Detail dari inisiatif bawaan Kepatuhan Peraturan IRS 1075 September 2016

Artikel berikut merinci bagaimana definisi inisiatif bawaan Azure Policy Regulatory dipetakan ke domain kepatuhan dan kontrol di IRS 1075 September 2016. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat IRS 1075 September 2016. Untuk memahami Kepemilikan, lihat definisi kebijakan Azure Policy dan Tanggung jawab bersama di awan.

Pemetaan berikut adalah untuk kontrol IRS 1075 September 2016. Banyak kontrol diimplementasikan dengan definisi inisiatif Azure Policy. Untuk meninjau definisi inisiatif lengkap, buka Kebijakan di portal Microsoft Azure dan pilih halaman Definisi. Kemudian, temukan dan pilih definisi inisiatif bawaan Kepatuhan Peraturan IRS1075 September 2016.

Penting

Setiap kontrol di bawah ini dikaitkan dengan satu atau beberapa definisi Azure Policy. Kebijakan ini mungkin membantu Anda menilai kepatuhan terhadap kontrol; namun, sering kali tidak ada kecocokan satu-ke-satu atau lengkap antara kontrol dan satu atau beberapa kebijakan. Dengan demikian, Kepatuhan di Azure Policy hanya mengacu pada definisi kebijakan itu sendiri; hal tersebut tidak memastikan Anda sepenuhnya mematuhi semua persyaratan kontrol. Selain itu, standar kepatuhan melibatkan kontrol yang tidak dicakup dalam definisi yang ada di Azure Policy saat ini. Oleh karena itu, kepatuhan dalam Azure Policy hanyalah pandangan parsial dari status kepatuhan Anda secara keseluruhan. Hubungan antara domain kepatuhan, kontrol, dan definisi Azure Policy untuk standar kepatuhan ini dapat berubah seiring waktu. Untuk melihat riwayat perubahan, lihat Riwayat Komit GitHub.

Access Control

Akses Jarak Jauh (AC-17)

ID: IRS 1075 9.3.1.12

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. ubah 4.1.0
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. ubah 4.1.0
Aplikasi App Service harus menonaktifkan penelusuran kesalahan jarak jauh Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi App Service. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 2.0.0
Mengaudit komputer Linux yang memungkinkan koneksi jarak jauh dari akun tanpa sandi Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Linux mengizinkan koneksi jarak jauh dari akun tanpa kata sandi AuditIfNotExists, Dinonaktifkan 3.1.0
Sebarkan ekstensi Konfigurasi Tamu Linux untuk mengaktifkan penugasan Konfigurasi Tamu di VM Linux Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Linux ke komputer virtual Linux yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Linux adalah prasyarat untuk semua penugasan Konfigurasi Tamu Linux dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Linux. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. deployIfNotExists 3.1.0
Aplikasi Fungsi harus menonaktifkan penelusuran kesalahan jarak jauh Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi Fungsi. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 2.0.0
Akun penyimpanan harus membatasi akses jaringan Akses jaringan ke akun penyimpanan harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk mengizinkan koneksi dari internet tertentu atau klien lokal, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke rentang alamat IP internet publik Audit, Tolak, Dinonaktifkan 1.1.1

Pengelolaan Akun (AC-2)

ID: IRS 1075 9.3.1.2

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Administrator Azure Active Directory harus disediakan untuk server SQL Penyediaan audit administrator Microsoft Azure Active Directory untuk server SQL Anda agar mengaktifkan autentikasi Microsoft Azure Active Directory. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya AuditIfNotExists, Dinonaktifkan 1.0.0
Mengaudit penggunaan peran RBAC kustom Audit peran bawaan seperti 'Pemilik, Kontributor, Pembaca', sebagai pengganti peran RBAC kustom, yang rawan kesalahan. Penggunaan peran kustom diperlakukan sebagai pengecualian dan memerlukan peninjauan yang ketat serta pemodelan ancaman Audit, Dinonaktifkan 1.0.1
Akun yang diblokir dengan izin pemilik pada sumber daya Azure harus dihapus Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk. AuditIfNotExists, Dinonaktifkan 1.0.0
Akun yang diblokir dengan izin baca dan tulis pada sumber daya Azure harus dihapus Akun yang tidak digunakan lagi harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk. AuditIfNotExists, Dinonaktifkan 1.0.0
Akun tamu dengan izin pemilik pada sumber daya Azure harus dihapus Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. AuditIfNotExists, Dinonaktifkan 1.0.0
Akun tamu dengan izin baca pada sumber daya Azure harus dihapus Akun eksternal dengan hak baca istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. AuditIfNotExists, Dinonaktifkan 1.0.0
Akun tamu dengan izin tulis pada sumber daya Azure harus dihapus Akun eksternal dengan hak tulis istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. AuditIfNotExists, Dinonaktifkan 1.0.0
Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time Kemungkinan akses Just In Time (JIT) jaringan akan dipantau oleh Azure Security Center sebagai rekomendasi AuditIfNotExists, Dinonaktifkan 3.0.0
Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien Audit penggunaan autentikasi klien hanya melalui Azure Active Directory di Service Fabric Audit, Tolak, Dinonaktifkan 1.1.0

Penegakan Arus Informasi (AC-4)

ID: IRS 1075 9.3.1.4

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Aplikasi App Service tidak boleh mengonfigurasi CORS untuk mengizinkan semua sumber daya untuk mengakses aplikasi Anda Berbagi Sumber Daya Lintas Asal (CORS) tidak boleh mengizinkan semua domain mengakses aplikasi Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Anda. AuditIfNotExists, Dinonaktifkan 2.0.0

Pemisahan Tugas (AC-5)

ID: IRS 1075 9.3.1.5

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Maksimum 3 pemilik harus ditunjuk untuk langganan Anda Direkomendasikan untuk menetapkan hingga 3 pemilik langganan untuk mengurangi potensi pelanggaran oleh pemilik yang disusupi. AuditIfNotExists, Dinonaktifkan 3.0.0
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. ubah 4.1.0
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. ubah 4.1.0
Mengaudit komputer Windows tidak memiliki anggota yang ditentukan dalam grup Admin Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika grup administrator lokal tidak berisi satu atau lebih anggota yang tercantum dalam parameter kebijakan. auditIfNotExists 2.0.0
Mengaudit komputer Windows yang memiliki anggota yang ditentukan dalam grup Admin Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika grup Administrator lokal berisi satu atau lebih anggota yang tercantum dalam parameter kebijakan. auditIfNotExists 2.0.0
Sebarkan ekstensi Konfigurasi Tamu Windows untuk mengaktifkan penugasan Konfigurasi Tamu pada VM Windows Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Windows ke komputer virtual Windows yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Windows adalah prasyarat untuk semua penugasan Konfigurasi Tamu Windows dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Windows. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. deployIfNotExists 1.2.0
Harus ada lebih dari satu pemilik yang ditetapkan ke langganan Anda Sebaiknya tetapkan lebih dari satu pemilik langganan agar memiliki redundansi akses administrator. AuditIfNotExists, Dinonaktifkan 3.0.0

Hak Istimewa Minimal (AC-6)

ID: IRS 1075 9.3.1.6

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Maksimum 3 pemilik harus ditunjuk untuk langganan Anda Direkomendasikan untuk menetapkan hingga 3 pemilik langganan untuk mengurangi potensi pelanggaran oleh pemilik yang disusupi. AuditIfNotExists, Dinonaktifkan 3.0.0
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. ubah 4.1.0
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. ubah 4.1.0
Mengaudit komputer Windows tidak memiliki anggota yang ditentukan dalam grup Admin Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika grup administrator lokal tidak berisi satu atau lebih anggota yang tercantum dalam parameter kebijakan. auditIfNotExists 2.0.0
Mengaudit komputer Windows yang memiliki anggota yang ditentukan dalam grup Admin Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika grup Administrator lokal berisi satu atau lebih anggota yang tercantum dalam parameter kebijakan. auditIfNotExists 2.0.0
Sebarkan ekstensi Konfigurasi Tamu Windows untuk mengaktifkan penugasan Konfigurasi Tamu pada VM Windows Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Windows ke komputer virtual Windows yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Windows adalah prasyarat untuk semua penugasan Konfigurasi Tamu Windows dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Windows. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. deployIfNotExists 1.2.0
Harus ada lebih dari satu pemilik yang ditetapkan ke langganan Anda Sebaiknya tetapkan lebih dari satu pemilik langganan agar memiliki redundansi akses administrator. AuditIfNotExists, Dinonaktifkan 3.0.0

Tugas beresiko

Pemindaian kerentanan (RA-5)

ID: IRS 1075 9.3.14.3

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Solusi penilaian kerentanan harus diaktifkan pada komputer virtual Anda Mengaudit komputer virtual untuk mendeteksi apakah mereka menjalankan solusi penilaian kerentanan yang didukung. Komponen inti dari setiap risiko cyber dan program keamanan adalah identifikasi dan analisis kerentanan. Tingkat harga standar Azure Security Center mencakup pemindaian kerentanan untuk komputer virtual Anda tanpa biaya tambahan. Selain itu, Pusat Keamanan dapat secara otomatis menyebarkan alat ini untuk Anda. AuditIfNotExists, Dinonaktifkan 3.0.0
Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak dilindungi Audit server SQL tanpa Advanced Data Security AuditIfNotExists, Dinonaktifkan 2.0.1
Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. AuditIfNotExists, Dinonaktifkan 1.0.2
Database SQL harus memiliki temuan kerentanan yang diselesaikan Pantau hasil pemindaian penilaian kerentanan dan rekomendasi tentang cara memulihkan kerentanan basis data. AuditIfNotExists, Dinonaktifkan 4.1.0
Kerentanan dalam konfigurasi keamanan di komputer Anda harus diremediasi Server yang tidak memenuhi baseline yang dikonfigurasi akan dipantau oleh Azure Security Center sebagai rekomendasi AuditIfNotExists, Dinonaktifkan 3.1.0
Kerentanan dalam konfigurasi keamanan pada set skala komputer virtual Anda harus diperbaiki Audit kerentanan OS pada set skala komputer virtual Anda untuk melindunginya dari serangan. AuditIfNotExists, Dinonaktifkan 3.0.0

Perlindungan Sistem dan Komunikasi

Perlindungan Informasi Saat Istirahat (SC-28)

ID: IRS 1075 9.3.16.15

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi Audit server SQL tanpa Advanced Data Security AuditIfNotExists, Dinonaktifkan 2.0.1
Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. AuditIfNotExists, Dinonaktifkan 1.0.2
Enkripsi Data Transparan pada database SQL harus diaktifkan Enkripsi data transparan harus diaktifkan untuk melindungi data-yang-tidak-aktif dan memenuhi persyaratan kepatuhan AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer virtual harus mengenkripsi disk sementara, cache, serta aliran data antara sumber daya Komputasi dan Penyimpanan Secara default, OS dan disk data mesin virtual dienkripsi saat tidak aktif menggunakan kunci yang dikelola platform. Disk sementara, cache data, dan data yang mengalir di antara komputasi dan penyimpanan tidak dienkripsi. Abaikan rekomendasi ini jika: 1. menggunakan enkripsi di host, atau 2. enkripsi sisi server pada Disk Terkelola memenuhi persyaratan keamanan Anda. Pelajari lebih lanjut dalam: Enkripsi sisi server dari Azure Disk Storage: https://aka.ms/disksse, Penawaran enkripsi disk yang berbeda: https://aka.ms/diskencryptioncomparison AuditIfNotExists, Dinonaktifkan 2.0.3

Perlindungan Penolakan Layanan (SC-5)

ID: IRS 1075 9.3.16.4

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure DDoS Protection harus diaktifkan Perlindungan DDoS harus diaktifkan untuk semua jaringan virtual dengan subnet yang merupakan bagian dari gateway aplikasi dengan IP publik. AuditIfNotExists, Dinonaktifkan 3.0.1

Perlindungan Batas (SC-7)

ID: IRS 1075 9.3.16.5

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Kontrol aplikasi adaptif untuk menetapkan aplikasi yang aman harus diaktifkan di komputer Anda Aktifkan kontrol aplikasi untuk menentukan daftar aplikasi yang diketahui aman yang sedang berjalan di komputer Anda, dan aktifkan pemberitahuan ketika aplikasi lain berjalan. Hal ini membantu memperkuat komputer Anda terhadap malware. Untuk menyederhanakan proses konfigurasi dan pemeliharaan aturan Anda, Security Center menggunakan pembelajaran mesin untuk menganalisis aplikasi yang berjalan di setiap komputer dan menyarankan daftar aplikasi yang diketahui aman. AuditIfNotExists, Dinonaktifkan 3.0.0
Rekomendasi pengerasan jaringan adaptif harus diterapkan pada komputer virtual yang menghadap internet Azure Security Center menganalisis pola lalu lintas komputer virtual yang dihadapi Internet dan memberikan rekomendasi aturan Grup Keamanan Jaringan yang mengurangi potensi serangan permukaan AuditIfNotExists, Dinonaktifkan 3.0.0
Semua port jaringan harus dibatasi pada grup keamanan jaringan yang terkait dengan komputer virtual Anda Azure Security Center telah mengidentifikasi beberapa aturan masuk grup keamanan jaringan Anda terlalu permisif. Aturan masuk tidak boleh mengizinkan akses dari rentang 'Apa pun' atau 'Internet'. Ini berpotensi memungkinkan penyerang untuk menargetkan sumber daya Anda. AuditIfNotExists, Dinonaktifkan 3.0.0
Akun penyimpanan harus membatasi akses jaringan Akses jaringan ke akun penyimpanan harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk mengizinkan koneksi dari internet tertentu atau klien lokal, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke rentang alamat IP internet publik Audit, Tolak, Dinonaktifkan 1.1.1

Kerahasiaan dan Integritas Transmisi (SC-8)

ID: IRS 1075 9.3.16.6

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. ubah 4.1.0
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. ubah 4.1.0
Aplikasi App Service hanya dapat diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Audit, Dinonaktifkan, Tolak 4.0.0
Sebarkan ekstensi Konfigurasi Tamu Windows untuk mengaktifkan penugasan Konfigurasi Tamu pada VM Windows Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Windows ke komputer virtual Windows yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Windows adalah prasyarat untuk semua penugasan Konfigurasi Tamu Windows dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Windows. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. deployIfNotExists 1.2.0
Aplikasi fungsi seharusnya hanya dapat diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Audit, Dinonaktifkan, Tolak 5.0.0
Hanya koneksi aman ke Azure Cache for Redis Anda yang harus diaktifkan Audit memungkinkan hanya koneksi melalui SSL ke Azure Cache for Redis. Penggunaan koneksi aman memastikan autentikasi antara server dan layanan serta melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking Audit, Tolak, Dinonaktifkan 1.0.0
Transfer aman ke akun penyimpanan harus diaktifkan Persyaratan audit Transfer aman di akun penyimpanan Anda. Transfer aman adalah opsi yang memaksa akun penyimpanan Anda untuk menerima permintaan hanya dari koneksi aman (HTTPS). Penggunaan HTTPS memastikan autentikasi antara server dan layanan dan melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking Audit, Tolak, Dinonaktifkan 2.0.0
Komputer Windows harus dikonfigurasi untuk menggunakan protokol komunikasi yang aman Untuk melindungi privasi informasi yang dikomunikasikan melalui Internet, komputer Anda harus menggunakan versi terbaru protokol kriptografi standar industri, Keamanan Lapisan Transportasi (TLS). TLS mengamankan komunikasi melalui jaringan dengan mengenkripsi koneksi antar mesin. AuditIfNotExists, Dinonaktifkan 4.1.1

Integritas Sistem dan Informasi

Remediasi Kerusakan (SI-2)

ID: IRS 1075 9.3.17.2

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Solusi penilaian kerentanan harus diaktifkan pada komputer virtual Anda Mengaudit komputer virtual untuk mendeteksi apakah mereka menjalankan solusi penilaian kerentanan yang didukung. Komponen inti dari setiap risiko cyber dan program keamanan adalah identifikasi dan analisis kerentanan. Tingkat harga standar Azure Security Center mencakup pemindaian kerentanan untuk komputer virtual Anda tanpa biaya tambahan. Selain itu, Pusat Keamanan dapat secara otomatis menyebarkan alat ini untuk Anda. AuditIfNotExists, Dinonaktifkan 3.0.0
Database SQL harus memiliki temuan kerentanan yang diselesaikan Pantau hasil pemindaian penilaian kerentanan dan rekomendasi tentang cara memulihkan kerentanan basis data. AuditIfNotExists, Dinonaktifkan 4.1.0
Pembaruan sistem pada set skala komputer virtual harus dipasang Audit apakah ada pembaruan keamanan sistem yang hilang dan pembaruan penting yang harus diinstal untuk memastikan bahwa set skala komputer virtual Windows dan Linux Anda aman. AuditIfNotExists, Dinonaktifkan 3.0.0
Pembaruan sistem harus dipasang di komputer Anda Pembaruan sistem keamanan yang hilang di server Anda akan dipantau oleh Azure Security Center sebagai rekomendasi AuditIfNotExists, Dinonaktifkan 4.0.0
Kerentanan dalam konfigurasi keamanan pada mesin Anda harus diperbaiki Server yang tidak memenuhi baseline yang dikonfigurasi akan dipantau oleh Azure Security Center sebagai rekomendasi AuditIfNotExists, Dinonaktifkan 3.1.0
Kerentanan dalam konfigurasi keamanan pada set skala komputer virtual Anda harus diperbaiki Audit kerentanan OS pada set skala komputer virtual Anda untuk melindunginya dari serangan. AuditIfNotExists, Dinonaktifkan 3.0.0

Perlindungan Terhadap Kode Berbahaya (SI-3)

ID: IRS 1075 9.3.17.3

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Solusi perlindungan titik akhir harus dipasang pada set skala komputer virtual Audit keberadaan dan kesehatan solusi perlindungan titik akhir pada set skala komputer virtual Anda, untuk melindunginya dari ancaman dan kerentanan. AuditIfNotExists, Dinonaktifkan 3.0.0
Memantau Perlindungan Titik Akhir yang tidak ada di Azure Security Center Server tanpa agen Perlindungan Titik Akhir yang diinstal akan dipantau oleh Azure Security Center sebagai rekomendasi AuditIfNotExists, Dinonaktifkan 3.0.0

Pemantauan Sistem Informasi (SI-4)

ID: IRS 1075 9.3.17.4

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Ekstensi Analitik Log harus diaktifkan untuk citra mesin virtual yang tercantum Melaporkan mesin virtual sebagai tidak sesuai jika citra mesin virtual tidak ada dalam daftar yang ditentukan dan ekstensi tidak terinstal. AuditIfNotExists, Dinonaktifkan 2.0.1-pratinjau
Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak dilindungi Audit server SQL tanpa Advanced Data Security AuditIfNotExists, Dinonaktifkan 2.0.1
Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. AuditIfNotExists, Dinonaktifkan 1.0.2
Ekstensi Analitik Log harus diaktifkan dalam set skala mesin virtual untuk citra mesin virtual yang tercantum Melaporkan set skala mesin virtual sebagai tidak sesuai jika citra mesin virtual tidak ada dalam daftar yang ditentukan dan ekstensi tidak terinstal. AuditIfNotExists, Dinonaktifkan 2.0.1
Komputer virtual harus terhubung ke ruang kerja yang ditentukan Melaporkan komputer virtual sebagai tidak patuh jika tidak masuk ke ruang kerja Log Analytics yang ditentukan dalam penugasan kebijakan/inisiatif. AuditIfNotExists, Dinonaktifkan 1.1.0

Kesadaran dan Pelatihan

Generasi Audit (AU-12)

ID: IRS 1075 9.3.3.11

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Ekstensi Analitik Log harus diaktifkan untuk citra mesin virtual yang tercantum Melaporkan mesin virtual sebagai tidak sesuai jika citra mesin virtual tidak ada dalam daftar yang ditentukan dan ekstensi tidak terinstal. AuditIfNotExists, Dinonaktifkan 2.0.1-pratinjau
Pengaturan diagnostik audit untuk jenis sumber daya yang dipilih Audit pengaturan diagnostik untuk jenis sumber daya yang dipilih. Pastikan untuk memilih hanya jenis sumber daya yang mendukung pengaturan diagnostik. AuditIfNotExists 2.0.1
Audit di server SQL harus diaktifkan Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit. AuditIfNotExists, Dinonaktifkan 2.0.0
Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak dilindungi Audit server SQL tanpa Advanced Data Security AuditIfNotExists, Dinonaktifkan 2.0.1
Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. AuditIfNotExists, Dinonaktifkan 1.0.2
Ekstensi Analitik Log harus diaktifkan dalam set skala mesin virtual untuk citra mesin virtual yang tercantum Melaporkan set skala mesin virtual sebagai tidak sesuai jika citra mesin virtual tidak ada dalam daftar yang ditentukan dan ekstensi tidak terinstal. AuditIfNotExists, Dinonaktifkan 2.0.1
Komputer virtual harus terhubung ke ruang kerja yang ditentukan Melaporkan komputer virtual sebagai tidak patuh jika tidak masuk ke ruang kerja Log Analytics yang ditentukan dalam penugasan kebijakan/inisiatif. AuditIfNotExists, Dinonaktifkan 1.1.0

Konten Catatan Audit (AU-3)

ID: IRS 1075 9.3.3.3

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Ekstensi Analitik Log harus diaktifkan untuk citra mesin virtual yang tercantum Melaporkan mesin virtual sebagai tidak sesuai jika citra mesin virtual tidak ada dalam daftar yang ditentukan dan ekstensi tidak terinstal. AuditIfNotExists, Dinonaktifkan 2.0.1-pratinjau
Ekstensi Analitik Log harus diaktifkan dalam set skala mesin virtual untuk citra mesin virtual yang tercantum Melaporkan set skala mesin virtual sebagai tidak sesuai jika citra mesin virtual tidak ada dalam daftar yang ditentukan dan ekstensi tidak terinstal. AuditIfNotExists, Dinonaktifkan 2.0.1
Komputer virtual harus terhubung ke ruang kerja yang ditentukan Melaporkan komputer virtual sebagai tidak patuh jika tidak masuk ke ruang kerja Log Analytics yang ditentukan dalam penugasan kebijakan/inisiatif. AuditIfNotExists, Dinonaktifkan 1.1.0

Respons terhadap Kegagalan Pemrosesan Audit (AU-5)

ID: IRS 1075 9.3.3.5

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Pengaturan diagnostik audit untuk jenis sumber daya yang dipilih Audit pengaturan diagnostik untuk jenis sumber daya yang dipilih. Pastikan untuk memilih hanya jenis sumber daya yang mendukung pengaturan diagnostik. AuditIfNotExists 2.0.1
Audit di server SQL harus diaktifkan Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit. AuditIfNotExists, Dinonaktifkan 2.0.0
Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak dilindungi Audit server SQL tanpa Advanced Data Security AuditIfNotExists, Dinonaktifkan 2.0.1
Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. AuditIfNotExists, Dinonaktifkan 1.0.2

Peninjauan, Analisis, dan Pelaporan Audit (AU-6)

ID: IRS 1075 9.3.3.6

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Ekstensi Analitik Log harus diaktifkan untuk citra mesin virtual yang tercantum Melaporkan mesin virtual sebagai tidak sesuai jika citra mesin virtual tidak ada dalam daftar yang ditentukan dan ekstensi tidak terinstal. AuditIfNotExists, Dinonaktifkan 2.0.1-pratinjau
Ekstensi Analitik Log harus diaktifkan dalam set skala mesin virtual untuk citra mesin virtual yang tercantum Melaporkan set skala mesin virtual sebagai tidak sesuai jika citra mesin virtual tidak ada dalam daftar yang ditentukan dan ekstensi tidak terinstal. AuditIfNotExists, Dinonaktifkan 2.0.1
Komputer virtual harus terhubung ke ruang kerja yang ditentukan Melaporkan komputer virtual sebagai tidak patuh jika tidak masuk ke ruang kerja Log Analytics yang ditentukan dalam penugasan kebijakan/inisiatif. AuditIfNotExists, Dinonaktifkan 1.1.0

Manajemen Konfigurasi

Perangkat Lunak yang Diinstal Pengguna (CM-11)

ID: IRS 1075 9.3.5.11

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Kontrol aplikasi adaptif untuk menetapkan aplikasi yang aman harus diaktifkan di komputer Anda Aktifkan kontrol aplikasi untuk menentukan daftar aplikasi yang diketahui aman yang sedang berjalan di komputer Anda, dan aktifkan pemberitahuan ketika aplikasi lain berjalan. Hal ini membantu memperkuat komputer Anda terhadap malware. Untuk menyederhanakan proses konfigurasi dan pemeliharaan aturan Anda, Security Center menggunakan pembelajaran mesin untuk menganalisis aplikasi yang berjalan di setiap komputer dan menyarankan daftar aplikasi yang diketahui aman. AuditIfNotExists, Dinonaktifkan 3.0.0

Fungsionalitas Minimal (CM-7)

ID: IRS 1075 9.3.5.7

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Kontrol aplikasi adaptif untuk menetapkan aplikasi yang aman harus diaktifkan di komputer Anda Aktifkan kontrol aplikasi untuk menentukan daftar aplikasi yang diketahui aman yang sedang berjalan di komputer Anda, dan aktifkan pemberitahuan ketika aplikasi lain berjalan. Hal ini membantu memperkuat komputer Anda terhadap malware. Untuk menyederhanakan proses konfigurasi dan pemeliharaan aturan Anda, Security Center menggunakan pembelajaran mesin untuk menganalisis aplikasi yang berjalan di setiap komputer dan menyarankan daftar aplikasi yang diketahui aman. AuditIfNotExists, Dinonaktifkan 3.0.0

Perencanaan kontingensi

Situs Pemrosesan Alternatif (CP-7)

ID: IRS 1075 9.3.6.6

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Komputer virtual audit tanpa konfigurasi pemulihan bencana Mengaudit komputer virtual yang tidak memiliki konfigurasi pemulihan bencana. Untuk mempelajari penemuan bencana lebih lanjut, buka https://aka.ms/asr-doc. auditIfNotExists 1.0.0

Identifikasi dan Autentikasi

Identifikasi dan Autentikasi (Pengguna Organisasi) (IA-2)

ID: IRS 1075 9.3.7.2

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Akun dengan izin pemilik pada sumber daya Azure harus didukung oleh MFA Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan izin pemilik untuk mencegah pelanggaran akun atau sumber daya. AuditIfNotExists, Dinonaktifkan 1.0.0
Akun dengan izin baca pada sumber daya Azure harus didukung oleh MFA Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak baca istimewa untuk mencegah pelanggaran akun atau sumber daya. AuditIfNotExists, Dinonaktifkan 1.0.0
Akun dengan izin tulis pada sumber daya Azure harus didukung oleh MFA Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak tulis istimewa untuk mencegah pelanggaran akun atau sumber daya. AuditIfNotExists, Dinonaktifkan 1.0.0

Pengelolaan Authenticator (IA-5)

ID: IRS 1075 9.3.7.5

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. ubah 4.1.0
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. ubah 4.1.0
Audit mesin Linux yang tidak memiliki izin file passwd diatur ke 0644 Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Linux izin file kata sandinya tidak diatur ke 0644 AuditIfNotExists, Dinonaktifkan 3.1.0
Mengaudit komputer Linux yang memiliki akun tanpa kata sandi Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Linux memiliki akun tanpa kata sandi AuditIfNotExists, Dinonaktifkan 3.1.0
Mengaudit komputer Windows yang memungkinkan penggunaan kembali kata sandi setelah jumlah kata sandi unik yang ditentukan Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows yang memungkinkan penggunaan kembali kata sandi setelah jumlah kata sandi unik yang ditentukan. Nilai default untuk kata sandi unik adalah 24 AuditIfNotExists, Dinonaktifkan 2.1.0
Mengaudit komputer Windows yang tidak memiliki usia kata sandi maksimum yang diatur ke jumlah hari yang ditentukan Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows yang tidak memiliki usia kata sandi maksimum yang diatur ke jumlah hari yang ditentukan. Nilai default untuk usia kata sandi maksimum adalah 70 hari AuditIfNotExists, Dinonaktifkan 2.1.0
Mengaudit komputer Windows yang tidak memiliki usia kata sandi minimum yang diatur ke jumlah hari yang ditentukan Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows yang tidak memiliki usia kata sandi minimum yang diatur ke jumlah hari yang ditentukan. Nilai default untuk usia kata sandi minimum adalah 1 hari AuditIfNotExists, Dinonaktifkan 2.1.0
Audit komputer Windows dengan setelan kompleksitas kata sandi tidak diaktifkan Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows tidak memiliki setelan kompleksitas kata sandi yang diaktifkan AuditIfNotExists, Dinonaktifkan 2.0.0
Mengaudit komputer Windows yang tidak membatasi panjang kata sandi minimum untuk jumlah karakter yang ditentukan Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows yang tidak membatasi panjang kata sandi minimum untuk jumlah karakter yang ditentukan. Nilai default untuk panjang kata sandi minimum adalah 14 karakter AuditIfNotExists, Dinonaktifkan 2.1.0
Mengaudit komputer Windows yang tidak menyimpan kata sandi menggunakan enkripsi yang dapat dibalik Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows tidak menyimpan kata sandi menggunakan enkripsi yang dapat dibatalkan AuditIfNotExists, Dinonaktifkan 2.0.0
Sebarkan ekstensi Konfigurasi Tamu Linux untuk mengaktifkan penugasan Konfigurasi Tamu di VM Linux Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Linux ke komputer virtual Linux yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Linux adalah prasyarat untuk semua penugasan Konfigurasi Tamu Linux dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Linux. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. deployIfNotExists 3.1.0
Sebarkan ekstensi Konfigurasi Tamu Windows untuk mengaktifkan penugasan Konfigurasi Tamu pada VM Windows Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Windows ke komputer virtual Windows yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Windows adalah prasyarat untuk semua penugasan Konfigurasi Tamu Windows dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Windows. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. deployIfNotExists 1.2.0

Langkah berikutnya

Artikel tambahan tentang Azure Policy: