Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel berikut merinci bagaimana definisi inisiatif bawaan Kepatuhan Peraturan Azure Policy dipetakan ke domain kepatuhan dan kontrol di IRS 1075 September 2016. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat IRS 1075 September 2016. Untuk memahami Kepemilikan, tinjau jenis kebijakan dan Tanggung jawab bersama di cloud.
Pemetaan berikut merujuk pada kontrol IRS 1075 September 2016. Banyak kontrol diimplementasikan dengan definisi inisiatif Azure Policy . Untuk meninjau definisi inisiatif lengkap, buka Kebijakan di portal Microsoft Azure dan pilih halaman Definisi . Kemudian, temukan dan pilih definisi inisiatif bawaan Kepatuhan Peraturan IRS1075 September 2016 .
Penting
Setiap kontrol di bawah ini dikaitkan dengan satu atau beberapa definisi Azure Policy . Kebijakan ini dapat membantu Anda menilai kepatuhan terhadap kontrol; namun, sering kali tidak ada kecocokan satu-ke-satu atau lengkap antara kontrol dan satu atau beberapa kebijakan. Dengan demikian, Patuh dalam Azure Policy hanya mengacu pada definisi kebijakan itu sendiri; ini tidak memastikan Anda sepenuhnya mematuhi semua persyaratan kontrol. Selain itu, standar kepatuhan melibatkan kontrol yang tidak dicakup dalam definisi yang ada di Azure Policy saat ini. Oleh karena itu, kepatuhan dalam Azure Policy hanyalah pandangan parsial dari status kepatuhan Anda secara keseluruhan. Hubungan antara domain kepatuhan, kontrol, dan definisi Azure Policy untuk standar kepatuhan ini dapat berubah seiring waktu. Untuk melihat riwayat perubahan, lihat Riwayat Penerapan GitHub.
Access Control
Akses Jarak Jauh (AC-17)
ID: IRS 1075 9.3.1.12
| Nama (Portal Microsoft Azure) |
Deskripsi | Efek atau Efek-efek | Versi (GitHub) |
|---|---|---|---|
| Menambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke mesin sebelum menggunakan definisi kebijakan apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Tambahkan identitas terkelola yang ditetapkan oleh sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan oleh pengguna | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke mesin sebelum menggunakan definisi kebijakan apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Aplikasi App Service harus menonaktifkan debugging jarak jauh | Debugging jarak jauh mengharuskan port masuk dibuka pada aplikasi layanan aplikasi. Debugging jarak jauh harus dimatikan. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Mengaudit komputer Linux yang memungkinkan koneksi jarak jauh dari akun tanpa kata sandi | Mengharuskan bahwa prasyarat diterapkan pada cakupan penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak mematuhi jika mesin Linux mengizinkan koneksi jarak jauh dari akun tanpa kata sandi. | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
| Menyebarkan ekstensi Konfigurasi Tamu Linux untuk mengaktifkan penugasan Konfigurasi Tamu di VM Linux | Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Linux ke komputer virtual Linux yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Linux adalah prasyarat untuk semua penugasan Konfigurasi Tamu Linux dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Linux. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | deployIfNotExists (gunakan jika belum ada) | 3.2.0 |
| Aplikasi fungsi harus mematikan debugging jarak jauh | Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi Fungsi. Debugging jarak jauh harus dimatikan. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Akun penyimpanan harus membatasi akses jaringan | Akses jaringan ke akun penyimpanan harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk mengizinkan koneksi dari internet tertentu atau klien lokal, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke rentang alamat IP internet publik | Audit, Tolak, Dinonaktifkan | 1.1.1 |
Pengelolaan Akun (AC-2)
ID: IRS 1075 9.3.1.2
| Nama (Portal Microsoft Azure) |
Deskripsi | Efek atau Efek-efek | Versi (GitHub) |
|---|---|---|---|
| Administrator Azure Active Directory harus disediakan untuk server SQL | Melakukan audit terhadap penyediaan administrator Azure Active Directory untuk server SQL Anda guna mengaktifkan autentikasi Azure AD. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaudit penggunaan peran RBAC kustom | Audit peran bawaan seperti 'Pemilik, Kontributor, Pembaca', sebagai pengganti peran RBAC kustom, yang rawan kesalahan. Penggunaan peran kustom diperlakukan sebagai pengecualian dan memerlukan peninjauan yang ketat serta pemodelan ancaman | Audit, Dinonaktifkan | 1.0.1 |
| Akun yang diblokir dengan izin pemilik pada sumber daya Azure harus dihapus | Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun yang diblokir dengan izin baca dan tulis pada sumber daya Azure harus dihapus | Akun yang tidak digunakan lagi harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun tamu dengan izin pemilik pada sumber daya Azure harus dihapus | Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun tamu dengan izin baca pada sumber daya Azure harus dihapus | Akun eksternal dengan hak baca istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun tamu dengan izin tulis pada sumber daya Azure harus dihapus | Akun eksternal dengan hak tulis istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Port manajemen mesin virtual harus dilindungi dengan kontrol akses jaringan tepat waktu | Kemungkinan akses JIT jaringan akan dipantau oleh Azure Security Center dan dijadikan sebagai rekomendasi. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien | Audit penggunaan autentikasi klien hanya melalui Azure Active Directory di Service Fabric | Audit, Tolak, Dinonaktifkan | 1.1.0 |
Penegakan Arus Informasi (AC-4)
ID: IRS 1075 9.3.1.4
| Nama (Portal Microsoft Azure) |
Deskripsi | Efek atau Efek-efek | Versi (GitHub) |
|---|---|---|---|
| Aplikasi App Service seharusnya tidak memiliki CORS yang dikonfigurasi untuk memungkinkan setiap sumber daya mengakses aplikasi Anda | Berbagi Sumber Daya Lintas Asal (CORS) tidak boleh mengizinkan semua domain mengakses aplikasi milikmu. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Anda. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
Pemisahan Tugas (AC-5)
ID: IRS 1075 9.3.1.5
| Nama (Portal Microsoft Azure) |
Deskripsi | Efek atau Efek-efek | Versi (GitHub) |
|---|---|---|---|
| Maksimal 3 pemilik harus ditunjuk untuk langganan Anda | Direkomendasikan untuk menetapkan hingga 3 pemilik langganan untuk mengurangi potensi pelanggaran oleh pemilik yang disusupi. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Menambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke mesin sebelum menggunakan definisi kebijakan apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Tambahkan identitas terkelola yang ditetapkan oleh sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan oleh pengguna | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke mesin sebelum menggunakan definisi kebijakan apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Mengaudit komputer Windows kehilangan salah satu anggota tertentu dalam grup Administrator | Mengharuskan bahwa prasyarat diterapkan pada cakupan penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika grup administrator lokal tidak berisi satu atau lebih anggota yang tercantum dalam parameter kebijakan. | auditJikaTidakAda | 2.0.0 |
| Mengaudit komputer Windows yang memiliki anggota yang ditentukan dalam grup Administrator | Mengharuskan bahwa prasyarat diterapkan pada cakupan penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika grup Administrator lokal berisi satu atau lebih anggota yang tercantum dalam parameter kebijakan. | auditJikaTidakAda | 2.0.0 |
| Menyebarkan ekstensi Konfigurasi Tamu Windows untuk mengaktifkan penetapan Konfigurasi Tamu pada VM Windows | Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Windows ke komputer virtual Windows yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Windows adalah prasyarat untuk semua penugasan Konfigurasi Tamu Windows dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Windows. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | deployIfNotExists (gunakan jika belum ada) | 1.3.0 |
| Harus ada lebih dari satu pemilik yang ditetapkan ke langganan Anda | Sebaiknya tetapkan lebih dari satu pemilik langganan agar memiliki redundansi akses administrator. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Hak Istimewa Minimal (AC-6)
ID: IRS 1075 9.3.1.6
| Nama (Portal Microsoft Azure) |
Deskripsi | Efek atau Efek-efek | Versi (GitHub) |
|---|---|---|---|
| Maksimal 3 pemilik harus ditunjuk untuk langganan Anda | Direkomendasikan untuk menetapkan hingga 3 pemilik langganan untuk mengurangi potensi pelanggaran oleh pemilik yang disusupi. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Menambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke mesin sebelum menggunakan definisi kebijakan apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Tambahkan identitas terkelola yang ditetapkan oleh sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan oleh pengguna | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke mesin sebelum menggunakan definisi kebijakan apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Mengaudit komputer Windows kehilangan salah satu anggota tertentu dalam grup Administrator | Mengharuskan bahwa prasyarat diterapkan pada cakupan penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika grup administrator lokal tidak berisi satu atau lebih anggota yang tercantum dalam parameter kebijakan. | auditJikaTidakAda | 2.0.0 |
| Mengaudit komputer Windows yang memiliki anggota yang ditentukan dalam grup Administrator | Mengharuskan bahwa prasyarat diterapkan pada cakupan penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika grup Administrator lokal berisi satu atau lebih anggota yang tercantum dalam parameter kebijakan. | auditJikaTidakAda | 2.0.0 |
| Menyebarkan ekstensi Konfigurasi Tamu Windows untuk mengaktifkan penetapan Konfigurasi Tamu pada VM Windows | Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Windows ke komputer virtual Windows yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Windows adalah prasyarat untuk semua penugasan Konfigurasi Tamu Windows dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Windows. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | deployIfNotExists (gunakan jika belum ada) | 1.3.0 |
| Harus ada lebih dari satu pemilik yang ditetapkan ke langganan Anda | Sebaiknya tetapkan lebih dari satu pemilik langganan agar memiliki redundansi akses administrator. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Tugas beresiko
Pemindaian kerentanan (RA-5)
ID: IRS 1075 9.3.14.3
| Nama (Portal Microsoft Azure) |
Deskripsi | Efek atau Efek-efek | Versi (GitHub) |
|---|---|---|---|
| Solusi penilaian kerentanan harus diaktifkan pada komputer virtual Anda | Mengaudit komputer virtual untuk mendeteksi apakah mereka menjalankan solusi penilaian kerentanan yang didukung. Komponen inti dari setiap risiko cyber dan program keamanan adalah identifikasi dan analisis kerentanan. Tingkat harga standar Azure Security Center mencakup pemindaian kerentanan untuk komputer virtual Anda tanpa biaya tambahan. Selain itu, Pusat Keamanan dapat secara otomatis menyebarkan alat ini untuk Anda. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi | Audit server SQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Azure Defender untuk SQL harus diaktifkan untuk SQL Managed Instance yang tidak terlindungi | Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Database SQL harus menyelesaikan temuan kerentanan | Pantau hasil pemindaian penilaian kerentanan dan rekomendasi tentang cara memulihkan kerentanan basis data. | AuditIfNotExists, Dinonaktifkan | 4.1.0 |
Perlindungan Sistem dan Komunikasi
Perlindungan Informasi Saat Istirahat (SC-28)
ID: IRS 1075 9.3.16.15
| Nama (Portal Microsoft Azure) |
Deskripsi | Efek atau Efek-efek | Versi (GitHub) |
|---|---|---|---|
| Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi | Audit server SQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Azure Defender untuk SQL harus diaktifkan untuk SQL Managed Instance yang tidak terlindungi | Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Enkripsi Data Transparan pada database SQL harus diaktifkan | Enkripsi data transparan harus diaktifkan untuk melindungi data yang tersimpan dan mematuhi persyaratan kepatuhan. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
Perlindungan Penolakan Layanan (SC-5)
ID: IRS 1075 9.3.16.4
| Nama (Portal Microsoft Azure) |
Deskripsi | Efek atau Efek-efek | Versi (GitHub) |
|---|---|---|---|
| Azure DDoS Protection harus diaktifkan | Perlindungan DDoS harus diaktifkan untuk semua jaringan virtual dengan subnet yang merupakan bagian dari gateway aplikasi dengan IP publik. | AuditIfNotExists, Dinonaktifkan | 3.0.1 |
Perlindungan Batas (SC-7)
ID: IRS 1075 9.3.16.5
| Nama (Portal Microsoft Azure) |
Deskripsi | Efek atau Efek-efek | Versi (GitHub) |
|---|---|---|---|
| Semua port jaringan harus dibatasi pada kelompok keamanan jaringan yang terkait dengan komputer virtual Anda | Azure Security Center telah mengidentifikasi beberapa aturan masuk grup keamanan jaringan Anda terlalu permisif. Aturan masuk tidak boleh mengizinkan akses dari rentang 'Apa pun' atau 'Internet'. Ini berpotensi memungkinkan penyerang untuk menargetkan sumber daya Anda. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Akun penyimpanan harus membatasi akses jaringan | Akses jaringan ke akun penyimpanan harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk mengizinkan koneksi dari internet tertentu atau klien lokal, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke rentang alamat IP internet publik | Audit, Tolak, Dinonaktifkan | 1.1.1 |
Kerahasiaan dan Integritas Transmisi (SC-8)
ID: IRS 1075 9.3.16.6
| Nama (Portal Microsoft Azure) |
Deskripsi | Efek atau Efek-efek | Versi (GitHub) |
|---|---|---|---|
| Menambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke mesin sebelum menggunakan definisi kebijakan apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Tambahkan identitas terkelola yang ditetapkan oleh sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan oleh pengguna | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke mesin sebelum menggunakan definisi kebijakan apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Aplikasi App Service hanya boleh diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Audit, Dinonaktifkan, Tolak | 4.0.0 |
| Menyebarkan ekstensi Konfigurasi Tamu Windows untuk mengaktifkan penetapan Konfigurasi Tamu pada VM Windows | Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Windows ke komputer virtual Windows yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Windows adalah prasyarat untuk semua penugasan Konfigurasi Tamu Windows dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Windows. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | deployIfNotExists (gunakan jika belum ada) | 1.3.0 |
| Aplikasi fungsi hanya boleh diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Audit, Dinonaktifkan, Tolak | 5.0.0 |
| Hanya koneksi aman ke Azure Cache for Redis yang harus diaktifkan | Audit memungkinkan hanya koneksi melalui SSL ke Azure Cache for Redis. Penggunaan koneksi aman memastikan autentikasi antara server dan layanan serta melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Transfer aman ke akun penyimpanan harus diaktifkan | Persyaratan audit untuk transfer yang aman di akun penyimpanan Anda. Transfer aman adalah opsi yang memaksa akun penyimpanan Anda untuk menerima permintaan hanya dari koneksi aman (HTTPS). Penggunaan HTTPS memastikan autentikasi antara server dan layanan dan melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Komputer Windows harus dikonfigurasi untuk menggunakan protokol komunikasi yang aman | Untuk melindungi privasi informasi yang dikomunikasikan melalui Internet, komputer Anda harus menggunakan versi terbaru protokol kriptografi standar industri, Keamanan Lapisan Transportasi (TLS). TLS mengamankan komunikasi melalui jaringan dengan mengenkripsi koneksi antar mesin. | AuditIfNotExists, Dinonaktifkan | 4.1.1 |
Integritas Sistem dan Informasi
Remediasi Kelemahan (SI-2)
ID: IRS 1075 9.3.17.2
| Nama (Portal Microsoft Azure) |
Deskripsi | Efek atau Efek-efek | Versi (GitHub) |
|---|---|---|---|
| Solusi penilaian kerentanan harus diaktifkan pada komputer virtual Anda | Mengaudit komputer virtual untuk mendeteksi apakah mereka menjalankan solusi penilaian kerentanan yang didukung. Komponen inti dari setiap risiko cyber dan program keamanan adalah identifikasi dan analisis kerentanan. Tingkat harga standar Azure Security Center mencakup pemindaian kerentanan untuk komputer virtual Anda tanpa biaya tambahan. Selain itu, Pusat Keamanan dapat secara otomatis menyebarkan alat ini untuk Anda. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Database SQL harus menyelesaikan temuan kerentanan | Pantau hasil pemindaian penilaian kerentanan dan rekomendasi tentang cara memulihkan kerentanan basis data. | AuditIfNotExists, Dinonaktifkan | 4.1.0 |
Pemantauan Sistem Informasi (SI-4)
ID: IRS 1075 9.3.17.4
| Nama (Portal Microsoft Azure) |
Deskripsi | Efek atau Efek-efek | Versi (GitHub) |
|---|---|---|---|
| Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi | Audit server SQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Azure Defender untuk SQL harus diaktifkan untuk SQL Managed Instance yang tidak terlindungi | Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
Kesadaran dan Pelatihan
Pembuatan Audit (AU-12)
ID: IRS 1075 9.3.3.11
| Nama (Portal Microsoft Azure) |
Deskripsi | Efek atau Efek-efek | Versi (GitHub) |
|---|---|---|---|
| Pengaturan diagnostik audit untuk jenis sumber daya yang dipilih | Audit pengaturan diagnostik pada jenis sumber daya yang dipilih. Pastikan untuk memilih hanya jenis sumber daya yang mendukung pengaturan diagnostik. | AuditJikaTidakAda | 2.0.1 |
| Audit pada server SQL harus diaktifkan | Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi | Audit server SQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Azure Defender untuk SQL harus diaktifkan untuk SQL Managed Instance yang tidak terlindungi | Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
Respons terhadap Kegagalan Pemrosesan Audit (AU-5)
ID: IRS 1075 9.3.3.5
| Nama (Portal Microsoft Azure) |
Deskripsi | Efek atau Efek-efek | Versi (GitHub) |
|---|---|---|---|
| Pengaturan diagnostik audit untuk jenis sumber daya yang dipilih | Audit pengaturan diagnostik pada jenis sumber daya yang dipilih. Pastikan untuk memilih hanya jenis sumber daya yang mendukung pengaturan diagnostik. | AuditJikaTidakAda | 2.0.1 |
| Audit pada server SQL harus diaktifkan | Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi | Audit server SQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Azure Defender untuk SQL harus diaktifkan untuk SQL Managed Instance yang tidak terlindungi | Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
Perencanaan Kontingensi
Situs Pemrosesan Alternatif (CP-7)
ID: IRS 1075 9.3.6.6
| Nama (Portal Microsoft Azure) |
Deskripsi | Efek atau Efek-efek | Versi (GitHub) |
|---|---|---|---|
| Mengaudit mesin virtual yang belum dikonfigurasi untuk pemulihan bencana | Mengaudit komputer virtual yang tidak memiliki konfigurasi pemulihan bencana. Untuk mempelajari lebih lanjut tentang pemulihan bencana, buka https://aka.ms/asr-doc. | auditJikaTidakAda | 1.0.0 |
Identifikasi dan Autentikasi
Pengelolaan Authenticator (IA-5)
ID: IRS 1075 9.3.7.5
| Nama (Portal Microsoft Azure) |
Deskripsi | Efek atau Efek-efek | Versi (GitHub) |
|---|---|---|---|
| Menambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke mesin sebelum menggunakan definisi kebijakan apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Tambahkan identitas terkelola yang ditetapkan oleh sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan oleh pengguna | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke mesin sebelum menggunakan definisi kebijakan apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Auditlah mesin Linux yang izin file passwd-nya tidak diatur ke 0644. | Mengharuskan bahwa prasyarat diterapkan pada cakupan penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika mesin Linux tidak memiliki izin file passwd yang diatur ke 0644. | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
| Mengaudit komputer Linux yang memiliki akun tanpa kata sandi | Mengharuskan bahwa prasyarat diterapkan pada cakupan penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak memenuhi kepatuhan jika mesin Linux memiliki akun tanpa kata sandi. | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
| Mengaudit komputer Windows yang memungkinkan penggunaan kembali kata sandi setelah jumlah kata sandi unik yang ditentukan | Mengharuskan bahwa prasyarat diterapkan pada cakupan penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin dianggap tidak patuh jika komputer Windows memungkinkan penggunaan ulang kata sandi setelah jumlah kata sandi unik yang ditentukan. Nilai default untuk kata sandi unik adalah 24 | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
| Mengaudit komputer Windows yang tidak memiliki usia kata sandi maksimum yang diatur ke jumlah hari yang ditentukan | Mengharuskan bahwa prasyarat diterapkan pada cakupan penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai dengan standar jika komputer Windows tidak memiliki umur maksimum kata sandi yang diatur ke jumlah hari tertentu. Nilai default untuk usia kata sandi maksimum adalah 70 hari | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
| Mengaudit komputer Windows yang tidak memiliki usia kata sandi minimum yang diatur ke jumlah hari yang ditentukan | Mengharuskan bahwa prasyarat diterapkan pada cakupan penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika mesin Windows tidak memiliki usia kata sandi minimum yang diatur ke jumlah hari yang telah ditentukan. Nilai default untuk usia kata sandi minimum adalah 1 hari | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
| Mengaudit komputer Windows yang tidak mengaktifkan pengaturan kompleksitas kata sandi | Mengharuskan bahwa prasyarat diterapkan pada cakupan penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows tidak memiliki setelan kompleksitas kata sandi yang diaktifkan | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Mengaudit komputer Windows yang tidak membatasi panjang kata sandi minimum untuk jumlah karakter yang ditentukan | Mengharuskan bahwa prasyarat diterapkan pada cakupan penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin dianggap tidak sesuai jika komputer Windows tidak membatasi panjang minimum kata sandi menjadi jumlah karakter yang ditentukan. Nilai default untuk panjang kata sandi minimum adalah 14 karakter | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
| Mengaudit komputer Windows yang tidak menyimpan kata sandi menggunakan enkripsi yang dapat dibalik | Mengharuskan bahwa prasyarat diterapkan pada cakupan penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak memenuhi standar jika komputer Windows tidak menyimpan kata sandi menggunakan enkripsi yang dapat dibalik. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Menyebarkan ekstensi Konfigurasi Tamu Linux untuk mengaktifkan penugasan Konfigurasi Tamu di VM Linux | Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Linux ke komputer virtual Linux yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Linux adalah prasyarat untuk semua penugasan Konfigurasi Tamu Linux dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Linux. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | deployIfNotExists (gunakan jika belum ada) | 3.2.0 |
| Menyebarkan ekstensi Konfigurasi Tamu Windows untuk mengaktifkan penetapan Konfigurasi Tamu pada VM Windows | Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Windows ke komputer virtual Windows yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Windows adalah prasyarat untuk semua penugasan Konfigurasi Tamu Windows dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Windows. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | deployIfNotExists (gunakan jika belum ada) | 1.3.0 |
Langkah berikutnya
Artikel tambahan tentang Azure Policy:
- Gambaran umum Kepatuhan Terhadap Peraturan.
- Lihat struktur definisi inisiatif.
- Tinjau contoh lain di sampel Azure Policy.
- Tinjau Memahami efek kebijakan.
- Pelajari cara memulihkan sumber daya yang tidak sesuai.