pemulihan bencana. Untuk mempelajari penemuan bencana lebih lanjut, buka https://aka.ms/asr-doc. auditIfNotExists 1.0.0

Pencadangan Sistem Informasi

ID: FedRAMP High CP-9 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure Backup harus diaktifkan untuk Virtual Machines Pastikan perlindungan Virtual Machines Azure Anda dengan mengaktifkan Azure Backup. Azure Backup adalah solusi perlindungan data yang aman dan hemat biaya untuk Azure. AuditIfNotExists, Dinonaktifkan 3.0.0
Cadangan geo-redundan harus diaktifkan pada Azure Database for MariaDB Azure Database for MariaDB memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. Audit, Dinonaktifkan 1.0.1
Pencadangan geo-redundan harus diaktifkan untuk Azure Database for MySQL Azure Database for MySQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. Audit, Dinonaktifkan 1.0.1
Pencadangan geo-redundan harus diaktifkan untuk Azure Database for PostgreSQL Azure Database for PostgreSQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. Audit, Dinonaktifkan 1.0.1
Brankas kunci harus mengaktifkan perlindungan penghapusan Penghapusan brankas kunci yang berbahaya dapat menyebabkan hilangnya data secara permanen. Anda dapat mencegah kehilangan data permanen dengan mengaktifkan perlindungan penghapusan menyeluruh dan penghapusan sementara. Perlindungan penghapusan menyeluruh melindungi Anda dari serangan orang dalam dengan memberlakukan periode retensi wajib untuk brankas kunci yang dihapus sementara. Tidak ada seorang pun di dalam organisasi Anda atau Microsoft yang dapat membersihkan brankas kunci Anda selama periode penyimpanan penghapusan sementara. Perlu diingat bahwa brankas kunci yang dibuat setelah 1 September 2019 mengaktifkan penghapusan sementara secara default. Audit, Tolak, Dinonaktifkan 2.1.0
Brankas kunci harus mengaktifkan penghapusan sementara Menghapus brankas kunci tanpa mengaktifkan penghapusan sementara akan menghapus semua rahasia, kunci, dan sertifikat yang disimpan di brankas kunci secara permanen. Penghapusan brankas kunci secara tidak sengaja dapat menyebabkan hilangnya data secara permanen. Penghapusan sementara memungkinkan Anda memulihkan brankas kunci yang terhapus secara tidak sengaja untuk periode retensi yang dapat dikonfigurasi. Audit, Tolak, Dinonaktifkan 3.0.0

Identifikasi dan Autentikasi

Identifikasi dan Autentikasi (Pengguna Organisasi)

ID: FedRAMP High IA-2 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Akun dengan izin pemilik pada sumber daya Azure harus didukung oleh MFA Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan izin pemilik untuk mencegah pelanggaran akun atau sumber daya. AuditIfNotExists, Dinonaktifkan 1.0.0
Akun dengan izin baca pada sumber daya Azure harus didukung oleh MFA Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak baca istimewa untuk mencegah pelanggaran akun atau sumber daya. AuditIfNotExists, Dinonaktifkan 1.0.0
Akun dengan izin tulis pada sumber daya Azure harus didukung oleh MFA Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak tulis istimewa untuk mencegah pelanggaran akun atau sumber daya. AuditIfNotExists, Dinonaktifkan 1.0.0
Administrator Azure Active Directory harus disediakan untuk server SQL Penyediaan audit administrator Microsoft Azure Active Directory untuk server SQL Anda agar mengaktifkan autentikasi Microsoft Azure Active Directory. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya AuditIfNotExists, Dinonaktifkan 1.0.0
Aplikasi App Service harus menggunakan identitas terkelola Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 3.0.0
Sumber daya Azure AI Services harus menonaktifkan akses kunci (menonaktifkan autentikasi lokal) Akses kunci (autentikasi lokal) disarankan untuk dinonaktifkan untuk keamanan. Azure OpenAI Studio, biasanya digunakan dalam pengembangan/pengujian, memerlukan akses kunci dan tidak akan berfungsi jika akses kunci dinonaktifkan. Setelah menonaktifkan, MICROSOFT Entra ID menjadi satu-satunya metode akses, yang memungkinkan mempertahankan prinsip hak istimewa minimum dan kontrol terperinci. Pelajari lebih lanjut di: https://aka.ms/AI/auth Audit, Tolak, Dinonaktifkan 1.1.0
Aplikasi Fungsi harus menggunakan identitas terkelola Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 3.0.0
Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien Audit penggunaan autentikasi klien hanya melalui Azure Active Directory di Service Fabric Audit, Tolak, Dinonaktifkan 1.1.0

Akses Jaringan Ke Akun Istimewa

ID: FedRAMP High IA-2 (1) Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Akun dengan izin pemilik pada sumber daya Azure harus didukung oleh MFA Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan izin pemilik untuk mencegah pelanggaran akun atau sumber daya. AuditIfNotExists, Dinonaktifkan 1.0.0
Akun dengan izin tulis pada sumber daya Azure harus didukung oleh MFA Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak tulis istimewa untuk mencegah pelanggaran akun atau sumber daya. AuditIfNotExists, Dinonaktifkan 1.0.0

Akses Jaringan Ke Akun Non-Istimewa

ID: FedRAMP High IA-2 (2) Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Akun dengan izin baca pada sumber daya Azure harus didukung oleh MFA Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak baca istimewa untuk mencegah pelanggaran akun atau sumber daya. AuditIfNotExists, Dinonaktifkan 1.0.0

Manajemen Pengidentifikasi

ID: FedRAMP High IA-4 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Administrator Azure Active Directory harus disediakan untuk server SQL Penyediaan audit administrator Microsoft Azure Active Directory untuk server SQL Anda agar mengaktifkan autentikasi Microsoft Azure Active Directory. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya AuditIfNotExists, Dinonaktifkan 1.0.0
Aplikasi App Service harus menggunakan identitas terkelola Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 3.0.0
Sumber daya Azure AI Services harus menonaktifkan akses kunci (menonaktifkan autentikasi lokal) Akses kunci (autentikasi lokal) disarankan untuk dinonaktifkan untuk keamanan. Azure OpenAI Studio, biasanya digunakan dalam pengembangan/pengujian, memerlukan akses kunci dan tidak akan berfungsi jika akses kunci dinonaktifkan. Setelah menonaktifkan, MICROSOFT Entra ID menjadi satu-satunya metode akses, yang memungkinkan mempertahankan prinsip hak istimewa minimum dan kontrol terperinci. Pelajari lebih lanjut di: https://aka.ms/AI/auth Audit, Tolak, Dinonaktifkan 1.1.0
Aplikasi Fungsi harus menggunakan identitas terkelola Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 3.0.0
Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien Audit penggunaan autentikasi klien hanya melalui Azure Active Directory di Service Fabric Audit, Tolak, Dinonaktifkan 1.1.0

Pengelolaan Authenticator

ID: FedRAMP High IA-5 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. ubah 1.3.0
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. ubah 1.3.0
Audit mesin Linux yang tidak memiliki izin file passwd diatur ke 0644 Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Linux izin file kata sandinya tidak diatur ke 0644 AuditIfNotExists, Dinonaktifkan 1.4.0
Mengaudit komputer Windows yang tidak menyimpan kata sandi menggunakan enkripsi yang dapat dibalik Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows tidak menyimpan kata sandi menggunakan enkripsi yang dapat dibatalkan AuditIfNotExists, Dinonaktifkan 1.0.0
Sebarkan ekstensi Konfigurasi Tamu Linux untuk mengaktifkan penugasan Konfigurasi Tamu di VM Linux Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Linux ke komputer virtual Linux yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Linux adalah prasyarat untuk semua penugasan Konfigurasi Tamu Linux dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Linux. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. deployIfNotExists 1.4.0
Sebarkan ekstensi Konfigurasi Tamu Windows untuk mengaktifkan penugasan Konfigurasi Tamu pada VM Windows Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Windows ke komputer virtual Windows yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Windows adalah prasyarat untuk semua penugasan Konfigurasi Tamu Windows dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Windows. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. deployIfNotExists 1.2.0

Autentikasi Berbasis Kata Sandi

ID: FedRAMP High IA-5 (1) Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. ubah 1.3.0
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. ubah 1.3.0
Audit mesin Linux yang tidak memiliki izin file passwd diatur ke 0644 Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Linux izin file kata sandinya tidak diatur ke 0644 AuditIfNotExists, Dinonaktifkan 1.4.0
Mengaudit komputer Windows yang memungkinkan penggunaan kembali kata sandi setelah jumlah kata sandi unik yang ditentukan Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows yang memungkinkan penggunaan kembali kata sandi setelah jumlah kata sandi unik yang ditentukan. Nilai default untuk kata sandi unik adalah 24 AuditIfNotExists, Dinonaktifkan 1.1.0
Mengaudit komputer Windows yang tidak memiliki usia kata sandi maksimum yang diatur ke jumlah hari yang ditentukan Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows yang tidak memiliki usia kata sandi maksimum yang diatur ke jumlah hari yang ditentukan. Nilai default untuk usia kata sandi maksimum adalah 70 hari AuditIfNotExists, Dinonaktifkan 1.1.0
Mengaudit komputer Windows yang tidak memiliki usia kata sandi minimum yang diatur ke jumlah hari yang ditentukan Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows yang tidak memiliki usia kata sandi minimum yang diatur ke jumlah hari yang ditentukan. Nilai default untuk usia kata sandi minimum adalah 1 hari AuditIfNotExists, Dinonaktifkan 1.1.0
Audit komputer Windows dengan setelan kompleksitas kata sandi tidak diaktifkan Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows tidak memiliki setelan kompleksitas kata sandi yang diaktifkan AuditIfNotExists, Dinonaktifkan 1.0.0
Mengaudit komputer Windows yang tidak membatasi panjang kata sandi minimum untuk jumlah karakter yang ditentukan Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows yang tidak membatasi panjang kata sandi minimum untuk jumlah karakter yang ditentukan. Nilai default untuk panjang kata sandi minimum adalah 14 karakter AuditIfNotExists, Dinonaktifkan 1.1.0
Mengaudit komputer Windows yang tidak menyimpan kata sandi menggunakan enkripsi yang dapat dibalik Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows tidak menyimpan kata sandi menggunakan enkripsi yang dapat dibatalkan AuditIfNotExists, Dinonaktifkan 1.0.0
Sebarkan ekstensi Konfigurasi Tamu Linux untuk mengaktifkan penugasan Konfigurasi Tamu di VM Linux Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Linux ke komputer virtual Linux yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Linux adalah prasyarat untuk semua penugasan Konfigurasi Tamu Linux dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Linux. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. deployIfNotExists 1.4.0
Sebarkan ekstensi Konfigurasi Tamu Windows untuk mengaktifkan penugasan Konfigurasi Tamu pada VM Windows Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Windows ke komputer virtual Windows yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Windows adalah prasyarat untuk semua penugasan Konfigurasi Tamu Windows dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Windows. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. deployIfNotExists 1.2.0

Respons Insiden

Penanganan Insiden

ID: FedRAMP High IR-4 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure Defender untuk server Azure SQL Database harus diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk Resource Manager harus diaktifkan Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Defender untuk server harus diaktifkan Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi Audit server SQL tanpa Advanced Data Security AuditIfNotExists, Dinonaktifkan 2.0.1
Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. AuditIfNotExists, Dinonaktifkan 1.0.2
Pemberitahuan email untuk lansiran tingkat keparahan tinggi harus diaktifkan Untuk memastikan orang yang relevan di organisasi Anda diberi tahu ketika terdapat potensi pelanggaran keamanan di salah satu langganan Anda, aktifkan pemberitahuan email untuk peringatan tingkat keparahan tinggi di Security Center. AuditIfNotExists, Dinonaktifkan 1.0.1
Pemberitahuan email kepada pemilik langganan untuk lansiran tingkat keparahan tinggi harus diaktifkan Untuk memastikan pemilik langganan Anda diberitahu ketika ada potensi pelanggaran keamanan di langganan mereka, atur pemberitahuan email ke pemilik langganan untuk peringatan tingkat keparahan tinggi di Security Center. AuditIfNotExists, Dinonaktifkan 2.0.0
Pertahanan Microsoft untuk Kontainer harus diaktifkan Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
Pertahanan Microsoft untuk Penyimpanan (Klasik) harus diaktifkan Pertahanan Microsoft untuk Penyimpanan (Klasik) menyediakan deteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. AuditIfNotExists, Dinonaktifkan 1.0.4
Langganan harus memiliki alamat email kontak untuk masalah keamanan Untuk memastikan orang yang relevan di organisasi Anda diberi tahu saat ada potensi pelanggaran keamanan di salah satu langganan Anda, atur kontak keamanan untuk menerima pemberitahuan email dari Security Center. AuditIfNotExists, Dinonaktifkan 1.0.1

Pemantauan Insiden

ID: FedRAMP High IR-5 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure Defender untuk server Azure SQL Database harus diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk Resource Manager harus diaktifkan Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Defender untuk server harus diaktifkan Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi Audit server SQL tanpa Advanced Data Security AuditIfNotExists, Dinonaktifkan 2.0.1
Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. AuditIfNotExists, Dinonaktifkan 1.0.2
Pemberitahuan email untuk lansiran tingkat keparahan tinggi harus diaktifkan Untuk memastikan orang yang relevan di organisasi Anda diberi tahu ketika terdapat potensi pelanggaran keamanan di salah satu langganan Anda, aktifkan pemberitahuan email untuk peringatan tingkat keparahan tinggi di Security Center. AuditIfNotExists, Dinonaktifkan 1.0.1
Pemberitahuan email kepada pemilik langganan untuk lansiran tingkat keparahan tinggi harus diaktifkan Untuk memastikan pemilik langganan Anda diberitahu ketika ada potensi pelanggaran keamanan di langganan mereka, atur pemberitahuan email ke pemilik langganan untuk peringatan tingkat keparahan tinggi di Security Center. AuditIfNotExists, Dinonaktifkan 2.0.0
Pertahanan Microsoft untuk Kontainer harus diaktifkan Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
Pertahanan Microsoft untuk Penyimpanan (Klasik) harus diaktifkan Pertahanan Microsoft untuk Penyimpanan (Klasik) menyediakan deteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. AuditIfNotExists, Dinonaktifkan 1.0.4
Langganan harus memiliki alamat email kontak untuk masalah keamanan Untuk memastikan orang yang relevan di organisasi Anda diberi tahu saat ada potensi pelanggaran keamanan di salah satu langganan Anda, atur kontak keamanan untuk menerima pemberitahuan email dari Security Center. AuditIfNotExists, Dinonaktifkan 1.0.1

Tugas beresiko

Pemindaian Kerentanan

ID: FedRAMP High RA-5 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure Defender untuk server Azure SQL Database harus diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk Resource Manager harus diaktifkan Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Defender untuk server harus diaktifkan Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi Audit server SQL tanpa Advanced Data Security AuditIfNotExists, Dinonaktifkan 2.0.1
Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. AuditIfNotExists, Dinonaktifkan 1.0.2
Pertahanan Microsoft untuk Kontainer harus diaktifkan Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
Pertahanan Microsoft untuk Penyimpanan (Klasik) harus diaktifkan Pertahanan Microsoft untuk Penyimpanan (Klasik) menyediakan deteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. AuditIfNotExists, Dinonaktifkan 1.0.4
Database SQL harus memiliki temuan kerentanan yang diselesaikan Pantau hasil pemindaian penilaian kerentanan dan rekomendasi tentang cara memulihkan kerentanan basis data. AuditIfNotExists, Dinonaktifkan 4.1.0
Server SQL pada komputer harus memiliki temuan kerentanan yang diselesaikan Penilaian kerentanan SQL memindai database Anda untuk mengetahui kerentanan keamanan, dan mengekspos setiap penyimpangan dari praktik terbaik seperti kesalahan konfigurasi, izin yang berlebihan, dan data sensitif yang tidak dilindungi. Menyelesaikan kerentanan yang ditemukan dapat sangat meningkatkan postur keamanan database Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
Kerentanan dalam konfigurasi keamanan di komputer Anda harus diremediasi Server yang tidak memenuhi baseline yang dikonfigurasi akan dipantau oleh Azure Security Center sebagai rekomendasi AuditIfNotExists, Dinonaktifkan 3.1.0
Penilaian kerentanan harus diaktifkan di SQL Managed Instance Audit setiap Instans Terkelola SQL yang tidak mengaktifkan pemindaian penilaian kerentanan berulang. Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda meremediasi kerentanan database potensial. AuditIfNotExists, Dinonaktifkan 1.0.1
Penilaian kerentanan harus diaktifkan di server SQL Anda Audit server Azure SQL yang tidak memiliki penilaian kerentanan yang dikonfigurasi dengan benar. Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda meremediasi kerentanan database potensial. AuditIfNotExists, Dinonaktifkan 3.0.0
Penilaian kerentanan harus diaktifkan di ruang kerja Synapse Anda Temukan, lacak, dan pulihkan potensi kerentanan dengan mengonfigurasi pemindaian penilaian kerentanan SQL berulang di ruang kerja Synapse Anda. AuditIfNotExists, Dinonaktifkan 1.0.0

Perlindungan Sistem dan Komunikasi

Isolasi Fungsi Keamanan

ID: FedRAMP High SC-3 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure Defender untuk server harus diaktifkan Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3
Windows Defender Exploit Guard harus diaktifkan di komputer Anda Windows Defender Exploit Guard menggunakan agen Konfigurasi Tamu Azure Policy. Exploit Guard memiliki empat komponen yang dirancang untuk mengunci perangkat dari berbagai vektor serangan dan memblokir perilaku yang biasa digunakan dalam serangan malware sekaligus memungkinkan perusahaan untuk menyeimbangkan risiko keamanan dan persyaratan produktivitas (khusus Windows). AuditIfNotExists, Dinonaktifkan 1.1.1

Penolakan Perlindungan Layanan

ID: FedRAMP High SC-5 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure DDoS Protection harus diaktifkan Perlindungan DDoS harus diaktifkan untuk semua jaringan virtual dengan subnet yang merupakan bagian dari gateway aplikasi dengan IP publik. AuditIfNotExists, Dinonaktifkan 3.0.1
Azure Web Application Firewall harus diaktifkan untuk titik masuk Azure Front Door Menyebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. Audit, Tolak, Dinonaktifkan 1.0.2
Penerusan IP pada komputer virtual Anda harus dinonaktifkan Mengaktifkan penerusan IP pada NIC komputer virtual memungkinkan komputer menerima lalu lintas yang ditujukan ke tujuan lain. Penerusan IP jarang diperlukan (misalnya, saat menggunakan VM sebagai appliance virtual jaringan), dan oleh karena itu, hal ini harus ditinjau oleh tim keamanan jaringan. AuditIfNotExists, Dinonaktifkan 3.0.0
Web Application Firewall (WAF) harus diaktifkan untuk Azure Application Gateway Menyebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. Audit, Tolak, Dinonaktifkan 2.0.0

Perlindungan Batas

ID: FedRAMP High SC-7 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Tidak digunakan lagi]: Azure Cognitive layanan Pencarian s harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Cognitive Search, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Dinonaktifkan 1.0.1-tidak digunakan lagi
[Tidak digunakan lagi]: Cognitive Services harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Cognitive Services, Anda akan mengurangi potensi kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Dinonaktifkan 3.0.1-tidak digunakan lagi
Semua port jaringan harus dibatasi pada grup keamanan jaringan yang terkait dengan komputer virtual Anda Azure Security Center telah mengidentifikasi beberapa aturan masuk grup keamanan jaringan Anda terlalu permisif. Aturan masuk tidak boleh mengizinkan akses dari rentang 'Apa pun' atau 'Internet'. Ini berpotensi memungkinkan penyerang untuk menargetkan sumber daya Anda. AuditIfNotExists, Dinonaktifkan 3.0.0
Layanan API Management harus menggunakan jaringan virtual Penyebaran Azure Virtual Network memberikan keamanan yang ditingkatkan, isolasi dan memungkinkan Anda untuk menempatkan layanan API Management Anda di jaringan non-internet routable yang Anda kontrol aksesnya. Jaringan ini kemudian dapat dihubungkan ke jaringan lokal Anda menggunakan berbagai teknologi VPN, yang memungkinkan akses ke layanan backend Anda dalam jaringan dan/atau lokal. Portal pengembang dan gateway API, dapat dikonfigurasi agar dapat diakses baik dari Internet atau hanya dalam jaringan virtual. Audit, Tolak, Dinonaktifkan 1.0.2
Azure App Configuration harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke instans konfigurasi aplikasi Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Dinonaktifkan 1.0.2
Rentang IP resmi harus ditentukan di Layanan Kube Batasi akses ke API Manajemen Layanan Kube dengan memberikan akses API hanya ke alamat IP dalam rentang tertentu. Disarankan untuk membatasi akses ke rentang IP resmi untuk memastikan bahwa hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses kluster. Audit, Dinonaktifkan 2.0.0
Sumber daya Azure AI Services harus membatasi akses jaringan Dengan membatasi akses jaringan, Anda dapat memastikan bahwa hanya jaringan yang diizinkan yang dapat mengakses layanan. Ini dapat dicapai dengan mengonfigurasi aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses layanan Azure AI. Audit, Tolak, Dinonaktifkan 3.2.0
Azure Cache for Redis harus menggunakan tautan privat Titik akhir privat memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke instans Azure Cache for Redis Anda, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Dinonaktifkan 1.0.0
Layanan Azure Cognitive Search harus menggunakan SKU yang mendukung tautan privat Dengan SKU Azure Cognitive Search yang didukung, Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke layanan Pencarian Anda, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Tolak, Dinonaktifkan 1.0.0
Layanan Azure Cognitive Search harus menonaktifkan akses jaringan publik Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa layanan Azure Cognitive Search Anda tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan layanan Pencarian Anda. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Tolak, Dinonaktifkan 1.0.0
Akun Azure Cosmos DB harus memiliki aturan firewall Aturan firewall harus ditentukan di akun Azure Cosmos DB Anda untuk mencegah lalu lintas dari sumber yang tidak sah. Akun yang memiliki setidaknya satu aturan IP yang ditentukan dengan filter jaringan virtual diaktifkan dianggap sesuai. Akun yang menonaktifkan akses publik juga dianggap patuh. Audit, Tolak, Dinonaktifkan 2.1.0
Azure Data Factory harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Data Factory, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Dinonaktifkan 1.0.0
Domain Azure Event Grid harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke domain Azure Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. Audit, Dinonaktifkan 1.0.2
Topik Azure Event Grid harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke topik Azure Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. Audit, Dinonaktifkan 1.0.2
Azure File Sync harus menggunakan tautan privat Membuat titik akhir pribadi untuk sumber daya Layanan Sinkronisasi Penyimpanan yang ditunjukkan memungkinkan Anda untuk menangani sumber daya Layanan Sinkronisasi Penyimpanan dari dalam ruang alamat IP pribadi jaringan organisasi Anda, bukan melalui titik akhir publik yang dapat diakses internet. Membuat titik akhir pribadi dengan sendirinya tidak menonaktifkan titik akhir publik. AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Key Vault harus mengaktifkan firewall Aktifkan firewall brankas kunci agar brankas kunci tidak dapat diakses secara default ke IP publik mana pun. Secara opsional, Anda dapat mengonfigurasi rentang IP tertentu untuk membatasi akses ke jaringan tersebut. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Tolak, Dinonaktifkan 1.4.1
Ruang kerja Azure Machine Learning harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke ruang kerja Azure Machine Learning, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Dinonaktifkan 1.0.0
Namespace layanan Azure Service Bus harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke namespace layanan Azure Service Bus, risiko kebocoran data akan berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Dinonaktifkan 1.0.0
Layanan Azure SignalR harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke sumber daya Layanan Azure SignalR alih-alih seluruh layanan, Anda akan mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/asrs/privatelink. Audit, Dinonaktifkan 1.0.0
Ruang kerja Azure Synapse harus menggunakan private link Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir pribadi ke ruang kerja Azure Synapse, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Dinonaktifkan 1.0.1
Azure Web Application Firewall harus diaktifkan untuk titik masuk Azure Front Door Menyebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. Audit, Tolak, Dinonaktifkan 1.0.2
Registri kontainer tidak boleh mengizinkan akses jaringan yang tidak terbatas Azure container registry secara default menerima koneksi melalui internet dari host di jaringan apa pun. Untuk melindungi registri Anda dari potensi ancaman, izinkan akses hanya dari titik akhir privat tertentu, alamat IP publik atau rentang alamat tertentu. Jika registri Anda tidak memiliki aturan jaringan yang dikonfigurasi, registri akan muncul di sumber daya yang tidak sehat. Pelajari selengkapnya tentang aturan jaringan Container Registry di sini: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network dan https://aka.ms/acr/vnet. Audit, Tolak, Dinonaktifkan 2.0.0
Registri kontainer harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform private link menangani konektivitas antara konsumen dan layanan melalui jaringan Azure backbone.Dengan memetakan titik akhir pribadi ke container registry Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/acr/private-link. Audit, Dinonaktifkan 1.0.1
Akun CosmosDB harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir privat ke akun CosmosDB Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Dinonaktifkan 1.0.0
Sumber daya akses disk harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke diskAccesses, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Dinonaktifkan 1.0.0
Namespace layanan Pusat Aktivitas harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke namespace layanan Pusat Aktivitas, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Dinonaktifkan 1.0.0
Komputer virtual yang terhubung ke internet harus dilindungi dengan grup keamanan jaringan Lindungi komputer virtual Anda dari potensi ancaman dengan membatasi akses ke komputer virtual tersebut dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc AuditIfNotExists, Dinonaktifkan 3.0.0
Instans layanan provisi perangkat Azure IoT Hub harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke layanan provisi perangkat Azure IoT Hub, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/iotdpsvnet. Audit, Dinonaktifkan 1.0.0
Penerusan IP pada komputer virtual Anda harus dinonaktifkan Mengaktifkan penerusan IP pada NIC komputer virtual memungkinkan komputer menerima lalu lintas yang ditujukan ke tujuan lain. Penerusan IP jarang diperlukan (misalnya, saat menggunakan VM sebagai appliance virtual jaringan), dan oleh karena itu, hal ini harus ditinjau oleh tim keamanan jaringan. AuditIfNotExists, Dinonaktifkan 3.0.0
Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time Kemungkinan akses Just In Time (JIT) jaringan akan dipantau oleh Azure Security Center sebagai rekomendasi AuditIfNotExists, Dinonaktifkan 3.0.0
Port manajemen harus ditutup pada komputer virtual Anda Port manajemen jarak jauh yang terbuka mengekspos VM Anda ke risiko tinggi dari serangan berbasis internet. Serangan ini mencoba untuk memaksa info masuk guna mendapatkan akses admin ke komputer. AuditIfNotExists, Dinonaktifkan 3.0.0
Komputer virtual yang tidak terhubung ke internet harus dilindungi dengan grup keamanan jaringan Lindungi komputer virtual non-internet Anda dari potensi ancaman dengan membatasi akses dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc AuditIfNotExists, Dinonaktifkan 3.0.0
Koneksi titik akhir pribadi di Azure SQL Database harus diaktifkan Koneksi titik akhir privat menerapkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure SQL Database. Audit, Dinonaktifkan 1.1.0
Akses jaringan publik di Azure SQL Database harus dinonaktifkan Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan Azure SQL Database Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Audit, Tolak, Dinonaktifkan 1.1.0
Akun penyimpanan harus membatasi akses jaringan Akses jaringan ke akun penyimpanan harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk mengizinkan koneksi dari internet tertentu atau klien lokal, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke rentang alamat IP internet publik Audit, Tolak, Dinonaktifkan 1.1.1
Akun penyimpanan harus membatasi akses jaringan menggunakan aturan jaringan virtual Lindungi akun penyimpanan Anda dari potensi ancaman menggunakan aturan jaringan virtual sebagai metode pilihan alih-alih pemfilteran berbasis IP. Menonaktifkan pemfilteran berbasis IP mencegah IP publik mengakses akun penyimpanan Anda. Audit, Tolak, Dinonaktifkan 1.0.1
Akun penyimpanan harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke akun penyimpanan Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan pribadi di - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Dinonaktifkan 2.0.0
Subnet harus dikaitkan dengan Grup Keamanan Jaringan Lindungi subnet Anda dari potensi ancaman dengan membatasi aksesnya dengan Network Security Group (NSG). NSG berisi daftar aturan Access Control List (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke subnet Anda. AuditIfNotExists, Dinonaktifkan 3.0.0
Web Application Firewall (WAF) harus diaktifkan untuk Azure Application Gateway Menyebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. Audit, Tolak, Dinonaktifkan 2.0.0

Titik Akses

ID: FedRAMP High SC-7 (3) Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Tidak digunakan lagi]: Azure Cognitive layanan Pencarian s harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Cognitive Search, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Dinonaktifkan 1.0.1-tidak digunakan lagi
[Tidak digunakan lagi]: Cognitive Services harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Cognitive Services, Anda akan mengurangi potensi kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Dinonaktifkan 3.0.1-tidak digunakan lagi
Semua port jaringan harus dibatasi pada grup keamanan jaringan yang terkait dengan komputer virtual Anda Azure Security Center telah mengidentifikasi beberapa aturan masuk grup keamanan jaringan Anda terlalu permisif. Aturan masuk tidak boleh mengizinkan akses dari rentang 'Apa pun' atau 'Internet'. Ini berpotensi memungkinkan penyerang untuk menargetkan sumber daya Anda. AuditIfNotExists, Dinonaktifkan 3.0.0
Layanan API Management harus menggunakan jaringan virtual Penyebaran Azure Virtual Network memberikan keamanan yang ditingkatkan, isolasi dan memungkinkan Anda untuk menempatkan layanan API Management Anda di jaringan non-internet routable yang Anda kontrol aksesnya. Jaringan ini kemudian dapat dihubungkan ke jaringan lokal Anda menggunakan berbagai teknologi VPN, yang memungkinkan akses ke layanan backend Anda dalam jaringan dan/atau lokal. Portal pengembang dan gateway API, dapat dikonfigurasi agar dapat diakses baik dari Internet atau hanya dalam jaringan virtual. Audit, Tolak, Dinonaktifkan 1.0.2
Azure App Configuration harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke instans konfigurasi aplikasi Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Dinonaktifkan 1.0.2
Rentang IP resmi harus ditentukan di Layanan Kube Batasi akses ke API Manajemen Layanan Kube dengan memberikan akses API hanya ke alamat IP dalam rentang tertentu. Disarankan untuk membatasi akses ke rentang IP resmi untuk memastikan bahwa hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses kluster. Audit, Dinonaktifkan 2.0.0
Sumber daya Azure AI Services harus membatasi akses jaringan Dengan membatasi akses jaringan, Anda dapat memastikan bahwa hanya jaringan yang diizinkan yang dapat mengakses layanan. Ini dapat dicapai dengan mengonfigurasi aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses layanan Azure AI. Audit, Tolak, Dinonaktifkan 3.2.0
Azure Cache for Redis harus menggunakan tautan privat Titik akhir privat memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke instans Azure Cache for Redis Anda, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Dinonaktifkan 1.0.0
Layanan Azure Cognitive Search harus menggunakan SKU yang mendukung tautan privat Dengan SKU Azure Cognitive Search yang didukung, Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke layanan Pencarian Anda, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Tolak, Dinonaktifkan 1.0.0
Layanan Azure Cognitive Search harus menonaktifkan akses jaringan publik Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa layanan Azure Cognitive Search Anda tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan layanan Pencarian Anda. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Tolak, Dinonaktifkan 1.0.0
Akun Azure Cosmos DB harus memiliki aturan firewall Aturan firewall harus ditentukan di akun Azure Cosmos DB Anda untuk mencegah lalu lintas dari sumber yang tidak sah. Akun yang memiliki setidaknya satu aturan IP yang ditentukan dengan filter jaringan virtual diaktifkan dianggap sesuai. Akun yang menonaktifkan akses publik juga dianggap patuh. Audit, Tolak, Dinonaktifkan 2.1.0
Azure Data Factory harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Data Factory, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Dinonaktifkan 1.0.0
Domain Azure Event Grid harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke domain Azure Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. Audit, Dinonaktifkan 1.0.2
Topik Azure Event Grid harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke topik Azure Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. Audit, Dinonaktifkan 1.0.2
Azure File Sync harus menggunakan tautan privat Membuat titik akhir pribadi untuk sumber daya Layanan Sinkronisasi Penyimpanan yang ditunjukkan memungkinkan Anda untuk menangani sumber daya Layanan Sinkronisasi Penyimpanan dari dalam ruang alamat IP pribadi jaringan organisasi Anda, bukan melalui titik akhir publik yang dapat diakses internet. Membuat titik akhir pribadi dengan sendirinya tidak menonaktifkan titik akhir publik. AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Key Vault harus mengaktifkan firewall Aktifkan firewall brankas kunci agar brankas kunci tidak dapat diakses secara default ke IP publik mana pun. Secara opsional, Anda dapat mengonfigurasi rentang IP tertentu untuk membatasi akses ke jaringan tersebut. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Tolak, Dinonaktifkan 1.4.1
Ruang kerja Azure Machine Learning harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke ruang kerja Azure Machine Learning, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Dinonaktifkan 1.0.0
Namespace layanan Azure Service Bus harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke namespace layanan Azure Service Bus, risiko kebocoran data akan berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Dinonaktifkan 1.0.0
Layanan Azure SignalR harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke sumber daya Layanan Azure SignalR alih-alih seluruh layanan, Anda akan mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/asrs/privatelink. Audit, Dinonaktifkan 1.0.0
Ruang kerja Azure Synapse harus menggunakan private link Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir pribadi ke ruang kerja Azure Synapse, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Dinonaktifkan 1.0.1
Azure Web Application Firewall harus diaktifkan untuk titik masuk Azure Front Door Menyebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. Audit, Tolak, Dinonaktifkan 1.0.2
Registri kontainer tidak boleh mengizinkan akses jaringan yang tidak terbatas Azure container registry secara default menerima koneksi melalui internet dari host di jaringan apa pun. Untuk melindungi registri Anda dari potensi ancaman, izinkan akses hanya dari titik akhir privat tertentu, alamat IP publik atau rentang alamat tertentu. Jika registri Anda tidak memiliki aturan jaringan yang dikonfigurasi, registri akan muncul di sumber daya yang tidak sehat. Pelajari selengkapnya tentang aturan jaringan Container Registry di sini: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network dan https://aka.ms/acr/vnet. Audit, Tolak, Dinonaktifkan 2.0.0
Registri kontainer harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform private link menangani konektivitas antara konsumen dan layanan melalui jaringan Azure backbone.Dengan memetakan titik akhir pribadi ke container registry Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/acr/private-link. Audit, Dinonaktifkan 1.0.1
Akun CosmosDB harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir privat ke akun CosmosDB Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Dinonaktifkan 1.0.0
Sumber daya akses disk harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke diskAccesses, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Dinonaktifkan 1.0.0
Namespace layanan Pusat Aktivitas harus menggunakan tautan privat Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke namespace layanan Pusat Aktivitas, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Dinonaktifkan 1.0.0
Komputer virtual yang terhubung ke internet harus dilindungi dengan grup keamanan jaringan Lindungi komputer virtual Anda dari potensi ancaman dengan membatasi akses ke komputer virtual tersebut dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc AuditIfNotExists, Dinonaktifkan 3.0.0
Instans layanan provisi perangkat Azure IoT Hub harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke layanan provisi perangkat Azure IoT Hub, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/iotdpsvnet. Audit, Dinonaktifkan 1.0.0
Penerusan IP pada komputer virtual Anda harus dinonaktifkan Mengaktifkan penerusan IP pada NIC komputer virtual memungkinkan komputer menerima lalu lintas yang ditujukan ke tujuan lain. Penerusan IP jarang diperlukan (misalnya, saat menggunakan VM sebagai appliance virtual jaringan), dan oleh karena itu, hal ini harus ditinjau oleh tim keamanan jaringan. AuditIfNotExists, Dinonaktifkan 3.0.0
Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time Kemungkinan akses Just In Time (JIT) jaringan akan dipantau oleh Azure Security Center sebagai rekomendasi AuditIfNotExists, Dinonaktifkan 3.0.0
Port manajemen harus ditutup pada komputer virtual Anda Port manajemen jarak jauh yang terbuka mengekspos VM Anda ke risiko tinggi dari serangan berbasis internet. Serangan ini mencoba untuk memaksa info masuk guna mendapatkan akses admin ke komputer. AuditIfNotExists, Dinonaktifkan 3.0.0
Komputer virtual yang tidak terhubung ke internet harus dilindungi dengan grup keamanan jaringan Lindungi komputer virtual non-internet Anda dari potensi ancaman dengan membatasi akses dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc AuditIfNotExists, Dinonaktifkan 3.0.0
Koneksi titik akhir pribadi di Azure SQL Database harus diaktifkan Koneksi titik akhir privat menerapkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure SQL Database. Audit, Dinonaktifkan 1.1.0
Akses jaringan publik di Azure SQL Database harus dinonaktifkan Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan Azure SQL Database Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Audit, Tolak, Dinonaktifkan 1.1.0
Akun penyimpanan harus membatasi akses jaringan Akses jaringan ke akun penyimpanan harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk mengizinkan koneksi dari internet tertentu atau klien lokal, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke rentang alamat IP internet publik Audit, Tolak, Dinonaktifkan 1.1.1
Akun penyimpanan harus membatasi akses jaringan menggunakan aturan jaringan virtual Lindungi akun penyimpanan Anda dari potensi ancaman menggunakan aturan jaringan virtual sebagai metode pilihan alih-alih pemfilteran berbasis IP. Menonaktifkan pemfilteran berbasis IP mencegah IP publik mengakses akun penyimpanan Anda. Audit, Tolak, Dinonaktifkan 1.0.1
Akun penyimpanan harus menggunakan tautan pribadi Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke akun penyimpanan Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan pribadi di - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Dinonaktifkan 2.0.0
Subnet harus dikaitkan dengan Grup Keamanan Jaringan Lindungi subnet Anda dari potensi ancaman dengan membatasi aksesnya dengan Network Security Group (NSG). NSG berisi daftar aturan Access Control List (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke subnet Anda. AuditIfNotExists, Dinonaktifkan 3.0.0
Web Application Firewall (WAF) harus diaktifkan untuk Azure Application Gateway Menyebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. Audit, Tolak, Dinonaktifkan 2.0.0

Kerahasiaan dan integritas transmisi

ID: FedRAMP High SC-8 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Aplikasi App Service hanya dapat diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Audit, Dinonaktifkan, Tolak 4.0.0
Aplikasi App Service hanya memerlukan FTPS Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan. AuditIfNotExists, Dinonaktifkan 3.0.0
Aplikasi App Service harus menggunakan versi TLS terbaru Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi App Service untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. AuditIfNotExists, Dinonaktifkan 2.1.0
Kluster Azure HDInsight harus menggunakan enkripsi pada transit untuk mengenkripsi komunikasi antar node kluster Microsoft Azure HDInsight Data dapat diubah selama transmisi antar node kluster Microsoft Azure HDInsight. Mengaktifkan enkripsi pada transit mengatasi masalah penyalahgunaan dan pengubahan selama transmisi ini. Audit, Tolak, Dinonaktifkan 1.0.0
Terapkan koneksi SSL harus diaktifkan untuk server database MySQL Azure Database for MySQL mendukung koneksi server Azure Database for MySQL Anda ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda. Audit, Dinonaktifkan 1.0.1
Terapkan koneksi SSL harus diaktifkan untuk server database PostgreSQL Azure Database for PostgreSQL mendukung penyambungan server Azure Database for PostgreSQL ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda. Audit, Dinonaktifkan 1.0.1
Aplikasi fungsi seharusnya hanya dapat diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Audit, Dinonaktifkan, Tolak 5.0.0
Aplikasi Fungsi harus memerlukan hanya FTPS Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan. AuditIfNotExists, Dinonaktifkan 3.0.0
Aplikasi Fungsi harus menggunakan versi TLS terbaru Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi Fungsi untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. AuditIfNotExists, Dinonaktifkan 2.1.0
Cluster Kubernetes hanya dapat diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Kemampuan ini saat ini umumnya tersedia untuk Kubernetes Service (AKS), dan dalam pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk info selengkapnya, kunjungi https://aka.ms/kubepolicydoc audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 9.1.0
Hanya koneksi aman ke Azure Cache for Redis Anda yang harus diaktifkan Audit memungkinkan hanya koneksi melalui SSL ke Azure Cache for Redis. Penggunaan koneksi aman memastikan autentikasi antara server dan layanan serta melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking Audit, Tolak, Dinonaktifkan 1.0.0
Transfer aman ke akun penyimpanan harus diaktifkan Persyaratan audit Transfer aman di akun penyimpanan Anda. Transfer aman adalah opsi yang memaksa akun penyimpanan Anda untuk menerima permintaan hanya dari koneksi aman (HTTPS). Penggunaan HTTPS memastikan autentikasi antara server dan layanan dan melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking Audit, Tolak, Dinonaktifkan 2.0.0
Komputer Windows harus dikonfigurasi untuk menggunakan protokol komunikasi yang aman Untuk melindungi privasi informasi yang dikomunikasikan melalui Internet, komputer Anda harus menggunakan versi terbaru protokol kriptografi standar industri, Keamanan Lapisan Transportasi (TLS). TLS mengamankan komunikasi melalui jaringan dengan mengenkripsi koneksi antar mesin. AuditIfNotExists, Dinonaktifkan 3.0.1

Perlindungan Fisik Kriptografi atau Alternatif

ID: FedRAMP High SC-8 (1) Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Aplikasi App Service hanya dapat diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Audit, Dinonaktifkan, Tolak 4.0.0
Aplikasi App Service hanya memerlukan FTPS Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan. AuditIfNotExists, Dinonaktifkan 3.0.0
Aplikasi App Service harus menggunakan versi TLS terbaru Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi App Service untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. AuditIfNotExists, Dinonaktifkan 2.1.0
Kluster Azure HDInsight harus menggunakan enkripsi pada transit untuk mengenkripsi komunikasi antar node kluster Microsoft Azure HDInsight Data dapat diubah selama transmisi antar node kluster Microsoft Azure HDInsight. Mengaktifkan enkripsi pada transit mengatasi masalah penyalahgunaan dan pengubahan selama transmisi ini. Audit, Tolak, Dinonaktifkan 1.0.0
Terapkan koneksi SSL harus diaktifkan untuk server database MySQL Azure Database for MySQL mendukung koneksi server Azure Database for MySQL Anda ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda. Audit, Dinonaktifkan 1.0.1
Terapkan koneksi SSL harus diaktifkan untuk server database PostgreSQL Azure Database for PostgreSQL mendukung penyambungan server Azure Database for PostgreSQL ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda. Audit, Dinonaktifkan 1.0.1
Aplikasi fungsi seharusnya hanya dapat diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Audit, Dinonaktifkan, Tolak 5.0.0
Aplikasi Fungsi harus memerlukan hanya FTPS Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan. AuditIfNotExists, Dinonaktifkan 3.0.0
Aplikasi Fungsi harus menggunakan versi TLS terbaru Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi Fungsi untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. AuditIfNotExists, Dinonaktifkan 2.1.0
Cluster Kubernetes hanya dapat diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Kemampuan ini saat ini umumnya tersedia untuk Kubernetes Service (AKS), dan dalam pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk info selengkapnya, kunjungi https://aka.ms/kubepolicydoc audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 9.1.0
Hanya koneksi aman ke Azure Cache for Redis Anda yang harus diaktifkan Audit memungkinkan hanya koneksi melalui SSL ke Azure Cache for Redis. Penggunaan koneksi aman memastikan autentikasi antara server dan layanan serta melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking Audit, Tolak, Dinonaktifkan 1.0.0
Transfer aman ke akun penyimpanan harus diaktifkan Persyaratan audit Transfer aman di akun penyimpanan Anda. Transfer aman adalah opsi yang memaksa akun penyimpanan Anda untuk menerima permintaan hanya dari koneksi aman (HTTPS). Penggunaan HTTPS memastikan autentikasi antara server dan layanan dan melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking Audit, Tolak, Dinonaktifkan 2.0.0
Komputer Windows harus dikonfigurasi untuk menggunakan protokol komunikasi yang aman Untuk melindungi privasi informasi yang dikomunikasikan melalui Internet, komputer Anda harus menggunakan versi terbaru protokol kriptografi standar industri, Keamanan Lapisan Transportasi (TLS). TLS mengamankan komunikasi melalui jaringan dengan mengenkripsi koneksi antar mesin. AuditIfNotExists, Dinonaktifkan 3.0.1

Pembentukan dan manajemen kunci kriptografi

ID: FedRAMP High SC-12 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Vault Layanan Pemulihan Azure harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data cadangan Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi di sisa data cadangan Anda. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci tersebut biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/AB-CmkEncryption. Audit, Tolak, Dinonaktifkan 1.0.0-pratinjau
[Pratinjau]: Data layanan provisikan perangkat IoT Hub harus dienkripsi menggunakan kunci yang dikelola pelanggan (CMK) Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi di seluruh layanan provisi perangkat Azure IoT Hub Anda. Data dienkripsi secara otomatis saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan (CMK) biasanya diperlukan untuk memenuhi standar kepatuhan terhadap peraturan. CMK memungkinkan data dienkripsi dengan kunci Azure Key Vault dibuat dan dimiliki oleh Anda. Pelajari lebih lanjut tentang enkripsi CMK di https://aka.ms/dps/CMK. Audit, Tolak, Dinonaktifkan 1.0.0-pratinjau
Sumber daya Azure AI Services harus mengenkripsi data tidak aktif dengan kunci yang dikelola pelanggan (CMK) Menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif memberikan kontrol lebih besar atas siklus hidup utama, termasuk rotasi dan manajemen. Ini sangat relevan untuk organisasi dengan persyaratan kepatuhan terkait. Ini tidak dinilai secara default dan hanya boleh diterapkan ketika diperlukan oleh persyaratan kepatuhan atau kebijakan terbatas. Jika tidak diaktifkan, data akan dienkripsi menggunakan kunci yang dikelola platform. Untuk menerapkan ini, perbarui parameter 'Efek' dalam Kebijakan Keamanan untuk cakupan yang berlaku. Audit, Tolak, Dinonaktifkan 2.2.0
Akun Azure Automation harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi tidak aktif pada Akun Azure Automation Anda. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci tersebut biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/automation-cmk. Audit, Tolak, Dinonaktifkan 1.0.0
Akun Azure Batch harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari data akun Batch Anda. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci tersebut biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/Batch-CMK. Audit, Tolak, Dinonaktifkan 1.0.1
Grup kontainer Azure Container Instance harus menggunakan kunci yang dikelola pelanggan untuk enkripsi Mengamankan kontainer Anda dengan fleksibilitas yang lebih besar menggunakan kunci yang dikelola pelanggan. Saat Anda menentukan kunci yang dikelola pelanggan, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Menggunakan kunci yang dikelola pelanggan menyediakan kemampuan tambahan untuk mengontrol rotasi kunci enkripsi utama atau menghapus data secara kriptografis. Audit, Dinonaktifkan, Tolak 1.0.0
Akun Azure Cosmos DB harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari Azure Cosmos DB Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/cosmosdb-cmk. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 1.1.0
Pekerjaan Azure Data Box harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi kata sandi pembuka kunci perangkat Gunakan kunci yang dikelola pelanggan untuk mengontrol enkripsi kata sandi buka kunci perangkat untuk Azure Data Box. Kunci yang dikelola pelanggan juga membantu mengelola akses ke kata sandi buka kunci perangkat oleh layanan Azure Data Box untuk menyiapkan perangkat dan menyalin data secara otomatis. Data pada perangkat itu sendiri sudah dienkripsi saat istirahat dengan enkripsi Standar Enkripsi Lanjutan 256-bit, dan kata sandi pembuka kunci perangkat dienkripsi secara default dengan kunci yang dikelola Microsoft. Audit, Tolak, Dinonaktifkan 1.0.0
Enkripsi Azure Data Explorer saat nonaktif harus menggunakan kunci yang dikelola pelanggan Mengaktifkan enkripsi saat tidak aktif menggunakan kunci yang dikelola pelanggan di kluster Azure Data Explorer Anda memberikan kontrol tambahan atas kunci yang digunakan oleh enkripsi saat tidak aktif. Fitur ini seringkali berlaku untuk pelanggan dengan persyaratan kepatuhan khusus dan memerlukan Gudang Kunci untuk mengelola kunci. Audit, Tolak, Dinonaktifkan 1.0.0
Azure Data Factory harus dienkripsi dengan kunci yang dikelola pelanggan Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi di seluruh Azure Data Factory Anda. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci tersebut biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/adf-cmk. Audit, Tolak, Dinonaktifkan 1.0.1
Kluster Azure HDInsight harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi tidak aktif kluster Azure HDInsight Anda. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan umumnya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/hdi.cmk. Audit, Tolak, Dinonaktifkan 1.0.1
Kluster Azure HDInsight harus menggunakan enkripsi di host untuk mengenkripsi data tidak aktif Mengaktifkan enkripsi di host membantu melindungi dan menjaga data Anda untuk memenuhi komitmen keamanan dan kepatuhan organisasi. Saat Anda mengaktifkan enkripsi di host, data yang disimpan di host VM dienkripsi saat tidak aktif dan mengalirkan enkripsi ke layanan Microsoft Azure Storage. Audit, Tolak, Dinonaktifkan 1.0.0
Ruang kerja Azure Machine Learning harus dienkripsi dengan kunci yang dikelola pelanggan Kelola enkripsi pada data ruang kerja Azure Machine Learning lainnya dengan kunci yang dikelola pelanggan. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan umumnya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/azureml-workspaces-cmk. Audit, Tolak, Dinonaktifkan 1.1.0
Kluster Log Azure Monitor harus dienkripsi dengan kunci yang dikelola pelanggan Buat kluster log Azure Monitor dengan enkripsi kunci yang dikelola pelanggan. Secara default, data log dienkripsi dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi kepatuhan terhadap peraturan. Kunci yang dikelola pelanggan di Azure Monitor memberi lebih banyak kontrol atas akses ke data Anda, lihat https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 1.1.0
Pekerjaan Azure Stream Analytics harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data Gunakan kunci yang dikelola pelanggan saat Anda ingin menyimpan metadata dan aset data pribadi apa pun dengan aman dari tugas Analisis Aliran di akun penyimpanan Anda. Hal ini memberi Anda kendali penuh atas cara data Azure Stream Analytics Anda dienkripsi. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 1.1.0
Ruang kerja Azure Synapse harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif Gunakan kunci yang dikelola pelanggan untuk mengontrol enkripsi di seluruh data yang disimpan di ruang kerja Azure Synapse. Kunci yang dikelola pelanggan memberikan enkripsi ganda dengan menambahkan enkripsi lapisan kedua di atas enkripsi default dengan kunci yang dikelola layanan. Audit, Tolak, Dinonaktifkan 1.0.0
Bot Service harus dienkripsi dengan kunci yang dikelola pelanggan Azure Bot Service secara otomatis mengenkripsi sumber daya Anda untuk melindungi data Anda dan memenuhi komitmen keamanan dan kepatuhan organisasi. Secara default, kunci enkripsi yang dikelola Microsoft digunakan. Untuk fleksibilitas yang lebih besar dalam mengelola kunci atau mengontrol akses ke langganan Anda, pilih kunci yang dikelola pelanggan, juga dikenal sebagai bawa kunci Anda sendiri (BYOK). Pelajari selengkapnya tentang enkripsi Azure Bot Service: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 1.1.0
Sistem operasi dan disk data di kluster Azure Kubernetes Service harus dienkripsi dengan kunci yang dikelola pelanggan Mengenkripsi OS dan disk data menggunakan kunci yang dikelola pelanggan memberikan lebih banyak kontrol dan fleksibilitas yang lebih besar dalam manajemen kunci. Ini adalah persyaratan umum dalam banyak standar kepatuhan peraturan dan industri. Audit, Tolak, Dinonaktifkan 1.0.1
Pendaftaran penampung harus dienkripsi dengan kunci yang dikelola pelanggan Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi tidak aktif di seluruh isi disk terkelola Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/acr/CMK. Audit, Tolak, Dinonaktifkan 1.1.2
Namespace layanan Pusat Aktivitas harus menggunakan kunci yang dikelola pelanggan untuk enkripsi Pusat Aktivitas mendukung opsi enkripsi data tidak aktif dengan kunci yang dikelola Microsoft (default) atau kunci yang dikelola pelanggan. Memilih untuk mengenkripsi data menggunakan kunci yang dikelola pelanggan memungkinkan Anda untuk menetapkan, memutar, menonaktifkan, dan mencabut akses ke kunci yang akan digunakan Pusat Aktivitas untuk mengenkripsi data di namespace layanan Anda. Harap diingat bahwa Pusat Aktivitas hanya mendukung enkripsi dengan kunci yang dikelola pelanggan untuk namespace layanan di kluster khusus. Audit, Dinonaktifkan 1.0.0
Lingkungan Layanan Integrasi Logic Apps harus dienkripsi dengan kunci yang dikelola pelanggan Sebarkan ke Lingkungan Layanan Integrasi untuk mengelola enkripsi di seluruh data Logic Apps menggunakan kunci yang dikelola pelanggan. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci tersebut biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Audit, Tolak, Dinonaktifkan 1.0.0
Disk terkelola harus dienkripsi ganda dengan kunci yang dikelola platform dan kunci yang dikelola pelanggan Pelanggan sensitif keamanan tinggi yang memiliki kekhawatiran atas risiko terkait algoritma enkripsi, implementasi, atau kunci tertentu yang disusupi dapat memilih lapisan enkripsi tambahan menggunakan algoritma/mode enkripsi yang berbeda pada lapisan infrastruktur menggunakan kunci enkripsi yang dikelola platform. Set enkripsi disk diperlukan untuk menggunakan enkripsi ganda. Pelajari lebih lanjut di https://aka.ms/disks-doubleEncryption. Audit, Tolak, Dinonaktifkan 1.0.0
Disk data dan OS harus dienkripsi dengan kunci yang dikelola pelanggan Menggunakan kunci yang dikelola pelanggan untuk mengelola enkripsi di seluruh konten disk terkelola Anda. Secara default, data dienkripsi saat tidak digunakan dengan kunci yang dikelola platform, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/disks-cmk. Audit, Tolak, Dinonaktifkan 3.0.0
Kueri tersimpan di Azure Monitor harus disimpan di akun penyimpanan pelanggan untuk enkripsi log Tautkan akun penyimpanan ke ruang kerja Analitik Log untuk melindungi kueri tersimpan dengan enkripsi akun penyimpanan. Kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi kepatuhan peraturan dan untuk kontrol yang lebih atas akses ke kueri tersimpan Anda di Azure Monitor. Untuk detail selengkapnya tentang hal di atas, lihat https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 1.1.0
Namespace layanan Azure Service Bus Premium harus menggunakan kunci yang dikelola pelanggan untuk enkripsi Azure Service Bus mendukung opsi mengenkripsi data tidak aktif dengan kunci yang dikelola Microsoft (default) atau kunci yang dikelola pelanggan. Memilih untuk mengenkripsi data menggunakan kunci yang dikelola pelanggan memungkinkan Anda untuk menetapkan, merotasikan, menonaktifkan, dan mencabut akses ke kunci yang akan digunakan Azure Service Bus untuk mengenkripsi data di namespace layanan Anda. Perhatikan bahwa Azure Service Bus hanya mendukung enkripsi dengan kunci yang dikelola pelanggan untuk namespace layanan premium. Audit, Dinonaktifkan 1.0.0
ISQL managed instances harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data yang tidak aktif Implementasi Enkripsi Data Transparan (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. Audit, Tolak, Dinonaktifkan 2.0.0
Server SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif Implementasi Transparent Data Encryption (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. Audit, Tolak, Dinonaktifkan 2.0.1
Cakupan enkripsi akun penyimpanan harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif di seluruh cakupan enkripsi akun penyimpanan Anda. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci brankas kunci Azure yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. Pelajari lebih lanjut tentang selengkapnya penyimpanan di https://aka.ms/encryption-scopes-overview. Audit, Tolak, Dinonaktifkan 1.0.0
Akun penyimpanan harus menggunakan kunci yang dikelola pelanggan untuk enkripsi Amankan akun penyimpanan blob dan file Anda dengan fleksibilitas yang lebih besar menggunakan kunci yang dikelola pelanggan. Saat Anda menentukan kunci yang dikelola pelanggan, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Menggunakan kunci yang dikelola pelanggan memberikan kemampuan tambahan untuk mengontrol rotasi kunci enkripsi kunci atau menghapus data secara kriptografis. Audit, Dinonaktifkan 1.0.3

Perlindungan informasi tidak aktif

ID: FedRAMP High SC-28 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Lingkungan App Service harus telah mengaktifkan enkripsi internal Mengatur InternalEncryption ke true mengenkripsi pagefile, disk pekerja, dan lalu lintas jaringan internal antara ujung depan dan pekerja di Lingkungan App Service. Untuk mempelajari lebih lanjut, lihat https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Audit, Dinonaktifkan 1.0.1
Variabel akun Automation harus dienkripsi Penting untuk mengaktifkan enkripsi aset variabel akun Azure Automation saat menyimpan data sensitif Audit, Tolak, Dinonaktifkan 1.1.0
Pekerjaan Azure Data Box harus mengaktifkan enkripsi ganda untuk data tidak aktif di perangkat Aktifkan enkripsi berbasis perangkat lunak lapisan kedua untuk data tidak aktif di perangkat. Perangkat sudah dilindungi melalui Standar Enkripsi Lanjutan enkripsi 256-bit untuk data saat tidak aktif. Opsi ini menambahkan enkripsi data lapis kedua. Audit, Tolak, Dinonaktifkan 1.0.0
Kluster Log Azure Monitor harus dibuat dengan enkripsi infrastruktur yang diaktifkan (enkripsi ganda) Untuk memastikan enkripsi data yang aman diaktifkan di tingkat layanan dan tingkat infrastruktur dengan dua algoritma enkripsi yang berbeda dan dua kunci yang berbeda, gunakan kluster khusus Azure Monitor. Opsi ini diaktifkan secara default bila didukung di wilayah tersebut, lihat https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 1.1.0
Perangkat Azure Stack Edge harus menggunakan enkripsi ganda Untuk mengamankan data saat tidak aktif pada perangkat, pastikan data dienkripsi ganda, akses ke data dikontrol, dan setelah perangkat dinonaktifkan, data dihapus dengan aman dari disk data. Enkripsi ganda adalah penggunaan dua lapis enkripsi: enkripsi BitLocker XTS-AES 256-bit pada volume data dan enkripsi bawaan pada hard drive. Pelajari selengkapnya pada dokumentasi gambaran keamanan untuk perangkat Stack Edge tertentu. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 1.1.0
Enkripsi disk harus diaktifkan di Azure Data Explorer Mengaktifkan enkripsi disk membantu melindungi dan mengamankan data Anda untuk memenuhi komitmen keamanan dan kepatuhan organisasi Anda. Audit, Tolak, Dinonaktifkan 2.0.0
Enkripsi ganda harus diaktifkan di Azure Data Explorer Mengaktifkan enkripsi ganda membantu melindungi dan mengamankan data Anda untuk memenuhi komitmen keamanan dan kepatuhan organisasi Anda. Ketika enkripsi ganda telah diaktifkan, data di akun penyimpanan dienkripsi dua kali, sekali di tingkat layanan dan sekali di tingkat infrastruktur, menggunakan dua algoritme enkripsi yang berbeda dan dua kunci yang berbeda. Audit, Tolak, Dinonaktifkan 2.0.0
Kluster Service Fabric harus memiliki properti ClusterProtectionLevel yang disetel ke EncryptAndSign Service Fabric menyediakan tiga tingkat perlindungan (None, Sign, dan EncryptAndSign) untuk komunikasi node-to-node menggunakan sertifikat kluster utama. Atur tingkat perlindungan untuk memastikan bahwa semua pesan node-to-node dienkripsi dan ditandatangani secara digital Audit, Tolak, Dinonaktifkan 1.1.0
Akun penyimpanan harus memiliki enkripsi infrastruktur Aktifkan enkripsi infrastruktur untuk tingkat jaminan yang lebih tinggi bahwa data aman. Saat enkripsi infrastruktur diaktifkan, data dalam akun penyimpanan dienkripsi dua kali. Audit, Tolak, Dinonaktifkan 1.0.0
Disk dan cache sementara untuk kumpulan simpul agen di kluster Azure Kubernetes Service harus dienkripsi di host Untuk meningkatkan keamanan data, data tersimpan pada host komputer virtual (VM) dari VM simpul Azure Kubernetes Service harus dienkripsi saat tidak aktif. Ini adalah persyaratan umum dalam banyak standar kepatuhan peraturan dan industri. Audit, Tolak, Dinonaktifkan 1.0.1
Enkripsi Data Transparan pada database SQL harus diaktifkan Enkripsi data transparan harus diaktifkan untuk melindungi data-yang-tidak-aktif dan memenuhi persyaratan kepatuhan AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer virtual dan set skala komputer virtual harus mengaktifkan enkripsi pada host Menggunakan enkripsi di host guna mendapatkan enkripsi end-to-end untuk komputer virtual dan data set skala komputer virtual. Enkripsi di host memungkinkan enkripsi saat tidak digunakan untuk disk sementara dan cache disk OS/data. Disk OS sementara dan tentatif akan dienkripsi dengan kunci yang dikelola platform saat enkripsi di host diaktifkan. Cache disk OS/data dienkripsi saat tidak digunakan dengan kunci yang dikelola pelanggan atau dikelola platform, bergantung pada jenis enkripsi yang dipilih pada disk. Pelajari lebih lanjut di https://aka.ms/vm-hbe. Audit, Tolak, Dinonaktifkan 1.0.0

Perlindungan Kriptografi

ID: FedRAMP High SC-28 (1) Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Lingkungan App Service harus telah mengaktifkan enkripsi internal Mengatur InternalEncryption ke true mengenkripsi pagefile, disk pekerja, dan lalu lintas jaringan internal antara ujung depan dan pekerja di Lingkungan App Service. Untuk mempelajari lebih lanjut, lihat https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Audit, Dinonaktifkan 1.0.1
Variabel akun Automation harus dienkripsi Penting untuk mengaktifkan enkripsi aset variabel akun Azure Automation saat menyimpan data sensitif Audit, Tolak, Dinonaktifkan 1.1.0
Pekerjaan Azure Data Box harus mengaktifkan enkripsi ganda untuk data tidak aktif di perangkat Aktifkan enkripsi berbasis perangkat lunak lapisan kedua untuk data tidak aktif di perangkat. Perangkat sudah dilindungi melalui Standar Enkripsi Lanjutan enkripsi 256-bit untuk data saat tidak aktif. Opsi ini menambahkan enkripsi data lapis kedua. Audit, Tolak, Dinonaktifkan 1.0.0
Kluster Log Azure Monitor harus dibuat dengan enkripsi infrastruktur yang diaktifkan (enkripsi ganda) Untuk memastikan enkripsi data yang aman diaktifkan di tingkat layanan dan tingkat infrastruktur dengan dua algoritma enkripsi yang berbeda dan dua kunci yang berbeda, gunakan kluster khusus Azure Monitor. Opsi ini diaktifkan secara default bila didukung di wilayah tersebut, lihat https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 1.1.0
Perangkat Azure Stack Edge harus menggunakan enkripsi ganda Untuk mengamankan data saat tidak aktif pada perangkat, pastikan data dienkripsi ganda, akses ke data dikontrol, dan setelah perangkat dinonaktifkan, data dihapus dengan aman dari disk data. Enkripsi ganda adalah penggunaan dua lapis enkripsi: enkripsi BitLocker XTS-AES 256-bit pada volume data dan enkripsi bawaan pada hard drive. Pelajari selengkapnya pada dokumentasi gambaran keamanan untuk perangkat Stack Edge tertentu. audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan 1.1.0
Enkripsi disk harus diaktifkan di Azure Data Explorer Mengaktifkan enkripsi disk membantu melindungi dan mengamankan data Anda untuk memenuhi komitmen keamanan dan kepatuhan organisasi Anda. Audit, Tolak, Dinonaktifkan 2.0.0
Enkripsi ganda harus diaktifkan di Azure Data Explorer Mengaktifkan enkripsi ganda membantu melindungi dan mengamankan data Anda untuk memenuhi komitmen keamanan dan kepatuhan organisasi Anda. Ketika enkripsi ganda telah diaktifkan, data di akun penyimpanan dienkripsi dua kali, sekali di tingkat layanan dan sekali di tingkat infrastruktur, menggunakan dua algoritme enkripsi yang berbeda dan dua kunci yang berbeda. Audit, Tolak, Dinonaktifkan 2.0.0
Kluster Service Fabric harus memiliki properti ClusterProtectionLevel yang disetel ke EncryptAndSign Service Fabric menyediakan tiga tingkat perlindungan (None, Sign, dan EncryptAndSign) untuk komunikasi node-to-node menggunakan sertifikat kluster utama. Atur tingkat perlindungan untuk memastikan bahwa semua pesan node-to-node dienkripsi dan ditandatangani secara digital Audit, Tolak, Dinonaktifkan 1.1.0
Akun penyimpanan harus memiliki enkripsi infrastruktur Aktifkan enkripsi infrastruktur untuk tingkat jaminan yang lebih tinggi bahwa data aman. Saat enkripsi infrastruktur diaktifkan, data dalam akun penyimpanan dienkripsi dua kali. Audit, Tolak, Dinonaktifkan 1.0.0
Disk dan cache sementara untuk kumpulan simpul agen di kluster Azure Kubernetes Service harus dienkripsi di host Untuk meningkatkan keamanan data, data tersimpan pada host komputer virtual (VM) dari VM simpul Azure Kubernetes Service harus dienkripsi saat tidak aktif. Ini adalah persyaratan umum dalam banyak standar kepatuhan peraturan dan industri. Audit, Tolak, Dinonaktifkan 1.0.1
Enkripsi Data Transparan pada database SQL harus diaktifkan Enkripsi data transparan harus diaktifkan untuk melindungi data-yang-tidak-aktif dan memenuhi persyaratan kepatuhan AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer virtual dan set skala komputer virtual harus mengaktifkan enkripsi pada host Menggunakan enkripsi di host guna mendapatkan enkripsi end-to-end untuk komputer virtual dan data set skala komputer virtual. Enkripsi di host memungkinkan enkripsi saat tidak digunakan untuk disk sementara dan cache disk OS/data. Disk OS sementara dan tentatif akan dienkripsi dengan kunci yang dikelola platform saat enkripsi di host diaktifkan. Cache disk OS/data dienkripsi saat tidak digunakan dengan kunci yang dikelola pelanggan atau dikelola platform, bergantung pada jenis enkripsi yang dipilih pada disk. Pelajari lebih lanjut di https://aka.ms/vm-hbe. Audit, Tolak, Dinonaktifkan 1.0.0

Integritas Sistem dan Informasi

Remediasi Kerusakan

ID: FedRAMP High SI-2 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Aplikasi App Service harus menggunakan 'Versi HTTP' terbaru Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru. AuditIfNotExists, Dinonaktifkan 4.0.0
Azure Defender untuk server Azure SQL Database harus diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk Resource Manager harus diaktifkan Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Defender untuk server harus diaktifkan Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3
Aplikasi Fungsi harus menggunakan 'Versi HTTP' terbaru Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru. AuditIfNotExists, Dinonaktifkan 4.0.0
Layanan Kubernetes harus ditingkatkan ke versi Kubernetes yang tidak rentan Tingkatkan klaster layanan Kubernetes Anda ke versi Kubernetes yang lebih baru untuk melindungi dari kerentanan yang diketahui di versi Kubernetes Anda saat ini. Kerentanan CVE-2019-9946 telah di-patch di Kubernetes versi 1.11.9+, 1.12.7+, 1.13.5+, dan 1.14.0+ Audit, Dinonaktifkan 1.0.2
Pertahanan Microsoft untuk Kontainer harus diaktifkan Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
Pertahanan Microsoft untuk Penyimpanan (Klasik) harus diaktifkan Pertahanan Microsoft untuk Penyimpanan (Klasik) menyediakan deteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. AuditIfNotExists, Dinonaktifkan 1.0.4
Database SQL harus memiliki temuan kerentanan yang diselesaikan Pantau hasil pemindaian penilaian kerentanan dan rekomendasi tentang cara memulihkan kerentanan basis data. AuditIfNotExists, Dinonaktifkan 4.1.0
Kerentanan dalam konfigurasi keamanan di komputer Anda harus diremediasi Server yang tidak memenuhi baseline yang dikonfigurasi akan dipantau oleh Azure Security Center sebagai rekomendasi AuditIfNotExists, Dinonaktifkan 3.1.0

Perlindungan Kode Berbahaya

ID: FedRAMP High SI-3 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure Defender untuk server harus diaktifkan Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3
Windows Defender Exploit Guard harus diaktifkan di komputer Anda Windows Defender Exploit Guard menggunakan agen Konfigurasi Tamu Azure Policy. Exploit Guard memiliki empat komponen yang dirancang untuk mengunci perangkat dari berbagai vektor serangan dan memblokir perilaku yang biasa digunakan dalam serangan malware sekaligus memungkinkan perusahaan untuk menyeimbangkan risiko keamanan dan persyaratan produktivitas (khusus Windows). AuditIfNotExists, Dinonaktifkan 1.1.1

Manajemen pusat

ID: FedRAMP High SI-3 (1) Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure Defender untuk server harus diaktifkan Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3
Windows Defender Exploit Guard harus diaktifkan di komputer Anda Windows Defender Exploit Guard menggunakan agen Konfigurasi Tamu Azure Policy. Exploit Guard memiliki empat komponen yang dirancang untuk mengunci perangkat dari berbagai vektor serangan dan memblokir perilaku yang biasa digunakan dalam serangan malware sekaligus memungkinkan perusahaan untuk menyeimbangkan risiko keamanan dan persyaratan produktivitas (khusus Windows). AuditIfNotExists, Dinonaktifkan 1.1.1

Pemantauan Sistem Informasi

ID: FedRAMP High SI-4 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Kluster Kubernetes yang mengaktifkan Azure Arc harus memiliki ekstensi Microsoft Defender untuk Cloud yang diinstal Ekstensi Microsoft Defender untuk Cloud untuk Azure Arc memberikan perlindungan ancaman untuk kluster Kubernetes Anda yang mendukung Arc. Ekstensi ini mengumpulkan data dari simpul dalam kluster dan mengirimkannya ke backend Azure Defender untuk Kube di cloud untuk dianalisis lebih lanjut. Pelajari lebih lanjut di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Dinonaktifkan 4.0.1-pratinjau
[Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Linux Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. AuditIfNotExists, Dinonaktifkan pratinjau-1.0.2
[Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Windows Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. AuditIfNotExists, Dinonaktifkan pratinjau-1.0.2
Azure Defender untuk server Azure SQL Database harus diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk Resource Manager harus diaktifkan Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Defender untuk server harus diaktifkan Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi Audit server SQL tanpa Advanced Data Security AuditIfNotExists, Dinonaktifkan 2.0.1
Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. AuditIfNotExists, Dinonaktifkan 1.0.2
Ekstensi Konfigurasi Tamu harus dipasang di mesin Anda Untuk memastikan konfigurasi yang aman dari pengaturan in-guest mesin Anda, instal ekstensi Guest Configuration. Pengaturan tamu yang dipantau ekstensi mencakup konfigurasi sistem operasi, konfigurasi atau keberadaan aplikasi, dan pengaturan lingkungan. Setelah diinstal, kebijakan tamu akan tersedia seperti 'Windows Exploit guard harus diaktifkan'. Pelajari lebih lanjut di https://aka.ms/gcpol. AuditIfNotExists, Dinonaktifkan 1.0.2
Pertahanan Microsoft untuk Kontainer harus diaktifkan Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
Pertahanan Microsoft untuk Penyimpanan (Klasik) harus diaktifkan Pertahanan Microsoft untuk Penyimpanan (Klasik) menyediakan deteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. AuditIfNotExists, Dinonaktifkan 1.0.4
Network Watcher harus diaktifkan Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan ujung ke ujung. Diperlukan untuk memiliki grup sumber daya pengawas jaringan untuk dibuat di setiap wilayah tempat jaringan virtual berada. Pemberitahuan diaktifkan jika grup sumber daya pengawas jaringan tidak tersedia di wilayah tertentu. AuditIfNotExists, Dinonaktifkan 3.0.0
Ekstensi Konfigurasi Tamu komputer virtual harus disebarkan dengan identitas terkelola yang ditetapkan sistem Ekstensi Konfigurasi Tamu memerlukan identitas terkelola yang ditetapkan sistem. Komputer virtual Azure dalam cakupan kebijakan ini tidak akan mematuhi kebijakan jika ekstensi Konfigurasi Tamu diinstal tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Pelajari lebih lanjut di https://aka.ms/gcpol AuditIfNotExists, Dinonaktifkan 1.0.1

Perlindungan Memori

ID: FedRAMP High SI-16 Kepemilikan: Bersama

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure Defender untuk server harus diaktifkan Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3
Windows Defender Exploit Guard harus diaktifkan di komputer Anda Windows Defender Exploit Guard menggunakan agen Konfigurasi Tamu Azure Policy. Exploit Guard memiliki empat komponen yang dirancang untuk mengunci perangkat dari berbagai vektor serangan dan memblokir perilaku yang biasa digunakan dalam serangan malware sekaligus memungkinkan perusahaan untuk menyeimbangkan risiko keamanan dan persyaratan produktivitas (khusus Windows). AuditIfNotExists, Dinonaktifkan 1.1.1

Langkah berikutnya

Artikel tambahan tentang Azure Policy: