Detail inisiatif bawaan Kepatuhan terhadap Peraturan NIST SP 800-53 Rev. 5
Artikel berikut secara mendetail menjelaskan bagaimana definisi inisiatif bawaan Kepatuhan terhadap Peraturan Azure Policy melakukan pemetaan ke domain kepatuhan dan kontrol di NIST SP 800-53 Rev. 5. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat NIST SP 800-53 Rev. 5. Untuk memahami Kepemilikan, tinjau jenis kebijakan dan Tanggung jawab bersama di cloud.
Pemetaan berikut adalah untuk kontrol NIST SP 800-53 Rev. 5. Banyak kontrol diimplementasikan dengan definisi inisiatif Azure Policy. Untuk meninjau definisi inisiatif lengkap, buka Kebijakan di portal Microsoft Azure dan pilih halaman Definisi. Kemudian, cari dan pilih definisi inisiatif bawaan Kepatuhan terhadap Peraturan NIST SP 800-53 Rev. 5.
Penting
Setiap kontrol di bawah ini dikaitkan dengan satu atau beberapa definisi Azure Policy. Kebijakan ini mungkin membantu Anda menilai kepatuhan terhadap kontrol; namun, sering kali tidak ada kecocokan satu-ke-satu atau lengkap antara kontrol dan satu atau beberapa kebijakan. Dengan demikian, Kepatuhan di Azure Policy hanya mengacu pada definisi kebijakan itu sendiri; hal tersebut tidak memastikan Anda sepenuhnya mematuhi semua persyaratan kontrol. Selain itu, standar kepatuhan melibatkan kontrol yang tidak dicakup dalam definisi yang ada di Azure Policy saat ini. Oleh karena itu, kepatuhan dalam Azure Policy hanyalah pandangan parsial dari status kepatuhan Anda secara keseluruhan. Hubungan antara domain kepatuhan, kontrol, dan definisi Azure Policy untuk standar kepatuhan ini dapat berubah seiring waktu. Untuk melihat riwayat perubahan, lihat Riwayat Komit GitHub.
Access Control
Kebijakan dan Prosedur
ID: NIST SP 800-53 Rev. 5 AC-1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengembangkan kebijakan dan prosedur kontrol akses | CMA_0144 - Mengembangkan kebijakan dan prosedur kontrol akses | Manual, Dinonaktifkan | 1.1.0 |
| Terapkan kebijakan kontrol akses wajib dan kewenangan | CMA_0246 - Menerapkan kebijakan kontrol akses yang wajib dan kewenangan | Manual, Dinonaktifkan | 1.1.0 |
| Mengatur kebijakan dan prosedur | CMA_0292 - Mengatur kebijakan dan prosedur | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau kebijakan dan prosedur kontrol akses | CMA_0457 - Meninjau kebijakan dan prosedur kontrol akses | Manual, Dinonaktifkan | 1.1.0 |
Manajemen Akun
ID: NIST SP 800-53 Rev. 5 AC-2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Maksimum 3 pemilik harus ditunjuk untuk langganan Anda | Direkomendasikan untuk menetapkan hingga 3 pemilik langganan untuk mengurangi potensi pelanggaran oleh pemilik yang disusupi. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Administrator Azure Active Directory harus disediakan untuk server SQL | Penyediaan audit administrator Microsoft Azure Active Directory untuk server SQL Anda agar mengaktifkan autentikasi Microsoft Azure Active Directory. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aplikasi App Service harus menggunakan identitas terkelola | Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Menetapkan manajer akun | CMA_0015 - Menetapkan manajer akun | Manual, Dinonaktifkan | 1.1.0 |
| Mengaudit penggunaan peran RBAC kustom | Audit peran bawaan seperti 'Pemilik, Kontributor, Pembaca', sebagai pengganti peran RBAC kustom, yang rawan kesalahan. Penggunaan peran kustom diperlakukan sebagai pengecualian dan memerlukan peninjauan yang ketat serta pemodelan ancaman | Audit, Dinonaktifkan | 1.0.1 |
| Mengaudit status akun pengguna | CMA_0020 - Mengaudit status akun pengguna | Manual, Dinonaktifkan | 1.1.0 |
| Sumber daya Azure AI Services harus menonaktifkan akses kunci (menonaktifkan autentikasi lokal) | Akses kunci (autentikasi lokal) disarankan untuk dinonaktifkan untuk keamanan. Azure OpenAI Studio, biasanya digunakan dalam pengembangan/pengujian, memerlukan akses kunci dan tidak akan berfungsi jika akses kunci dinonaktifkan. Setelah menonaktifkan, MICROSOFT Entra ID menjadi satu-satunya metode akses, yang memungkinkan mempertahankan prinsip hak istimewa minimum dan kontrol terperinci. Pelajari lebih lanjut di: https://aka.ms/AI/auth | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Akun yang diblokir dengan izin pemilik pada sumber daya Azure harus dihapus | Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun yang diblokir dengan izin baca dan tulis pada sumber daya Azure harus dihapus | Akun yang tidak digunakan lagi harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Tentukan dan terapkan kondisi untuk akun bersama dan grup | CMA_0117 - Tentukan dan terapkan kondisi untuk akun bersama dan grup | Manual, Dinonaktifkan | 1.1.0 |
| Menentukan jenis akun sistem informasi | CMA_0121 - Menentukan jenis akun sistem informasi | Manual, Dinonaktifkan | 1.1.0 |
| Hak istimewa akses dokumen | CMA_0186 - Hak istimewa akses dokumen | Manual, Dinonaktifkan | 1.1.0 |
| Menetapkan kondisi untuk keanggotaan peran | CMA_0269 - Menetapkan kondisi untuk keanggotaan peran | Manual, Dinonaktifkan | 1.1.0 |
| Aplikasi Fungsi harus menggunakan identitas terkelola | Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Akun tamu dengan izin pemilik pada sumber daya Azure harus dihapus | Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun tamu dengan izin baca pada sumber daya Azure harus dihapus | Akun eksternal dengan hak baca istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun tamu dengan izin tulis pada sumber daya Azure harus dihapus | Akun eksternal dengan hak tulis istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Memantau aktivitas akun | CMA_0377 - Memantau aktivitas akun | Manual, Dinonaktifkan | 1.1.0 |
| Memberi tahu Manajer Akun tentang akun yang dikendalikan pelanggan | CMA_C1009 - Memberi tahu Manajer Akun tentang akun yang dikendalikan pelanggan | Manual, Dinonaktifkan | 1.1.0 |
| Membuat ulang pengautentikasi untuk grup dan akun yang diubah | CMA_0426 - Membuat ulang pengautentikasi untuk grup dan akun yang diubah | Manual, Dinonaktifkan | 1.1.0 |
| Mewajibkan persetujuan untuk pembuatan akun | CMA_0431 - Mewajibkan persetujuan untuk pembuatan akun | Manual, Dinonaktifkan | 1.1.0 |
| Membatasi akses ke akun istimewa | CMA_0446 - Membatasi akses terhadap akun istimewa | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau log penyediaan akun | CMA_0460 - Meninjau log penyediaan akun | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau akun pengguna | CMA_0480 - Meninjau akun pengguna | Manual, Dinonaktifkan | 1.1.0 |
| Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien | Audit penggunaan autentikasi klien hanya melalui Azure Active Directory di Service Fabric | Audit, Tolak, Dinonaktifkan | 1.1.0 |
Manajemen Akun Sistem Otomatis
ID: NIST SP 800-53 Rev. 5 AC-2 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Administrator Azure Active Directory harus disediakan untuk server SQL | Penyediaan audit administrator Microsoft Azure Active Directory untuk server SQL Anda agar mengaktifkan autentikasi Microsoft Azure Active Directory. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengotomatisasi manajemen akun | CMA_0026 - Mengotomatisasi manajemen akun | Manual, Dinonaktifkan | 1.1.0 |
| Sumber daya Azure AI Services harus menonaktifkan akses kunci (menonaktifkan autentikasi lokal) | Akses kunci (autentikasi lokal) disarankan untuk dinonaktifkan untuk keamanan. Azure OpenAI Studio, biasanya digunakan dalam pengembangan/pengujian, memerlukan akses kunci dan tidak akan berfungsi jika akses kunci dinonaktifkan. Setelah menonaktifkan, MICROSOFT Entra ID menjadi satu-satunya metode akses, yang memungkinkan mempertahankan prinsip hak istimewa minimum dan kontrol terperinci. Pelajari lebih lanjut di: https://aka.ms/AI/auth | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Mengelola akun sistem dan admin | CMA_0368 - Mengelola akun sistem dan admin | Manual, Dinonaktifkan | 1.1.0 |
| Memantau akses di seluruh organisasi | CMA_0376 - Memantau akses di seluruh organisasi | Manual, Dinonaktifkan | 1.1.0 |
| Memberi tahu saat akun tidak diperlukan | CMA_0383 - Memberi tahu saat akun tidak diperlukan | Manual, Dinonaktifkan | 1.1.0 |
| Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien | Audit penggunaan autentikasi klien hanya melalui Azure Active Directory di Service Fabric | Audit, Tolak, Dinonaktifkan | 1.1.0 |
Nonaktifkan Akun
ID: NIST SP 800-53 Rev. 5 AC-2 (3) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menonaktifkan pengautentikasi setelah penghentian | CMA_0169 - Menonaktifkan pengautentikasi setelah penghentian | Manual, Dinonaktifkan | 1.1.0 |
| Mencabut peran istimewa yang sesuai | CMA_0483 - Mencabut peran istimewa sewajarnya | Manual, Dinonaktifkan | 1.1.0 |
Tindakan Audit Otomatis
ID: NIST SP 800-53 Rev. 5 AC-2 (4) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengaudit status akun pengguna | CMA_0020 - Mengaudit status akun pengguna | Manual, Dinonaktifkan | 1.1.0 |
| Mengotomatisasi manajemen akun | CMA_0026 - Mengotomatisasi manajemen akun | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola akun sistem dan admin | CMA_0368 - Mengelola akun sistem dan admin | Manual, Dinonaktifkan | 1.1.0 |
| Memantau akses di seluruh organisasi | CMA_0376 - Memantau akses di seluruh organisasi | Manual, Dinonaktifkan | 1.1.0 |
| Memberi tahu saat akun tidak diperlukan | CMA_0383 - Memberi tahu saat akun tidak diperlukan | Manual, Dinonaktifkan | 1.1.0 |
Keluar Tidak Aktif
ID: NIST SP 800-53 Rev. 5 AC-2 (5) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menentukan dan menerapkan kebijakan log tidak aktif | CMA_C1017 - Menentukan dan menerapkan kebijakan log tidak aktif | Manual, Dinonaktifkan | 1.1.0 |
Akun Pengguna dengan Hak Istimewa
ID: NIST SP 800-53 Rev. 5 AC-2 (7) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Administrator Azure Active Directory harus disediakan untuk server SQL | Penyediaan audit administrator Microsoft Azure Active Directory untuk server SQL Anda agar mengaktifkan autentikasi Microsoft Azure Active Directory. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaudit fungsi istimewa | CMA_0019 - Mengaudit fungsi istimewa | Manual, Dinonaktifkan | 1.1.0 |
| Mengaudit penggunaan peran RBAC kustom | Audit peran bawaan seperti 'Pemilik, Kontributor, Pembaca', sebagai pengganti peran RBAC kustom, yang rawan kesalahan. Penggunaan peran kustom diperlakukan sebagai pengecualian dan memerlukan peninjauan yang ketat serta pemodelan ancaman | Audit, Dinonaktifkan | 1.0.1 |
| Sumber daya Azure AI Services harus menonaktifkan akses kunci (menonaktifkan autentikasi lokal) | Akses kunci (autentikasi lokal) disarankan untuk dinonaktifkan untuk keamanan. Azure OpenAI Studio, biasanya digunakan dalam pengembangan/pengujian, memerlukan akses kunci dan tidak akan berfungsi jika akses kunci dinonaktifkan. Setelah menonaktifkan, MICROSOFT Entra ID menjadi satu-satunya metode akses, yang memungkinkan mempertahankan prinsip hak istimewa minimum dan kontrol terperinci. Pelajari lebih lanjut di: https://aka.ms/AI/auth | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Memantau aktivitas akun | CMA_0377 - Memantau aktivitas akun | Manual, Dinonaktifkan | 1.1.0 |
| Memantau penetapan peran istimewa | CMA_0378 - Memantau penetapan peran istimewa | Manual, Dinonaktifkan | 1.1.0 |
| Membatasi akses ke akun istimewa | CMA_0446 - Membatasi akses terhadap akun istimewa | Manual, Dinonaktifkan | 1.1.0 |
| Mencabut peran istimewa yang sesuai | CMA_0483 - Mencabut peran istimewa sewajarnya | Manual, Dinonaktifkan | 1.1.0 |
| Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien | Audit penggunaan autentikasi klien hanya melalui Azure Active Directory di Service Fabric | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Menggunakan manajemen identitas istimewa | CMA_0533 - Menggunakan manajemen identitas istimewa | Manual, Dinonaktifkan | 1.1.0 |
Pembatasan Penggunaan Akun Bersama dan Grup
ID: NIST SP 800-53 Rev. 5 AC-2 (9) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Tentukan dan terapkan kondisi untuk akun bersama dan grup | CMA_0117 - Tentukan dan terapkan kondisi untuk akun bersama dan grup | Manual, Dinonaktifkan | 1.1.0 |
Kondisi Penggunaan
ID: NIST SP 800-53 Rev. 5 AC-2 (11) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Terapkan penggunaan yang sesuai dari semua akun | CMA_C1023 - Terapkan penggunaan yang sesuai dari semua akun | Manual, Dinonaktifkan | 1.1.0 |
Pemantauan Akun untuk Penggunaan Atipikal
ID: NIST SP 800-53 Rev. 5 AC-2 (12) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Kluster Kubernetes yang mengaktifkan Azure Arc harus memiliki ekstensi Microsoft Defender untuk Cloud yang diinstal | Ekstensi Microsoft Defender untuk Cloud untuk Azure Arc memberikan perlindungan ancaman untuk kluster Kubernetes Anda yang mendukung Arc. Ekstensi ini mengumpulkan data dari simpul dalam kluster dan mengirimkannya ke backend Azure Defender untuk Kube di cloud untuk dianalisis lebih lanjut. Pelajari lebih lanjut di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Dinonaktifkan | 6.0.0-pratinjau |
| Azure Defender untuk App Service harus diaktifkan | Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk server Azure SQL Database harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Azure Defender untuk Key Vault harus diaktifkan | Azure Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun key vault. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk Resource Manager harus diaktifkan | Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Azure Defender untuk server harus diaktifkan | Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk server SQL pada mesin harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi | Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time | Kemungkinan akses Just In Time (JIT) jaringan akan dipantau oleh Azure Security Center sebagai rekomendasi | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Pertahanan Microsoft untuk Kontainer harus diaktifkan | Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Pertahanan Microsoft untuk Penyimpanan harus diaktifkan | Microsoft Defender for Storage mendeteksi potensi ancaman terhadap akun penyimpanan Anda. Ini membantu mencegah tiga dampak utama pada data dan beban kerja Anda: unggahan file berbahaya, penyelundupan data sensitif, dan kerusakan data. Paket Defender for Storage baru mencakup Pemindaian Malware dan Deteksi Ancaman Data Sensitif. Paket ini juga menyediakan struktur harga yang dapat diprediksi (per akun penyimpanan) untuk kontrol atas cakupan dan biaya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Memantau aktivitas akun | CMA_0377 - Memantau aktivitas akun | Manual, Dinonaktifkan | 1.1.0 |
| Melaporkan perilaku atipikal akun pengguna | CMA_C1025 - Melaporkan perilaku atipikal akun pengguna | Manual, Dinonaktifkan | 1.1.0 |
Nonaktifkan Akun untuk Individu Berisiko Tinggi
ID: NIST SP 800-53 Rev. 5 AC-2 (13) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menonaktifkan akun pengguna yang menimbulkan risiko signifikan | CMA_C1026 - Nonaktifkan akun pengguna yang menimbulkan risiko signifikan | Manual, Dinonaktifkan | 1.1.0 |
Penerapan Akses
ID: NIST SP 800-53 Rev. 5 AC-3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun dengan izin pemilik pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan izin pemilik untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun dengan izin baca pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak baca istimewa untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun dengan izin tulis pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak tulis istimewa untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Administrator Azure Active Directory harus disediakan untuk server SQL | Penyediaan audit administrator Microsoft Azure Active Directory untuk server SQL Anda agar mengaktifkan autentikasi Microsoft Azure Active Directory. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aplikasi App Service harus menggunakan identitas terkelola | Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Mengaudit komputer Linux yang memiliki akun tanpa kata sandi | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Linux memiliki akun tanpa kata sandi | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
| Autentikasi ke komputer Linux memerlukan kunci SSH | Meskipun SSH sendiri menyediakan koneksi terenkripsi, menggunakan kata sandi dengan SSH masih membuat VM rentan terhadap serangan brute force. Opsi paling aman untuk mengautentikasi ke komputer virtual Linux Azure melalui SSH adalah dengan kunci publik-pribadi, juga dikenal sebagai kunci SSH. Pelajari selengkapnya: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Dinonaktifkan | 3.2.0 |
| Otorisasi akses ke fungsi dan informasi keamanan | CMA_0022 - Mengotorisasi akses ke fungsi dan informasi keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Otorisasi dan kelola akses | CMA_0023 - Mengotorisasi dan mengelola akses | Manual, Dinonaktifkan | 1.1.0 |
| Sumber daya Azure AI Services harus menonaktifkan akses kunci (menonaktifkan autentikasi lokal) | Akses kunci (autentikasi lokal) disarankan untuk dinonaktifkan untuk keamanan. Azure OpenAI Studio, biasanya digunakan dalam pengembangan/pengujian, memerlukan akses kunci dan tidak akan berfungsi jika akses kunci dinonaktifkan. Setelah menonaktifkan, MICROSOFT Entra ID menjadi satu-satunya metode akses, yang memungkinkan mempertahankan prinsip hak istimewa minimum dan kontrol terperinci. Pelajari lebih lanjut di: https://aka.ms/AI/auth | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Sebarkan ekstensi Konfigurasi Tamu Linux untuk mengaktifkan penugasan Konfigurasi Tamu di VM Linux | Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Linux ke komputer virtual Linux yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Linux adalah prasyarat untuk semua penugasan Konfigurasi Tamu Linux dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Linux. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Menerapkan akses logis | CMA_0245 - Menerapkan akses logis | Manual, Dinonaktifkan | 1.1.0 |
| Terapkan kebijakan kontrol akses wajib dan kewenangan | CMA_0246 - Menerapkan kebijakan kontrol akses yang wajib dan kewenangan | Manual, Dinonaktifkan | 1.1.0 |
| Aplikasi Fungsi harus menggunakan identitas terkelola | Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Mewajibkan persetujuan untuk pembuatan akun | CMA_0431 - Mewajibkan persetujuan untuk pembuatan akun | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau grup dan aplikasi pengguna yang memiliki akses terhadap data sensitif | CMA_0481 - Meninjau grup dan aplikasi pengguna yang memiliki akses terhadap data sensitif | Manual, Dinonaktifkan | 1.1.0 |
| Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien | Audit penggunaan autentikasi klien hanya melalui Azure Active Directory di Service Fabric | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Akun penyimpanan harus dimigrasikan ke sumber daya Azure Resource Manager baru | Gunakan Azure Resource Manager baru untuk akun penyimpanan Anda guna memberikan peningkatan keamanan seperti: kontrol akses yang lebih kuat (RBAC), audit yang lebih baik, penyebaran dan tata kelola berbasis Azure Resource Manager, akses ke identitas terkelola, akses ke brankas kunci untuk rahasia, berbasis Azure Active Directory autentikasi dan dukungan untuk tag dan grup sumber daya untuk manajemen keamanan yang lebih mudah | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Komputer virtual harus dimigrasikan ke sumber daya Azure Resource Manager baru | Gunakan Azure Resource Manager baru untuk komputer virtual Anda untuk memberikan peningkatan keamanan seperti: kontrol akses yang lebih kuat (RBAC), audit yang lebih baik, penerapan dan tata kelola berbasis Azure Resource Manager, akses ke identitas terkelola, akses ke brankas kunci untuk rahasia, berbasis Azure Active Directory autentikasi dan dukungan untuk tag dan grup sumber daya untuk manajemen keamanan yang lebih mudah | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Kontrol akses berbasis peran
ID: NIST SP 800-53 Rev. 5 AC-3 (7) Kepemilikan: Pelanggan
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Access Control Berbasis Peran (RBAC) harus digunakan pada Layanan Kubernetes | Untuk menyediakan pemfilteran granular pada tindakan yang dapat dilakukan pengguna, gunakan Access Control Berbasis Peran (RBAC) untuk mengelola izin di Kubernetes Service Cluster dan mengonfigurasi kebijakan otorisasi yang relevan. | Audit, Dinonaktifkan | 1.0.4 |
Penerapan Alur Informasi
ID: NIST SP 800-53 Rev. 5 AC-4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Tidak digunakan lagi]: Azure Cognitive layanan Pencarian s harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Cognitive Search, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Dinonaktifkan | 1.0.1-tidak digunakan lagi |
| [Tidak digunakan lagi]: Cognitive Services harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Cognitive Services, Anda akan mengurangi potensi kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Dinonaktifkan | 3.0.1-tidak digunakan lagi |
| [Pratinjau]: Semua lalu lintas Internet harus dirutekan melalui Azure Firewall yang Anda sebarkan | Azure Security Center telah mengidentifikasi bahwa beberapa subnet Anda tidak dilindungi dengan firewall generasi berikutnya. Lindungi subnet Anda dari potensi ancaman dengan membatasi akses ke mereka dengan Azure Firewall atau firewall generasi berikutnya yang didukung | AuditIfNotExists, Dinonaktifkan | 3.0.0-pratinjau |
| [Pratinjau]: Akses publik akun penyimpanan tidak boleh diizinkan | Akses baca publik anonim ke container dan blob di Azure Storage adalah cara yang nyaman untuk berbagi data tetapi dapat menimbulkan risiko keamanan. Untuk mencegah pelanggaran data yang disebabkan oleh akses anonim yang tidak diinginkan, Microsoft merekomendasikan untuk mencegah akses publik ke akun penyimpanan kecuali skenario Anda memerlukannya. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 3.1.0-pratinjau |
| Semua port jaringan harus dibatasi pada grup keamanan jaringan yang terkait dengan komputer virtual Anda | Azure Security Center telah mengidentifikasi beberapa aturan masuk grup keamanan jaringan Anda terlalu permisif. Aturan masuk tidak boleh mengizinkan akses dari rentang 'Apa pun' atau 'Internet'. Ini berpotensi memungkinkan penyerang untuk menargetkan sumber daya Anda. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Layanan API Management harus menggunakan jaringan virtual | Penyebaran Azure Virtual Network memberikan keamanan yang ditingkatkan, isolasi dan memungkinkan Anda untuk menempatkan layanan API Management Anda di jaringan non-internet routable yang Anda kontrol aksesnya. Jaringan ini kemudian dapat dihubungkan ke jaringan lokal Anda menggunakan berbagai teknologi VPN, yang memungkinkan akses ke layanan backend Anda dalam jaringan dan/atau lokal. Portal pengembang dan gateway API, dapat dikonfigurasi agar dapat diakses baik dari Internet atau hanya dalam jaringan virtual. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
| Azure App Configuration harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke instans konfigurasi aplikasi Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Aplikasi App Service tidak boleh memiliki CORS yang dikonfigurasikan ke mengizinkan semua sumber daya untuk mengakses aplikasi Anda | Berbagi Sumber Daya Lintas Asal (CORS) tidak boleh mengizinkan semua domain mengakses aplikasi Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Anda. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Rentang IP resmi harus ditentukan di Layanan Kube | Batasi akses ke API Manajemen Layanan Kube dengan memberikan akses API hanya ke alamat IP dalam rentang tertentu. Disarankan untuk membatasi akses ke rentang IP resmi untuk memastikan bahwa hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses kluster. | Audit, Dinonaktifkan | 2.0.1 |
| Sumber daya Azure AI Services harus membatasi akses jaringan | Dengan membatasi akses jaringan, Anda dapat memastikan bahwa hanya jaringan yang diizinkan yang dapat mengakses layanan. Ini dapat dicapai dengan mengonfigurasi aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses layanan Azure AI. | Audit, Tolak, Dinonaktifkan | 3.2.0 |
| Azure API untuk FHIR harus menggunakan tautan pribadi | Azure API untuk FHIR harus memiliki setidaknya satu koneksi endpoint pribadi yang disetujui. Klien dalam jaringan virtual dapat dengan aman mengakses sumber daya yang memiliki koneksi titik akhir pribadi melalui tautan pribadi. Untuk informasi lebih lanjut, kunjungi: https://aka.ms/fhir-privatelink. | Audit, Dinonaktifkan | 1.0.0 |
| Azure Cache for Redis harus menggunakan tautan privat | Titik akhir privat memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke instans Azure Cache for Redis Anda, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Layanan Azure Cognitive Search harus menggunakan SKU yang mendukung tautan privat | Dengan SKU Azure Cognitive Search yang didukung, Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke layanan Pencarian Anda, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Layanan Azure Cognitive Search harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa layanan Azure Cognitive Search Anda tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan layanan Pencarian Anda. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun Azure Cosmos DB harus memiliki aturan firewall | Aturan firewall harus ditentukan di akun Azure Cosmos DB Anda untuk mencegah lalu lintas dari sumber yang tidak sah. Akun yang memiliki setidaknya satu aturan IP yang ditentukan dengan filter jaringan virtual diaktifkan dianggap sesuai. Akun yang menonaktifkan akses publik juga dianggap patuh. | Audit, Tolak, Dinonaktifkan | 2.1.0 |
| Azure Data Factory harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Data Factory, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Domain Azure Event Grid harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke domain Azure Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. | Audit, Dinonaktifkan | 1.0.2 |
| Topik Azure Event Grid harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke topik Azure Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. | Audit, Dinonaktifkan | 1.0.2 |
| Azure File Sync harus menggunakan tautan privat | Membuat titik akhir pribadi untuk sumber daya Layanan Sinkronisasi Penyimpanan yang ditunjukkan memungkinkan Anda untuk menangani sumber daya Layanan Sinkronisasi Penyimpanan dari dalam ruang alamat IP pribadi jaringan organisasi Anda, bukan melalui titik akhir publik yang dapat diakses internet. Membuat titik akhir pribadi dengan sendirinya tidak menonaktifkan titik akhir publik. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Azure Key Vault harus mengaktifkan firewall | Aktifkan firewall brankas kunci agar brankas kunci tidak dapat diakses secara default ke IP publik mana pun. Secara opsional, Anda dapat mengonfigurasi rentang IP tertentu untuk membatasi akses ke jaringan tersebut. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Tolak, Dinonaktifkan | 3.2.1 |
| Azure Key Vault harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke brankas kunci, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Ruang kerja Azure Machine Learning harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke ruang kerja Azure Machine Learning, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Dinonaktifkan | 1.0.0 |
| Namespace layanan Azure Service Bus harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke namespace layanan Azure Service Bus, risiko kebocoran data akan berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Layanan Azure SignalR harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke sumber daya Layanan Azure SignalR alih-alih seluruh layanan, Anda akan mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/asrs/privatelink. | Audit, Dinonaktifkan | 1.0.0 |
| Ruang kerja Azure Synapse harus menggunakan private link | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir pribadi ke ruang kerja Azure Synapse, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Dinonaktifkan | 1.0.1 |
| Layanan Azure Web PubSub harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Layanan Azure Web PubSub, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/awps/privatelink. | Audit, Dinonaktifkan | 1.0.0 |
| Registri kontainer tidak boleh mengizinkan akses jaringan yang tidak terbatas | Azure container registry secara default menerima koneksi melalui internet dari host di jaringan apa pun. Untuk melindungi registri Anda dari potensi ancaman, izinkan akses hanya dari titik akhir privat tertentu, alamat IP publik atau rentang alamat tertentu. Jika registri Anda tidak memiliki aturan jaringan yang dikonfigurasi, registri akan muncul di sumber daya yang tidak sehat. Pelajari selengkapnya tentang aturan jaringan Container Registry di sini: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network dan https://aka.ms/acr/vnet. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Registri kontainer harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform private link menangani konektivitas antara konsumen dan layanan melalui jaringan Azure backbone.Dengan memetakan titik akhir pribadi ke container registry Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/acr/private-link. | Audit, Dinonaktifkan | 1.0.1 |
| Mengontrol alur informasi | CMA_0079 - Mengontrol alur informasi | Manual, Dinonaktifkan | 1.1.0 |
| Akun CosmosDB harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir privat ke akun CosmosDB Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Dinonaktifkan | 1.0.0 |
| Sumber daya akses disk harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke diskAccesses, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Menerapkan mekanisme kontrol alur informasi terenkripsi | CMA_0211 - Menerapkan mekanisme kontrol alur informasi terenkripsi | Manual, Dinonaktifkan | 1.1.0 |
| Namespace layanan Pusat Aktivitas harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke namespace layanan Pusat Aktivitas, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Komputer virtual yang terhubung ke internet harus dilindungi dengan grup keamanan jaringan | Lindungi komputer virtual Anda dari potensi ancaman dengan membatasi akses ke komputer virtual tersebut dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Instans layanan provisi perangkat Azure IoT Hub harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke layanan provisi perangkat Azure IoT Hub, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/iotdpsvnet. | Audit, Dinonaktifkan | 1.0.0 |
| Penerusan IP pada komputer virtual Anda harus dinonaktifkan | Mengaktifkan penerusan IP pada NIC komputer virtual memungkinkan komputer menerima lalu lintas yang ditujukan ke tujuan lain. Penerusan IP jarang diperlukan (misalnya, saat menggunakan VM sebagai appliance virtual jaringan), dan oleh karena itu, hal ini harus ditinjau oleh tim keamanan jaringan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time | Kemungkinan akses Just In Time (JIT) jaringan akan dipantau oleh Azure Security Center sebagai rekomendasi | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Port manajemen harus ditutup pada komputer virtual Anda | Port manajemen jarak jauh yang terbuka mengekspos VM Anda ke risiko tinggi dari serangan berbasis internet. Serangan ini mencoba untuk memaksa info masuk guna mendapatkan akses admin ke komputer. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer virtual yang tidak terhubung ke internet harus dilindungi dengan grup keamanan jaringan | Lindungi komputer virtual non-internet Anda dari potensi ancaman dengan membatasi akses dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Koneksi titik akhir pribadi di Azure SQL Database harus diaktifkan | Koneksi titik akhir privat menerapkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure SQL Database. | Audit, Dinonaktifkan | 1.1.0 |
| Titik akhir privat harus diaktifkan untuk server MariaDB | Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for MariaDB. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Titik akhir pribadi harus diaktifkan untuk server MySQL | Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for MySQL. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Titik akhir pribadi harus diaktifkan untuk server PostgreSQL | Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for PostgreSQL. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Akses jaringan publik di Azure SQL Database harus dinonaktifkan | Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan Azure SQL Database Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Akses jaringan publik harus dinonaktifkan untuk server MariaDB | Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for MariaDB Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini secara ketat menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Akses jaringan publik harus dinonaktifkan untuk server MySQL | Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for MySQL Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini secara ketat menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Akses jaringan publik harus dinonaktifkan untuk server PostgreSQL | Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for PostgreSQL Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menolak semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. | Audit, Tolak, Dinonaktifkan | 2.0.1 |
| Akun penyimpanan harus membatasi akses jaringan | Akses jaringan ke akun penyimpanan harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk mengizinkan koneksi dari internet tertentu atau klien lokal, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke rentang alamat IP internet publik | Audit, Tolak, Dinonaktifkan | 1.1.1 |
| Akun penyimpanan harus membatasi akses jaringan menggunakan aturan jaringan virtual | Lindungi akun penyimpanan Anda dari potensi ancaman menggunakan aturan jaringan virtual sebagai metode pilihan alih-alih pemfilteran berbasis IP. Menonaktifkan pemfilteran berbasis IP mencegah IP publik mengakses akun penyimpanan Anda. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Akun penyimpanan harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke akun penyimpanan Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan pribadi di - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Subnet harus dikaitkan dengan Grup Keamanan Jaringan | Lindungi subnet Anda dari potensi ancaman dengan membatasi aksesnya dengan Network Security Group (NSG). NSG berisi daftar aturan Access Control List (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke subnet Anda. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Template Image Builder VM harus menggunakan private link | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke sumber daya bangunan VM Image Builder Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Dinonaktifkan, Tolak | 1.1.0 |
Kontrol Alur Informasi Dinamis
ID: NIST SP 800-53 Rev. 5 AC-4 (3) Kepemilikan: Pelanggan
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time | Kemungkinan akses Just In Time (JIT) jaringan akan dipantau oleh Azure Security Center sebagai rekomendasi | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Filter Kebijakan Keamanan dan Privasi
ID: NIST SP 800-53 Rev. 5 AC-4 (8) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Kontrol alur informasi menggunakan filter kebijakan keamanan | CMA_C1029 - Kontrol alur informasi menggunakan filter kebijakan keamanan | Manual, Dinonaktifkan | 1.1.0 |
Pemisahan Arus Informasi Secara Fisik atau Logis
ID: NIST SP 800-53 Rev. 5 AC-4 (21) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengontrol alur informasi | CMA_0079 - Mengontrol alur informasi | Manual, Dinonaktifkan | 1.1.0 |
| Membuat standar konfigurasi firewall dan router | CMA_0272 - Membuat standar konfigurasi firewall dan router | Manual, Dinonaktifkan | 1.1.0 |
| Membuat segmentasi jaringan untuk lingkungan data pemegang kartu | CMA_0273 - Membuat segmentasi jaringan untuk lingkungan data pemegang kartu | Manual, Dinonaktifkan | 1.1.0 |
| Mengidentifikasi dan mengelola pertukaran informasi hilir | CMA_0298 - Mengidentifikasi dan mengelola pertukaran informasi hilir | Manual, Dinonaktifkan | 1.1.0 |
Pemisahan Tugas
ID: NIST SP 800-53 Rev. 5 AC-5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menentukan otorisasi akses untuk mendukung pemisahan tugas | CMA_0116 - Menentukan otorisasi akses untuk mendukung pemisahan tugas | Manual, Dinonaktifkan | 1.1.0 |
| Pemisahan dokumen tugas | CMA_0204 - Pemisahan dokumen tugas | Manual, Dinonaktifkan | 1.1.0 |
| Memisahkan tugas individu | CMA_0492 - Memisahkan tugas individu | Manual, Dinonaktifkan | 1.1.0 |
| Harus ada lebih dari satu pemilik yang ditetapkan ke langganan Anda | Sebaiknya tetapkan lebih dari satu pemilik langganan agar memiliki redundansi akses administrator. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Hak Istimewa Minimal
ID: NIST SP 800-53 Rev. 5 AC-6 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Maksimum 3 pemilik harus ditunjuk untuk langganan Anda | Direkomendasikan untuk menetapkan hingga 3 pemilik langganan untuk mengurangi potensi pelanggaran oleh pemilik yang disusupi. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Mengaudit penggunaan peran RBAC kustom | Audit peran bawaan seperti 'Pemilik, Kontributor, Pembaca', sebagai pengganti peran RBAC kustom, yang rawan kesalahan. Penggunaan peran kustom diperlakukan sebagai pengecualian dan memerlukan peninjauan yang ketat serta pemodelan ancaman | Audit, Dinonaktifkan | 1.0.1 |
| Mendesain model kontrol akses | CMA_0129 - Mendesain model kontrol akses | Manual, Dinonaktifkan | 1.1.0 |
| Menggunakan akses hak istimewa minimum | CMA_0212 - Menggunakan akses hak istimewa minimum | Manual, Dinonaktifkan | 1.1.0 |
Otorisasi Akses ke Fungsi Keamanan
ID: NIST SP 800-53 Rev. 5 AC-6 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Otorisasi akses ke fungsi dan informasi keamanan | CMA_0022 - Mengotorisasi akses ke fungsi dan informasi keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Otorisasi dan kelola akses | CMA_0023 - Mengotorisasi dan mengelola akses | Manual, Dinonaktifkan | 1.1.0 |
| Terapkan kebijakan kontrol akses wajib dan kewenangan | CMA_0246 - Menerapkan kebijakan kontrol akses yang wajib dan kewenangan | Manual, Dinonaktifkan | 1.1.0 |
Akun Istimewa
ID: NIST SP 800-53 Rev. 5 AC-6 (5) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Membatasi akses ke akun istimewa | CMA_0446 - Membatasi akses terhadap akun istimewa | Manual, Dinonaktifkan | 1.1.0 |
Peninjauan Hak Istimewa Pengguna
ID: NIST SP 800-53 Rev. 5 AC-6 (7) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Maksimum 3 pemilik harus ditunjuk untuk langganan Anda | Direkomendasikan untuk menetapkan hingga 3 pemilik langganan untuk mengurangi potensi pelanggaran oleh pemilik yang disusupi. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Mengaudit penggunaan peran RBAC kustom | Audit peran bawaan seperti 'Pemilik, Kontributor, Pembaca', sebagai pengganti peran RBAC kustom, yang rawan kesalahan. Penggunaan peran kustom diperlakukan sebagai pengecualian dan memerlukan peninjauan yang ketat serta pemodelan ancaman | Audit, Dinonaktifkan | 1.0.1 |
| Menetapkan ulang atau menghapus hak istimewa pengguna sesuai kebutuhan | CMA_C1040 - Menetapkan ulang atau menghapus hak istimewa pengguna sesuai kebutuhan | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau hak istimewa pengguna | CMA_C1039 - Meninjau hak istimewa pengguna | Manual, Dinonaktifkan | 1.1.0 |
Tingkat Istimewa untuk Eksekusi Kode
ID: NIST SP 800-53 Rev. 5 AC-6 (8) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerapkan hak eksekusi perangkat lunak | CMA_C1041 - Menerapkan hak eksekusi perangkat lunak | Manual, Dinonaktifkan | 1.1.0 |
Log Penggunaan Fungsi Istimewa
ID: NIST SP 800-53 Rev. 5 AC-6 (9) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengaudit fungsi istimewa | CMA_0019 - Mengaudit fungsi istimewa | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan analisis teks lengkap dari perintah istimewa yang dicatat | CMA_0056 - Melakukan analisis teks lengkap dari perintah istimewa yang dicatat | Manual, Dinonaktifkan | 1.1.0 |
| Memantau penetapan peran istimewa | CMA_0378 - Memantau penetapan peran istimewa | Manual, Dinonaktifkan | 1.1.0 |
| Membatasi akses ke akun istimewa | CMA_0446 - Membatasi akses terhadap akun istimewa | Manual, Dinonaktifkan | 1.1.0 |
| Mencabut peran istimewa yang sesuai | CMA_0483 - Mencabut peran istimewa sewajarnya | Manual, Dinonaktifkan | 1.1.0 |
| Menggunakan manajemen identitas istimewa | CMA_0533 - Menggunakan manajemen identitas istimewa | Manual, Dinonaktifkan | 1.1.0 |
Percobaan Masuk Tidak Berhasil
ID: NIST SP 800-53 Rev. 5 AC-7 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerapkan batas upaya masuk gagal berturut-turut | CMA_C1044 - Menerapkan batas upaya masuk gagal berturut-turut | Manual, Dinonaktifkan | 1.1.0 |
Kontrol Sesi Bersamaan
ID: NIST SP 800-53 Rev. 5 AC-10 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Tentukan dan terapkan batas sesi bersamaan | CMA_C1050 - Menentukan dan memberlakukan batas sesi bersamaan | Manual, Dinonaktifkan | 1.1.0 |
Penghentian Sesi
ID: NIST SP 800-53 Rev. 5 AC-12 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menghentikan sesi pengguna secara otomatis | CMA_C1054 - Menghentikan sesi pengguna secara otomatis | Manual, Dinonaktifkan | 1.1.0 |
Logout yang dimulai oleh pengguna
ID: NIST SP 800-53 Rev. 5 AC-12 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menampilkan pesan keluar eksplisit | CMA_C1056 - Menampilkan pesan keluar eksplisit | Manual, Dinonaktifkan | 1.1.0 |
| Menyediakan kemampuan keluar | CMA_C1055 - Menyediakan kemampuan keluar | Manual, Dinonaktifkan | 1.1.0 |
Tindakan yang Diizinkan Tanpa Identifikasi atau Autentikasi
ID: NIST SP 800-53 Rev. 5 AC-14 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengidentifikasi tindakan yang diizinkan tanpa autentikasi | CMA_0295 - Mengidentifikasi tindakan yang diizinkan tanpa autentikasi | Manual, Dinonaktifkan | 1.1.0 |
Atribut Keamanan dan Privasi
ID: NIST SP 800-53 Rev. 5 AC-16 Kepemilikan: Pelanggan
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi | Audit server SQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi | Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
Akses Jarak Jauh
ID: NIST SP 800-53 Rev. 5 AC-17 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Tidak digunakan lagi]: Azure Cognitive layanan Pencarian s harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Cognitive Search, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Dinonaktifkan | 1.0.1-tidak digunakan lagi |
| [Tidak digunakan lagi]: Cognitive Services harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Cognitive Services, Anda akan mengurangi potensi kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Dinonaktifkan | 3.0.1-tidak digunakan lagi |
| Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Azure App Configuration harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke instans konfigurasi aplikasi Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Aplikasi App Service harus menonaktifkan penelusuran kesalahan jarak jauh | Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi App Service. Penelusuran kesalahan jarak jauh harus dinonaktifkan. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Mengaudit komputer Linux yang memungkinkan koneksi jarak jauh dari akun tanpa sandi | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Linux mengizinkan koneksi jarak jauh dari akun tanpa kata sandi | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
| Otorisasi akses jarak jauh | CMA_0024 - Mengotorisasi akses jarak jauh | Manual, Dinonaktifkan | 1.1.0 |
| Azure API untuk FHIR harus menggunakan tautan pribadi | Azure API untuk FHIR harus memiliki setidaknya satu koneksi endpoint pribadi yang disetujui. Klien dalam jaringan virtual dapat dengan aman mengakses sumber daya yang memiliki koneksi titik akhir pribadi melalui tautan pribadi. Untuk informasi lebih lanjut, kunjungi: https://aka.ms/fhir-privatelink. | Audit, Dinonaktifkan | 1.0.0 |
| Azure Cache for Redis harus menggunakan tautan privat | Titik akhir privat memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke instans Azure Cache for Redis Anda, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Layanan Azure Cognitive Search harus menggunakan SKU yang mendukung tautan privat | Dengan SKU Azure Cognitive Search yang didukung, Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke layanan Pencarian Anda, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure Data Factory harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Data Factory, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Domain Azure Event Grid harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke domain Azure Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. | Audit, Dinonaktifkan | 1.0.2 |
| Topik Azure Event Grid harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke topik Azure Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. | Audit, Dinonaktifkan | 1.0.2 |
| Azure File Sync harus menggunakan tautan privat | Membuat titik akhir pribadi untuk sumber daya Layanan Sinkronisasi Penyimpanan yang ditunjukkan memungkinkan Anda untuk menangani sumber daya Layanan Sinkronisasi Penyimpanan dari dalam ruang alamat IP pribadi jaringan organisasi Anda, bukan melalui titik akhir publik yang dapat diakses internet. Membuat titik akhir pribadi dengan sendirinya tidak menonaktifkan titik akhir publik. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Azure Key Vault harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke brankas kunci, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Ruang kerja Azure Machine Learning harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke ruang kerja Azure Machine Learning, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Dinonaktifkan | 1.0.0 |
| Namespace layanan Azure Service Bus harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke namespace layanan Azure Service Bus, risiko kebocoran data akan berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Layanan Azure SignalR harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke sumber daya Layanan Azure SignalR alih-alih seluruh layanan, Anda akan mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/asrs/privatelink. | Audit, Dinonaktifkan | 1.0.0 |
| Azure Spring Cloud harus menggunakan injeksi jaringan | Instans Azure Spring Cloud harus menggunakan injeksi jaringan virtual untuk tujuan berikut: 1. Pisahkan Azure Spring Cloud dari Internet. 2. Aktifkan Azure Spring Cloud untuk berinteraksi dengan sistem baik di pusat data lokal atau layanan Azure di jaringan virtual lainnya. 3. Berdayakan pelanggan untuk mengontrol komunikasi jaringan masuk dan keluar untuk Azure Spring Cloud. | Audit, Dinonaktifkan, Tolak | 1.2.0 |
| Ruang kerja Azure Synapse harus menggunakan private link | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir pribadi ke ruang kerja Azure Synapse, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Dinonaktifkan | 1.0.1 |
| Layanan Azure Web PubSub harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Layanan Azure Web PubSub, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/awps/privatelink. | Audit, Dinonaktifkan | 1.0.0 |
| Registri kontainer harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform private link menangani konektivitas antara konsumen dan layanan melalui jaringan Azure backbone.Dengan memetakan titik akhir pribadi ke container registry Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/acr/private-link. | Audit, Dinonaktifkan | 1.0.1 |
| Akun CosmosDB harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir privat ke akun CosmosDB Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Dinonaktifkan | 1.0.0 |
| Sebarkan ekstensi Konfigurasi Tamu Linux untuk mengaktifkan penugasan Konfigurasi Tamu di VM Linux | Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Linux ke komputer virtual Linux yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Linux adalah prasyarat untuk semua penugasan Konfigurasi Tamu Linux dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Linux. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Sebarkan ekstensi Konfigurasi Tamu Windows untuk mengaktifkan penugasan Konfigurasi Tamu pada VM Windows | Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Windows ke komputer virtual Windows yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Windows adalah prasyarat untuk semua penugasan Konfigurasi Tamu Windows dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Windows. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Sumber daya akses disk harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke diskAccesses, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mendokumentasikan pelatihan mobilitas | CMA_0191 - Mendokumentasikan pelatihan mobilitas | Manual, Dinonaktifkan | 1.1.0 |
| Mendokumentasikan panduan akses jarak jauh | CMA_0196 - Mendokumentasikan panduan akses jarak jauh | Manual, Dinonaktifkan | 1.1.0 |
| Namespace layanan Pusat Aktivitas harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke namespace layanan Pusat Aktivitas, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aplikasi Fungsi harus menonaktifkan penelusuran kesalahan jarak jauh | Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi Fungsi. Penelusuran kesalahan jarak jauh harus dinonaktifkan. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Menerapkan kontrol untuk mengamankan lokasi kerja alternatif | CMA_0315 - Menerapkan kontrol untuk mengamankan lokasi kerja alternatif | Manual, Dinonaktifkan | 1.1.0 |
| Instans layanan provisi perangkat Azure IoT Hub harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke layanan provisi perangkat Azure IoT Hub, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/iotdpsvnet. | Audit, Dinonaktifkan | 1.0.0 |
| Koneksi titik akhir pribadi di Azure SQL Database harus diaktifkan | Koneksi titik akhir privat menerapkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure SQL Database. | Audit, Dinonaktifkan | 1.1.0 |
| Titik akhir privat harus diaktifkan untuk server MariaDB | Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for MariaDB. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Titik akhir pribadi harus diaktifkan untuk server MySQL | Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for MySQL. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Titik akhir pribadi harus diaktifkan untuk server PostgreSQL | Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for PostgreSQL. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Memberikan pelatihan privasi | CMA_0415 - Memberikan pelatihan privasi | Manual, Dinonaktifkan | 1.1.0 |
| Akun penyimpanan harus membatasi akses jaringan | Akses jaringan ke akun penyimpanan harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk mengizinkan koneksi dari internet tertentu atau klien lokal, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke rentang alamat IP internet publik | Audit, Tolak, Dinonaktifkan | 1.1.1 |
| Akun penyimpanan harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke akun penyimpanan Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan pribadi di - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Template Pembuat Gambar VM harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke sumber daya bangunan VM Image Builder Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Dinonaktifkan, Tolak | 1.1.0 |
Pemantauan dan Kontrol
ID: NIST SP 800-53 Rev. 5 AC-17 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Tidak digunakan lagi]: Azure Cognitive layanan Pencarian s harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Cognitive Search, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Dinonaktifkan | 1.0.1-tidak digunakan lagi |
| [Tidak digunakan lagi]: Cognitive Services harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Cognitive Services, Anda akan mengurangi potensi kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Dinonaktifkan | 3.0.1-tidak digunakan lagi |
| Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Azure App Configuration harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke instans konfigurasi aplikasi Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Aplikasi App Service harus menonaktifkan penelusuran kesalahan jarak jauh | Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi App Service. Penelusuran kesalahan jarak jauh harus dinonaktifkan. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Mengaudit komputer Linux yang memungkinkan koneksi jarak jauh dari akun tanpa sandi | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Linux mengizinkan koneksi jarak jauh dari akun tanpa kata sandi | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
| Azure API untuk FHIR harus menggunakan tautan pribadi | Azure API untuk FHIR harus memiliki setidaknya satu koneksi endpoint pribadi yang disetujui. Klien dalam jaringan virtual dapat dengan aman mengakses sumber daya yang memiliki koneksi titik akhir pribadi melalui tautan pribadi. Untuk informasi lebih lanjut, kunjungi: https://aka.ms/fhir-privatelink. | Audit, Dinonaktifkan | 1.0.0 |
| Azure Cache for Redis harus menggunakan tautan privat | Titik akhir privat memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke instans Azure Cache for Redis Anda, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Layanan Azure Cognitive Search harus menggunakan SKU yang mendukung tautan privat | Dengan SKU Azure Cognitive Search yang didukung, Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke layanan Pencarian Anda, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure Data Factory harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Data Factory, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Domain Azure Event Grid harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke domain Azure Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. | Audit, Dinonaktifkan | 1.0.2 |
| Topik Azure Event Grid harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke topik Azure Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. | Audit, Dinonaktifkan | 1.0.2 |
| Azure File Sync harus menggunakan tautan privat | Membuat titik akhir pribadi untuk sumber daya Layanan Sinkronisasi Penyimpanan yang ditunjukkan memungkinkan Anda untuk menangani sumber daya Layanan Sinkronisasi Penyimpanan dari dalam ruang alamat IP pribadi jaringan organisasi Anda, bukan melalui titik akhir publik yang dapat diakses internet. Membuat titik akhir pribadi dengan sendirinya tidak menonaktifkan titik akhir publik. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Azure Key Vault harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke brankas kunci, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Ruang kerja Azure Machine Learning harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke ruang kerja Azure Machine Learning, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Dinonaktifkan | 1.0.0 |
| Namespace layanan Azure Service Bus harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke namespace layanan Azure Service Bus, risiko kebocoran data akan berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Layanan Azure SignalR harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke sumber daya Layanan Azure SignalR alih-alih seluruh layanan, Anda akan mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/asrs/privatelink. | Audit, Dinonaktifkan | 1.0.0 |
| Azure Spring Cloud harus menggunakan injeksi jaringan | Instans Azure Spring Cloud harus menggunakan injeksi jaringan virtual untuk tujuan berikut: 1. Pisahkan Azure Spring Cloud dari Internet. 2. Aktifkan Azure Spring Cloud untuk berinteraksi dengan sistem baik di pusat data lokal atau layanan Azure di jaringan virtual lainnya. 3. Berdayakan pelanggan untuk mengontrol komunikasi jaringan masuk dan keluar untuk Azure Spring Cloud. | Audit, Dinonaktifkan, Tolak | 1.2.0 |
| Ruang kerja Azure Synapse harus menggunakan private link | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir pribadi ke ruang kerja Azure Synapse, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Dinonaktifkan | 1.0.1 |
| Layanan Azure Web PubSub harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Layanan Azure Web PubSub, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/awps/privatelink. | Audit, Dinonaktifkan | 1.0.0 |
| Registri kontainer harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform private link menangani konektivitas antara konsumen dan layanan melalui jaringan Azure backbone.Dengan memetakan titik akhir pribadi ke container registry Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/acr/private-link. | Audit, Dinonaktifkan | 1.0.1 |
| Akun CosmosDB harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir privat ke akun CosmosDB Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Dinonaktifkan | 1.0.0 |
| Sebarkan ekstensi Konfigurasi Tamu Linux untuk mengaktifkan penugasan Konfigurasi Tamu di VM Linux | Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Linux ke komputer virtual Linux yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Linux adalah prasyarat untuk semua penugasan Konfigurasi Tamu Linux dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Linux. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Sebarkan ekstensi Konfigurasi Tamu Windows untuk mengaktifkan penugasan Konfigurasi Tamu pada VM Windows | Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Windows ke komputer virtual Windows yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Windows adalah prasyarat untuk semua penugasan Konfigurasi Tamu Windows dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Windows. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Sumber daya akses disk harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke diskAccesses, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Namespace layanan Pusat Aktivitas harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke namespace layanan Pusat Aktivitas, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aplikasi Fungsi harus menonaktifkan penelusuran kesalahan jarak jauh | Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi Fungsi. Penelusuran kesalahan jarak jauh harus dinonaktifkan. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Instans layanan provisi perangkat Azure IoT Hub harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke layanan provisi perangkat Azure IoT Hub, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/iotdpsvnet. | Audit, Dinonaktifkan | 1.0.0 |
| Memantau akses di seluruh organisasi | CMA_0376 - Memantau akses di seluruh organisasi | Manual, Dinonaktifkan | 1.1.0 |
| Koneksi titik akhir pribadi di Azure SQL Database harus diaktifkan | Koneksi titik akhir privat menerapkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure SQL Database. | Audit, Dinonaktifkan | 1.1.0 |
| Titik akhir privat harus diaktifkan untuk server MariaDB | Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for MariaDB. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Titik akhir pribadi harus diaktifkan untuk server MySQL | Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for MySQL. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Titik akhir pribadi harus diaktifkan untuk server PostgreSQL | Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for PostgreSQL. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Akun penyimpanan harus membatasi akses jaringan | Akses jaringan ke akun penyimpanan harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk mengizinkan koneksi dari internet tertentu atau klien lokal, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke rentang alamat IP internet publik | Audit, Tolak, Dinonaktifkan | 1.1.1 |
| Akun penyimpanan harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke akun penyimpanan Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan pribadi di - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Template Pembuat Gambar VM harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke sumber daya bangunan VM Image Builder Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Dinonaktifkan, Tolak | 1.1.0 |
Perlindungan Kerahasiaan dan Integritas Menggunakan Enkripsi
ID: NIST SP 800-53 Rev. 5 AC-17 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memberi tahu pengguna tentang masuk atau mengakses sistem | CMA_0382 - Memberi tahu pengguna tentang masuk atau mengakses sistem | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi data dalam transit menggunakan enkripsi | CMA_0403 - Melindungi data dalam transit menggunakan enkripsi | Manual, Dinonaktifkan | 1.1.0 |
Titik Kontrol Akses Terkelola
ID: NIST SP 800-53 Rev. 5 AC-17 (3) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Merutekan lalu lintas melalui titik akses jaringan terkelola | CMA_0484 - Merutekan lalu lintas melalui titik akses jaringan terkelola | Manual, Dinonaktifkan | 1.1.0 |
Perintah dan Akses Istimewa
ID: NIST SP 800-53 Rev. 5 AC-17 (4) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Otorisasi akses jarak jauh | CMA_0024 - Mengotorisasi akses jarak jauh | Manual, Dinonaktifkan | 1.1.0 |
| Mengotorisasi akses jarak jauh ke perintah istimewa | CMA_C1064 - Mengotorisasi akses jarak jauh ke perintah istimewa | Manual, Dinonaktifkan | 1.1.0 |
| Mendokumentasikan panduan akses jarak jauh | CMA_0196 - Mendokumentasikan panduan akses jarak jauh | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan kontrol untuk mengamankan lokasi kerja alternatif | CMA_0315 - Menerapkan kontrol untuk mengamankan lokasi kerja alternatif | Manual, Dinonaktifkan | 1.1.0 |
| Memberikan pelatihan privasi | CMA_0415 - Memberikan pelatihan privasi | Manual, Dinonaktifkan | 1.1.0 |
Putuskan atau Nonaktifkan Akses
ID: NIST SP 800-53 Rev. 5 AC-17 (9) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menyediakan kemampuan untuk memutuskan sambungan atau menonaktifkan akses jarak jauh | CMA_C1066 - Menyediakan kemampuan untuk memutuskan sambungan atau menonaktifkan akses jarak jauh | Manual, Dinonaktifkan | 1.1.0 |
Akses Nirkabel
ID: NIST SP 800-53 Rev. 5 AC-18 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mendokumentasikan dan menerapkan panduan akses nirkabel | CMA_0190 - Mendokumentasikan dan menerapkan pedoman akses nirkabel | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi akses nirkabel | CMA_0411 - Melindungi akses nirkabel | Manual, Dinonaktifkan | 1.1.0 |
Autentikasi dan Enkripsi
ID: NIST SP 800-53 Rev. 5 AC-18 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mendokumentasikan dan menerapkan panduan akses nirkabel | CMA_0190 - Mendokumentasikan dan menerapkan pedoman akses nirkabel | Manual, Dinonaktifkan | 1.1.0 |
| Mengidentifikasi dan mengautentikasi perangkat jaringan | CMA_0296 - Mengidentifikasi dan mengautentikasi perangkat jaringan | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi akses nirkabel | CMA_0411 - Melindungi akses nirkabel | Manual, Dinonaktifkan | 1.1.0 |
Kontrol Akses untuk Perangkat Seluler
ID: NIST SP 800-53 Rev. 5 AC-19 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menentukan persyaratan perangkat seluler | CMA_0122 - Menentukan persyaratan perangkat seluler | Manual, Dinonaktifkan | 1.1.0 |
Enkripsi Perangkat Penuh atau Berbasis Kontainer
ID: NIST SP 800-53 Rev. 5 AC-19 (5) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menentukan persyaratan perangkat seluler | CMA_0122 - Menentukan persyaratan perangkat seluler | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi data dalam transit menggunakan enkripsi | CMA_0403 - Melindungi data dalam transit menggunakan enkripsi | Manual, Dinonaktifkan | 1.1.0 |
Penggunaan Sistem Eksternal
ID: NIST SP 800-53 Rev. 5 AC-20 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menetapkan syarat dan ketentuan untuk mengakses sumber daya | CMA_C1076 - Menetapkan syarat dan ketentuan untuk mengakses sumber daya | Manual, Dinonaktifkan | 1.1.0 |
| Menetapkan syarat dan ketentuan untuk memproses sumber daya | CMA_C1077 - Menetapkan syarat dan ketentuan untuk memproses sumber daya | Manual, Dinonaktifkan | 1.1.0 |
Batas Penggunaan yang Sah
ID: NIST SP 800-53 Rev. 5 AC-20 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memverifikasi kontrol keamanan untuk sistem informasi eksternal | CMA_0541 - Memverifikasi kontrol keamanan untuk sistem informasi eksternal | Manual, Dinonaktifkan | 1.1.0 |
Perangkat Penyimpanan Portabel ??? Penggunaan Terbatas
ID: NIST SP 800-53 Rev. 5 AC-20 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memblokir proses tidak tepercaya dan tidak resmi yang berjalan dari USB | CMA_0050 - Memblokir proses yang tidak tepercaya dan tidak resmi yang berjalan dari USB | Manual, Dinonaktifkan | 1.1.0 |
| Mengontrol penggunaan perangkat penyimpanan portabel | CMA_0083 - Mengontrol penggunaan perangkat penyimpanan portabel | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan kontrol untuk mengamankan semua media | CMA_0314 - Menerapkan kontrol untuk mengamankan semua media | Manual, Dinonaktifkan | 1.1.0 |
Berbagi Informasi
ID: NIST SP 800-53 Rev. 5 AC-21 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengotomatiskan keputusan berbagi informasi | CMA_0028 - Mengotomatiskan keputusan berbagi informasi | Manual, Dinonaktifkan | 1.1.0 |
| Memfasilitasi berbagi informasi | CMA_0284 - Memfasilitasi berbagi informasi | Manual, Dinonaktifkan | 1.1.0 |
Konten yang Mudah Diakses Publik
ID: NIST SP 800-53 Rev. 5 AC-22 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menunjuk personel yang berwenang untuk memposting informasi yang dapat diakses publik | CMA_C1083 - Menunjuk personel yang berwenang untuk memposting informasi yang dapat diakses publik | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau konten sebelum memposting informasi yang dapat diakses publik | CMA_C1085 - Tinjau konten sebelum memposting informasi yang dapat diakses publik | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau konten yang dapat diakses publik untuk informasi nonpublik | CMA_C1086 - Tinjau konten yang dapat diakses publik untuk informasi nonpublik | Manual, Dinonaktifkan | 1.1.0 |
| Melatih personel tentang pengungkapan informasi nonpublik | CMA_C1084 - Melatih personel tentang pengungkapan informasi nonpublik | Manual, Dinonaktifkan | 1.1.0 |
Kesadaran dan Pelatihan
Kebijakan dan Prosedur
ID: NIST SP 800-53 Rev. 5 AT-1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Aktivitas pelatihan keamanan dan privasi dokumen | CMA_0198 - Aktivitas pelatihan keamanan dan privasi dokumen | Manual, Dinonaktifkan | 1.1.0 |
| Memperbarui kebijakan keamanan informasi | CMA_0518 - Memperbarui kebijakan keamanan informasi | Manual, Dinonaktifkan | 1.1.0 |
Pelatihan dan Penyadaran Literasi
ID: NIST SP 800-53 Rev. 5 AT-2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memberikan pelatihan kesadaran keamanan berkala | CMA_C1091 - Memberikan pelatihan kesadaran keamanan berkala | Manual, Dinonaktifkan | 1.1.0 |
| Memberikan pelatihan keamanan untuk pengguna baru | CMA_0419 - Menyediakan pelatihan keamanan untuk pengguna baru | Manual, Dinonaktifkan | 1.1.0 |
| Menyediakan pelatihan kesadaran keamanan yang diperbarui | CMA_C1090 - Menyediakan pelatihan kesadaran keamanan yang diperbarui | Manual, Dinonaktifkan | 1.1.0 |
Ancaman Dari Dalam
ID: NIST SP 800-53 Rev. 5 AT-2 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memberikan pelatihan kesadaran keamanan untuk ancaman orang dalam | CMA_0417 - Memberikan pelatihan kesadaran keamanan untuk ancaman orang dalam | Manual, Dinonaktifkan | 1.1.0 |
Pelatihan berbasis peran
ID: NIST SP 800-53 Rev. 5 AT-3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memberikan pelatihan keamanan berbasis peran berkala | CMA_C1095 - Menyediakan pelatihan keamanan berbasis peran berkala | Manual, Dinonaktifkan | 1.1.0 |
| Menyediakan pelatihan keamanan berbasis peran | CMA_C1094 - Menyediakan pelatihan keamanan berbasis peran | Manual, Dinonaktifkan | 1.1.0 |
| Memberikan pelatihan keamanan sebelum memberikan akses | CMA_0418 - Memberikan pelatihan keamanan sebelum memberikan akses | Manual, Dinonaktifkan | 1.1.0 |
Latihan Praktis
ID: NIST SP 800-53 Rev. 5 AT-3 (3) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menyediakan latihan praktis berbasis peran | CMA_C1096 - Menyediakan latihan praktis berbasis peran | Manual, Dinonaktifkan | 1.1.0 |
Catatan Pelatihan
ID: NIST SP 800-53 Rev. 5 AT-4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Aktivitas pelatihan keamanan dan privasi dokumen | CMA_0198 - Aktivitas pelatihan keamanan dan privasi dokumen | Manual, Dinonaktifkan | 1.1.0 |
| Memantau penyelesaian pelatihan keamanan dan privasi | CMA_0379 - Memantau penyelesaian pelatihan keamanan dan privasi | Manual, Dinonaktifkan | 1.1.0 |
| Pertahankan catatan pelatihan | CMA_0456 - Menyimpan catatan pelatihan | Manual, Dinonaktifkan | 1.1.0 |
Audit dan Akuntabilitas
Kebijakan dan Prosedur
ID: NIST SP 800-53 Rev. 5 AU-1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengembangkan kebijakan dan prosedur audit dan akuntabilitas | CMA_0154 - Mengembangkan kebijakan dan prosedur audit dan akuntabilitas | Manual, Dinonaktifkan | 1.1.0 |
| Mengembangkan kebijakan dan prosedur keamanan informasi | CMA_0158 - Mengembangkan kebijakan dan prosedur keamanan informasi | Manual, Dinonaktifkan | 1.1.0 |
| Mengatur kebijakan dan prosedur | CMA_0292 - Mengatur kebijakan dan prosedur | Manual, Dinonaktifkan | 1.1.0 |
| Memperbarui kebijakan keamanan informasi | CMA_0518 - Memperbarui kebijakan keamanan informasi | Manual, Dinonaktifkan | 1.1.0 |
Pencatatan Aktivitas
ID: NIST SP 800-53 Rev. 5 AU-2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menentukan kejadian yang dapat diaudit | CMA_0137 - Menentukan peristiwa yang dapat diaudit | Manual, Dinonaktifkan | 1.1.0 |
Konten Catatan Audit
ID: NIST SP 800-53 Rev. 5 AU-3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menentukan kejadian yang dapat diaudit | CMA_0137 - Menentukan peristiwa yang dapat diaudit | Manual, Dinonaktifkan | 1.1.0 |
Informasi Audit Tambahan
ID: NIST SP 800-53 Rev. 5 AU-3 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengonfigurasi kemampuan Azure Audit | CMA_C1108 - Mengonfigurasi kemampuan Azure Audit | Manual, Dinonaktifkan | 1.1.1 |
Kapasitas Penyimpanan Log Audit
ID: NIST SP 800-53 Rev. 5 AU-4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengatur dan memantau aktivitas pemrosesan audit | CMA_0289 - Mengatur dan memantau aktivitas pemrosesan audit | Manual, Dinonaktifkan | 1.1.0 |
Respons terhadap Kegagalan Proses Pencatatan Audit
ID: NIST SP 800-53 Rev. 5 AU-5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengatur dan memantau aktivitas pemrosesan audit | CMA_0289 - Mengatur dan memantau aktivitas pemrosesan audit | Manual, Dinonaktifkan | 1.1.0 |
Pemberitahuan Real Time
ID: NIST SP 800-53 Rev. 5 AU-5 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memberikan pemberitahuan real time untuk kegagalan peristiwa audit | CMA_C1114 - Memberikan pemberitahuan real time untuk kegagalan peristiwa audit | Manual, Dinonaktifkan | 1.1.0 |
Peninjauan, Analisis, dan Pelaporan Data Audit
ID: NIST SP 800-53 Rev. 5 AU-6 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Kluster Kubernetes yang mengaktifkan Azure Arc harus memiliki ekstensi Microsoft Defender untuk Cloud yang diinstal | Ekstensi Microsoft Defender untuk Cloud untuk Azure Arc memberikan perlindungan ancaman untuk kluster Kubernetes Anda yang mendukung Arc. Ekstensi ini mengumpulkan data dari simpul dalam kluster dan mengirimkannya ke backend Azure Defender untuk Kube di cloud untuk dianalisis lebih lanjut. Pelajari lebih lanjut di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Dinonaktifkan | 6.0.0-pratinjau |
| [Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Linux | Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. | AuditIfNotExists, Dinonaktifkan | pratinjau-1.0.2 |
| [Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Windows | Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. | AuditIfNotExists, Dinonaktifkan | pratinjau-1.0.2 |
| Azure Defender untuk App Service harus diaktifkan | Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk server Azure SQL Database harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Azure Defender untuk Key Vault harus diaktifkan | Azure Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun key vault. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk Resource Manager harus diaktifkan | Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Azure Defender untuk server harus diaktifkan | Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk server SQL pada mesin harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak dilindungi | Audit server SQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi | Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Menghubungkan rekaman audit | CMA_0087 - Menghubungkan rekaman audit | Manual, Dinonaktifkan | 1.1.0 |
| Menetapkan persyaratan untuk tinjauan dan pelaporan audit | CMA_0277 - Menetapkan persyaratan untuk tinjauan dan pelaporan audit | Manual, Dinonaktifkan | 1.1.0 |
| Mengintegrasikan tinjauan, analisis, dan pelaporan audit | CMA_0339 - Mengintegrasikan tinjauan, analisis, dan pelaporan audit | Manual, Dinonaktifkan | 1.1.0 |
| Mengintegrasikan keamanan aplikasi cloud dengan siem | CMA_0340 - Mengintegrasikan keamanan aplikasi cloud dengan siem | Manual, Dinonaktifkan | 1.1.0 |
| Pertahanan Microsoft untuk Kontainer harus diaktifkan | Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Pertahanan Microsoft untuk Penyimpanan harus diaktifkan | Microsoft Defender for Storage mendeteksi potensi ancaman terhadap akun penyimpanan Anda. Ini membantu mencegah tiga dampak utama pada data dan beban kerja Anda: unggahan file berbahaya, penyelundupan data sensitif, dan kerusakan data. Paket Defender for Storage baru mencakup Pemindaian Malware dan Deteksi Ancaman Data Sensitif. Paket ini juga menyediakan struktur harga yang dapat diprediksi (per akun penyimpanan) untuk kontrol atas cakupan dan biaya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Network Watcher harus diaktifkan | Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan ujung ke ujung. Diperlukan untuk memiliki grup sumber daya pengawas jaringan untuk dibuat di setiap wilayah tempat jaringan virtual berada. Pemberitahuan diaktifkan jika grup sumber daya pengawas jaringan tidak tersedia di wilayah tertentu. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Meninjau log penyediaan akun | CMA_0460 - Meninjau log penyediaan akun | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau penetapan administrator mingguan | CMA_0461 - Meninjau penetapan administrator mingguan | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau data audit | CMA_0466 - Meninjau data audit | Manual, Dinonaktifkan | 1.1.0 |
| Tinjau gambaran umum laporan identitas cloud | CMA_0468 - Tinjau gambaran umum laporan identitas cloud | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau peristiwa akses folder terkontrol | CMA_0471 - Meninjau peristiwa akses folder terkontrol | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau aktivitas file dan folder | CMA_0473 - Meninjau aktivitas file dan folder | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau perubahan grup peran mingguan | CMA_0476 - Meninjau perubahan grup peran mingguan | Manual, Dinonaktifkan | 1.1.0 |
Integrasi Proses Otomatis
ID: NIST SP 800-53 Rev. 5 AU-6 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menghubungkan rekaman audit | CMA_0087 - Menghubungkan rekaman audit | Manual, Dinonaktifkan | 1.1.0 |
| Menetapkan persyaratan untuk tinjauan dan pelaporan audit | CMA_0277 - Menetapkan persyaratan untuk tinjauan dan pelaporan audit | Manual, Dinonaktifkan | 1.1.0 |
| Mengintegrasikan tinjauan, analisis, dan pelaporan audit | CMA_0339 - Mengintegrasikan tinjauan, analisis, dan pelaporan audit | Manual, Dinonaktifkan | 1.1.0 |
| Mengintegrasikan keamanan aplikasi cloud dengan siem | CMA_0340 - Mengintegrasikan keamanan aplikasi cloud dengan siem | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau log penyediaan akun | CMA_0460 - Meninjau log penyediaan akun | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau penetapan administrator mingguan | CMA_0461 - Meninjau penetapan administrator mingguan | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau data audit | CMA_0466 - Meninjau data audit | Manual, Dinonaktifkan | 1.1.0 |
| Tinjau gambaran umum laporan identitas cloud | CMA_0468 - Tinjau gambaran umum laporan identitas cloud | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau peristiwa akses folder terkontrol | CMA_0471 - Meninjau peristiwa akses folder terkontrol | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau aktivitas file dan folder | CMA_0473 - Meninjau aktivitas file dan folder | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau perubahan grup peran mingguan | CMA_0476 - Meninjau perubahan grup peran mingguan | Manual, Dinonaktifkan | 1.1.0 |
Repositori Catatan Audit Berkorelasi
ID: NIST SP 800-53 Rev. 5 AU-6 (3) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menghubungkan rekaman audit | CMA_0087 - Menghubungkan rekaman audit | Manual, Dinonaktifkan | 1.1.0 |
| Mengintegrasikan keamanan aplikasi cloud dengan siem | CMA_0340 - Mengintegrasikan keamanan aplikasi cloud dengan siem | Manual, Dinonaktifkan | 1.1.0 |
Tinjauan dan Analisis Pusat
ID: NIST SP 800-53 Rev. 5 AU-6 (4) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Kluster Kubernetes yang mengaktifkan Azure Arc harus memiliki ekstensi Microsoft Defender untuk Cloud yang diinstal | Ekstensi Microsoft Defender untuk Cloud untuk Azure Arc memberikan perlindungan ancaman untuk kluster Kubernetes Anda yang mendukung Arc. Ekstensi ini mengumpulkan data dari simpul dalam kluster dan mengirimkannya ke backend Azure Defender untuk Kube di cloud untuk dianalisis lebih lanjut. Pelajari lebih lanjut di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Dinonaktifkan | 6.0.0-pratinjau |
| [Pratinjau]: Ekstensi Analitik Log harus diinstal di mesin Azure Arc Linux | Kebijakan ini mengaudit mesin Linux Azure Arc jika ekstensi Analitik Log tidak terpasang. | AuditIfNotExists, Dinonaktifkan | 1.0.1-pratinjau |
| [Pratinjau]: Ekstensi Analitik Log harus diinstal di mesin Azure Arc Windows | Kebijakan ini mengaudit mesin Windows Azure Arc jika ekstensi Analitik Log tidak terpasang. | AuditIfNotExists, Dinonaktifkan | 1.0.1-pratinjau |
| [Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Linux | Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. | AuditIfNotExists, Dinonaktifkan | pratinjau-1.0.2 |
| [Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Windows | Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. | AuditIfNotExists, Dinonaktifkan | pratinjau-1.0.2 |
| Aplikasi App Service harus mengaktifkan log sumber daya | Audit yang mengaktifkan log sumber daya di aplikasi. Ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi jika terjadi insiden keamanan atau jaringan Anda disusupi. | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Audit di server SQL harus diaktifkan | Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Azure Defender untuk App Service harus diaktifkan | Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk server Azure SQL Database harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Azure Defender untuk Key Vault harus diaktifkan | Azure Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun key vault. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk Resource Manager harus diaktifkan | Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Azure Defender untuk server harus diaktifkan | Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk server SQL pada mesin harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak dilindungi | Audit server SQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi | Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Ekstensi Konfigurasi Tamu harus dipasang di mesin Anda | Untuk memastikan konfigurasi yang aman dari pengaturan in-guest mesin Anda, instal ekstensi Guest Configuration. Pengaturan tamu yang dipantau ekstensi mencakup konfigurasi sistem operasi, konfigurasi atau keberadaan aplikasi, dan pengaturan lingkungan. Setelah diinstal, kebijakan tamu akan tersedia seperti 'Windows Exploit guard harus diaktifkan'. Pelajari lebih lanjut di https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Pertahanan Microsoft untuk Kontainer harus diaktifkan | Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Pertahanan Microsoft untuk Penyimpanan harus diaktifkan | Microsoft Defender for Storage mendeteksi potensi ancaman terhadap akun penyimpanan Anda. Ini membantu mencegah tiga dampak utama pada data dan beban kerja Anda: unggahan file berbahaya, penyelundupan data sensitif, dan kerusakan data. Paket Defender for Storage baru mencakup Pemindaian Malware dan Deteksi Ancaman Data Sensitif. Paket ini juga menyediakan struktur harga yang dapat diprediksi (per akun penyimpanan) untuk kontrol atas cakupan dan biaya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Network Watcher harus diaktifkan | Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan ujung ke ujung. Diperlukan untuk memiliki grup sumber daya pengawas jaringan untuk dibuat di setiap wilayah tempat jaringan virtual berada. Pemberitahuan diaktifkan jika grup sumber daya pengawas jaringan tidak tersedia di wilayah tertentu. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Log sumber daya di Azure Data Lake Store harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Azure Stream Analytics harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di akun Azure Batch harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Data Lake Analytics harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Event Hub harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Azure IoT Hub harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
| Log sumber daya di Key Vault harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda membuat ulang jejak aktivitas yang akan digunakan untuk penyelidikan saat terjadi insiden keamanan atau jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Logic Apps harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.1.0 |
| Log sumber daya di layanan Pencarian harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Azure Service Bus harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Ekstensi Konfigurasi Tamu komputer virtual harus diterapkan dengan identitas terkelola yang ditetapkan sistem | Ekstensi Konfigurasi Tamu memerlukan identitas terkelola yang ditetapkan sistem. Komputer virtual Azure dalam cakupan kebijakan ini tidak akan mematuhi kebijakan jika ekstensi Konfigurasi Tamu diinstal tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Pelajari lebih lanjut di https://aka.ms/gcpol | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Analisis Data Audit yang Terintegrasi
ID: NIST SP 800-53 Rev. 5 AU-6 (5) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Kluster Kubernetes yang mengaktifkan Azure Arc harus memiliki ekstensi Microsoft Defender untuk Cloud yang diinstal | Ekstensi Microsoft Defender untuk Cloud untuk Azure Arc memberikan perlindungan ancaman untuk kluster Kubernetes Anda yang mendukung Arc. Ekstensi ini mengumpulkan data dari simpul dalam kluster dan mengirimkannya ke backend Azure Defender untuk Kube di cloud untuk dianalisis lebih lanjut. Pelajari lebih lanjut di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Dinonaktifkan | 6.0.0-pratinjau |
| [Pratinjau]: Ekstensi Analitik Log harus diinstal di mesin Azure Arc Linux | Kebijakan ini mengaudit mesin Linux Azure Arc jika ekstensi Analitik Log tidak terpasang. | AuditIfNotExists, Dinonaktifkan | 1.0.1-pratinjau |
| [Pratinjau]: Ekstensi Analitik Log harus diinstal di mesin Azure Arc Windows | Kebijakan ini mengaudit mesin Windows Azure Arc jika ekstensi Analitik Log tidak terpasang. | AuditIfNotExists, Dinonaktifkan | 1.0.1-pratinjau |
| [Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Linux | Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. | AuditIfNotExists, Dinonaktifkan | pratinjau-1.0.2 |
| [Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Windows | Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. | AuditIfNotExists, Dinonaktifkan | pratinjau-1.0.2 |
| Aplikasi App Service harus mengaktifkan log sumber daya | Audit yang mengaktifkan log sumber daya di aplikasi. Ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi jika terjadi insiden keamanan atau jaringan Anda disusupi. | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Audit di server SQL harus diaktifkan | Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Azure Defender untuk App Service harus diaktifkan | Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk server Azure SQL Database harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Azure Defender untuk Key Vault harus diaktifkan | Azure Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun key vault. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk Resource Manager harus diaktifkan | Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Azure Defender untuk server harus diaktifkan | Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk server SQL pada mesin harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak dilindungi | Audit server SQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi | Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Ekstensi Konfigurasi Tamu harus dipasang di mesin Anda | Untuk memastikan konfigurasi yang aman dari pengaturan in-guest mesin Anda, instal ekstensi Guest Configuration. Pengaturan tamu yang dipantau ekstensi mencakup konfigurasi sistem operasi, konfigurasi atau keberadaan aplikasi, dan pengaturan lingkungan. Setelah diinstal, kebijakan tamu akan tersedia seperti 'Windows Exploit guard harus diaktifkan'. Pelajari lebih lanjut di https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Mengintegrasikan analisis rekaman Audit | CMA_C1120 - Mengintegrasikan analisis catatan Audit | Manual, Dinonaktifkan | 1.1.0 |
| Pertahanan Microsoft untuk Kontainer harus diaktifkan | Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Pertahanan Microsoft untuk Penyimpanan harus diaktifkan | Microsoft Defender for Storage mendeteksi potensi ancaman terhadap akun penyimpanan Anda. Ini membantu mencegah tiga dampak utama pada data dan beban kerja Anda: unggahan file berbahaya, penyelundupan data sensitif, dan kerusakan data. Paket Defender for Storage baru mencakup Pemindaian Malware dan Deteksi Ancaman Data Sensitif. Paket ini juga menyediakan struktur harga yang dapat diprediksi (per akun penyimpanan) untuk kontrol atas cakupan dan biaya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Network Watcher harus diaktifkan | Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan ujung ke ujung. Diperlukan untuk memiliki grup sumber daya pengawas jaringan untuk dibuat di setiap wilayah tempat jaringan virtual berada. Pemberitahuan diaktifkan jika grup sumber daya pengawas jaringan tidak tersedia di wilayah tertentu. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Log sumber daya di Azure Data Lake Store harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Azure Stream Analytics harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di akun Azure Batch harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Data Lake Analytics harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Event Hub harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Azure IoT Hub harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
| Log sumber daya di Key Vault harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda membuat ulang jejak aktivitas yang akan digunakan untuk penyelidikan saat terjadi insiden keamanan atau jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Logic Apps harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.1.0 |
| Log sumber daya di layanan Pencarian harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Azure Service Bus harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Ekstensi Konfigurasi Tamu komputer virtual harus diterapkan dengan identitas terkelola yang ditetapkan sistem | Ekstensi Konfigurasi Tamu memerlukan identitas terkelola yang ditetapkan sistem. Komputer virtual Azure dalam cakupan kebijakan ini tidak akan mematuhi kebijakan jika ekstensi Konfigurasi Tamu diinstal tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Pelajari lebih lanjut di https://aka.ms/gcpol | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Tindakan yang Diizinkan
ID: NIST SP 800-53 Rev. 5 AU-6 (7) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Tentukan tindakan yang diizinkan yang terkait dengan informasi audit pelanggan | CMA_C1122 - Tentukan tindakan yang diizinkan yang terkait dengan informasi audit pelanggan | Manual, Dinonaktifkan | 1.1.0 |
Pengurangan Catatan Audit dan Pembuatan Laporan
ID: NIST SP 800-53 Rev. 5 AU-7 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Pastikan rekaman audit tidak diubah | CMA_C1125 - Pastikan catatan audit tidak diubah | Manual, Dinonaktifkan | 1.1.0 |
| Menyediakan kemampuan tinjauan, analisis, dan pelaporan audit | CMA_C1124 - Menyediakan kemampuan tinjauan, analisis, dan pelaporan audit | Manual, Dinonaktifkan | 1.1.0 |
Pemrosesan Otomatis
ID: NIST SP 800-53 Rev. 5 AU-7 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menyediakan kemampuan untuk memproses catatan audit yang dikontrol pelanggan | CMA_C1126 - Menyediakan kemampuan untuk memproses catatan audit yang dikontrol pelanggan | Manual, Dinonaktifkan | 1.1.0 |
Tanda Waktu
ID: NIST SP 800-53 Rev. 5 AU-8 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menggunakan jam sistem untuk rekaman audit | CMA_0535 - Menggunakan jam sistem untuk rekaman audit | Manual, Dinonaktifkan | 1.1.0 |
Proteksi Informasi Audit
ID: NIST SP 800-53 Rev. 5 AU-9 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengaktifkan otorisasi ganda atau gabungan | CMA_0226 - Mengaktifkan otorisasi ganda atau gabungan | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi informasi audit | CMA_0401 - Melindungi informasi audit | Manual, Dinonaktifkan | 1.1.0 |
Simpan di Sistem atau Komponen Fisik Terpisah
ID: NIST SP 800-53 Rev. 5 AU-9 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menetapkan kebijakan dan prosedur pencadangan | CMA_0268 - Menetapkan kebijakan dan prosedur pencadangan | Manual, Dinonaktifkan | 1.1.0 |
Perlindungan Kriptografi
ID: NIST SP 800-53 Rev. 5 AU-9 (3) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menjaga integritas sistem audit | CMA_C1133 - Menjaga integritas sistem audit | Manual, Dinonaktifkan | 1.1.0 |
Akses oleh Subset dari Pengguna Istimewa
ID: NIST SP 800-53 Rev. 5 AU-9 (4) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Melindungi informasi audit | CMA_0401 - Melindungi informasi audit | Manual, Dinonaktifkan | 1.1.0 |
Non-penyangkalan
ID: NIST SP 800-53 Rev. 5 AU-10 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menetapkan persyaratan tanda tangan dan sertifikat elektronik | CMA_0271 - Menetapkan persyaratan tanda tangan dan sertifikat elektronik | Manual, Dinonaktifkan | 1.1.0 |
Retensi Catatan Audit
ID: NIST SP 800-53 Rev. 5 AU-11 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mematuhi periode retensi yang ditentukan | CMA_0004 - Mematuhi periode retensi yang ditentukan | Manual, Dinonaktifkan | 1.1.0 |
| Mempertahankan kebijakan dan prosedur keamanan | CMA_0454 - Mempertahankan kebijakan dan prosedur keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Mempertahankan data pengguna yang dihentikan | CMA_0455 - Mempertahankan data pengguna yang dihentikan | Manual, Dinonaktifkan | 1.1.0 |
| Server SQL dengan audit ke tujuan akun penyimpanan harus dikonfigurasi dengan retensi 90 hari atau lebih tinggi | Untuk tujuan penyelidikan insiden, kami menyarankan pengaturan retensi data untuk audit SQL Server Anda ke tujuan akun penyimpanan setidaknya 90 hari. Konfirmasikan bahwa Anda memenuhi aturan retensi yang diperlukan untuk wilayah tempat Anda beroperasi. Ini terkadang diperlukan untuk memenuhi standar peraturan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Pembuatan Data Audit
ID: NIST SP 800-53 Rev. 5 AU-12 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Kluster Kubernetes yang mengaktifkan Azure Arc harus memiliki ekstensi Microsoft Defender untuk Cloud yang diinstal | Ekstensi Microsoft Defender untuk Cloud untuk Azure Arc memberikan perlindungan ancaman untuk kluster Kubernetes Anda yang mendukung Arc. Ekstensi ini mengumpulkan data dari simpul dalam kluster dan mengirimkannya ke backend Azure Defender untuk Kube di cloud untuk dianalisis lebih lanjut. Pelajari lebih lanjut di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Dinonaktifkan | 6.0.0-pratinjau |
| [Pratinjau]: Ekstensi Analitik Log harus diinstal di mesin Azure Arc Linux | Kebijakan ini mengaudit mesin Linux Azure Arc jika ekstensi Analitik Log tidak terpasang. | AuditIfNotExists, Dinonaktifkan | 1.0.1-pratinjau |
| [Pratinjau]: Ekstensi Analitik Log harus diinstal di mesin Azure Arc Windows | Kebijakan ini mengaudit mesin Windows Azure Arc jika ekstensi Analitik Log tidak terpasang. | AuditIfNotExists, Dinonaktifkan | 1.0.1-pratinjau |
| [Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Linux | Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. | AuditIfNotExists, Dinonaktifkan | pratinjau-1.0.2 |
| [Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Windows | Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. | AuditIfNotExists, Dinonaktifkan | pratinjau-1.0.2 |
| Aplikasi App Service harus mengaktifkan log sumber daya | Audit yang mengaktifkan log sumber daya di aplikasi. Ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi jika terjadi insiden keamanan atau jaringan Anda disusupi. | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Mengaudit fungsi istimewa | CMA_0019 - Mengaudit fungsi istimewa | Manual, Dinonaktifkan | 1.1.0 |
| Mengaudit status akun pengguna | CMA_0020 - Mengaudit status akun pengguna | Manual, Dinonaktifkan | 1.1.0 |
| Audit di server SQL harus diaktifkan | Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Azure Defender untuk App Service harus diaktifkan | Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk server Azure SQL Database harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Azure Defender untuk Key Vault harus diaktifkan | Azure Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun key vault. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk Resource Manager harus diaktifkan | Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Azure Defender untuk server harus diaktifkan | Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk server SQL pada mesin harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak dilindungi | Audit server SQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi | Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Menentukan kejadian yang dapat diaudit | CMA_0137 - Menentukan peristiwa yang dapat diaudit | Manual, Dinonaktifkan | 1.1.0 |
| Ekstensi Konfigurasi Tamu harus dipasang di mesin Anda | Untuk memastikan konfigurasi yang aman dari pengaturan in-guest mesin Anda, instal ekstensi Guest Configuration. Pengaturan tamu yang dipantau ekstensi mencakup konfigurasi sistem operasi, konfigurasi atau keberadaan aplikasi, dan pengaturan lingkungan. Setelah diinstal, kebijakan tamu akan tersedia seperti 'Windows Exploit guard harus diaktifkan'. Pelajari lebih lanjut di https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Pertahanan Microsoft untuk Kontainer harus diaktifkan | Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Pertahanan Microsoft untuk Penyimpanan harus diaktifkan | Microsoft Defender for Storage mendeteksi potensi ancaman terhadap akun penyimpanan Anda. Ini membantu mencegah tiga dampak utama pada data dan beban kerja Anda: unggahan file berbahaya, penyelundupan data sensitif, dan kerusakan data. Paket Defender for Storage baru mencakup Pemindaian Malware dan Deteksi Ancaman Data Sensitif. Paket ini juga menyediakan struktur harga yang dapat diprediksi (per akun penyimpanan) untuk kontrol atas cakupan dan biaya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Network Watcher harus diaktifkan | Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan ujung ke ujung. Diperlukan untuk memiliki grup sumber daya pengawas jaringan untuk dibuat di setiap wilayah tempat jaringan virtual berada. Pemberitahuan diaktifkan jika grup sumber daya pengawas jaringan tidak tersedia di wilayah tertentu. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Log sumber daya di Azure Data Lake Store harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Azure Stream Analytics harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di akun Azure Batch harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Data Lake Analytics harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Event Hub harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Azure IoT Hub harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
| Log sumber daya di Key Vault harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda membuat ulang jejak aktivitas yang akan digunakan untuk penyelidikan saat terjadi insiden keamanan atau jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Logic Apps harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.1.0 |
| Log sumber daya di layanan Pencarian harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Azure Service Bus harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Meninjau data audit | CMA_0466 - Meninjau data audit | Manual, Dinonaktifkan | 1.1.0 |
| Ekstensi Konfigurasi Tamu komputer virtual harus diterapkan dengan identitas terkelola yang ditetapkan sistem | Ekstensi Konfigurasi Tamu memerlukan identitas terkelola yang ditetapkan sistem. Komputer virtual Azure dalam cakupan kebijakan ini tidak akan mematuhi kebijakan jika ekstensi Konfigurasi Tamu diinstal tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Pelajari lebih lanjut di https://aka.ms/gcpol | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Jejak Audit di Seluruh Sistem dan Berkorelasi dengan Waktu
ID: NIST SP 800-53 Rev. 5 AU-12 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Kluster Kubernetes yang mengaktifkan Azure Arc harus memiliki ekstensi Microsoft Defender untuk Cloud yang diinstal | Ekstensi Microsoft Defender untuk Cloud untuk Azure Arc memberikan perlindungan ancaman untuk kluster Kubernetes Anda yang mendukung Arc. Ekstensi ini mengumpulkan data dari simpul dalam kluster dan mengirimkannya ke backend Azure Defender untuk Kube di cloud untuk dianalisis lebih lanjut. Pelajari lebih lanjut di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Dinonaktifkan | 6.0.0-pratinjau |
| [Pratinjau]: Ekstensi Analitik Log harus diinstal di mesin Azure Arc Linux | Kebijakan ini mengaudit mesin Linux Azure Arc jika ekstensi Analitik Log tidak terpasang. | AuditIfNotExists, Dinonaktifkan | 1.0.1-pratinjau |
| [Pratinjau]: Ekstensi Analitik Log harus diinstal di mesin Azure Arc Windows | Kebijakan ini mengaudit mesin Windows Azure Arc jika ekstensi Analitik Log tidak terpasang. | AuditIfNotExists, Dinonaktifkan | 1.0.1-pratinjau |
| [Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Linux | Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. | AuditIfNotExists, Dinonaktifkan | pratinjau-1.0.2 |
| [Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Windows | Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. | AuditIfNotExists, Dinonaktifkan | pratinjau-1.0.2 |
| Aplikasi App Service harus mengaktifkan log sumber daya | Audit yang mengaktifkan log sumber daya di aplikasi. Ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi jika terjadi insiden keamanan atau jaringan Anda disusupi. | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Audit di server SQL harus diaktifkan | Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Azure Defender untuk App Service harus diaktifkan | Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk server Azure SQL Database harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Azure Defender untuk Key Vault harus diaktifkan | Azure Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun key vault. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk Resource Manager harus diaktifkan | Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Azure Defender untuk server harus diaktifkan | Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk server SQL pada mesin harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak dilindungi | Audit server SQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi | Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Mengkompilasi catatan Audit ke dalam audit lebar sistem | CMA_C1140 - Mengkompilasi catatan Audit ke dalam audit luas sistem | Manual, Dinonaktifkan | 1.1.0 |
| Ekstensi Konfigurasi Tamu harus dipasang di mesin Anda | Untuk memastikan konfigurasi yang aman dari pengaturan in-guest mesin Anda, instal ekstensi Guest Configuration. Pengaturan tamu yang dipantau ekstensi mencakup konfigurasi sistem operasi, konfigurasi atau keberadaan aplikasi, dan pengaturan lingkungan. Setelah diinstal, kebijakan tamu akan tersedia seperti 'Windows Exploit guard harus diaktifkan'. Pelajari lebih lanjut di https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Pertahanan Microsoft untuk Kontainer harus diaktifkan | Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Pertahanan Microsoft untuk Penyimpanan harus diaktifkan | Microsoft Defender for Storage mendeteksi potensi ancaman terhadap akun penyimpanan Anda. Ini membantu mencegah tiga dampak utama pada data dan beban kerja Anda: unggahan file berbahaya, penyelundupan data sensitif, dan kerusakan data. Paket Defender for Storage baru mencakup Pemindaian Malware dan Deteksi Ancaman Data Sensitif. Paket ini juga menyediakan struktur harga yang dapat diprediksi (per akun penyimpanan) untuk kontrol atas cakupan dan biaya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Network Watcher harus diaktifkan | Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan ujung ke ujung. Diperlukan untuk memiliki grup sumber daya pengawas jaringan untuk dibuat di setiap wilayah tempat jaringan virtual berada. Pemberitahuan diaktifkan jika grup sumber daya pengawas jaringan tidak tersedia di wilayah tertentu. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Log sumber daya di Azure Data Lake Store harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Azure Stream Analytics harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di akun Azure Batch harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Data Lake Analytics harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Event Hub harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Azure IoT Hub harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
| Log sumber daya di Key Vault harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda membuat ulang jejak aktivitas yang akan digunakan untuk penyelidikan saat terjadi insiden keamanan atau jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Logic Apps harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.1.0 |
| Log sumber daya di layanan Pencarian harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Azure Service Bus harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Ekstensi Konfigurasi Tamu komputer virtual harus diterapkan dengan identitas terkelola yang ditetapkan sistem | Ekstensi Konfigurasi Tamu memerlukan identitas terkelola yang ditetapkan sistem. Komputer virtual Azure dalam cakupan kebijakan ini tidak akan mematuhi kebijakan jika ekstensi Konfigurasi Tamu diinstal tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Pelajari lebih lanjut di https://aka.ms/gcpol | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Perubahan oleh Individu yang Sah
ID: NIST SP 800-53 Rev. 5 AU-12 (3) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menyediakan kemampuan untuk memperluas atau membatasi audit pada sumber daya yang disebarkan pelanggan | CMA_C1141 - Menyediakan kemampuan untuk memperluas atau membatasi audit pada sumber daya yang disebarkan pelanggan | Manual, Dinonaktifkan | 1.1.0 |
Penilaian, Otorisasi, dan Pemantauan
Kebijakan dan Prosedur
ID: NIST SP 800-53 Rev. 5 CA-1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Meninjau kebijakan dan prosedur penilaian dan otorisasi keamanan | CMA_C1143 - Tinjau kebijakan dan prosedur penilaian dan otorisasi keamanan | Manual, Dinonaktifkan | 1.1.0 |
Penilaian Kontrol
ID: NIST SP 800-53 Rev. 5 CA-2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menilai Kontrol Keamanan | CMA_C1145 - Menilai Kontrol Keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Memberikan hasil penilaian keamanan | CMA_C1147 - Memberikan hasil penilaian keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Mengembangkan rencana penilaian keamanan | CMA_C1144 - Mengembangkan rencana penilaian keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Membuat laporan Penilaian Keamanan | CMA_C1146 - Membuat laporan Penilaian Keamanan | Manual, Dinonaktifkan | 1.1.0 |
Penilai Independen
ID: NIST SP 800-53 Rev. 5 CA-2 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menggunakan penilai independen untuk melakukan penilaian kontrol keamanan | CMA_C1148 - Menggunakan penilai independen untuk melakukan penilaian kontrol keamanan | Manual, Dinonaktifkan | 1.1.0 |
Penilaian Khusus
ID: NIST SP 800-53 Rev. 5 CA-2 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Pilih pengujian tambahan untuk penilaian kontrol keamanan | CMA_C1149 - Pilih pengujian tambahan untuk penilaian kontrol keamanan | Manual, Dinonaktifkan | 1.1.0 |
Memanfaatkan Hasil dari Organisasi Eksternal
ID: NIST SP 800-53 Rev. 5 CA-2 (3) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerima hasil penilaian | CMA_C1150 - Menerima hasil penilaian | Manual, Dinonaktifkan | 1.1.0 |
Pertukaran informasi
ID: NIST SP 800-53 Rev. 5 CA-3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memerlukan perjanjian keamanan interkoneksi | CMA_C1151 - Memerlukan perjanjian keamanan interkoneksi | Manual, Dinonaktifkan | 1.1.0 |
| Memperbarui perjanjian keamanan interkoneksi | CMA_0519 - Memperbarui perjanjian keamanan interkoneksi | Manual, Dinonaktifkan | 1.1.0 |
Rencana Tindakan dan Milestone
ID: NIST SP 800-53 Rev. 5 CA-5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Kembangkan POA&M | CMA_C1156 - Mengembangkan POA&M | Manual, Dinonaktifkan | 1.1.0 |
| Memperbarui item POA&M | CMA_C1157 - Memperbarui item POA&M | Manual, Dinonaktifkan | 1.1.0 |
Authorization
ID: NIST SP 800-53 Rev. 5 CA-6 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menetapkan resmi otorisasi (AO) | CMA_C1158 - Menetapkan pejabat otorisasi (AO) | Manual, Dinonaktifkan | 1.1.0 |
| Pastikan sumber daya diotorisasi | CMA_C1159 - Pastikan sumber daya diotorisasi | Manual, Dinonaktifkan | 1.1.0 |
| Memperbarui otorisasi keamanan | CMA_C1160 - Memperbarui otorisasi keamanan | Manual, Dinonaktifkan | 1.1.0 |
Pemantauan Berkelanjutan
ID: NIST SP 800-53 Rev. 5 CA-7 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengonfigurasi daftar putih deteksi | CMA_0068 - Mengonfigurasi daftar putih deteksi | Manual, Dinonaktifkan | 1.1.0 |
| Mengaktifkan sensor untuk solusi keamanan titik akhir | CMA_0514 - Mengaktifkan sensor untuk solusi keamanan titik akhir | Manual, Dinonaktifkan | 1.1.0 |
| Menjalani tinjauan keamanan independen | CMA_0515 - Menjalani tinjauan keamanan independen | Manual, Dinonaktifkan | 1.1.0 |
Penilaian Independen
ID: NIST SP 800-53 Rev. 5 CA-7 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menggunakan penilai independen untuk pemantauan berkelanjutan | CMA_C1168 - Menggunakan penilai independen untuk pemantauan berkelanjutan | Manual, Dinonaktifkan | 1.1.0 |
Analisis Tren
ID: NIST SP 800-53 Rev. 5 CA-7 (3) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menganalisis data yang diperoleh dari pemantauan berkelanjutan | CMA_C1169 - Menganalisis data yang diperoleh dari pemantauan berkelanjutan | Manual, Dinonaktifkan | 1.1.0 |
Agen atau Tim Pengujian Penetrasi Independen
ID: NIST SP 800-53 Rev. 5 CA-8 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mempekerjakan tim independen untuk pengujian penetrasi | CMA_C1171 - Mempekerjakan tim independen untuk pengujian penetrasi | Manual, Dinonaktifkan | 1.1.0 |
Koneksi Sistem Internal
ID: NIST SP 800-53 Rev. 5 CA-9 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Periksa kepatuhan privasi dan keamanan sebelum membuat koneksi internal | CMA_0053 - Periksa kepatuhan privasi dan keamanan sebelum membuat koneksi internal | Manual, Dinonaktifkan | 1.1.0 |
Manajemen Konfigurasi
Kebijakan dan Prosedur
ID: NIST SP 800-53 Rev. 5 CM-1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Meninjau dan memperbarui kebijakan dan prosedur manajemen konfigurasi | CMA_C1175 - Meninjau dan memperbarui kebijakan dan prosedur manajemen konfigurasi | Manual, Dinonaktifkan | 1.1.0 |
Konfigurasi Garis Besar
ID: NIST SP 800-53 Rev. 5 CM-2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengonfigurasi tindakan untuk perangkat yang tidak patuh | CMA_0062 - Mengonfigurasi tindakan untuk perangkat yang tidak patuh | Manual, Dinonaktifkan | 1.1.0 |
| Mengembangkan dan memelihara konfigurasi dasar | CMA_0153 - Mengembangkan dan memelihara konfigurasi mendasar | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan pengaturan konfigurasi keamanan | CMA_0249 - Menerapkan pengaturan konfigurasi keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Membuat papan kontrol konfigurasi | CMA_0254 - Membuat papan kontrol konfigurasi | Manual, Dinonaktifkan | 1.1.0 |
| Membuat dan mendokumentasikan rencana manajemen konfigurasi | CMA_0264 - Membuat dan mendokumentasikan rencana manajemen konfigurasi | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan alat manajemen konfigurasi otomatis | CMA_0311 - Menerapkan alat manajemen konfigurasi otomatis | Manual, Dinonaktifkan | 1.1.0 |
Dukungan Azure Automation untuk Akurasi dan Mata Uang
ID: NIST SP 800-53 Rev. 5 CM-2 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengonfigurasi tindakan untuk perangkat yang tidak patuh | CMA_0062 - Mengonfigurasi tindakan untuk perangkat yang tidak patuh | Manual, Dinonaktifkan | 1.1.0 |
| Mengembangkan dan memelihara konfigurasi dasar | CMA_0153 - Mengembangkan dan memelihara konfigurasi mendasar | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan pengaturan konfigurasi keamanan | CMA_0249 - Menerapkan pengaturan konfigurasi keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Membuat papan kontrol konfigurasi | CMA_0254 - Membuat papan kontrol konfigurasi | Manual, Dinonaktifkan | 1.1.0 |
| Membuat dan mendokumentasikan rencana manajemen konfigurasi | CMA_0264 - Membuat dan mendokumentasikan rencana manajemen konfigurasi | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan alat manajemen konfigurasi otomatis | CMA_0311 - Menerapkan alat manajemen konfigurasi otomatis | Manual, Dinonaktifkan | 1.1.0 |
Retensi Konfigurasi Sebelumnya
ID: NIST SP 800-53 Rev. 5 CM-2 (3) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Pertahankan versi konfigurasi garis besar sebelumnya | CMA_C1181 - Pertahankan versi konfigurasi dasar sebelumnya | Manual, Dinonaktifkan | 1.1.0 |
Konfigurasi Sistem dan Komponen untuk Area Berisiko Tinggi
ID: NIST SP 800-53 Rev. 5 CM-2 (7) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memastikan perlindungan keamanan tidak diperlukan saat individu kembali | CMA_C1183 - Memastikan perlindungan keamanan tidak diperlukan saat individu kembali | Manual, Dinonaktifkan | 1.1.0 |
| Tidak memungkinkan sistem informasi untuk menemani individu | CMA_C1182 - Tidak memungkinkan sistem informasi untuk menemani individu | Manual, Dinonaktifkan | 1.1.0 |
Kontrol Perubahan Konfigurasi
ID: NIST SP 800-53 Rev. 5 CM-3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Melakukan analisis dampak keamanan | CMA_0057 - Melakukan analisis dampak keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Mengembangkan dan memelihara standar pengelolaan kerentanan | CMA_0152 - Mengembangkan dan memelihara standar pengelolaan kerentanan | Manual, Dinonaktifkan | 1.1.0 |
| Menetapkan strategi manajemen risiko | CMA_0258 - Menetapkan strategi manajemen risiko | Manual, Dinonaktifkan | 1.1.0 |
| Membuat dan mendokumentasikan proses kontrol perubahan | CMA_0265 - Membuat dan mendokumentasikan proses kontrol perubahan | Manual, Dinonaktifkan | 1.1.0 |
| Menetapkan persyaratan manajemen konfigurasi untuk pengembang | CMA_0270 - Menetapkan persyaratan manajemen konfigurasi untuk pengembang | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan penilaian dampak privasi | CMA_0387 - Melakukan penilaian dampak privasi | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan penilaian risiko | CMA_0388 - Melakukan penilaian risiko | Manual, Dinonaktifkan | 1.1.0 |
| Lakukan audit untuk kontrol perubahan konfigurasi | CMA_0390 - Melakukan audit untuk kontrol perubahan konfigurasi | Manual, Dinonaktifkan | 1.1.0 |
Dokumentasi Otomatis, Pemberitahuan, dan Larangan Perubahan
ID: NIST SP 800-53 Rev. 5 CM-3 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengotomatiskan permintaan persetujuan untuk perubahan yang diusulkan | CMA_C1192 - Mengotomatiskan permintaan persetujuan untuk perubahan yang diusulkan | Manual, Dinonaktifkan | 1.1.0 |
| Mengotomatiskan implementasi pemberitahuan perubahan yang disetujui | CMA_C1196 - Mengotomatiskan implementasi pemberitahuan perubahan yang disetujui | Manual, Dinonaktifkan | 1.1.0 |
| Mengotomatiskan proses untuk mendokumentasikan perubahan yang diterapkan | CMA_C1195 - Mengotomatiskan proses untuk mendokumentasikan perubahan yang diterapkan | Manual, Dinonaktifkan | 1.1.0 |
| Mengotomatiskan proses untuk menyoroti proposal perubahan yang tidak ditinjau | CMA_C1193 - Mengotomatiskan proses untuk menyoroti proposal perubahan yang tidak ditinjau | Manual, Dinonaktifkan | 1.1.0 |
| Mengotomatiskan proses untuk melarang implementasi perubahan yang tidak disetujui | CMA_C1194 - Mengotomatiskan proses untuk melarang implementasi perubahan yang tidak disetujui | Manual, Dinonaktifkan | 1.1.0 |
| Mengotomatiskan perubahan terdokumen yang diusulkan | CMA_C1191 - Mengotomatiskan perubahan terdokumen yang diusulkan | Manual, Dinonaktifkan | 1.1.0 |
Pengujian, Validasi, dan Dokumentasi Perubahan
ID: NIST SP 800-53 Rev. 5 CM-3 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Membuat dan mendokumentasikan proses kontrol perubahan | CMA_0265 - Membuat dan mendokumentasikan proses kontrol perubahan | Manual, Dinonaktifkan | 1.1.0 |
| Menetapkan persyaratan manajemen konfigurasi untuk pengembang | CMA_0270 - Menetapkan persyaratan manajemen konfigurasi untuk pengembang | Manual, Dinonaktifkan | 1.1.0 |
| Lakukan audit untuk kontrol perubahan konfigurasi | CMA_0390 - Melakukan audit untuk kontrol perubahan konfigurasi | Manual, Dinonaktifkan | 1.1.0 |
Perwakilan Keamanan dan Privasi
ID: NIST SP 800-53 Rev. 5 CM-3 (4) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menetapkan perwakilan keamanan informasi untuk mengubah kontrol | CMA_C1198 - Menetapkan perwakilan keamanan informasi untuk mengubah kontrol | Manual, Dinonaktifkan | 1.1.0 |
Manajemen Kriptografi
ID: NIST SP 800-53 Rev. 5 CM-3 (6) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Pastikan mekanisme kriptografi berada di bawah manajemen konfigurasi | CMA_C1199 - Memastikan mekanisme kriptografi berada di bawah manajemen konfigurasi | Manual, Dinonaktifkan | 1.1.0 |
Analisis Dampak
ID: NIST SP 800-53 Rev. 5 CM-4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Melakukan analisis dampak keamanan | CMA_0057 - Melakukan analisis dampak keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Mengembangkan dan memelihara standar pengelolaan kerentanan | CMA_0152 - Mengembangkan dan memelihara standar pengelolaan kerentanan | Manual, Dinonaktifkan | 1.1.0 |
| Menetapkan strategi manajemen risiko | CMA_0258 - Menetapkan strategi manajemen risiko | Manual, Dinonaktifkan | 1.1.0 |
| Membuat dan mendokumentasikan proses kontrol perubahan | CMA_0265 - Membuat dan mendokumentasikan proses kontrol perubahan | Manual, Dinonaktifkan | 1.1.0 |
| Menetapkan persyaratan manajemen konfigurasi untuk pengembang | CMA_0270 - Menetapkan persyaratan manajemen konfigurasi untuk pengembang | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan penilaian dampak privasi | CMA_0387 - Melakukan penilaian dampak privasi | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan penilaian risiko | CMA_0388 - Melakukan penilaian risiko | Manual, Dinonaktifkan | 1.1.0 |
| Lakukan audit untuk kontrol perubahan konfigurasi | CMA_0390 - Melakukan audit untuk kontrol perubahan konfigurasi | Manual, Dinonaktifkan | 1.1.0 |
Lingkungan Uji Terpisah
ID: NIST SP 800-53 Rev. 5 CM-4 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Melakukan analisis dampak keamanan | CMA_0057 - Melakukan analisis dampak keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Membuat dan mendokumentasikan proses kontrol perubahan | CMA_0265 - Membuat dan mendokumentasikan proses kontrol perubahan | Manual, Dinonaktifkan | 1.1.0 |
| Menetapkan persyaratan manajemen konfigurasi untuk pengembang | CMA_0270 - Menetapkan persyaratan manajemen konfigurasi untuk pengembang | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan penilaian dampak privasi | CMA_0387 - Melakukan penilaian dampak privasi | Manual, Dinonaktifkan | 1.1.0 |
| Lakukan audit untuk kontrol perubahan konfigurasi | CMA_0390 - Melakukan audit untuk kontrol perubahan konfigurasi | Manual, Dinonaktifkan | 1.1.0 |
Pembatasan Akses untuk Perubahan
ID: NIST SP 800-53 Rev. 5 CM-5 Kepemilikan: Dibagi
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Membuat dan mendokumentasikan proses kontrol perubahan | CMA_0265 - Membuat dan mendokumentasikan proses kontrol perubahan | Manual, Dinonaktifkan | 1.1.0 |
Penegakan Akses Otomatis dan Catatan Audit
ID: NIST SP 800-53 Rev. 5 CM-5 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerapkan dan mengaudit pembatasan akses | CMA_C1203 - Menerapkan dan mengaudit pembatasan akses | Manual, Dinonaktifkan | 1.1.0 |
Batasan Hak Istimewa untuk Produksi dan Operasi
ID: NIST SP 800-53 Rev. 5 CM-5 (5) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Membatasi hak istimewa untuk membuat perubahan dalam lingkungan produksi | CMA_C1206 - Membatasi hak istimewa untuk membuat perubahan dalam lingkungan produksi | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau dan mengevaluasi ulang hak istimewa | CMA_C1207 - Meninjau dan mengevaluasi ulang hak istimewa | Manual, Dinonaktifkan | 1.1.0 |
Pengaturan Konfigurasi
ID: NIST SP 800-53 Rev. 5 CM-6 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Tidak digunakan lagi]: Aplikasi fungsi harus mengaktifkan 'Sertifikat Klien (Sertifikat klien masuk)' | Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien dengan sertifikat yang valid yang dapat menjangkau aplikasi. Kebijakan ini telah digantikan oleh kebijakan baru dengan nama yang sama karena Http 2.0 tidak mendukung sertifikat klien. | Audit, Dinonaktifkan | 3.1.0-tidak digunakan lagi |
| Aplikasi App Service harus mengaktifkan Sertifikat Klien (Sertifikat klien masuk) | Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi. Kebijakan ini berlaku untuk aplikasi dengan versi Http yang diatur ke 1.1. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aplikasi App Service harus menonaktifkan penelusuran kesalahan jarak jauh | Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi App Service. Penelusuran kesalahan jarak jauh harus dinonaktifkan. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Aplikasi App Service tidak boleh mengonfigurasi CORS untuk mengizinkan semua sumber daya untuk mengakses aplikasi Anda | Berbagi Sumber Daya Lintas Asal (CORS) tidak boleh mengizinkan semua domain mengakses aplikasi Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Anda. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Add-on Azure Policy untuk layanan Kube (AKS) harus dipasang dan diaktifkan di kluster Anda | Azure Policy Add-on for Kubernetes service (AKS) memperluas Gatekeeper v3, webhook pengontrol penerimaan untuk Open Policy Agent (OPA), untuk menerapkan penegakan dan pengamanan skala besar pada klaster Anda secara terpusat dan konsisten. | Audit, Dinonaktifkan | 1.0.2 |
| Menerapkan pengaturan konfigurasi keamanan | CMA_0249 - Menerapkan pengaturan konfigurasi keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Aplikasi Fungsi harus menonaktifkan penelusuran kesalahan jarak jauh | Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi Fungsi. Penelusuran kesalahan jarak jauh harus dinonaktifkan. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Aplikasi Fungsi tidak boleh memiliki CORS yang terkonfigurasi untuk mengizinkan setiap sumber daya mengakses aplikasi Anda | Cross-Origin Resource Sharing (CORS) seharusnya tidak mengizinkan semua domain mengakses aplikasi Fungsi Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Fungsi Anda. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Batas sumber daya memori dan CPU kontainer kluster Kube tidak boleh melebihi batas yang ditetapkan | Terapkan batas sumber daya CPU dan memori kontainer untuk mencegah serangan kehabisan sumber daya di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 9.3.0 |
| Wadah klaster Kubernetes tidak boleh berbagi ID proses host atau namespace IPC host | Blokir kontainer pod agar tidak membagikan namespace ID proses host dan namespace IPC host di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.2 dan CIS 5.2.3 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 5.2.0 |
| Kontainer kluster Kube hanya boleh menggunakan profil AppArmor yang diizinkan | Container hanya boleh menggunakan profil AppArmor yang diizinkan di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.2.0 |
| Kontainer kluster Kube hanya boleh menggunakan kemampuan yang diizinkan | Batasi kemampuan untuk mengurangi permukaan serangan kontainer di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.8 dan CIS 5.2.9 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.2.0 |
| Kontainer kluster Kube hanya boleh menggunakan gambar yang diizinkan | Gunakan gambar dari registry tepercaya untuk mengurangi risiko paparan kluster Kubernetes terhadap kerentanan yang tidak diketahui, masalah keamanan, dan gambar berbahaya. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 9.3.0 |
| Kontainer kluster Kube harus dijalankan dengan sistem file akar baca saja | Jalankan kontainer dengan sistem file root hanya baca untuk melindungi dari perubahan saat run-time dengan binari berbahaya yang ditambahkan ke PATH di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.3.0 |
| Volume hostPath pod kluster Kube hanya boleh menggunakan jalur host yang diizinkan | Batasi mount volume HostPath pod ke jalur host yang diizinkan di Cluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.2.0 |
| Pod dan kontainer kluster Kube hanya boleh dijalankan dengan ID pengguna dan grup yang disetujui | Kontrol ID pengguna, grup utama, grup tambahan, dan grup sistem file yang dapat digunakan pod dan kontainer untuk dijalankan di Cluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.2.0 |
| Pod kluster Kube hanya boleh menggunakan jaringan host dan rentang port yang disetujui | Batasi akses pod ke jaringan host dan rentang port host yang diizinkan di kluster Kubernetes. Rekomendasi ini adalah bagian dari CIS 5.2.4 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.2.0 |
| Layanan kluster Kube hanya boleh mendengarkan port yang diizinkan | Batasi layanan untuk mendengarkan hanya pada port yang diizinkan untuk mengamankan akses ke kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 8.2.0 |
| Kluster Kube seharusnya tidak mengizinkan kontainer dengan hak istimewa | Jangan izinkan pembuatan kontainer yang diistimewakan di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.1 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 9.2.0 |
| Kluster Kubernetes tidak boleh mengizinkan eskalasi hak istimewa kontainer | Jangan izinkan kontainer berjalan dengan eskalasi hak istimewa untuk melakukan root di kluster Kubernetes. Rekomendasi ini adalah bagian dari CIS 5.2.5 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 7.2.0 |
| Mesin Linux harus memenuhi persyaratan untuk dasar keamanan komputasi Azure | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika mesin tidak dikonfigurasi dengan benar untuk salah satu rekomendasi di dasar keamanan komputasi Azure. | AuditIfNotExists, Dinonaktifkan | 2.2.0 |
| Remediasi kelemahan sistem informasi | CMA_0427 - Remediasi kelemahan sistem informasi | Manual, Dinonaktifkan | 1.1.0 |
| Mesin Windows harus memenuhi persyaratan dasar keamanan komputasi Azure | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika mesin tidak dikonfigurasi dengan benar untuk salah satu rekomendasi di dasar keamanan komputasi Azure. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
Manajemen, Aplikasi, dan Verifikasi Otomatis
ID: NIST SP 800-53 Rev. 5 CM-6 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerapkan pengaturan konfigurasi keamanan | CMA_0249 - Menerapkan pengaturan konfigurasi keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Mengatur kepatuhan penyedia layanan cloud | CMA_0290 - Mengatur kepatuhan penyedia layanan cloud | Manual, Dinonaktifkan | 1.1.0 |
| Menampilkan dan mengonfigurasi data diagnostik sistem | CMA_0544 - Menampilkan dan mengonfigurasi data diagnostik sistem | Manual, Dinonaktifkan | 1.1.0 |
Fungsionalitas Terendah
ID: NIST SP 800-53 Rev. 5 CM-7 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure Defender untuk server harus diaktifkan | Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
Inventaris Komponen Sistem
ID: NIST SP 800-53 Rev. 5 CM-8 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Membuat inventori data | CMA_0096 - Membuat inventori data | Manual, Dinonaktifkan | 1.1.0 |
| Mempertahankan catatan pemrosesan data pribadi | CMA_0353 - Mempertahankan catatan pemrosesan data pribadi | Manual, Dinonaktifkan | 1.1.0 |
Pembaruan Selama Instalasi dan Penghapusan
ID: NIST SP 800-53 Rev. 5 CM-8 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Membuat inventori data | CMA_0096 - Membuat inventori data | Manual, Dinonaktifkan | 1.1.0 |
| Mempertahankan catatan pemrosesan data pribadi | CMA_0353 - Mempertahankan catatan pemrosesan data pribadi | Manual, Dinonaktifkan | 1.1.0 |
Deteksi Otomatis Komponen Tidak Sah
ID: NIST SP 800-53 Rev. 5 CM-8 (3) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Aktifkan deteksi perangkat jaringan | CMA_0220 - Mengaktifkan deteksi perangkat jaringan | Manual, Dinonaktifkan | 1.1.0 |
| Mengatur pemberitahuan otomatis untuk aplikasi cloud baru dan cloud yang sedang tren di organisasi Anda | CMA_0495 - Mengatur pemberitahuan otomatis untuk aplikasi cloud baru dan yang sedang tren di organisasi Anda | Manual, Dinonaktifkan | 1.1.0 |
Informasi Akuntabilitas
ID: NIST SP 800-53 Rev. 5 CM-8 (4) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Membuat inventori data | CMA_0096 - Membuat inventori data | Manual, Dinonaktifkan | 1.1.0 |
| Menetapkan dan memelihara inventaris aset | CMA_0266 - Menetapkan dan memelihara inventaris aset | Manual, Dinonaktifkan | 1.1.0 |
Rencana Manajemen Konfigurasi
ID: NIST SP 800-53 Rev. 5 CM-9 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Membuat perlindungan rencana konfigurasi | CMA_C1233 - Membuat perlindungan rencana konfigurasi | Manual, Dinonaktifkan | 1.1.0 |
| Mengembangkan dan memelihara konfigurasi dasar | CMA_0153 - Mengembangkan dan memelihara konfigurasi mendasar | Manual, Dinonaktifkan | 1.1.0 |
| Mengembangkan rencana identifikasi item konfigurasi | CMA_C1231 - Mengembangkan rencana identifikasi item konfigurasi | Manual, Dinonaktifkan | 1.1.0 |
| Mengembangkan rencana manajemen konfigurasi | CMA_C1232 - Mengembangkan rencana manajemen konfigurasi | Manual, Dinonaktifkan | 1.1.0 |
| Membuat dan mendokumentasikan rencana manajemen konfigurasi | CMA_0264 - Membuat dan mendokumentasikan rencana manajemen konfigurasi | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan alat manajemen konfigurasi otomatis | CMA_0311 - Menerapkan alat manajemen konfigurasi otomatis | Manual, Dinonaktifkan | 1.1.0 |
Pembatasan Penggunaan Perangkat Lunak
ID: NIST SP 800-53 Rev. 5 CM-10 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memerlukan kepatuhan terhadap hak kekayaan intelektual | CMA_0432 - Memerlukan kepatuhan terhadap hak kekayaan intelektual | Manual, Dinonaktifkan | 1.1.0 |
| Melacak penggunaan lisensi perangkat lunak | CMA_C1235 - Melacak penggunaan lisensi perangkat lunak | Manual, Dinonaktifkan | 1.1.0 |
Perangkat Lunak Sumber Terbuka
ID: NIST SP 800-53 Rev. 5 CM-10 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Membatasi penggunaan perangkat lunak sumber terbuka | CMA_C1237 - Membatasi penggunaan perangkat lunak sumber terbuka | Manual, Dinonaktifkan | 1.1.0 |
Perencanaan kontingensi
Kebijakan dan Prosedur
ID: NIST SP 800-53 Rev. 5 CP-1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Meninjau dan memperbarui kebijakan dan prosedur perencanaan kontingensi | CMA_C1243 - Meninjau dan memperbarui kebijakan dan prosedur perencanaan kontingensi | Manual, Dinonaktifkan | 1.1.0 |
Rencana Kontingensi
ID: NIST SP 800-53 Rev. 5 CP-2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengomunikasikan perubahan rencana kontingensi | CMA_C1249 - Mengkomunikasikan perubahan rencana kontingensi | Manual, Dinonaktifkan | 1.1.0 |
| Mengoordinasikan rencana kontingensi dengan rencana terkait | CMA_0086 - Mengoordinasikan rencana kontingensi dengan rencana terkait | Manual, Dinonaktifkan | 1.1.0 |
| Mengembangkan dan mendokumenkan rencana kelangsungan bisnis dan pemulihan bencana | CMA_0146 - Mengembangkan dan mendokumenkan rencana kelangsungan bisnis dan pemulihan bencana | Manual, Dinonaktifkan | 1.1.0 |
| Mengembangkan rencana kontingensi | CMA_C1244 - Mengembangkan rencana kontingensi | Manual, Dinonaktifkan | 1.1.0 |
| Mengembangkan kebijakan dan prosedur perencanaan kontingensi | CMA_0156 - Mengembangkan kebijakan dan prosedur perencanaan kontingensi | Manual, Dinonaktifkan | 1.1.0 |
| Mendistribusikan kebijakan dan prosedur | CMA_0185 - Mendistribusikan kebijakan dan prosedur | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau rencana kontingensi | CMA_C1247 - Tinjau rencana kontingensi | Manual, Dinonaktifkan | 1.1.0 |
| Memperbarui rencana kontingensi | CMA_C1248 - Memperbarui rencana kontingensi | Manual, Dinonaktifkan | 1.1.0 |
Berkoordinasi dengan Rencana Terkait
ID: NIST SP 800-53 Rev. 5 CP-2 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengoordinasikan rencana kontingensi dengan rencana terkait | CMA_0086 - Mengoordinasikan rencana kontingensi dengan rencana terkait | Manual, Dinonaktifkan | 1.1.0 |
Perencanaan Kapasitas
ID: NIST SP 800-53 Rev. 5 CP-2 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Melakukan perencanaan kapasitas | CMA_C1252 - Melakukan perencanaan kapasitas | Manual, Dinonaktifkan | 1.1.0 |
Lanjutkan Misi dan Fungsi Bisnis
ID: NIST SP 800-53 Rev. 5 CP-2 (3) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Rencanakan untuk dimulainya kembali fungsi bisnis penting | CMA_C1253 - Rencana untuk dimulainya kembali fungsi bisnis penting | Manual, Dinonaktifkan | 1.1.0 |
Lanjutkan Misi dan Fungsi Bisnis
ID: NIST SP 800-53 Rev. 5 CP-2 (5) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Merencanakan kelanjutan fungsi bisnis penting | CMA_C1255 - Merencanakan kelanjutan fungsi bisnis penting | Manual, Dinonaktifkan | 1.1.0 |
Identifikasi Aset Penting
ID: NIST SP 800-53 Rev. 5 CP-2 (8) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Melakukan penilaian dampak bisnis dan penilaian kritisitas aplikasi | CMA_0386 - Melakukan penilaian dampak bisnis dan penilaian kekritisan aplikasi | Manual, Dinonaktifkan | 1.1.0 |
Pelatihan Kontingensi
ID: NIST SP 800-53 Rev. 5 CP-3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memberikan pelatihan kontingensi | CMA_0412 - Memberikan pelatihan kontingensi | Manual, Dinonaktifkan | 1.1.0 |
Kejadian yang Disimulasi
ID: NIST SP 800-53 Rev. 5 CP-3 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menggabungkan pelatihan kontingensi yang disimulasikan | CMA_C1260 - Menggabungkan pelatihan kontingensi yang disimulasikan | Manual, Dinonaktifkan | 1.1.0 |
Pengujian Rencana Kontingensi
ID: NIST SP 800-53 Rev. 5 CP-4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memulai tindakan korektif pengujian rencana kontingensi | CMA_C1263 - Memulai tindakan korektif pengujian rencana kontingensi | Manual, Dinonaktifkan | 1.1.0 |
| Tinjau hasil pengujian rencana kontingensi | CMA_C1262 - Tinjau hasil pengujian rencana kontingensi | Manual, Dinonaktifkan | 1.1.0 |
| Menguji kelangsungan bisnis dan rencana pemulihan bencana | CMA_0509 - Menguji kelangsungan bisnis dan rencana pemulihan bencana | Manual, Dinonaktifkan | 1.1.0 |
Berkoordinasi dengan Rencana Terkait
ID: NIST SP 800-53 Rev. 5 CP-4 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengoordinasikan rencana kontingensi dengan rencana terkait | CMA_0086 - Mengoordinasikan rencana kontingensi dengan rencana terkait | Manual, Dinonaktifkan | 1.1.0 |
Situs Pemrosesan Alternatif
ID: NIST SP 800-53 Rev. 5 CP-4 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengevaluasi kemampuan situs pemrosesan alternatif | CMA_C1266 - Mengevaluasi kemampuan situs pemrosesan alternatif | Manual, Dinonaktifkan | 1.1.0 |
| Menguji rencana kontingensi di lokasi pemrosesan alternatif | CMA_C1265 - Menguji rencana kontingensi di lokasi pemrosesan alternatif | Manual, Dinonaktifkan | 1.1.0 |
Situs Penyimpanan Alternatif
ID: NIST SP 800-53 Rev. 5 CM-6 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Pastikan perlindungan situs penyimpanan alternatif setara dengan situs utama | CMA_C1268 - Pastikan perlindungan situs penyimpanan alternatif setara dengan situs utama | Manual, Dinonaktifkan | 1.1.0 |
| Membuat situs penyimpanan alternatif untuk menyimpan dan mengambil informasi cadangan | CMA_C1267 - Membuat situs penyimpanan alternatif untuk menyimpan dan mengambil informasi cadangan | Manual, Dinonaktifkan | 1.1.0 |
| Cadangan geo-redundan harus diaktifkan pada Azure Database for MariaDB | Azure Database for MariaDB memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. | Audit, Dinonaktifkan | 1.0.1 |
| Pencadangan geo-redundan harus diaktifkan untuk Azure Database for MySQL | Azure Database for MySQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. | Audit, Dinonaktifkan | 1.0.1 |
| Pencadangan geo-redundan harus diaktifkan untuk Azure Database for PostgreSQL | Azure Database for PostgreSQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. | Audit, Dinonaktifkan | 1.0.1 |
| Penyimpanan geo-redundan harus diaktifkan untuk Akun Penyimpanan | Gunakan geo-redundansi untuk membuat aplikasi yang sangat tersedia | Audit, Dinonaktifkan | 1.0.0 |
| Cadangan geo-redundan jangka panjang harus diaktifkan untuk Azure SQL Database | Kebijakan ini mengaudit Azure SQL Database dengan pencadangan geo-redundan jangka panjang yang tidak diaktifkan. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
Pemisahan dari Situs Utama
ID: NIST SP 800-53 Rev. 5 CP-6 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Membuat situs penyimpanan alternatif dan utama terpisah | CMA_C1269 - Membuat situs penyimpanan alternatif dan utama terpisah | Manual, Dinonaktifkan | 1.1.0 |
| Cadangan geo-redundan harus diaktifkan pada Azure Database for MariaDB | Azure Database for MariaDB memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. | Audit, Dinonaktifkan | 1.0.1 |
| Pencadangan geo-redundan harus diaktifkan untuk Azure Database for MySQL | Azure Database for MySQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. | Audit, Dinonaktifkan | 1.0.1 |
| Pencadangan geo-redundan harus diaktifkan untuk Azure Database for PostgreSQL | Azure Database for PostgreSQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. | Audit, Dinonaktifkan | 1.0.1 |
| Penyimpanan geo-redundan harus diaktifkan untuk Akun Penyimpanan | Gunakan geo-redundansi untuk membuat aplikasi yang sangat tersedia | Audit, Dinonaktifkan | 1.0.0 |
| Cadangan geo-redundan jangka panjang harus diaktifkan untuk Azure SQL Database | Kebijakan ini mengaudit Azure SQL Database dengan pencadangan geo-redundan jangka panjang yang tidak diaktifkan. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
Waktu Pemulihan dan Tujuan Titik Pemulihan
ID: NIST SP 800-53 Rev. 5 CP-6 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Membuat situs penyimpanan alternatif yang memfasilitasi operasi pemulihan | CMA_C1270 - Membuat situs penyimpanan alternatif yang memfasilitasi operasi pemulihan | Manual, Dinonaktifkan | 1.1.0 |
Aksesibilitas
ID: NIST SP 800-53 Rev. 5 CP-6 (3) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengidentifikasi dan mengurangi potensi masalah di situs penyimpanan alternatif | CMA_C1271 - Mengidentifikasi dan mengurangi potensi masalah di situs penyimpanan alternatif | Manual, Dinonaktifkan | 1.1.0 |
Situs Pemrosesan Alternatif
ID: NIST SP 800-53 Rev. 5 CP-7 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Komputer virtual audit tanpa konfigurasi pemulihan bencana | Mengaudit komputer virtual yang tidak memiliki konfigurasi pemulihan bencana. Untuk mempelajari penemuan bencana lebih lanjut, buka https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Membuat situs pemrosesan alternatif | CMA_0262 - Membuat situs pemrosesan alternatif | Manual, Dinonaktifkan | 1.1.0 |
Pemisahan dari Situs Utama
ID: NIST SP 800-53 Rev. 5 CP-7 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Membuat situs pemrosesan alternatif | CMA_0262 - Membuat situs pemrosesan alternatif | Manual, Dinonaktifkan | 1.1.0 |
Aksesibilitas
ID: NIST SP 800-53 Rev. 5 CP-7 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Membuat situs pemrosesan alternatif | CMA_0262 - Membuat situs pemrosesan alternatif | Manual, Dinonaktifkan | 1.1.0 |
Prioritas Layanan
ID: NIST SP 800-53 Rev. 5 CP-7 (3) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Membuat situs pemrosesan alternatif | CMA_0262 - Membuat situs pemrosesan alternatif | Manual, Dinonaktifkan | 1.1.0 |
| Menetapkan persyaratan untuk penyedia layanan internet | CMA_0278 - Menetapkan persyaratan untuk penyedia layanan internet | Manual, Dinonaktifkan | 1.1.0 |
Persiapan untuk Penggunaan
ID: NIST SP 800-53 Rev. 5 CP-7 (4) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menyiapkan situs pemrosesan alternatif untuk digunakan sebagai situs operasional | CMA_C1278 - Menyiapkan situs pemrosesan alternatif untuk digunakan sebagai situs operasional | Manual, Dinonaktifkan | 1.1.0 |
Prioritas Provisi Layanan
ID: NIST SP 800-53 Rev. 5 CP-8 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menetapkan persyaratan untuk penyedia layanan internet | CMA_0278 - Menetapkan persyaratan untuk penyedia layanan internet | Manual, Dinonaktifkan | 1.1.0 |
Pencadangan Sistem
ID: NIST SP 800-53 Rev. 5 CP-9 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure Backup harus diaktifkan untuk Virtual Machines | Pastikan perlindungan Virtual Machines Azure Anda dengan mengaktifkan Azure Backup. Azure Backup adalah solusi perlindungan data yang aman dan hemat biaya untuk Azure. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Melakukan pencadangan dokumentasi sistem informasi | CMA_C1289 - Melakukan pencadangan dokumentasi sistem informasi | Manual, Dinonaktifkan | 1.1.0 |
| Menetapkan kebijakan dan prosedur pencadangan | CMA_0268 - Menetapkan kebijakan dan prosedur pencadangan | Manual, Dinonaktifkan | 1.1.0 |
| Cadangan geo-redundan harus diaktifkan pada Azure Database for MariaDB | Azure Database for MariaDB memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. | Audit, Dinonaktifkan | 1.0.1 |
| Pencadangan geo-redundan harus diaktifkan untuk Azure Database for MySQL | Azure Database for MySQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. | Audit, Dinonaktifkan | 1.0.1 |
| Pencadangan geo-redundan harus diaktifkan untuk Azure Database for PostgreSQL | Azure Database for PostgreSQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. | Audit, Dinonaktifkan | 1.0.1 |
| Menerapkan kontrol untuk mengamankan semua media | CMA_0314 - Menerapkan kontrol untuk mengamankan semua media | Manual, Dinonaktifkan | 1.1.0 |
| Brankas kunci harus mengaktifkan perlindungan penghapusan | Penghapusan brankas kunci yang berbahaya dapat menyebabkan hilangnya data secara permanen. Anda dapat mencegah kehilangan data permanen dengan mengaktifkan perlindungan penghapusan menyeluruh dan penghapusan sementara. Perlindungan penghapusan menyeluruh melindungi Anda dari serangan orang dalam dengan memberlakukan periode retensi wajib untuk brankas kunci yang dihapus sementara. Tidak ada seorang pun di dalam organisasi Anda atau Microsoft yang dapat membersihkan brankas kunci Anda selama periode penyimpanan penghapusan sementara. Perlu diingat bahwa brankas kunci yang dibuat setelah 1 September 2019 mengaktifkan penghapusan sementara secara default. | Audit, Tolak, Dinonaktifkan | 2.1.0 |
| Brankas kunci harus mengaktifkan penghapusan sementara | Menghapus brankas kunci tanpa mengaktifkan penghapusan sementara akan menghapus semua rahasia, kunci, dan sertifikat yang disimpan di brankas kunci secara permanen. Penghapusan brankas kunci secara tidak sengaja dapat menyebabkan hilangnya data secara permanen. Penghapusan sementara memungkinkan Anda memulihkan brankas kunci yang terhapus secara tidak sengaja untuk periode retensi yang dapat dikonfigurasi. | Audit, Tolak, Dinonaktifkan | 3.0.0 |
Penyimpanan Terpisah untuk Informasi Penting
ID: NIST SP 800-53 Rev. 5 CP-9 (3) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menyimpan informasi cadangan secara terpisah | CMA_C1293 - Menyimpan informasi cadangan secara terpisah | Manual, Dinonaktifkan | 1.1.0 |
Transfer ke Situs Penyimpanan Alternatif
ID: NIST SP 800-53 Rev. 5 CP-9 (5) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mentransfer informasi cadangan ke situs penyimpanan alternatif | CMA_C1294 - Mentransfer informasi cadangan ke situs penyimpanan alternatif | Manual, Dinonaktifkan | 1.1.0 |
Pemulihan dan Rekonstitusi Sistem
ID: NIST SP 800-53 Rev. 5 CP-10 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memulihkan dan menyusun ulang sumber daya setelah gangguan apa pun | CMA_C1295 - Memulihkan dan menyusun ulang sumber daya setelah gangguan apa pun | Manual, Dinonaktifkan | 1.1.1 |
Pemulihan Transaksi
ID: NIST SP 800-53 Rev. 5 CP-10 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerapkan pemulihan berbasis transaksi | CMA_C1296 - Menerapkan pemulihan berbasis transaksi | Manual, Dinonaktifkan | 1.1.0 |
Pemulihan Dalam Periode Waktu
ID: NIST SP 800-53 Rev. 5 CP-10 (4) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memulihkan sumber daya ke status operasional | CMA_C1297 - Memulihkan sumber daya ke status operasional | Manual, Dinonaktifkan | 1.1.1 |
Identifikasi dan Autentikasi
Kebijakan dan Prosedur
ID: NIST SP 800-53 Rev. 5 IA-1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Meninjau dan memperbarui kebijakan dan prosedur identifikasi dan autentikasi | CMA_C1299 - Meninjau dan memperbarui kebijakan dan prosedur identifikasi dan autentikasi | Manual, Dinonaktifkan | 1.1.0 |
Identifikasi dan Autentikasi (Pengguna Organisasi)
ID: NIST SP 800-53 Rev. 5 IA-2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun dengan izin pemilik pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan izin pemilik untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun dengan izin baca pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak baca istimewa untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun dengan izin tulis pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak tulis istimewa untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Administrator Azure Active Directory harus disediakan untuk server SQL | Penyediaan audit administrator Microsoft Azure Active Directory untuk server SQL Anda agar mengaktifkan autentikasi Microsoft Azure Active Directory. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aplikasi App Service harus menggunakan identitas terkelola | Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Sumber daya Azure AI Services harus menonaktifkan akses kunci (menonaktifkan autentikasi lokal) | Akses kunci (autentikasi lokal) disarankan untuk dinonaktifkan untuk keamanan. Azure OpenAI Studio, biasanya digunakan dalam pengembangan/pengujian, memerlukan akses kunci dan tidak akan berfungsi jika akses kunci dinonaktifkan. Setelah menonaktifkan, MICROSOFT Entra ID menjadi satu-satunya metode akses, yang memungkinkan mempertahankan prinsip hak istimewa minimum dan kontrol terperinci. Pelajari lebih lanjut di: https://aka.ms/AI/auth | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Menerapkan keunikan pengguna | CMA_0250 - Menerapkan keunikan pengguna | Manual, Dinonaktifkan | 1.1.0 |
| Aplikasi Fungsi harus menggunakan identitas terkelola | Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien | Audit penggunaan autentikasi klien hanya melalui Azure Active Directory di Service Fabric | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Mendukung kredensial verifikasi pribadi yang dikeluarkan oleh otoritas hukum | CMA_0507 - Mendukung kredensial verifikasi pribadi yang dikeluarkan oleh otoritas hukum | Manual, Dinonaktifkan | 1.1.0 |
Autentikasi Multifaktor ke Akun dengan Hak Istimewa
ID: NIST SP 800-53 Rev. 5 IA-2 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun dengan izin pemilik pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan izin pemilik untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun dengan izin tulis pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak tulis istimewa untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengadopsi mekanisme autentikasi biometrik | CMA_0005 - Mengadopsi mekanisme autentikasi biometrik | Manual, Dinonaktifkan | 1.1.0 |
Autentikasi Multifaktor ke Akun Tanpa Hak Istimewa
ID: NIST SP 800-53 Rev. 5 IA-2 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun dengan izin baca pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak baca istimewa untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengadopsi mekanisme autentikasi biometrik | CMA_0005 - Mengadopsi mekanisme autentikasi biometrik | Manual, Dinonaktifkan | 1.1.0 |
Autentikasi Individu dengan Autentikasi Grup
ID: NIST SP 800-53 Rev. 5 IA-2 (5) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memerlukan penggunaan pengautentikasi individual | CMA_C1305 - Memerlukan penggunaan pengautentikasi individual | Manual, Dinonaktifkan | 1.1.0 |
Penerimaan Mandat PIV
ID: NIST SP 800-53 Rev. 5 IA-2 (12) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mendukung kredensial verifikasi pribadi yang dikeluarkan oleh otoritas hukum | CMA_0507 - Mendukung kredensial verifikasi pribadi yang dikeluarkan oleh otoritas hukum | Manual, Dinonaktifkan | 1.1.0 |
Manajemen Pengidentifikasi
ID: NIST SP 800-53 Rev. 5 IA-4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Administrator Azure Active Directory harus disediakan untuk server SQL | Penyediaan audit administrator Microsoft Azure Active Directory untuk server SQL Anda agar mengaktifkan autentikasi Microsoft Azure Active Directory. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aplikasi App Service harus menggunakan identitas terkelola | Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Menetapkan pengidentifikasi sistem | CMA_0018 - Menetapkan pengidentifikasi sistem | Manual, Dinonaktifkan | 1.1.0 |
| Sumber daya Azure AI Services harus menonaktifkan akses kunci (menonaktifkan autentikasi lokal) | Akses kunci (autentikasi lokal) disarankan untuk dinonaktifkan untuk keamanan. Azure OpenAI Studio, biasanya digunakan dalam pengembangan/pengujian, memerlukan akses kunci dan tidak akan berfungsi jika akses kunci dinonaktifkan. Setelah menonaktifkan, MICROSOFT Entra ID menjadi satu-satunya metode akses, yang memungkinkan mempertahankan prinsip hak istimewa minimum dan kontrol terperinci. Pelajari lebih lanjut di: https://aka.ms/AI/auth | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Aplikasi Fungsi harus menggunakan identitas terkelola | Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Mencegah penggunaan kembali pengidentifikasi untuk periode waktu yang ditentukan | CMA_C1314 - Mencegah penggunaan kembali pengidentifikasi untuk periode waktu yang ditentukan | Manual, Dinonaktifkan | 1.1.0 |
| Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien | Audit penggunaan autentikasi klien hanya melalui Azure Active Directory di Service Fabric | Audit, Tolak, Dinonaktifkan | 1.1.0 |
Identifikasi Status Pengguna
ID: NIST SP 800-53 Rev. 5 IA-4 (4) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengidentifikasi status pengguna individual | CMA_C1316 - Mengidentifikasi status pengguna individual | Manual, Dinonaktifkan | 1.1.0 |
Manajemen Autentikator
ID: NIST SP 800-53 Rev. 5 IA-5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Audit mesin Linux yang tidak memiliki izin file passwd diatur ke 0644 | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Linux izin file kata sandinya tidak diatur ke 0644 | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
| Mengaudit komputer Windows yang tidak menyimpan kata sandi menggunakan enkripsi yang dapat dibalik | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows tidak menyimpan kata sandi menggunakan enkripsi yang dapat dibatalkan | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Autentikasi ke komputer Linux memerlukan kunci SSH | Meskipun SSH sendiri menyediakan koneksi terenkripsi, menggunakan kata sandi dengan SSH masih membuat VM rentan terhadap serangan brute force. Opsi paling aman untuk mengautentikasi ke komputer virtual Linux Azure melalui SSH adalah dengan kunci publik-pribadi, juga dikenal sebagai kunci SSH. Pelajari selengkapnya: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Dinonaktifkan | 3.2.0 |
| Sertifikat harus memiliki masa berlaku maksimum yang ditentukan | Kelola persyaratan kepatuhan organisasi Anda dengan menentukan durasi masa berlaku sertifikat dalam brankas kunci. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 2.2.1 |
| Sebarkan ekstensi Konfigurasi Tamu Linux untuk mengaktifkan penugasan Konfigurasi Tamu di VM Linux | Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Linux ke komputer virtual Linux yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Linux adalah prasyarat untuk semua penugasan Konfigurasi Tamu Linux dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Linux. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Sebarkan ekstensi Konfigurasi Tamu Windows untuk mengaktifkan penugasan Konfigurasi Tamu pada VM Windows | Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Windows ke komputer virtual Windows yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Windows adalah prasyarat untuk semua penugasan Konfigurasi Tamu Windows dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Windows. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Membuat jenis dan proses pengautentikasi | CMA_0267 - Membuat jenis dan proses pengautentikasi | Manual, Dinonaktifkan | 1.1.0 |
| Menetapkan prosedur untuk distribusi pengautentikasi awal | CMA_0276 - Menetapkan prosedur untuk distribusi pengautentikasi awal | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan pelatihan untuk melindungi pengautentikasi | CMA_0329 - Menerapkan pelatihan untuk melindungi pengautentikasi | Manual, Dinonaktifkan | 1.1.0 |
| Kunci Azure Key Vault harus memiliki tanggal kedaluwarsa | Kunci kriptografi harus memiliki tanggal kedaluwarsa yang ditentukan dan tidak permanen. Kunci yang valid selamanya memberikan lebih banyak waktu bagi penyerang potensial untuk menyusupi kunci tersebut. Menetapkan tanggal kedaluwarsa pada kunci kriptografi adalah praktik keamanan yang direkomendasikan. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
| Rahasia Azure Key Vault harus memiliki tanggal kedaluwarsa | Rahasia harus memiliki tanggal kedaluwarsa yang ditentukan dan tidak bersifat permanen. Rahasia yang berlaku selamanya memberi lebih banyak waktu kepada penyerang potensial untuk menyusupinya. Menetapkan tanggal kedaluwarsa pada rahasia adalah praktik keamanan yang direkomendasikan. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
| Mengelola masa pakai pengautentikasi dan menggunakan kembali | CMA_0355 - Mengelola masa pakai pengautentikasi dan menggunakan kembali | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola Authenticator | CMA_C1321 - Mengelola Authenticator | Manual, Dinonaktifkan | 1.1.0 |
| Refresh pengautentikasi | CMA_0425 - Refresh pengautentikasi | Manual, Dinonaktifkan | 1.1.0 |
| Membuat ulang pengautentikasi untuk grup dan akun yang diubah | CMA_0426 - Membuat ulang pengautentikasi untuk grup dan akun yang diubah | Manual, Dinonaktifkan | 1.1.0 |
| Verifikasi identitas sebelum mendistribusikan pengautentikasi | CMA_0538 - Verifikasi identitas sebelum mendistribusikan pengautentikasi | Manual, Dinonaktifkan | 1.1.0 |
Autentikasi berbasis kata sandi
ID: NIST SP 800-53 Rev. 5 IA-5 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Audit mesin Linux yang tidak memiliki izin file passwd diatur ke 0644 | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Linux izin file kata sandinya tidak diatur ke 0644 | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
| Mengaudit komputer Windows yang memungkinkan penggunaan kembali kata sandi setelah jumlah kata sandi unik yang ditentukan | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows yang memungkinkan penggunaan kembali kata sandi setelah jumlah kata sandi unik yang ditentukan. Nilai default untuk kata sandi unik adalah 24 | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
| Mengaudit komputer Windows yang tidak memiliki usia kata sandi maksimum yang diatur ke jumlah hari yang ditentukan | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows yang tidak memiliki usia kata sandi maksimum yang diatur ke jumlah hari yang ditentukan. Nilai default untuk usia kata sandi maksimum adalah 70 hari | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
| Mengaudit komputer Windows yang tidak memiliki usia kata sandi minimum yang diatur ke jumlah hari yang ditentukan | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows yang tidak memiliki usia kata sandi minimum yang diatur ke jumlah hari yang ditentukan. Nilai default untuk usia kata sandi minimum adalah 1 hari | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
| Audit komputer Windows dengan setelan kompleksitas kata sandi tidak diaktifkan | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows tidak memiliki setelan kompleksitas kata sandi yang diaktifkan | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Mengaudit komputer Windows yang tidak membatasi panjang kata sandi minimum untuk jumlah karakter yang ditentukan | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows yang tidak membatasi panjang kata sandi minimum untuk jumlah karakter yang ditentukan. Nilai default untuk panjang kata sandi minimum adalah 14 karakter | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
| Mengaudit komputer Windows yang tidak menyimpan kata sandi menggunakan enkripsi yang dapat dibalik | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows tidak menyimpan kata sandi menggunakan enkripsi yang dapat dibatalkan | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Sebarkan ekstensi Konfigurasi Tamu Linux untuk mengaktifkan penugasan Konfigurasi Tamu di VM Linux | Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Linux ke komputer virtual Linux yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Linux adalah prasyarat untuk semua penugasan Konfigurasi Tamu Linux dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Linux. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Sebarkan ekstensi Konfigurasi Tamu Windows untuk mengaktifkan penugasan Konfigurasi Tamu pada VM Windows | Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Windows ke komputer virtual Windows yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Windows adalah prasyarat untuk semua penugasan Konfigurasi Tamu Windows dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Windows. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Persyaratan kekuatan keamanan dokumen dalam kontrak akuisisi | CMA_0203 - Persyaratan kekuatan keamanan dokumen dalam kontrak akuisisi | Manual, Dinonaktifkan | 1.1.0 |
| Membuat kebijakan kata sandi | CMA_0256 - Menetapkan kebijakan kata sandi | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan parameter untuk verifier rahasia yang dihafal | CMA_0321 - Menerapkan parameter untuk verifier rahasia yang dihafal | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi kata sandi dengan enkripsi | CMA_0408 - Melindungi kata sandi dengan enkripsi | Manual, Dinonaktifkan | 1.1.0 |
Autentikasi Berbasis Kunci Publik
ID: NIST SP 800-53 Rev. 5 IA-5 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengikat pengautentikasi dan identitas secara dinamis | CMA_0035 - Mengikat pengautentikasi dan identitas secara dinamis | Manual, Dinonaktifkan | 1.1.0 |
| Membuat jenis dan proses pengautentikasi | CMA_0267 - Membuat jenis dan proses pengautentikasi | Manual, Dinonaktifkan | 1.1.0 |
| Membuat parameter untuk mencari pengautentikasi dan verifier rahasia | CMA_0274 - Menetapkan parameter untuk mencari pengautentikasi dan verifier rahasia | Manual, Dinonaktifkan | 1.1.0 |
| Menetapkan prosedur untuk distribusi pengautentikasi awal | CMA_0276 - Menetapkan prosedur untuk distribusi pengautentikasi awal | Manual, Dinonaktifkan | 1.1.0 |
| Memetakan identitas terautentikasi ke individu | CMA_0372 - Memetakan identitas terautentikasi ke individu | Manual, Dinonaktifkan | 1.1.0 |
| Membatasi akses ke kunci privat | CMA_0445 - Membatasi akses terhadap kunci privat | Manual, Dinonaktifkan | 1.1.0 |
| Verifikasi identitas sebelum mendistribusikan pengautentikasi | CMA_0538 - Verifikasi identitas sebelum mendistribusikan pengautentikasi | Manual, Dinonaktifkan | 1.1.0 |
Perlindungan Authenticator
ID: NIST SP 800-53 Rev. 5 IA-5 (6) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memastikan pengguna yang berwenang melindungi pengautentikasi yang disediakan | CMA_C1339 - Pastikan pengguna yang berwenang melindungi pengautentikasi yang disediakan | Manual, Dinonaktifkan | 1.1.0 |
Tidak Ada Authenticator Statis Tanpa Enkripsi yang Disematkan
ID: NIST SP 800-53 Rev. 5 IA-5 (7) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Pastikan tidak ada pengautentikasi statis yang tidak terenkripsi | CMA_C1340 - Pastikan tidak ada pengautentikasi statis yang tidak terenkripsi | Manual, Dinonaktifkan | 1.1.0 |
Masa Berakhir Cached Authenticator
ID: NIST SP 800-53 Rev. 5 IA-5 (13) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerapkan kedaluwarsa pengautentikasi cache | CMA_C1343 - Menerapkan kedaluwarsa pengautentikasi cache | Manual, Dinonaktifkan | 1.1.0 |
Umpan Balik Autentikasi
ID: NIST SP 800-53 Rev. 5 IA-6 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Informasi umpan balik yang tidak jelas selama proses autentikasi | CMA_C1344 - Informasi umpan balik yang tidak jelas selama proses autentikasi | Manual, Dinonaktifkan | 1.1.0 |
Autentikasi Modul Kriptografi
ID: NIST SP 800-53 Rev. 5 IA-7 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengautentikasi ke modul kriptografi | CMA_0021 - Mengautentikasi ke modul kriptografi | Manual, Dinonaktifkan | 1.1.0 |
Identifikasi dan Autentikasi (Pengguna Non-Organisasi)
ID: NIST SP 800-53 Rev. 5 IA-8 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengidentifikasi dan mengautentikasi pengguna non-organisasi | CMA_C1346 - Mengidentifikasi dan mengautentikasi pengguna non-organisasi | Manual, Dinonaktifkan | 1.1.0 |
Penerimaan Mandat PIV dari Lembaga Lain
ID: NIST SP 800-53 Rev. 5 IA-8 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerima kredensial PIV | CMA_C1347 - Terima kredensial PIV | Manual, Dinonaktifkan | 1.1.0 |
Penerimaan Authenticator Eksternal
ID: NIST SP 800-53 Rev. 5 IA-8 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Hanya terima kredensial pihak ketiga yang disetujui FICAM | CMA_C1348 - Hanya terima kredensial pihak ketiga yang disetujui FICAM | Manual, Dinonaktifkan | 1.1.0 |
Penggunaan Profil yang Ditetapkan
ID: NIST SP 800-53 Rev. 5 IA-8 (4) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Sesuai dengan profil yang dikeluarkan FICAM | CMA_C1350 - Sesuai dengan profil yang dikeluarkan FICAM | Manual, Dinonaktifkan | 1.1.0 |
Respons Insiden
Kebijakan dan Prosedur
ID: NIST SP 800-53 Rev. 5 IR-1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Meninjau dan memperbarui kebijakan dan prosedur respons insiden | CMA_C1352 - Meninjau dan memperbarui kebijakan dan prosedur respons insiden | Manual, Dinonaktifkan | 1.1.0 |
Pelatihan Respons Insiden
ID: NIST SP 800-53 Rev. 5 IR-2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memberikan pelatihan tumpahan informasi | CMA_0413 - Memberikan pelatihan tumpahan informasi | Manual, Dinonaktifkan | 1.1.0 |
Kejadian yang Disimulasi
ID: NIST SP 800-53 Rev. 5 IR-2 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menggabungkan peristiwa yang disimulasikan ke dalam pelatihan respons insiden | CMA_C1356 - Menggabungkan peristiwa yang disimulasikan ke dalam pelatihan respons insiden | Manual, Dinonaktifkan | 1.1.0 |
Lingkungan Pelatihan Otomatis
ID: NIST SP 800-53 Rev. 5 IR-2 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menggunakan lingkungan pelatihan otomatis | CMA_C1357 - Menggunakan lingkungan pelatihan otomatis | Manual, Dinonaktifkan | 1.1.0 |
Pengujian Respons Insiden
ID: NIST SP 800-53 Rev. 5 IR-3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Melakukan pengujian respons insiden | CMA_0060 - Melakukan pengujian respons insiden | Manual, Dinonaktifkan | 1.1.0 |
| Membuat program keamanan informasi | CMA_0263 - Membuat program keamanan informasi | Manual, Dinonaktifkan | 1.1.0 |
| Menjalankan serangan simulasi | CMA_0486 - Menjalankan serangan simulasi | Manual, Dinonaktifkan | 1.1.0 |
Koordinasi dengan Rencana Terkait
ID: NIST SP 800-53 Rev. 5 IR-3 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Melakukan pengujian respons insiden | CMA_0060 - Melakukan pengujian respons insiden | Manual, Dinonaktifkan | 1.1.0 |
| Membuat program keamanan informasi | CMA_0263 - Membuat program keamanan informasi | Manual, Dinonaktifkan | 1.1.0 |
| Menjalankan serangan simulasi | CMA_0486 - Menjalankan serangan simulasi | Manual, Dinonaktifkan | 1.1.0 |
Penanganan Insiden
ID: NIST SP 800-53 Rev. 5 IR-4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menilai peristiwa keamanan informasi | CMA_0013 - Menilai peristiwa keamanan informasi | Manual, Dinonaktifkan | 1.1.0 |
| Azure Defender untuk App Service harus diaktifkan | Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk server Azure SQL Database harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Azure Defender untuk Key Vault harus diaktifkan | Azure Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun key vault. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk Resource Manager harus diaktifkan | Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Azure Defender untuk server harus diaktifkan | Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk server SQL pada mesin harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak dilindungi | Audit server SQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi | Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Mengoordinasikan rencana kontingensi dengan rencana terkait | CMA_0086 - Mengoordinasikan rencana kontingensi dengan rencana terkait | Manual, Dinonaktifkan | 1.1.0 |
| Mengembangkan rencana respons insiden | CMA_0145 - Mengembangkan rencana respons insiden | Manual, Dinonaktifkan | 1.1.0 |
| Mengembangkan perlindungan keamanan | CMA_0161 - Mengembangkan perlindungan keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Pemberitahuan email untuk lansiran tingkat keparahan tinggi harus diaktifkan | Untuk memastikan orang yang relevan di organisasi Anda diberi tahu ketika terdapat potensi pelanggaran keamanan di salah satu langganan Anda, aktifkan pemberitahuan email untuk peringatan tingkat keparahan tinggi di Security Center. | AuditIfNotExists, Dinonaktifkan | 1.2.0 |
| Pemberitahuan email kepada pemilik langganan untuk lansiran tingkat keparahan tinggi harus diaktifkan | Untuk memastikan pemilik langganan Anda diberitahu ketika ada potensi pelanggaran keamanan di langganan mereka, atur pemberitahuan email ke pemilik langganan untuk peringatan tingkat keparahan tinggi di Security Center. | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
| Aktifkan perlindungan jaringan | CMA_0238 - Aktifkan perlindungan jaringan | Manual, Dinonaktifkan | 1.1.0 |
| Memberantas informasi yang terkontaminasi | CMA_0253 - Memberantas informasi yang terkontaminasi | Manual, Dinonaktifkan | 1.1.0 |
| Jalankan tindakan sebagai respons terhadap tumpahan informasi | CMA_0281 - Jalankan tindakan sebagai respons terhadap tumpahan informasi | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan penanganan insiden | CMA_0318 - Menerapkan penanganan insiden | Manual, Dinonaktifkan | 1.1.0 |
| Mempertahankan rencana respons insiden | CMA_0352 - Mempertahankan rencana respons insiden | Manual, Dinonaktifkan | 1.1.0 |
| Pertahanan Microsoft untuk Kontainer harus diaktifkan | Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Pertahanan Microsoft untuk Penyimpanan harus diaktifkan | Microsoft Defender for Storage mendeteksi potensi ancaman terhadap akun penyimpanan Anda. Ini membantu mencegah tiga dampak utama pada data dan beban kerja Anda: unggahan file berbahaya, penyelundupan data sensitif, dan kerusakan data. Paket Defender for Storage baru mencakup Pemindaian Malware dan Deteksi Ancaman Data Sensitif. Paket ini juga menyediakan struktur harga yang dapat diprediksi (per akun penyimpanan) untuk kontrol atas cakupan dan biaya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Melakukan analisis tren pada ancaman | CMA_0389 - Melakukan analisis tren terhadap ancaman | Manual, Dinonaktifkan | 1.1.0 |
| Langganan harus memiliki alamat email kontak untuk masalah keamanan | Untuk memastikan orang yang relevan di organisasi Anda diberi tahu saat ada potensi pelanggaran keamanan di salah satu langganan Anda, atur kontak keamanan untuk menerima pemberitahuan email dari Security Center. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| Menampilkan dan menyelidiki pengguna terbatas | CMA_0545 - Menampilkan dan menyelidiki pengguna terbatas | Manual, Dinonaktifkan | 1.1.0 |
Proses Penanganan Insiden Otomatis
ID: NIST SP 800-53 Rev. 5 IR-4 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengembangkan rencana respons insiden | CMA_0145 - Mengembangkan rencana respons insiden | Manual, Dinonaktifkan | 1.1.0 |
| Aktifkan perlindungan jaringan | CMA_0238 - Aktifkan perlindungan jaringan | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan penanganan insiden | CMA_0318 - Menerapkan penanganan insiden | Manual, Dinonaktifkan | 1.1.0 |
Konfigurasi Ulang Dinamis
ID: NIST SP 800-53 Rev. 5 IR-4 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menyertakan konfigurasi ulang dinamis sumber daya yang disebarkan pelanggan | CMA_C1364 - Menyertakan konfigurasi ulang dinamis sumber daya yang disebarkan pelanggan | Manual, Dinonaktifkan | 1.1.0 |
Kelanjutan Operasi
ID: NIST SP 800-53 Rev. 5 IR-4 (3) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengidentifikasi kelas Insiden dan Tindakan yang diambil | CMA_C1365 - Mengidentifikasi kelas Insiden dan Tindakan yang diambil | Manual, Dinonaktifkan | 1.1.0 |
Korelasi Informasi
ID: NIST SP 800-53 Rev. 5 IR-4 (4) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerapkan penanganan insiden | CMA_0318 - Menerapkan penanganan insiden | Manual, Dinonaktifkan | 1.1.0 |
Ancaman dari Dalam
ID: NIST SP 800-53 Rev. 5 IR-4 (6) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerapkan kemampuan penanganan Insiden | CMA_C1367 - Menerapkan kemampuan penanganan Insiden | Manual, Dinonaktifkan | 1.1.0 |
Korelasi dengan Organisasi Eksternal
ID: NIST SP 800-53 Rev. 5 IR-4 (8) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Berkoordinasi dengan organisasi eksternal untuk mencapai perspektif lintas organisasi | CMA_C1368 - Berkoordinasi dengan organisasi eksternal untuk mencapai perspektif organisasi silang | Manual, Dinonaktifkan | 1.1.0 |
Pemantauan Insiden
ID: NIST SP 800-53 Rev. 5 IR-5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure Defender untuk App Service harus diaktifkan | Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk server Azure SQL Database harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Azure Defender untuk Key Vault harus diaktifkan | Azure Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun key vault. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk Resource Manager harus diaktifkan | Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Azure Defender untuk server harus diaktifkan | Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk server SQL pada mesin harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak dilindungi | Audit server SQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi | Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Pemberitahuan email untuk lansiran tingkat keparahan tinggi harus diaktifkan | Untuk memastikan orang yang relevan di organisasi Anda diberi tahu ketika terdapat potensi pelanggaran keamanan di salah satu langganan Anda, aktifkan pemberitahuan email untuk peringatan tingkat keparahan tinggi di Security Center. | AuditIfNotExists, Dinonaktifkan | 1.2.0 |
| Pemberitahuan email kepada pemilik langganan untuk lansiran tingkat keparahan tinggi harus diaktifkan | Untuk memastikan pemilik langganan Anda diberitahu ketika ada potensi pelanggaran keamanan di langganan mereka, atur pemberitahuan email ke pemilik langganan untuk peringatan tingkat keparahan tinggi di Security Center. | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
| Pertahanan Microsoft untuk Kontainer harus diaktifkan | Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Pertahanan Microsoft untuk Penyimpanan harus diaktifkan | Microsoft Defender for Storage mendeteksi potensi ancaman terhadap akun penyimpanan Anda. Ini membantu mencegah tiga dampak utama pada data dan beban kerja Anda: unggahan file berbahaya, penyelundupan data sensitif, dan kerusakan data. Paket Defender for Storage baru mencakup Pemindaian Malware dan Deteksi Ancaman Data Sensitif. Paket ini juga menyediakan struktur harga yang dapat diprediksi (per akun penyimpanan) untuk kontrol atas cakupan dan biaya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Langganan harus memiliki alamat email kontak untuk masalah keamanan | Untuk memastikan orang yang relevan di organisasi Anda diberi tahu saat ada potensi pelanggaran keamanan di salah satu langganan Anda, atur kontak keamanan untuk menerima pemberitahuan email dari Security Center. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Pelaporan Otomatis
ID: NIST SP 800-53 Rev. 5 IR-6 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mendokumentasikan operasi keamanan | CMA_0202 - Mendokumentasikan operasi keamanan | Manual, Dinonaktifkan | 1.1.0 |
Kerentanan Terkait Insiden
ID: NIST SP 800-53 Rev. 5 IR-6 (2) Kepemilikan: Pelanggan
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Pemberitahuan email untuk lansiran tingkat keparahan tinggi harus diaktifkan | Untuk memastikan orang yang relevan di organisasi Anda diberi tahu ketika terdapat potensi pelanggaran keamanan di salah satu langganan Anda, aktifkan pemberitahuan email untuk peringatan tingkat keparahan tinggi di Security Center. | AuditIfNotExists, Dinonaktifkan | 1.2.0 |
| Pemberitahuan email kepada pemilik langganan untuk lansiran tingkat keparahan tinggi harus diaktifkan | Untuk memastikan pemilik langganan Anda diberitahu ketika ada potensi pelanggaran keamanan di langganan mereka, atur pemberitahuan email ke pemilik langganan untuk peringatan tingkat keparahan tinggi di Security Center. | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
| Langganan harus memiliki alamat email kontak untuk masalah keamanan | Untuk memastikan orang yang relevan di organisasi Anda diberi tahu saat ada potensi pelanggaran keamanan di salah satu langganan Anda, atur kontak keamanan untuk menerima pemberitahuan email dari Security Center. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Bantuan Respons Insiden
ID: NIST SP 800-53 Rev. 5 IR-7 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mendokumentasikan operasi keamanan | CMA_0202 - Mendokumentasikan operasi keamanan | Manual, Dinonaktifkan | 1.1.0 |
Dukungan Automation untuk Ketersediaan Informasi dan Dukungan
ID: NIST SP 800-53 Rev. 5 IR-7 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengembangkan rencana respons insiden | CMA_0145 - Mengembangkan rencana respons insiden | Manual, Dinonaktifkan | 1.1.0 |
| Aktifkan perlindungan jaringan | CMA_0238 - Aktifkan perlindungan jaringan | Manual, Dinonaktifkan | 1.1.0 |
| Memberantas informasi yang terkontaminasi | CMA_0253 - Memberantas informasi yang terkontaminasi | Manual, Dinonaktifkan | 1.1.0 |
| Jalankan tindakan sebagai respons terhadap tumpahan informasi | CMA_0281 - Jalankan tindakan sebagai respons terhadap tumpahan informasi | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan penanganan insiden | CMA_0318 - Menerapkan penanganan insiden | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan analisis tren pada ancaman | CMA_0389 - Melakukan analisis tren terhadap ancaman | Manual, Dinonaktifkan | 1.1.0 |
| Menampilkan dan menyelidiki pengguna terbatas | CMA_0545 - Menampilkan dan menyelidiki pengguna terbatas | Manual, Dinonaktifkan | 1.1.0 |
Koordinasi dengan Penyedia Eksternal
ID: NIST SP 800-53 Rev. 5 IR-7 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Membangun hubungan antara kemampuan respons insiden dan penyedia eksternal | CMA_C1376 - Membangun hubungan antara kemampuan respons insiden dan penyedia eksternal | Manual, Dinonaktifkan | 1.1.0 |
| Mengidentifikasi personel respons insiden | CMA_0301 - Mengidentifikasi personel respons insiden | Manual, Dinonaktifkan | 1.1.0 |
Rencana Respons Insiden
ID: NIST SP 800-53 Rev. 5 IR-8 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menilai peristiwa keamanan informasi | CMA_0013 - Menilai peristiwa keamanan informasi | Manual, Dinonaktifkan | 1.1.0 |
| Mengembangkan rencana respons insiden | CMA_0145 - Mengembangkan rencana respons insiden | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan penanganan insiden | CMA_0318 - Menerapkan penanganan insiden | Manual, Dinonaktifkan | 1.1.0 |
| Mempertahankan rekaman pelanggaran data | CMA_0351 - Mempertahankan rekaman pelanggaran data | Manual, Dinonaktifkan | 1.1.0 |
| Mempertahankan rencana respons insiden | CMA_0352 - Mempertahankan rencana respons insiden | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi rencana respons insiden | CMA_0405 - Melindungi rencana respons insiden | Manual, Dinonaktifkan | 1.1.0 |
Respons Luapan Informasi
ID: NIST SP 800-53 Rev. 5 IR-9 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memperingatkan personel mengenai kebocoran informasi | CMA_0007 - Memperingatkan personel mengenai kebocoran informasi | Manual, Dinonaktifkan | 1.1.0 |
| Mengembangkan rencana respons insiden | CMA_0145 - Mengembangkan rencana respons insiden | Manual, Dinonaktifkan | 1.1.0 |
| Memberantas informasi yang terkontaminasi | CMA_0253 - Memberantas informasi yang terkontaminasi | Manual, Dinonaktifkan | 1.1.0 |
| Jalankan tindakan sebagai respons terhadap tumpahan informasi | CMA_0281 - Jalankan tindakan sebagai respons terhadap tumpahan informasi | Manual, Dinonaktifkan | 1.1.0 |
| Mengidentifikasi sistem dan komponen yang terkontaminasi | CMA_0300 - Mengidentifikasi sistem dan komponen yang terkontaminasi | Manual, Dinonaktifkan | 1.1.0 |
| Mengidentifikasi informasi yang tumpah | CMA_0303 - Mengidentifikasi informasi yang tumpah | Manual, Dinonaktifkan | 1.1.0 |
| Mengisolasi tumpahan informasi | CMA_0346 - Mengisolasi tumpahan informasi | Manual, Dinonaktifkan | 1.1.0 |
Pelatihan
ID: NIST SP 800-53 Rev. 5 IR-9 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memberikan pelatihan tumpahan informasi | CMA_0413 - Memberikan pelatihan tumpahan informasi | Manual, Dinonaktifkan | 1.1.0 |
Operasi Paska Peluapan
ID: NIST SP 800-53 Rev. 5 IR-9 (3) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengembangkan prosedur respons tumpahan | CMA_0162 - Mengembangkan prosedur respons tumpahan | Manual, Dinonaktifkan | 1.1.0 |
Paparan Personel yang Tidak Berwenang
ID: NIST SP 800-53 Rev. 5 IR-9 (4) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengembangkan perlindungan keamanan | CMA_0161 - Mengembangkan perlindungan keamanan | Manual, Dinonaktifkan | 1.1.0 |
Pemeliharaan
Kebijakan dan Prosedur
ID: NIST SP 800-53 Rev. 5 MA-1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Meninjau dan memperbarui kebijakan dan prosedur pemeliharaan sistem | CMA_C1395 - Meninjau dan memperbarui kebijakan dan prosedur pemeliharaan sistem | Manual, Dinonaktifkan | 1.1.0 |
Pemeliharaan Terkontrol
ID: NIST SP 800-53 Rev. 5 MA-2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengontrol aktivitas pemeliharaan dan perbaikan | CMA_0080 - Mengontrol aktivitas pemeliharaan dan perbaikan | Manual, Dinonaktifkan | 1.1.0 |
| Menggunakan mekanisme sanitasi media | CMA_0208 - Menggunakan mekanisme sanitasi media | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan kontrol untuk mengamankan semua media | CMA_0314 - Menerapkan kontrol untuk mengamankan semua media | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola pemeliharaan nonlokal dan aktivitas diagnostik | CMA_0364 - Mengelola pemeliharaan nonlokal dan aktivitas diagnostik | Manual, Dinonaktifkan | 1.1.0 |
Aktivitas Pemeliharaan Otomatis
ID: NIST SP 800-53 Rev. 5 MA-2 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengotomatiskan aktivitas pemeliharaan jarak jauh | CMA_C1402 - Mengotomatiskan aktivitas pemeliharaan jarak jauh | Manual, Dinonaktifkan | 1.1.0 |
| Menghasilkan catatan lengkap aktivitas pemeliharaan jarak jauh | CMA_C1403 - Menghasilkan catatan lengkap aktivitas pemeliharaan jarak jauh | Manual, Dinonaktifkan | 1.1.0 |
Alat Pemeliharaan
ID: NIST SP 800-53 Rev. 5 MA-3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengontrol aktivitas pemeliharaan dan perbaikan | CMA_0080 - Mengontrol aktivitas pemeliharaan dan perbaikan | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola pemeliharaan nonlokal dan aktivitas diagnostik | CMA_0364 - Mengelola pemeliharaan nonlokal dan aktivitas diagnostik | Manual, Dinonaktifkan | 1.1.0 |
Alat Pemeriksaan
ID: NIST SP 800-53 Rev. 5 MA-3 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengontrol aktivitas pemeliharaan dan perbaikan | CMA_0080 - Mengontrol aktivitas pemeliharaan dan perbaikan | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola pemeliharaan nonlokal dan aktivitas diagnostik | CMA_0364 - Mengelola pemeliharaan nonlokal dan aktivitas diagnostik | Manual, Dinonaktifkan | 1.1.0 |
Media Periksa
ID: NIST SP 800-53 Rev. 5 MA-3 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengontrol aktivitas pemeliharaan dan perbaikan | CMA_0080 - Mengontrol aktivitas pemeliharaan dan perbaikan | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola pemeliharaan nonlokal dan aktivitas diagnostik | CMA_0364 - Mengelola pemeliharaan nonlokal dan aktivitas diagnostik | Manual, Dinonaktifkan | 1.1.0 |
Mencegah Penghapusan Tidak Sah
ID: NIST SP 800-53 Rev. 5 MA-3 (3) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengontrol aktivitas pemeliharaan dan perbaikan | CMA_0080 - Mengontrol aktivitas pemeliharaan dan perbaikan | Manual, Dinonaktifkan | 1.1.0 |
| Menggunakan mekanisme sanitasi media | CMA_0208 - Menggunakan mekanisme sanitasi media | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan kontrol untuk mengamankan semua media | CMA_0314 - Menerapkan kontrol untuk mengamankan semua media | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola pemeliharaan nonlokal dan aktivitas diagnostik | CMA_0364 - Mengelola pemeliharaan nonlokal dan aktivitas diagnostik | Manual, Dinonaktifkan | 1.1.0 |
Pemeliharaan Nonlokal
ID: NIST SP 800-53 Rev. 5 MA-4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengelola pemeliharaan nonlokal dan aktivitas diagnostik | CMA_0364 - Mengelola pemeliharaan nonlokal dan aktivitas diagnostik | Manual, Dinonaktifkan | 1.1.0 |
Keamanan dan Sanitasi yang Sebanding
ID: NIST SP 800-53 Rev. 5 MA-4 (3) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Melakukan semua pemeliharaan non-lokal | CMA_C1417 - Melakukan semua pemeliharaan non-lokal | Manual, Dinonaktifkan | 1.1.0 |
Perlindungan Kriptografi
ID: NIST SP 800-53 Rev. 5 MA-4 (6) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerapkan mekanisme kriptografi | CMA_C1419 - Menerapkan mekanisme kriptografi | Manual, Dinonaktifkan | 1.1.0 |
Personil Pemeliharaan
ID: NIST SP 800-53 Rev. 5 MA-5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menunjuk personel untuk mengawasi aktivitas pemeliharaan yang tidak sah | CMA_C1422 - Menunjuk personel untuk mengawasi kegiatan pemeliharaan yang tidak sah | Manual, Dinonaktifkan | 1.1.0 |
| Mempertahankan daftar personel pemeliharaan jarak jauh resmi | CMA_C1420 - Mempertahankan daftar personel pemeliharaan jarak jauh resmi | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola personel pemeliharaan | CMA_C1421 - Mengelola personel pemeliharaan | Manual, Dinonaktifkan | 1.1.0 |
Individu Tanpa Akses yang Sesuai
ID: NIST SP 800-53 Rev. 5 MA-5 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menggunakan mekanisme sanitasi media | CMA_0208 - Menggunakan mekanisme sanitasi media | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan kontrol untuk mengamankan semua media | CMA_0314 - Menerapkan kontrol untuk mengamankan semua media | Manual, Dinonaktifkan | 1.1.0 |
Pemeliharaan tepat waktu
ID: NIST SP 800-53 Rev. 5 MA-6 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memberikan dukungan pemeliharaan tepat waktu | CMA_C1425 - Memberikan dukungan pemeliharaan tepat waktu | Manual, Dinonaktifkan | 1.1.0 |
Perlindungan Media
Kebijakan dan Prosedur
ID: NIST SP 800-53 Rev. 5 MP-1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Meninjau dan memperbarui kebijakan dan prosedur perlindungan media | CMA_C1427 - Meninjau dan memperbarui kebijakan dan prosedur perlindungan media | Manual, Dinonaktifkan | 1.1.0 |
Akses Media
ID: NIST SP 800-53 Rev. 5 MP-2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerapkan kontrol untuk mengamankan semua media | CMA_0314 - Menerapkan kontrol untuk mengamankan semua media | Manual, Dinonaktifkan | 1.1.0 |
Penandaan Media
ID: NIST SP 800-53 Rev. 5 MP-3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerapkan kontrol untuk mengamankan semua media | CMA_0314 - Menerapkan kontrol untuk mengamankan semua media | Manual, Dinonaktifkan | 1.1.0 |
Penyimpanan media
ID: NIST SP 800-53 Rev. 5 MP-4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menggunakan mekanisme sanitasi media | CMA_0208 - Menggunakan mekanisme sanitasi media | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan kontrol untuk mengamankan semua media | CMA_0314 - Menerapkan kontrol untuk mengamankan semua media | Manual, Dinonaktifkan | 1.1.0 |
Transportasi Media
ID: NIST SP 800-53 Rev. 5 MP-5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerapkan kontrol untuk mengamankan semua media | CMA_0314 - Menerapkan kontrol untuk mengamankan semua media | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola transportasi aset | CMA_0370 - Mengelola transportasi aset | Manual, Dinonaktifkan | 1.1.0 |
Sanitasi Media
ID: NIST SP 800-53 Rev. 5 MP-6 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menggunakan mekanisme sanitasi media | CMA_0208 - Menggunakan mekanisme sanitasi media | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan kontrol untuk mengamankan semua media | CMA_0314 - Menerapkan kontrol untuk mengamankan semua media | Manual, Dinonaktifkan | 1.1.0 |
Tinjau, Setujui, Lacak, Dokumentasikan, dan Verifikasi
ID: NIST SP 800-53 Rev. 5 MP-6 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menggunakan mekanisme sanitasi media | CMA_0208 - Menggunakan mekanisme sanitasi media | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan kontrol untuk mengamankan semua media | CMA_0314 - Menerapkan kontrol untuk mengamankan semua media | Manual, Dinonaktifkan | 1.1.0 |
Pengujian Peralatan
ID: NIST SP 800-53 Rev. 5 MP-6 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menggunakan mekanisme sanitasi media | CMA_0208 - Menggunakan mekanisme sanitasi media | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan kontrol untuk mengamankan semua media | CMA_0314 - Menerapkan kontrol untuk mengamankan semua media | Manual, Dinonaktifkan | 1.1.0 |
Penggunaan Media
ID: NIST SP 800-53 Rev. 5 MP-7 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memblokir proses tidak tepercaya dan tidak resmi yang berjalan dari USB | CMA_0050 - Memblokir proses yang tidak tepercaya dan tidak resmi yang berjalan dari USB | Manual, Dinonaktifkan | 1.1.0 |
| Mengontrol penggunaan perangkat penyimpanan portabel | CMA_0083 - Mengontrol penggunaan perangkat penyimpanan portabel | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan kontrol untuk mengamankan semua media | CMA_0314 - Menerapkan kontrol untuk mengamankan semua media | Manual, Dinonaktifkan | 1.1.0 |
| Membatasi penggunaan media | CMA_0450 - Membatasi penggunaan media | Manual, Dinonaktifkan | 1.1.0 |
Perlindungan Fisik dan Lingkungan
Kebijakan dan Prosedur
ID: NIST SP 800-53 Rev. 5 PE-1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Meninjau dan memperbarui kebijakan dan prosedur fisik dan lingkungan | CMA_C1446 - Meninjau dan memperbarui kebijakan dan prosedur fisik dan lingkungan | Manual, Dinonaktifkan | 1.1.0 |
Otorisasi Akses Fisik
ID: NIST SP 800-53 Rev. 5 PE-2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengontrol akses fisik | CMA_0081 - Mengontrol akses fisik | Manual, Dinonaktifkan | 1.1.0 |
Kontrol Akses Fisik
ID: NIST SP 800-53 Rev. 5 PE-3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengontrol akses fisik | CMA_0081 - Mengontrol akses fisik | Manual, Dinonaktifkan | 1.1.0 |
| Menentukan proses manajemen kunci fisik | CMA_0115 - Menentukan proses manajemen kunci fisik | Manual, Dinonaktifkan | 1.1.0 |
| Menetapkan dan memelihara inventaris aset | CMA_0266 - Menetapkan dan memelihara inventaris aset | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan keamanan fisik untuk perkantoran, area kerja, dan area aman | CMA_0323 - Menerapkan keamanan fisik untuk perkantoran, area kerja, dan area aman | Manual, Dinonaktifkan | 1.1.0 |
Microsoft Azure Access Control Service untuk Transmisi
ID: NIST SP 800-53 Rev. 5 PE-4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengontrol akses fisik | CMA_0081 - Mengontrol akses fisik | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan keamanan fisik untuk perkantoran, area kerja, dan area aman | CMA_0323 - Menerapkan keamanan fisik untuk perkantoran, area kerja, dan area aman | Manual, Dinonaktifkan | 1.1.0 |
Kontrol Akses untuk Perangkat Output
ID: NIST SP 800-53 Rev. 5 PE-5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengontrol akses fisik | CMA_0081 - Mengontrol akses fisik | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan keamanan fisik untuk perkantoran, area kerja, dan area aman | CMA_0323 - Menerapkan keamanan fisik untuk perkantoran, area kerja, dan area aman | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola input, output, pemrosesan, dan penyimpanan data | CMA_0369 - Mengelola input, output, pemrosesan, dan penyimpanan data | Manual, Dinonaktifkan | 1.1.0 |
Alarm Intrusi dan Peralatan Pengawasan
ID: NIST SP 800-53 Rev. 5 PE-6 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memasang sistem alarm | CMA_0338 - Menginstal sistem alarm | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola sistem kamera pengawasan yang aman | CMA_0354 - Mengelola sistem kamera pengawas yang aman | Manual, Dinonaktifkan | 1.1.0 |
Catatan Akses Pengunjung
ID: NIST SP 800-53 Rev. 5 PE-8 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengontrol akses fisik | CMA_0081 - Mengontrol akses fisik | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan keamanan fisik untuk perkantoran, area kerja, dan area aman | CMA_0323 - Menerapkan keamanan fisik untuk perkantoran, area kerja, dan area aman | Manual, Dinonaktifkan | 1.1.0 |
Lampu darurat
ID: NIST SP 800-53 Rev. 5 PE-12 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menggunakan pencahayaan darurat otomatis | CMA_0209 - Menggunakan pencahayaan darurat otomatis | Manual, Dinonaktifkan | 1.1.0 |
Proteksi Kebakaran
ID: NIST SP 800-53 Rev. 5 PE-13 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerapkan keamanan fisik untuk perkantoran, area kerja, dan area aman | CMA_0323 - Menerapkan keamanan fisik untuk perkantoran, area kerja, dan area aman | Manual, Dinonaktifkan | 1.1.0 |
Sistem Deteksi ??? Aktivasi dan Pemberitahuan Otomatis
ID: NIST SP 800-53 Rev. 5 PE-13 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerapkan metodologi pengujian penetrasi | CMA_0306 - Menerapkan metodologi pengujian penetrasi | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan keamanan fisik untuk perkantoran, area kerja, dan area aman | CMA_0323 - Menerapkan keamanan fisik untuk perkantoran, area kerja, dan area aman | Manual, Dinonaktifkan | 1.1.0 |
| Menjalankan serangan simulasi | CMA_0486 - Menjalankan serangan simulasi | Manual, Dinonaktifkan | 1.1.0 |
Sistem Supresi ??? Aktivasi dan Pemberitahuan Otomatis
ID: NIST SP 800-53 Rev. 5 PE-13 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerapkan keamanan fisik untuk perkantoran, area kerja, dan area aman | CMA_0323 - Menerapkan keamanan fisik untuk perkantoran, area kerja, dan area aman | Manual, Dinonaktifkan | 1.1.0 |
Kontrol Lingkungan
ID: NIST SP 800-53 Rev. 5 PE-14 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerapkan keamanan fisik untuk perkantoran, area kerja, dan area aman | CMA_0323 - Menerapkan keamanan fisik untuk perkantoran, area kerja, dan area aman | Manual, Dinonaktifkan | 1.1.0 |
Pemantauan dengan Alarm dan Pemberitahuan
ID: NIST SP 800-53 Rev. 5 PE-14 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerapkan keamanan fisik untuk perkantoran, area kerja, dan area aman | CMA_0323 - Menerapkan keamanan fisik untuk perkantoran, area kerja, dan area aman | Manual, Dinonaktifkan | 1.1.0 |
| Memasang sistem alarm | CMA_0338 - Menginstal sistem alarm | Manual, Dinonaktifkan | 1.1.0 |
Perlindungan Kerusakan Air
ID: NIST SP 800-53 Rev. 5 PE-15 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerapkan keamanan fisik untuk perkantoran, area kerja, dan area aman | CMA_0323 - Menerapkan keamanan fisik untuk perkantoran, area kerja, dan area aman | Manual, Dinonaktifkan | 1.1.0 |
Pengiriman dan Penghapusan
ID: NIST SP 800-53 Rev. 5 PE-16 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menentukan persyaratan untuk mengelola aset | CMA_0125 - Menentukan persyaratan untuk mengelola aset | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola transportasi aset | CMA_0370 - Mengelola transportasi aset | Manual, Dinonaktifkan | 1.1.0 |
Situs Kerja Alternatif
ID: NIST SP 800-53 Rev. 5 PE-17 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerapkan kontrol untuk mengamankan lokasi kerja alternatif | CMA_0315 - Menerapkan kontrol untuk mengamankan lokasi kerja alternatif | Manual, Dinonaktifkan | 1.1.0 |
Lokasi Komponen Sistem
ID: NIST SP 800-53 Rev. 5 PE-18 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerapkan keamanan fisik untuk perkantoran, area kerja, dan area aman | CMA_0323 - Menerapkan keamanan fisik untuk perkantoran, area kerja, dan area aman | Manual, Dinonaktifkan | 1.1.0 |
Perencanaan
Kebijakan dan Prosedur
ID: NIST SP 800-53 Rev. 5 PL-1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Meninjau dan memperbarui kebijakan dan prosedur perencanaan | CMA_C1491 - Meninjau dan memperbarui kebijakan dan prosedur perencanaan | Manual, Dinonaktifkan | 1.1.0 |
Keamanan Sistem dan Paket Privasi
ID: NIST SP 800-53 Rev. 5 PL-2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengembangkan dan membuat rencana keamanan sistem | CMA_0151 - Mengembangkan dan membuat rencana keamanan sistem | Manual, Dinonaktifkan | 1.1.0 |
| Mengembangkan kebijakan dan prosedur keamanan informasi | CMA_0158 - Mengembangkan kebijakan dan prosedur keamanan informasi | Manual, Dinonaktifkan | 1.1.0 |
| Mengembangkan SSP yang memenuhi kriteria | CMA_C1492 - Mengembangkan SSP yang memenuhi kriteria | Manual, Dinonaktifkan | 1.1.0 |
| Menetapkan program privasi | CMA_0257 - Menetapkan program privasi | Manual, Dinonaktifkan | 1.1.0 |
| Menetapkan persyaratan keamanan untuk manufaktur perangkat yang terhubung | CMA_0279 - Menetapkan persyaratan keamanan untuk pembuatan perangkat yang terhubung | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan prinsip rekayasa keamanan sistem informasi | CMA_0325 - Menerapkan prinsip rekayasa keamanan sistem informasi | Manual, Dinonaktifkan | 1.1.0 |
Aturan Perilaku
ID: NIST SP 800-53 Rev. 5 PL-4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengembangkan kebijakan dan prosedur penggunaan yang dapat diterima | CMA_0143 - Mengembangkan kebijakan dan prosedur penggunaan yang dapat diterima | Manual, Dinonaktifkan | 1.1.0 |
| Mengembangkan kebijakan kode etik organisasi | CMA_0159 - Mengembangkan kebijakan kode etik organisasi | Manual, Dinonaktifkan | 1.1.0 |
| Penerimaan personel dokumen persyaratan privasi | CMA_0193 - Penerimaan personel dokumen persyaratan privasi | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan aturan perilaku dan perjanjian akses | CMA_0248 - Menerapkan aturan perilaku dan perjanjian akses | Manual, Dinonaktifkan | 1.1.0 |
| Melarang praktik yang tidak adulir | CMA_0396 - Melarang praktik yang tidak adal | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau dan menandatangani aturan perilaku yang direvisi | CMA_0465 - Meninjau dan menandatangani aturan perilaku yang direvisi | Manual, Dinonaktifkan | 1.1.0 |
| Memperbarui kebijakan keamanan informasi | CMA_0518 - Memperbarui kebijakan keamanan informasi | Manual, Dinonaktifkan | 1.1.0 |
| Memperbarui aturan perilaku dan perjanjian akses | CMA_0521 - Memperbarui aturan perilaku dan perjanjian akses | Manual, Dinonaktifkan | 1.1.0 |
| Memperbarui aturan perilaku dan perjanjian akses setiap 3 tahun | CMA_0522 - Memperbarui aturan perilaku dan perjanjian akses setiap 3 tahun | Manual, Dinonaktifkan | 1.1.0 |
Batasan Penggunaan Media Sosial dan Situs/Aplikasi Eksternal
ID: NIST SP 800-53 Rev. 5 PL-4 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengembangkan kebijakan dan prosedur penggunaan yang dapat diterima | CMA_0143 - Mengembangkan kebijakan dan prosedur penggunaan yang dapat diterima | Manual, Dinonaktifkan | 1.1.0 |
Arsitektur Keamanan dan Privasi
ID: NIST SP 800-53 Rev. 5 PL-8 Kepemilikan: Dibagi
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengembangkan konsep operasi (CONOPS) | CMA_0141 - Mengembangkan konsep operasi (CONOPS) | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau dan memperbarui arsitektur keamanan informasi | CMA_C1504 - Meninjau dan memperbarui arsitektur keamanan informasi | Manual, Dinonaktifkan | 1.1.0 |
Keamanan Personil
Kebijakan dan Prosedur
ID: NIST SP 800-53 Rev. 5 PS-1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Meninjau dan memperbarui kebijakan dan prosedur keamanan personel | CMA_C1507 - Meninjau dan memperbarui kebijakan dan prosedur keamanan personel | Manual, Dinonaktifkan | 1.1.0 |
Penunjukan Risiko Posisi
ID: NIST SP 800-53 Rev. 5 PS-2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menetapkan penugasan risiko | CMA_0016 - Menetapkan penugasan risiko | Manual, Dinonaktifkan | 1.1.0 |
Penyaringan Personil
ID: NIST SP 800-53 Rev. 5 PS-3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menghapus personel dengan akses ke informasi rahasia | CMA_0054 - Menghapus personel dengan akses ke informasi rahasia | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan penyaringan personel | CMA_0322 - Menerapkan penyaringan personel | Manual, Dinonaktifkan | 1.1.0 |
| Menaikkan ulang individu pada frekuensi yang ditentukan | CMA_C1512 - Rescreen individu pada frekuensi yang ditentukan | Manual, Dinonaktifkan | 1.1.0 |
Informasi yang Memerlukan Tindakan Perlindungan Khusus
ID: NIST SP 800-53 Rev. 5 PS-3 (3) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Melindungi informasi khusus | CMA_0409 - Melindungi informasi khusus | Manual, Dinonaktifkan | 1.1.0 |
Pemberhentian Personil
ID: NIST SP 800-53 Rev. 5 PS-4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Melakukan wawancara keluar setelah penghentian | CMA_0058 - Melakukan wawancara keluar setelah penghentian | Manual, Dinonaktifkan | 1.1.0 |
| Menonaktifkan pengautentikasi setelah penghentian | CMA_0169 - Menonaktifkan pengautentikasi setelah penghentian | Manual, Dinonaktifkan | 1.1.0 |
| Beri tahu setelah penghentian atau transfer | CMA_0381 - Beri tahu setelah penghentian atau transfer | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi dan mencegah pencurian data dari kepergian karyawan | CMA_0398 - Melindungi dari dan mencegah pencurian data meninggalkan karyawan | Manual, Dinonaktifkan | 1.1.0 |
| Mempertahankan data pengguna yang dihentikan | CMA_0455 - Mempertahankan data pengguna yang dihentikan | Manual, Dinonaktifkan | 1.1.0 |
Tindakan Otomatis
ID: NIST SP 800-53 Rev. 5 PS-4 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengotomatiskan pemberitahuan penghentian karyawan | CMA_C1521 - Mengotomatiskan pemberitahuan penghentian karyawan | Manual, Dinonaktifkan | 1.1.0 |
Transfer Personil
ID: NIST SP 800-53 Rev. 5 PS-5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memulai tindakan transfer atau penetapan ulang | CMA_0333 - Memulai tindakan transfer atau penetapan ulang | Manual, Dinonaktifkan | 1.1.0 |
| Mengubah otorisasi akses saat transfer personel | CMA_0374 - Mengubah otorisasi akses saat transfer personel | Manual, Dinonaktifkan | 1.1.0 |
| Beri tahu setelah penghentian atau transfer | CMA_0381 - Beri tahu setelah penghentian atau transfer | Manual, Dinonaktifkan | 1.1.0 |
| Mengevaluasi kembali akses saat transfer personel | CMA_0424 - Mengevaluasi kembali akses saat transfer personel | Manual, Dinonaktifkan | 1.1.0 |
Perjanjian Akses
ID: NIST SP 800-53 Rev. 5 PS-6 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Perjanjian akses organisasi dokumen | CMA_0192 - Perjanjian akses organisasi dokumen | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan aturan perilaku dan perjanjian akses | CMA_0248 - Menerapkan aturan perilaku dan perjanjian akses | Manual, Dinonaktifkan | 1.1.0 |
| Pastikan perjanjian akses ditandatangani atau diundur tepat waktu | CMA_C1528 - Pastikan perjanjian akses ditandatangani atau diundur tepat waktu | Manual, Dinonaktifkan | 1.1.0 |
| Mengharuskan pengguna menandatangani perjanjian akses | CMA_0440 - Mengharuskan pengguna menandatangani perjanjian akses | Manual, Dinonaktifkan | 1.1.0 |
| Memperbarui perjanjian akses organisasi | CMA_0520 - Memperbarui perjanjian akses organisasi | Manual, Dinonaktifkan | 1.1.0 |
Keamanan Personil Eksternal
ID: NIST SP 800-53 Rev. 5 PS-7 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Dokumentasikan persyaratan keamanan personel pihak ketiga | CMA_C1531 - Dokumen persyaratan keamanan personel pihak ketiga | Manual, Dinonaktifkan | 1.1.0 |
| Menetapkan persyaratan keamanan personel pihak ketiga | CMA_C1529 - Menetapkan persyaratan keamanan personel pihak ketiga | Manual, Dinonaktifkan | 1.1.0 |
| Memantau kepatuhan penyedia pihak ketiga | CMA_C1533 - Memantau kepatuhan penyedia pihak ketiga | Manual, Dinonaktifkan | 1.1.0 |
| Memerlukan pemberitahuan transfer atau penghentian personel pihak ketiga | CMA_C1532 - Memerlukan pemberitahuan transfer atau penghentian personel pihak ketiga | Manual, Dinonaktifkan | 1.1.0 |
| Mengharuskan penyedia pihak ketiga untuk mematuhi kebijakan dan prosedur keamanan personel | CMA_C1530 - Mengharuskan penyedia pihak ketiga untuk mematuhi kebijakan dan prosedur keamanan personel | Manual, Dinonaktifkan | 1.1.0 |
Sanksi Personil
ID: NIST SP 800-53 Rev. 5 PS-8 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerapkan proses sanksi formal | CMA_0317 - Menerapkan proses sanksi formal | Manual, Dinonaktifkan | 1.1.0 |
| Memberi tahu personel tentang sanksi | CMA_0380 - Memberi tahu personel tentang sanksi | Manual, Dinonaktifkan | 1.1.0 |
Tugas beresiko
Kebijakan dan Prosedur
ID: NIST SP 800-53 Rev. 5 RA-1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Meninjau dan memperbarui kebijakan dan prosedur penilaian risiko | CMA_C1537 - Meninjau dan memperbarui kebijakan dan prosedur penilaian risiko | Manual, Dinonaktifkan | 1.1.0 |
Kategorisasi Keamanan
ID: NIST SP 800-53 Rev. 5 RA-2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengategorikan informasi | CMA_0052 - Mengategorikan informasi | Manual, Dinonaktifkan | 1.1.0 |
| Mengembangkan skema klasifikasi bisnis | CMA_0155 - Mengembangkan skema klasifikasi bisnis | Manual, Dinonaktifkan | 1.1.0 |
| Pastikan kategorisasi keamanan disetujui | CMA_C1540 - Pastikan kategorisasi keamanan disetujui | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau aktivitas dan analitik label | CMA_0474 - Meninjau aktivitas dan analitik label | Manual, Dinonaktifkan | 1.1.0 |
Tugas beresiko
ID: NIST SP 800-53 Rev. 5 RA-3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Melakukan Penilaian Risiko | CMA_C1543 - Melakukan Penilaian Risiko | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan penilaian risiko dan mendistribusikan hasilnya | CMA_C1544 - Melakukan penilaian risiko dan mendistribusikan hasilnya | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan penilaian risiko dan mendokumentasikan hasilnya | CMA_C1542 - Melakukan penilaian risiko dan mendokumentasikan hasilnya | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan penilaian risiko | CMA_0388 - Melakukan penilaian risiko | Manual, Dinonaktifkan | 1.1.0 |
Pemantauan dan Pemindaian Kerentanan
ID: NIST SP 800-53 Rev. 5 RA-5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Solusi penilaian kerentanan harus diaktifkan pada komputer virtual Anda | Mengaudit komputer virtual untuk mendeteksi apakah mereka menjalankan solusi penilaian kerentanan yang didukung. Komponen inti dari setiap risiko cyber dan program keamanan adalah identifikasi dan analisis kerentanan. Tingkat harga standar Azure Security Center mencakup pemindaian kerentanan untuk komputer virtual Anda tanpa biaya tambahan. Selain itu, Pusat Keamanan dapat secara otomatis menyebarkan alat ini untuk Anda. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Azure Defender untuk App Service harus diaktifkan | Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk server Azure SQL Database harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Azure Defender untuk Key Vault harus diaktifkan | Azure Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun key vault. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk Resource Manager harus diaktifkan | Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Azure Defender untuk server harus diaktifkan | Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk server SQL pada mesin harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak dilindungi | Audit server SQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi | Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Pertahanan Microsoft untuk Kontainer harus diaktifkan | Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Pertahanan Microsoft untuk Penyimpanan harus diaktifkan | Microsoft Defender for Storage mendeteksi potensi ancaman terhadap akun penyimpanan Anda. Ini membantu mencegah tiga dampak utama pada data dan beban kerja Anda: unggahan file berbahaya, penyelundupan data sensitif, dan kerusakan data. Paket Defender for Storage baru mencakup Pemindaian Malware dan Deteksi Ancaman Data Sensitif. Paket ini juga menyediakan struktur harga yang dapat diprediksi (per akun penyimpanan) untuk kontrol atas cakupan dan biaya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Melakukan pemindaian kerentanan | CMA_0393 - Melakukan pemindaian kerentanan | Manual, Dinonaktifkan | 1.1.0 |
| Remediasi kelemahan sistem informasi | CMA_0427 - Remediasi kelemahan sistem informasi | Manual, Dinonaktifkan | 1.1.0 |
| Database SQL harus memiliki temuan kerentanan yang diselesaikan | Pantau hasil pemindaian penilaian kerentanan dan rekomendasi tentang cara memulihkan kerentanan basis data. | AuditIfNotExists, Dinonaktifkan | 4.1.0 |
| Server SQL pada komputer harus memiliki temuan kerentanan yang diselesaikan | Penilaian kerentanan SQL memindai database Anda untuk mengetahui kerentanan keamanan, dan mengekspos setiap penyimpangan dari praktik terbaik seperti kesalahan konfigurasi, izin yang berlebihan, dan data sensitif yang tidak dilindungi. Menyelesaikan kerentanan yang ditemukan dapat sangat meningkatkan postur keamanan database Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Kerentanan dalam konfigurasi keamanan di komputer Anda harus diremediasi | Server yang tidak memenuhi baseline yang dikonfigurasi akan dipantau oleh Azure Security Center sebagai rekomendasi | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
| Penilaian kerentanan harus diaktifkan di SQL Managed Instance | Audit setiap Instans Terkelola SQL yang tidak mengaktifkan pemindaian penilaian kerentanan berulang. Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda meremediasi kerentanan database potensial. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| Penilaian kerentanan harus diaktifkan di server SQL Anda | Audit server Azure SQL yang tidak memiliki penilaian kerentanan yang dikonfigurasi dengan benar. Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda meremediasi kerentanan database potensial. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Penilaian kerentanan harus diaktifkan di ruang kerja Synapse Anda | Temukan, lacak, dan pulihkan potensi kerentanan dengan mengonfigurasi pemindaian penilaian kerentanan SQL berulang di ruang kerja Synapse Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Perbarui Kerentanan untuk Dipindai
ID: NIST SP 800-53 Rev. 5 RA-5 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Melakukan pemindaian kerentanan | CMA_0393 - Melakukan pemindaian kerentanan | Manual, Dinonaktifkan | 1.1.0 |
| Remediasi kelemahan sistem informasi | CMA_0427 - Remediasi kelemahan sistem informasi | Manual, Dinonaktifkan | 1.1.0 |
Luas dan Kedalaman Cakupan
ID: NIST SP 800-53 Rev. 5 RA-5 (3) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Melakukan pemindaian kerentanan | CMA_0393 - Melakukan pemindaian kerentanan | Manual, Dinonaktifkan | 1.1.0 |
| Remediasi kelemahan sistem informasi | CMA_0427 - Remediasi kelemahan sistem informasi | Manual, Dinonaktifkan | 1.1.0 |
Discoverable Information
ID: NIST SP 800-53 Rev. 5 RA-5 (4) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengambil tindakan sebagai respons terhadap informasi pelanggan | CMA_C1554 - Ambil tindakan sebagai respons terhadap informasi pelanggan | Manual, Dinonaktifkan | 1.1.0 |
Akses dengan Hak Istimewa
ID: NIST SP 800-53 Rev. 5 RA-5 (5) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerapkan akses istimewa untuk menjalankan aktivitas pemindaian kerentanan | CMA_C1555 - Menerapkan akses istimewa untuk menjalankan aktivitas pemindaian kerentanan | Manual, Dinonaktifkan | 1.1.0 |
Analisis Tren Otomatis
ID: NIST SP 800-53 Rev. 5 RA-5 (6) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Amati dan laporkan kelemahan keamanan | CMA_0384 - Amati dan laporkan kelemahan keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan analisis tren pada ancaman | CMA_0389 - Melakukan analisis tren terhadap ancaman | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan pemodelan ancaman | CMA_0392 - Melakukan pemodelan ancaman | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan pemindaian kerentanan | CMA_0393 - Melakukan pemindaian kerentanan | Manual, Dinonaktifkan | 1.1.0 |
| Remediasi kelemahan sistem informasi | CMA_0427 - Remediasi kelemahan sistem informasi | Manual, Dinonaktifkan | 1.1.0 |
Tinjau Log Audit Historis
ID: NIST SP 800-53 Rev. 5 RA-5 (8) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengaudit fungsi istimewa | CMA_0019 - Mengaudit fungsi istimewa | Manual, Dinonaktifkan | 1.1.0 |
| Mengaudit status akun pengguna | CMA_0020 - Mengaudit status akun pengguna | Manual, Dinonaktifkan | 1.1.0 |
| Menghubungkan rekaman audit | CMA_0087 - Menghubungkan rekaman audit | Manual, Dinonaktifkan | 1.1.0 |
| Menentukan kejadian yang dapat diaudit | CMA_0137 - Menentukan peristiwa yang dapat diaudit | Manual, Dinonaktifkan | 1.1.0 |
| Menetapkan persyaratan untuk tinjauan dan pelaporan audit | CMA_0277 - Menetapkan persyaratan untuk tinjauan dan pelaporan audit | Manual, Dinonaktifkan | 1.1.0 |
| Mengintegrasikan tinjauan, analisis, dan pelaporan audit | CMA_0339 - Mengintegrasikan tinjauan, analisis, dan pelaporan audit | Manual, Dinonaktifkan | 1.1.0 |
| Mengintegrasikan keamanan aplikasi cloud dengan siem | CMA_0340 - Mengintegrasikan keamanan aplikasi cloud dengan siem | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau log penyediaan akun | CMA_0460 - Meninjau log penyediaan akun | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau penetapan administrator mingguan | CMA_0461 - Meninjau penetapan administrator mingguan | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau data audit | CMA_0466 - Meninjau data audit | Manual, Dinonaktifkan | 1.1.0 |
| Tinjau gambaran umum laporan identitas cloud | CMA_0468 - Tinjau gambaran umum laporan identitas cloud | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau peristiwa akses folder terkontrol | CMA_0471 - Meninjau peristiwa akses folder terkontrol | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau peristiwa perlindungan eksploitasi | CMA_0472 - Tinjau peristiwa perlindungan eksploitasi | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau aktivitas file dan folder | CMA_0473 - Meninjau aktivitas file dan folder | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau perubahan grup peran mingguan | CMA_0476 - Meninjau perubahan grup peran mingguan | Manual, Dinonaktifkan | 1.1.0 |
Informasi Pemindaian yang Berkorelasi
ID: NIST SP 800-53 Rev. 5 RA-5 (10) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menghubungkan informasi pemindaian kerentanan | CMA_C1558 - Menghubungkan informasi pemindaian Kerentanan | Manual, Dinonaktifkan | 1.1.1 |
Akuisisi Sistem dan Layanan
Kebijakan dan Prosedur
ID: NIST SP 800-53 Rev. 5 SA-1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Meninjau dan memperbarui kebijakan dan prosedur akuisisi sistem dan layanan | CMA_C1560 - Meninjau dan memperbarui kebijakan dan prosedur akuisisi sistem dan layanan | Manual, Dinonaktifkan | 1.1.0 |
Alokasi Sumber Daya
ID: NIST SP 800-53 Rev. 5 SA-2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menyelaraskan tujuan bisnis dan tujuan TI | CMA_0008 - Menyelaraskan tujuan bisnis dan tujuan TI | Manual, Dinonaktifkan | 1.1.0 |
| Mengalokasikan sumber daya dalam menentukan persyaratan sistem informasi | CMA_C1561 - Mengalokasikan sumber daya dalam menentukan persyaratan sistem informasi | Manual, Dinonaktifkan | 1.1.0 |
| Membuat item baris diskrit dalam dokumentasi penganggahan | CMA_C1563 - Membuat item baris diskrit dalam dokumentasi anggaran | Manual, Dinonaktifkan | 1.1.0 |
| Menetapkan program privasi | CMA_0257 - Menetapkan program privasi | Manual, Dinonaktifkan | 1.1.0 |
| Mengatur alokasi sumber daya | CMA_0293 - Mengatur alokasi sumber daya | Manual, Dinonaktifkan | 1.1.0 |
| Komitmen aman dari kepemimpinan | CMA_0489 - Komitmen aman dari kepemimpinan | Manual, Dinonaktifkan | 1.1.0 |
Siklus Hidup Pengembangan Sistem
ID: NIST SP 800-53 Rev. 5 SA-3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menentukan peran dan tanggung jawab keamanan informasi | CMA_C1565 - Menentukan peran dan tanggung jawab keamanan informasi | Manual, Dinonaktifkan | 1.1.0 |
| Mengidentifikasi individu dengan peran dan tanggung jawab keamanan | CMA_C1566 - Mengidentifikasi individu dengan peran dan tanggung jawab keamanan | Manual, Dinonaktifkan | 1.1.1 |
| Mengintegrasikan proses manajemen risiko ke dalam SDLC | CMA_C1567 - Mengintegrasikan proses manajemen risiko ke dalam SDLC | Manual, Dinonaktifkan | 1.1.0 |
Proses Akuisisi
ID: NIST SP 800-53 Rev. 5 SA-4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menentukan kewajiban kontrak pemasok | CMA_0140 - Menentukan kewajiban kontrak pemasok | Manual, Dinonaktifkan | 1.1.0 |
| Kriteria penerimaan kontrak akuisisi dokumen | CMA_0187 - Kriteria penerimaan kontrak akuisisi dokumen | Manual, Dinonaktifkan | 1.1.0 |
| Perlindungan dokumen data pribadi dalam kontrak akuisisi | CMA_0194 - Perlindungan dokumen data pribadi dalam kontrak akuisisi | Manual, Dinonaktifkan | 1.1.0 |
| Perlindungan dokumen informasi keamanan dalam kontrak akuisisi | CMA_0195 - Perlindungan dokumen informasi keamanan dalam kontrak akuisisi | Manual, Dinonaktifkan | 1.1.0 |
| Persyaratan dokumen untuk penggunaan data bersama dalam kontrak | CMA_0197 - Persyaratan dokumen untuk penggunaan data bersama dalam kontrak | Manual, Dinonaktifkan | 1.1.0 |
| Persyaratan jaminan keamanan dokumen dalam kontrak akuisisi | CMA_0199 - Persyaratan jaminan keamanan dokumen dalam kontrak akuisisi | Manual, Dinonaktifkan | 1.1.0 |
| Persyaratan dokumentasi keamanan dokumen dalam kontrak akuisisi | CMA_0200 - Persyaratan dokumentasi keamanan dokumen dalam kontrak akuisisi | Manual, Dinonaktifkan | 1.1.0 |
| Persyaratan fungsional keamanan dokumen dalam kontrak akuisisi | CMA_0201 - Persyaratan fungsional keamanan dokumen dalam kontrak akuisisi | Manual, Dinonaktifkan | 1.1.0 |
| Persyaratan kekuatan keamanan dokumen dalam kontrak akuisisi | CMA_0203 - Persyaratan kekuatan keamanan dokumen dalam kontrak akuisisi | Manual, Dinonaktifkan | 1.1.0 |
| Dokumentasikan lingkungan sistem informasi dalam kontrak akuisisi | CMA_0205 - Dokumentasikan lingkungan sistem informasi dalam kontrak akuisisi | Manual, Dinonaktifkan | 1.1.0 |
| Mendokumentasikan perlindungan data pemegang kartu dalam kontrak pihak ketiga | CMA_0207 - Mendokumentasikan perlindungan data pemegang kartu dalam kontrak pihak ketiga | Manual, Dinonaktifkan | 1.1.0 |
Properti Fungsional Kontrol
ID: NIST SP 800-53 Rev. 5 SA-4 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mendapatkan properti fungsional kontrol keamanan | CMA_C1575 - Mendapatkan properti fungsional kontrol keamanan | Manual, Dinonaktifkan | 1.1.0 |
Informasi Desain dan Implementasi untuk Kontrol
ID: NIST SP 800-53 Rev. 5 SA-4 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mendapatkan informasi desain dan implementasi untuk kontrol keamanan | CMA_C1576 - Mendapatkan informasi desain dan implementasi untuk kontrol keamanan | Manual, Dinonaktifkan | 1.1.1 |
Rencana Pemantauan Berkelanjutan untuk Kontrol
ID: NIST SP 800-53 Rev. 5 SA-4 (8) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mendapatkan rencana pemantauan berkelanjutan untuk kontrol keamanan | CMA_C1577 - Mendapatkan rencana pemantauan berkelanjutan untuk kontrol keamanan | Manual, Dinonaktifkan | 1.1.0 |
Fungsi, Port, Protokol, dan Layanan yang Digunakan
ID: NIST SP 800-53 Rev. 5 SA-4 (9) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengharuskan pengembang mengidentifikasi port, protokol, dan layanan SDLC | CMA_C1578 - Mengharuskan pengembang mengidentifikasi port, protokol, dan layanan SDLC | Manual, Dinonaktifkan | 1.1.0 |
Penggunaan Produk PIV yang Disetujui
ID: NIST SP 800-53 Rev. 5 SA-4 (10) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menggunakan teknologi yang disetujui FIPS 201 untuk PIV | CMA_C1579 - Menggunakan teknologi yang disetujui FIPS 201 untuk PIV | Manual, Dinonaktifkan | 1.1.0 |
Dokumentasi Sistem
ID: NIST SP 800-53 Rev. 5 SA-5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mendistribusikan dokumentasi sistem informasi | CMA_C1584 - Mendistribusikan dokumentasi sistem informasi | Manual, Dinonaktifkan | 1.1.0 |
| Mendokumen tindakan yang ditentukan pelanggan | CMA_C1582 - Mendokumen tindakan yang ditentukan pelanggan | Manual, Dinonaktifkan | 1.1.0 |
| Mendapatkan dokumentasi Admin | CMA_C1580 - Mendapatkan dokumentasi Admin | Manual, Dinonaktifkan | 1.1.0 |
| Mendapatkan dokumentasi fungsi keamanan pengguna | CMA_C1581 - Mendapatkan dokumentasi fungsi keamanan pengguna | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi dokumentasi administrator dan pengguna | CMA_C1583 - Melindungi dokumentasi administrator dan pengguna | Manual, Dinonaktifkan | 1.1.0 |
Layanan Sistem Eksternal
ID: NIST SP 800-53 Rev. 5 SA-9 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menentukan dan mendokumen pengawasan pemerintah | CMA_C1587 - Menentukan dan mendokumen pengawasan pemerintah | Manual, Dinonaktifkan | 1.1.0 |
| Mengharuskan penyedia layanan eksternal mematuhi persyaratan keamanan | CMA_C1586 - Mewajibkan penyedia layanan eksternal untuk mematuhi persyaratan keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau kepatuhan penyedia layanan cloud terhadap kebijakan dan perjanjian | CMA_0469 - Tinjau kepatuhan penyedia layanan cloud terhadap kebijakan dan perjanjian | Manual, Dinonaktifkan | 1.1.0 |
| Menjalani tinjauan keamanan independen | CMA_0515 - Menjalani tinjauan keamanan independen | Manual, Dinonaktifkan | 1.1.0 |
Penilaian Risiko dan Persetujuan Organisasi
ID: NIST SP 800-53 Rev. 5 SA-9 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menilai risiko dalam hubungan pihak ketiga | CMA_0014 - Menilai risiko dalam hubungan pihak ketiga | Manual, Dinonaktifkan | 1.1.0 |
| Mendapatkan persetujuan untuk akuisisi dan outsourcing | CMA_C1590 - Mendapatkan persetujuan untuk akuisisi dan outsourcing | Manual, Dinonaktifkan | 1.1.0 |
Identifikasi Fungsi, Port, Protokol, dan Layanan
ID: NIST SP 800-53 Rev. 5 SA-9 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengidentifikasi penyedia layanan eksternal | CMA_C1591 - Mengidentifikasi penyedia layanan eksternal | Manual, Dinonaktifkan | 1.1.0 |
Minat Konsumen dan Penyedia yang Konsisten
ID: NIST SP 800-53 Rev. 5 SA-9 (4) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memastikan penyedia eksternal secara konsisten memenuhi minat pelanggan | CMA_C1592 - Pastikan penyedia eksternal secara konsisten memenuhi minat pelanggan | Manual, Dinonaktifkan | 1.1.0 |
Lokasi Pemrosesan, Penyimpanan, dan Layanan
ID: NIST SP 800-53 Rev. 5 SA-9 (5) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Membatasi lokasi pemrosesan informasi, penyimpanan, dan layanan | CMA_C1593 - Membatasi lokasi pemrosesan informasi, penyimpanan, dan layanan | Manual, Dinonaktifkan | 1.1.0 |
Manajemen Konfigurasi Pengembang
ID: NIST SP 800-53 Rev. 5 SA-10 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengatasi kerentanan pengkodian | CMA_0003 - Kerentanan pengkodian alamat | Manual, Dinonaktifkan | 1.1.0 |
| Mengembangkan dan mendokumen persyaratan keamanan aplikasi | CMA_0148 - Persyaratan keamanan aplikasi kembangkan dan dokumen | Manual, Dinonaktifkan | 1.1.0 |
| Dokumentasikan lingkungan sistem informasi dalam kontrak akuisisi | CMA_0205 - Dokumentasikan lingkungan sistem informasi dalam kontrak akuisisi | Manual, Dinonaktifkan | 1.1.0 |
| Menetapkan program pengembangan perangkat lunak yang aman | CMA_0259 - Membuat program pengembangan perangkat lunak yang aman | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan pemindaian kerentanan | CMA_0393 - Melakukan pemindaian kerentanan | Manual, Dinonaktifkan | 1.1.0 |
| Remediasi kelemahan sistem informasi | CMA_0427 - Remediasi kelemahan sistem informasi | Manual, Dinonaktifkan | 1.1.0 |
| Mengharuskan pengembang untuk mendokumen perubahan yang disetujui dan dampak potensial | CMA_C1597 - Mengharuskan pengembang untuk mendokumen perubahan yang disetujui dan dampak potensial | Manual, Dinonaktifkan | 1.1.0 |
| Mengharuskan pengembang untuk hanya menerapkan perubahan yang disetujui | CMA_C1596 - Mengharuskan pengembang untuk menerapkan hanya perubahan yang disetujui | Manual, Dinonaktifkan | 1.1.0 |
| Mengharuskan pengembang mengelola integritas perubahan | CMA_C1595 - Mengharuskan pengembang mengelola integritas perubahan | Manual, Dinonaktifkan | 1.1.0 |
Verifikasi Integritas Perangkat Lunak dan Firmware
ID: NIST SP 800-53 Rev. 5 SA-10 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memverifikasi integritas perangkat lunak, firmware, dan informasi | CMA_0542 - Memverifikasi integritas perangkat lunak, firmware, dan informasi | Manual, Dinonaktifkan | 1.1.0 |
Pengujian dan Evaluasi Pengembang
ID: NIST SP 800-53 Rev. 5 SA-11 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Melakukan pemindaian kerentanan | CMA_0393 - Melakukan pemindaian kerentanan | Manual, Dinonaktifkan | 1.1.0 |
| Remediasi kelemahan sistem informasi | CMA_0427 - Remediasi kelemahan sistem informasi | Manual, Dinonaktifkan | 1.1.0 |
| Mengharuskan pengembang untuk menghasilkan bukti eksekusi rencana penilaian keamanan | CMA_C1602 - Mengharuskan pengembang untuk menghasilkan bukti eksekusi rencana penilaian keamanan | Manual, Dinonaktifkan | 1.1.0 |
Proses Pengembangan, Standar, dan Alat
ID: NIST SP 800-53 Rev. 5 SA-15 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Meninjau proses pengembangan, standar, dan alat | CMA_C1610 - Meninjau proses pengembangan, standar, dan alat | Manual, Dinonaktifkan | 1.1.0 |
Pelatihan yang Disediakan Pengembang
ID: NIST SP 800-53 Rev. 5 SA-16 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengharuskan pengembang untuk memberikan pelatihan | CMA_C1611 - Mengharuskan pengembang untuk memberikan pelatihan | Manual, Dinonaktifkan | 1.1.0 |
Arsitektur dan Desain Keamanan dan Privasi Pengembang
ID: NIST SP 800-53 Rev. 5 SA-17 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengharuskan pengembang untuk membangun arsitektur keamanan | CMA_C1612 - Mengharuskan pengembang untuk membangun arsitektur keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Mengharuskan pengembang untuk menjelaskan fungsionalitas keamanan yang akurat | CMA_C1613 - Mengharuskan pengembang untuk menjelaskan fungsionalitas keamanan yang akurat | Manual, Dinonaktifkan | 1.1.0 |
| Mengharuskan pengembang untuk memberikan pendekatan perlindungan keamanan terpadu | CMA_C1614 - Mengharuskan pengembang untuk memberikan pendekatan perlindungan keamanan terpadu | Manual, Dinonaktifkan | 1.1.0 |
Perlindungan Sistem dan Komunikasi
Kebijakan dan Prosedur
ID: NIST SP 800-53 Rev. 5 SC-1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Tinjau dan perbarui kebijakan dan prosedur perlindungan sistem dan komunikasi | CMA_C1616 - Meninjau dan memperbarui kebijakan dan prosedur perlindungan sistem dan komunikasi | Manual, Dinonaktifkan | 1.1.0 |
Pemisahan Fungsionalitas Sistem dan Pengguna
ID: NIST SP 800-53 Rev. 5 SC-2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Otorisasi akses jarak jauh | CMA_0024 - Mengotorisasi akses jarak jauh | Manual, Dinonaktifkan | 1.1.0 |
| Memisahkan fungsionalitas manajemen sistem pengguna dan informasi | CMA_0493 - Memisahkan fungsionalitas manajemen sistem pengguna dan informasi | Manual, Dinonaktifkan | 1.1.0 |
| Menggunakan komputer khusus untuk tugas administratif | CMA_0527 - Menggunakan komputer khusus untuk tugas administratif | Manual, Dinonaktifkan | 1.1.0 |
Isolasi Fungsi Keamanan
ID: NIST SP 800-53 Rev. 5 SC-3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure Defender untuk server harus diaktifkan | Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Windows Defender Exploit Guard harus diaktifkan di komputer Anda | Windows Defender Exploit Guard menggunakan agen Konfigurasi Tamu Azure Policy. Exploit Guard memiliki empat komponen yang dirancang untuk mengunci perangkat dari berbagai vektor serangan dan memblokir perilaku yang biasa digunakan dalam serangan malware sekaligus memungkinkan perusahaan untuk menyeimbangkan risiko keamanan dan persyaratan produktivitas (khusus Windows). | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
Perlindungan dari Serangan Denial-of-service
ID: NIST SP 800-53 Rev. 5 SC-5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure DDoS Protection harus diaktifkan | Perlindungan DDoS harus diaktifkan untuk semua jaringan virtual dengan subnet yang merupakan bagian dari gateway aplikasi dengan IP publik. | AuditIfNotExists, Dinonaktifkan | 3.0.1 |
| Azure Web Application Firewall harus diaktifkan untuk titik masuk Azure Front Door | Menyebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
| Mengembangkan dan mendokumen rencana respons DDoS | CMA_0147 - Mengembangkan dan mendokumen rencana respons DDoS | Manual, Dinonaktifkan | 1.1.0 |
| Penerusan IP pada komputer virtual Anda harus dinonaktifkan | Mengaktifkan penerusan IP pada NIC komputer virtual memungkinkan komputer menerima lalu lintas yang ditujukan ke tujuan lain. Penerusan IP jarang diperlukan (misalnya, saat menggunakan VM sebagai appliance virtual jaringan), dan oleh karena itu, hal ini harus ditinjau oleh tim keamanan jaringan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Web Application Firewall (WAF) harus diaktifkan untuk Azure Application Gateway | Menyebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
Ketersediaan sumberdaya
ID: NIST SP 800-53 Rev. 5 SC-6 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengatur alokasi sumber daya | CMA_0293 - Mengatur alokasi sumber daya | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola ketersediaan dan kapasitas | CMA_0356 - Mengelola ketersediaan dan kapasitas | Manual, Dinonaktifkan | 1.1.0 |
| Komitmen aman dari kepemimpinan | CMA_0489 - Komitmen aman dari kepemimpinan | Manual, Dinonaktifkan | 1.1.0 |
Perlindungan Batas
ID: NIST SP 800-53 Rev. 5 SC-7 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Tidak digunakan lagi]: Azure Cognitive layanan Pencarian s harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Cognitive Search, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Dinonaktifkan | 1.0.1-tidak digunakan lagi |
| [Tidak digunakan lagi]: Cognitive Services harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Cognitive Services, Anda akan mengurangi potensi kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Dinonaktifkan | 3.0.1-tidak digunakan lagi |
| [Pratinjau]: Semua lalu lintas Internet harus dirutekan melalui Azure Firewall yang Anda sebarkan | Azure Security Center telah mengidentifikasi bahwa beberapa subnet Anda tidak dilindungi dengan firewall generasi berikutnya. Lindungi subnet Anda dari potensi ancaman dengan membatasi akses ke mereka dengan Azure Firewall atau firewall generasi berikutnya yang didukung | AuditIfNotExists, Dinonaktifkan | 3.0.0-pratinjau |
| [Pratinjau]: Akses publik akun penyimpanan tidak boleh diizinkan | Akses baca publik anonim ke container dan blob di Azure Storage adalah cara yang nyaman untuk berbagi data tetapi dapat menimbulkan risiko keamanan. Untuk mencegah pelanggaran data yang disebabkan oleh akses anonim yang tidak diinginkan, Microsoft merekomendasikan untuk mencegah akses publik ke akun penyimpanan kecuali skenario Anda memerlukannya. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 3.1.0-pratinjau |
| Semua port jaringan harus dibatasi pada grup keamanan jaringan yang terkait dengan komputer virtual Anda | Azure Security Center telah mengidentifikasi beberapa aturan masuk grup keamanan jaringan Anda terlalu permisif. Aturan masuk tidak boleh mengizinkan akses dari rentang 'Apa pun' atau 'Internet'. Ini berpotensi memungkinkan penyerang untuk menargetkan sumber daya Anda. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Layanan API Management harus menggunakan jaringan virtual | Penyebaran Azure Virtual Network memberikan keamanan yang ditingkatkan, isolasi dan memungkinkan Anda untuk menempatkan layanan API Management Anda di jaringan non-internet routable yang Anda kontrol aksesnya. Jaringan ini kemudian dapat dihubungkan ke jaringan lokal Anda menggunakan berbagai teknologi VPN, yang memungkinkan akses ke layanan backend Anda dalam jaringan dan/atau lokal. Portal pengembang dan gateway API, dapat dikonfigurasi agar dapat diakses baik dari Internet atau hanya dalam jaringan virtual. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
| Azure App Configuration harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke instans konfigurasi aplikasi Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Rentang IP resmi harus ditentukan di Layanan Kube | Batasi akses ke API Manajemen Layanan Kube dengan memberikan akses API hanya ke alamat IP dalam rentang tertentu. Disarankan untuk membatasi akses ke rentang IP resmi untuk memastikan bahwa hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses kluster. | Audit, Dinonaktifkan | 2.0.1 |
| Sumber daya Azure AI Services harus membatasi akses jaringan | Dengan membatasi akses jaringan, Anda dapat memastikan bahwa hanya jaringan yang diizinkan yang dapat mengakses layanan. Ini dapat dicapai dengan mengonfigurasi aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses layanan Azure AI. | Audit, Tolak, Dinonaktifkan | 3.2.0 |
| Azure API untuk FHIR harus menggunakan tautan pribadi | Azure API untuk FHIR harus memiliki setidaknya satu koneksi endpoint pribadi yang disetujui. Klien dalam jaringan virtual dapat dengan aman mengakses sumber daya yang memiliki koneksi titik akhir pribadi melalui tautan pribadi. Untuk informasi lebih lanjut, kunjungi: https://aka.ms/fhir-privatelink. | Audit, Dinonaktifkan | 1.0.0 |
| Azure Cache for Redis harus menggunakan tautan privat | Titik akhir privat memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke instans Azure Cache for Redis Anda, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Layanan Azure Cognitive Search harus menggunakan SKU yang mendukung tautan privat | Dengan SKU Azure Cognitive Search yang didukung, Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke layanan Pencarian Anda, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Layanan Azure Cognitive Search harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa layanan Azure Cognitive Search Anda tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan layanan Pencarian Anda. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun Azure Cosmos DB harus memiliki aturan firewall | Aturan firewall harus ditentukan di akun Azure Cosmos DB Anda untuk mencegah lalu lintas dari sumber yang tidak sah. Akun yang memiliki setidaknya satu aturan IP yang ditentukan dengan filter jaringan virtual diaktifkan dianggap sesuai. Akun yang menonaktifkan akses publik juga dianggap patuh. | Audit, Tolak, Dinonaktifkan | 2.1.0 |
| Azure Data Factory harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Data Factory, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Domain Azure Event Grid harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke domain Azure Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. | Audit, Dinonaktifkan | 1.0.2 |
| Topik Azure Event Grid harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke topik Azure Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. | Audit, Dinonaktifkan | 1.0.2 |
| Azure File Sync harus menggunakan tautan privat | Membuat titik akhir pribadi untuk sumber daya Layanan Sinkronisasi Penyimpanan yang ditunjukkan memungkinkan Anda untuk menangani sumber daya Layanan Sinkronisasi Penyimpanan dari dalam ruang alamat IP pribadi jaringan organisasi Anda, bukan melalui titik akhir publik yang dapat diakses internet. Membuat titik akhir pribadi dengan sendirinya tidak menonaktifkan titik akhir publik. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Azure Key Vault harus mengaktifkan firewall | Aktifkan firewall brankas kunci agar brankas kunci tidak dapat diakses secara default ke IP publik mana pun. Secara opsional, Anda dapat mengonfigurasi rentang IP tertentu untuk membatasi akses ke jaringan tersebut. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Tolak, Dinonaktifkan | 3.2.1 |
| Azure Key Vault harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke brankas kunci, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Ruang kerja Azure Machine Learning harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke ruang kerja Azure Machine Learning, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Dinonaktifkan | 1.0.0 |
| Namespace layanan Azure Service Bus harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke namespace layanan Azure Service Bus, risiko kebocoran data akan berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Layanan Azure SignalR harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke sumber daya Layanan Azure SignalR alih-alih seluruh layanan, Anda akan mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/asrs/privatelink. | Audit, Dinonaktifkan | 1.0.0 |
| Ruang kerja Azure Synapse harus menggunakan private link | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir pribadi ke ruang kerja Azure Synapse, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Dinonaktifkan | 1.0.1 |
| Azure Web Application Firewall harus diaktifkan untuk titik masuk Azure Front Door | Menyebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
| Layanan Azure Web PubSub harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Layanan Azure Web PubSub, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/awps/privatelink. | Audit, Dinonaktifkan | 1.0.0 |
| Registri kontainer tidak boleh mengizinkan akses jaringan yang tidak terbatas | Azure container registry secara default menerima koneksi melalui internet dari host di jaringan apa pun. Untuk melindungi registri Anda dari potensi ancaman, izinkan akses hanya dari titik akhir privat tertentu, alamat IP publik atau rentang alamat tertentu. Jika registri Anda tidak memiliki aturan jaringan yang dikonfigurasi, registri akan muncul di sumber daya yang tidak sehat. Pelajari selengkapnya tentang aturan jaringan Container Registry di sini: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network dan https://aka.ms/acr/vnet. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Registri kontainer harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform private link menangani konektivitas antara konsumen dan layanan melalui jaringan Azure backbone.Dengan memetakan titik akhir pribadi ke container registry Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/acr/private-link. | Audit, Dinonaktifkan | 1.0.1 |
| Akun CosmosDB harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir privat ke akun CosmosDB Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Dinonaktifkan | 1.0.0 |
| Sumber daya akses disk harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke diskAccesses, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Namespace layanan Pusat Aktivitas harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke namespace layanan Pusat Aktivitas, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Menerapkan perlindungan batas sistem | CMA_0328 - Menerapkan perlindungan batas sistem | Manual, Dinonaktifkan | 1.1.0 |
| Komputer virtual yang terhubung ke internet harus dilindungi dengan grup keamanan jaringan | Lindungi komputer virtual Anda dari potensi ancaman dengan membatasi akses ke komputer virtual tersebut dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Instans layanan provisi perangkat Azure IoT Hub harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke layanan provisi perangkat Azure IoT Hub, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/iotdpsvnet. | Audit, Dinonaktifkan | 1.0.0 |
| Penerusan IP pada komputer virtual Anda harus dinonaktifkan | Mengaktifkan penerusan IP pada NIC komputer virtual memungkinkan komputer menerima lalu lintas yang ditujukan ke tujuan lain. Penerusan IP jarang diperlukan (misalnya, saat menggunakan VM sebagai appliance virtual jaringan), dan oleh karena itu, hal ini harus ditinjau oleh tim keamanan jaringan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time | Kemungkinan akses Just In Time (JIT) jaringan akan dipantau oleh Azure Security Center sebagai rekomendasi | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Port manajemen harus ditutup pada komputer virtual Anda | Port manajemen jarak jauh yang terbuka mengekspos VM Anda ke risiko tinggi dari serangan berbasis internet. Serangan ini mencoba untuk memaksa info masuk guna mendapatkan akses admin ke komputer. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer virtual yang tidak terhubung ke internet harus dilindungi dengan grup keamanan jaringan | Lindungi komputer virtual non-internet Anda dari potensi ancaman dengan membatasi akses dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Koneksi titik akhir pribadi di Azure SQL Database harus diaktifkan | Koneksi titik akhir privat menerapkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure SQL Database. | Audit, Dinonaktifkan | 1.1.0 |
| Titik akhir privat harus diaktifkan untuk server MariaDB | Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for MariaDB. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Titik akhir pribadi harus diaktifkan untuk server MySQL | Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for MySQL. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Titik akhir pribadi harus diaktifkan untuk server PostgreSQL | Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for PostgreSQL. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Akses jaringan publik di Azure SQL Database harus dinonaktifkan | Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan Azure SQL Database Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Akses jaringan publik harus dinonaktifkan untuk server MariaDB | Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for MariaDB Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini secara ketat menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Akses jaringan publik harus dinonaktifkan untuk server MySQL | Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for MySQL Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini secara ketat menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Akses jaringan publik harus dinonaktifkan untuk server PostgreSQL | Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for PostgreSQL Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menolak semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. | Audit, Tolak, Dinonaktifkan | 2.0.1 |
| Akun penyimpanan harus membatasi akses jaringan | Akses jaringan ke akun penyimpanan harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk mengizinkan koneksi dari internet tertentu atau klien lokal, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke rentang alamat IP internet publik | Audit, Tolak, Dinonaktifkan | 1.1.1 |
| Akun penyimpanan harus membatasi akses jaringan menggunakan aturan jaringan virtual | Lindungi akun penyimpanan Anda dari potensi ancaman menggunakan aturan jaringan virtual sebagai metode pilihan alih-alih pemfilteran berbasis IP. Menonaktifkan pemfilteran berbasis IP mencegah IP publik mengakses akun penyimpanan Anda. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Akun penyimpanan harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke akun penyimpanan Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan pribadi di - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Subnet harus dikaitkan dengan Grup Keamanan Jaringan | Lindungi subnet Anda dari potensi ancaman dengan membatasi aksesnya dengan Network Security Group (NSG). NSG berisi daftar aturan Access Control List (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke subnet Anda. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Template Image Builder VM harus menggunakan private link | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke sumber daya bangunan VM Image Builder Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Dinonaktifkan, Tolak | 1.1.0 |
| Web Application Firewall (WAF) harus diaktifkan untuk Azure Application Gateway | Menyebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
Titik Akses
ID: NIST SP 800-53 Rev. 5 SC-7 (3) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Tidak digunakan lagi]: Azure Cognitive layanan Pencarian s harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Cognitive Search, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Dinonaktifkan | 1.0.1-tidak digunakan lagi |
| [Tidak digunakan lagi]: Cognitive Services harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Cognitive Services, Anda akan mengurangi potensi kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Dinonaktifkan | 3.0.1-tidak digunakan lagi |
| [Pratinjau]: Semua lalu lintas Internet harus dirutekan melalui Azure Firewall yang Anda sebarkan | Azure Security Center telah mengidentifikasi bahwa beberapa subnet Anda tidak dilindungi dengan firewall generasi berikutnya. Lindungi subnet Anda dari potensi ancaman dengan membatasi akses ke mereka dengan Azure Firewall atau firewall generasi berikutnya yang didukung | AuditIfNotExists, Dinonaktifkan | 3.0.0-pratinjau |
| [Pratinjau]: Akses publik akun penyimpanan tidak boleh diizinkan | Akses baca publik anonim ke container dan blob di Azure Storage adalah cara yang nyaman untuk berbagi data tetapi dapat menimbulkan risiko keamanan. Untuk mencegah pelanggaran data yang disebabkan oleh akses anonim yang tidak diinginkan, Microsoft merekomendasikan untuk mencegah akses publik ke akun penyimpanan kecuali skenario Anda memerlukannya. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 3.1.0-pratinjau |
| Semua port jaringan harus dibatasi pada grup keamanan jaringan yang terkait dengan komputer virtual Anda | Azure Security Center telah mengidentifikasi beberapa aturan masuk grup keamanan jaringan Anda terlalu permisif. Aturan masuk tidak boleh mengizinkan akses dari rentang 'Apa pun' atau 'Internet'. Ini berpotensi memungkinkan penyerang untuk menargetkan sumber daya Anda. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Layanan API Management harus menggunakan jaringan virtual | Penyebaran Azure Virtual Network memberikan keamanan yang ditingkatkan, isolasi dan memungkinkan Anda untuk menempatkan layanan API Management Anda di jaringan non-internet routable yang Anda kontrol aksesnya. Jaringan ini kemudian dapat dihubungkan ke jaringan lokal Anda menggunakan berbagai teknologi VPN, yang memungkinkan akses ke layanan backend Anda dalam jaringan dan/atau lokal. Portal pengembang dan gateway API, dapat dikonfigurasi agar dapat diakses baik dari Internet atau hanya dalam jaringan virtual. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
| Azure App Configuration harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke instans konfigurasi aplikasi Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Rentang IP resmi harus ditentukan di Layanan Kube | Batasi akses ke API Manajemen Layanan Kube dengan memberikan akses API hanya ke alamat IP dalam rentang tertentu. Disarankan untuk membatasi akses ke rentang IP resmi untuk memastikan bahwa hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses kluster. | Audit, Dinonaktifkan | 2.0.1 |
| Sumber daya Azure AI Services harus membatasi akses jaringan | Dengan membatasi akses jaringan, Anda dapat memastikan bahwa hanya jaringan yang diizinkan yang dapat mengakses layanan. Ini dapat dicapai dengan mengonfigurasi aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses layanan Azure AI. | Audit, Tolak, Dinonaktifkan | 3.2.0 |
| Azure API untuk FHIR harus menggunakan tautan pribadi | Azure API untuk FHIR harus memiliki setidaknya satu koneksi endpoint pribadi yang disetujui. Klien dalam jaringan virtual dapat dengan aman mengakses sumber daya yang memiliki koneksi titik akhir pribadi melalui tautan pribadi. Untuk informasi lebih lanjut, kunjungi: https://aka.ms/fhir-privatelink. | Audit, Dinonaktifkan | 1.0.0 |
| Azure Cache for Redis harus menggunakan tautan privat | Titik akhir privat memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke instans Azure Cache for Redis Anda, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Layanan Azure Cognitive Search harus menggunakan SKU yang mendukung tautan privat | Dengan SKU Azure Cognitive Search yang didukung, Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke layanan Pencarian Anda, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Layanan Azure Cognitive Search harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa layanan Azure Cognitive Search Anda tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan layanan Pencarian Anda. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun Azure Cosmos DB harus memiliki aturan firewall | Aturan firewall harus ditentukan di akun Azure Cosmos DB Anda untuk mencegah lalu lintas dari sumber yang tidak sah. Akun yang memiliki setidaknya satu aturan IP yang ditentukan dengan filter jaringan virtual diaktifkan dianggap sesuai. Akun yang menonaktifkan akses publik juga dianggap patuh. | Audit, Tolak, Dinonaktifkan | 2.1.0 |
| Azure Data Factory harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Data Factory, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Domain Azure Event Grid harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke domain Azure Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. | Audit, Dinonaktifkan | 1.0.2 |
| Topik Azure Event Grid harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke topik Azure Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. | Audit, Dinonaktifkan | 1.0.2 |
| Azure File Sync harus menggunakan tautan privat | Membuat titik akhir pribadi untuk sumber daya Layanan Sinkronisasi Penyimpanan yang ditunjukkan memungkinkan Anda untuk menangani sumber daya Layanan Sinkronisasi Penyimpanan dari dalam ruang alamat IP pribadi jaringan organisasi Anda, bukan melalui titik akhir publik yang dapat diakses internet. Membuat titik akhir pribadi dengan sendirinya tidak menonaktifkan titik akhir publik. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Azure Key Vault harus mengaktifkan firewall | Aktifkan firewall brankas kunci agar brankas kunci tidak dapat diakses secara default ke IP publik mana pun. Secara opsional, Anda dapat mengonfigurasi rentang IP tertentu untuk membatasi akses ke jaringan tersebut. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Tolak, Dinonaktifkan | 3.2.1 |
| Azure Key Vault harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke brankas kunci, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Ruang kerja Azure Machine Learning harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke ruang kerja Azure Machine Learning, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Dinonaktifkan | 1.0.0 |
| Namespace layanan Azure Service Bus harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke namespace layanan Azure Service Bus, risiko kebocoran data akan berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Layanan Azure SignalR harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke sumber daya Layanan Azure SignalR alih-alih seluruh layanan, Anda akan mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/asrs/privatelink. | Audit, Dinonaktifkan | 1.0.0 |
| Ruang kerja Azure Synapse harus menggunakan private link | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir pribadi ke ruang kerja Azure Synapse, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Dinonaktifkan | 1.0.1 |
| Azure Web Application Firewall harus diaktifkan untuk titik masuk Azure Front Door | Menyebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
| Layanan Azure Web PubSub harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Layanan Azure Web PubSub, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/awps/privatelink. | Audit, Dinonaktifkan | 1.0.0 |
| Registri kontainer tidak boleh mengizinkan akses jaringan yang tidak terbatas | Azure container registry secara default menerima koneksi melalui internet dari host di jaringan apa pun. Untuk melindungi registri Anda dari potensi ancaman, izinkan akses hanya dari titik akhir privat tertentu, alamat IP publik atau rentang alamat tertentu. Jika registri Anda tidak memiliki aturan jaringan yang dikonfigurasi, registri akan muncul di sumber daya yang tidak sehat. Pelajari selengkapnya tentang aturan jaringan Container Registry di sini: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network dan https://aka.ms/acr/vnet. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Registri kontainer harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform private link menangani konektivitas antara konsumen dan layanan melalui jaringan Azure backbone.Dengan memetakan titik akhir pribadi ke container registry Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/acr/private-link. | Audit, Dinonaktifkan | 1.0.1 |
| Akun CosmosDB harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir privat ke akun CosmosDB Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Dinonaktifkan | 1.0.0 |
| Sumber daya akses disk harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke diskAccesses, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Namespace layanan Pusat Aktivitas harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke namespace layanan Pusat Aktivitas, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Komputer virtual yang terhubung ke internet harus dilindungi dengan grup keamanan jaringan | Lindungi komputer virtual Anda dari potensi ancaman dengan membatasi akses ke komputer virtual tersebut dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Instans layanan provisi perangkat Azure IoT Hub harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke layanan provisi perangkat Azure IoT Hub, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/iotdpsvnet. | Audit, Dinonaktifkan | 1.0.0 |
| Penerusan IP pada komputer virtual Anda harus dinonaktifkan | Mengaktifkan penerusan IP pada NIC komputer virtual memungkinkan komputer menerima lalu lintas yang ditujukan ke tujuan lain. Penerusan IP jarang diperlukan (misalnya, saat menggunakan VM sebagai appliance virtual jaringan), dan oleh karena itu, hal ini harus ditinjau oleh tim keamanan jaringan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time | Kemungkinan akses Just In Time (JIT) jaringan akan dipantau oleh Azure Security Center sebagai rekomendasi | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Port manajemen harus ditutup pada komputer virtual Anda | Port manajemen jarak jauh yang terbuka mengekspos VM Anda ke risiko tinggi dari serangan berbasis internet. Serangan ini mencoba untuk memaksa info masuk guna mendapatkan akses admin ke komputer. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer virtual yang tidak terhubung ke internet harus dilindungi dengan grup keamanan jaringan | Lindungi komputer virtual non-internet Anda dari potensi ancaman dengan membatasi akses dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Koneksi titik akhir pribadi di Azure SQL Database harus diaktifkan | Koneksi titik akhir privat menerapkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure SQL Database. | Audit, Dinonaktifkan | 1.1.0 |
| Titik akhir privat harus diaktifkan untuk server MariaDB | Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for MariaDB. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Titik akhir pribadi harus diaktifkan untuk server MySQL | Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for MySQL. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Titik akhir pribadi harus diaktifkan untuk server PostgreSQL | Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for PostgreSQL. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Akses jaringan publik di Azure SQL Database harus dinonaktifkan | Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan Azure SQL Database Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Akses jaringan publik harus dinonaktifkan untuk server MariaDB | Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for MariaDB Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini secara ketat menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Akses jaringan publik harus dinonaktifkan untuk server MySQL | Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for MySQL Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini secara ketat menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Akses jaringan publik harus dinonaktifkan untuk server PostgreSQL | Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for PostgreSQL Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menolak semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. | Audit, Tolak, Dinonaktifkan | 2.0.1 |
| Akun penyimpanan harus membatasi akses jaringan | Akses jaringan ke akun penyimpanan harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk mengizinkan koneksi dari internet tertentu atau klien lokal, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke rentang alamat IP internet publik | Audit, Tolak, Dinonaktifkan | 1.1.1 |
| Akun penyimpanan harus membatasi akses jaringan menggunakan aturan jaringan virtual | Lindungi akun penyimpanan Anda dari potensi ancaman menggunakan aturan jaringan virtual sebagai metode pilihan alih-alih pemfilteran berbasis IP. Menonaktifkan pemfilteran berbasis IP mencegah IP publik mengakses akun penyimpanan Anda. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Akun penyimpanan harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke akun penyimpanan Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan pribadi di - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Subnet harus dikaitkan dengan Grup Keamanan Jaringan | Lindungi subnet Anda dari potensi ancaman dengan membatasi aksesnya dengan Network Security Group (NSG). NSG berisi daftar aturan Access Control List (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke subnet Anda. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Template Image Builder VM harus menggunakan private link | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke sumber daya bangunan VM Image Builder Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Dinonaktifkan, Tolak | 1.1.0 |
| Web Application Firewall (WAF) harus diaktifkan untuk Azure Application Gateway | Menyebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
Layanan Telekomunikasi Eksternal
ID: NIST SP 800-53 Rev. 5 SC-7 (4) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerapkan antarmuka terkelola untuk setiap layanan eksternal | CMA_C1626 - Menerapkan antarmuka terkelola untuk setiap layanan eksternal | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan perlindungan batas sistem | CMA_0328 - Menerapkan perlindungan batas sistem | Manual, Dinonaktifkan | 1.1.0 |
| Mengamankan antarmuka ke sistem eksternal | CMA_0491 - Mengamankan antarmuka ke sistem eksternal | Manual, Dinonaktifkan | 1.1.0 |
Penerowongan Terpisah untuk Perangkat Jarak Jauh
ID: NIST SP 800-53 Rev. 5 SC-7 (7) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mencegah penerowongan terpisah untuk perangkat jarak jauh | CMA_C1632 - Mencegah penerowongan terpisah untuk perangkat jarak jauh | Manual, Dinonaktifkan | 1.1.0 |
Rutekan Lalu Lintas ke Server Proksi Terautentikasi
ID: NIST SP 800-53 Rev. 5 SC-7 (8) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Merutekan lalu lintas melalui jaringan proksi terautentikasi | CMA_C1633 - Merutekan lalu lintas melalui jaringan proksi terautentikasi | Manual, Dinonaktifkan | 1.1.0 |
Perlindungan Berbasis Host
ID: NIST SP 800-53 Rev. 5 SC-7 (12) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerapkan perlindungan batas sistem | CMA_0328 - Menerapkan perlindungan batas sistem | Manual, Dinonaktifkan | 1.1.0 |
Isolasi Alat Keamanan, Mekanisme, dan Komponen Pendukung
ID: NIST SP 800-53 Rev. 5 SC-7 (13) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengisolasi sistem SecurID, sistem Manajemen Insiden Keamanan | CMA_C1636 - Mengisolasi sistem SecurID, sistem Manajemen Insiden Keamanan | Manual, Dinonaktifkan | 1.1.0 |
Gagal Aman
ID: NIST SP 800-53 Rev. 5 SC-7 (18) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerapkan perlindungan batas sistem | CMA_0328 - Menerapkan perlindungan batas sistem | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola transfer antara komponen sistem siaga dan aktif | CMA_0371 - Mengelola transfer antara komponen sistem siaga dan aktif | Manual, Dinonaktifkan | 1.1.0 |
Isolasi dan Segregasi Dinamis
ID: NIST SP 800-53 Rev. 5 SC-7 (20) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memastikan sistem mampu mengisolasi sumber daya yang dinamis | CMA_C1638 - Memastikan sistem yang mampu melakukan isolasi dinamis sumber daya | Manual, Dinonaktifkan | 1.1.0 |
Isolasi Komponen Sistem
ID: NIST SP 800-53 Rev. 5 SC-7 (21) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menggunakan perlindungan batas untuk mengisolasi sistem informasi | CMA_C1639 - Menggunakan perlindungan batas untuk mengisolasi sistem informasi | Manual, Dinonaktifkan | 1.1.0 |
Kerahasiaan dan Integritas Transmisi
ID: NIST SP 800-53 Rev. 5 SC-8 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Aplikasi App Service hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Audit, Dinonaktifkan, Tolak | 4.0.0 |
| Aplikasi App Service hanya memerlukan FTPS | Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Aplikasi App Service harus menggunakan versi TLS terbaru | Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi App Service untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
| Kluster Azure HDInsight harus menggunakan enkripsi pada transit untuk mengenkripsi komunikasi antar node kluster Microsoft Azure HDInsight | Data dapat diubah selama transmisi antar node kluster Microsoft Azure HDInsight. Mengaktifkan enkripsi pada transit mengatasi masalah penyalahgunaan dan pengubahan selama transmisi ini. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Terapkan koneksi SSL harus diaktifkan untuk server database MySQL | Azure Database for MySQL mendukung koneksi server Azure Database for MySQL Anda ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda. | Audit, Dinonaktifkan | 1.0.1 |
| Terapkan koneksi SSL harus diaktifkan untuk server database PostgreSQL | Azure Database for PostgreSQL mendukung penyambungan server Azure Database for PostgreSQL ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda. | Audit, Dinonaktifkan | 1.0.1 |
| Aplikasi fungsi seharusnya hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Audit, Dinonaktifkan, Tolak | 5.0.0 |
| Aplikasi Fungsi harus memerlukan hanya FTPS | Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Aplikasi Fungsi harus menggunakan versi TLS terbaru | Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi Fungsi untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
| Cluster Kubernetes hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Kemampuan ini saat ini umumnya tersedia untuk Kubernetes Service (AKS), dan dalam pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk info selengkapnya, kunjungi https://aka.ms/kubepolicydoc | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 8.2.0 |
| Hanya koneksi aman ke Azure Cache for Redis Anda yang harus diaktifkan | Audit memungkinkan hanya koneksi melalui SSL ke Azure Cache for Redis. Penggunaan koneksi aman memastikan autentikasi antara server dan layanan serta melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Melindungi data dalam transit menggunakan enkripsi | CMA_0403 - Melindungi data dalam transit menggunakan enkripsi | Manual, Dinonaktifkan | 1.1.0 |
| Melindungi kata sandi dengan enkripsi | CMA_0408 - Melindungi kata sandi dengan enkripsi | Manual, Dinonaktifkan | 1.1.0 |
| Transfer aman ke akun penyimpanan harus diaktifkan | Persyaratan audit Transfer aman di akun penyimpanan Anda. Transfer aman adalah opsi yang memaksa akun penyimpanan Anda untuk menerima permintaan hanya dari koneksi aman (HTTPS). Penggunaan HTTPS memastikan autentikasi antara server dan layanan dan melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Komputer Windows harus dikonfigurasi untuk menggunakan protokol komunikasi yang aman | Untuk melindungi privasi informasi yang dikomunikasikan melalui Internet, komputer Anda harus menggunakan versi terbaru protokol kriptografi standar industri, Keamanan Lapisan Transportasi (TLS). TLS mengamankan komunikasi melalui jaringan dengan mengenkripsi koneksi antar mesin. | AuditIfNotExists, Dinonaktifkan | 4.1.1 |
Perlindungan Kriptografi
ID: NIST SP 800-53 Rev. 5 SC-8 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Aplikasi App Service hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Audit, Dinonaktifkan, Tolak | 4.0.0 |
| Aplikasi App Service hanya memerlukan FTPS | Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Aplikasi App Service harus menggunakan versi TLS terbaru | Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi App Service untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
| Kluster Azure HDInsight harus menggunakan enkripsi pada transit untuk mengenkripsi komunikasi antar node kluster Microsoft Azure HDInsight | Data dapat diubah selama transmisi antar node kluster Microsoft Azure HDInsight. Mengaktifkan enkripsi pada transit mengatasi masalah penyalahgunaan dan pengubahan selama transmisi ini. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Mengonfigurasi stasiun kerja untuk memeriksa sertifikat digital | CMA_0073 - Mengonfigurasi stasiun kerja untuk memeriksa sertifikat digital | Manual, Dinonaktifkan | 1.1.0 |
| Terapkan koneksi SSL harus diaktifkan untuk server database MySQL | Azure Database for MySQL mendukung koneksi server Azure Database for MySQL Anda ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda. | Audit, Dinonaktifkan | 1.0.1 |
| Terapkan koneksi SSL harus diaktifkan untuk server database PostgreSQL | Azure Database for PostgreSQL mendukung penyambungan server Azure Database for PostgreSQL ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda. | Audit, Dinonaktifkan | 1.0.1 |
| Aplikasi fungsi seharusnya hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Audit, Dinonaktifkan, Tolak | 5.0.0 |
| Aplikasi Fungsi harus memerlukan hanya FTPS | Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Aplikasi Fungsi harus menggunakan versi TLS terbaru | Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi Fungsi untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
| Cluster Kubernetes hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Kemampuan ini saat ini umumnya tersedia untuk Kubernetes Service (AKS), dan dalam pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk info selengkapnya, kunjungi https://aka.ms/kubepolicydoc | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 8.2.0 |
| Hanya koneksi aman ke Azure Cache for Redis Anda yang harus diaktifkan | Audit memungkinkan hanya koneksi melalui SSL ke Azure Cache for Redis. Penggunaan koneksi aman memastikan autentikasi antara server dan layanan serta melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Transfer aman ke akun penyimpanan harus diaktifkan | Persyaratan audit Transfer aman di akun penyimpanan Anda. Transfer aman adalah opsi yang memaksa akun penyimpanan Anda untuk menerima permintaan hanya dari koneksi aman (HTTPS). Penggunaan HTTPS memastikan autentikasi antara server dan layanan dan melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Komputer Windows harus dikonfigurasi untuk menggunakan protokol komunikasi yang aman | Untuk melindungi privasi informasi yang dikomunikasikan melalui Internet, komputer Anda harus menggunakan versi terbaru protokol kriptografi standar industri, Keamanan Lapisan Transportasi (TLS). TLS mengamankan komunikasi melalui jaringan dengan mengenkripsi koneksi antar mesin. | AuditIfNotExists, Dinonaktifkan | 4.1.1 |
Pemutusan Jaringan
ID: NIST SP 800-53 Rev. 5 SC-10 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengautentikasi ulang atau mengakhiri sesi pengguna | CMA_0421 - Autentikasi ulang atau hentikan sesi pengguna | Manual, Dinonaktifkan | 1.1.0 |
Pembentukan dan Manajemen Kunci Kriptografi
ID: NIST SP 800-53 Rev. 5 SC-12 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Vault Layanan Pemulihan Azure harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data cadangan | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi di sisa data cadangan Anda. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci tersebut biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/AB-CmkEncryption. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Data layanan provisikan perangkat IoT Hub harus dienkripsi menggunakan kunci yang dikelola pelanggan (CMK) | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi di seluruh layanan provisi perangkat Azure IoT Hub Anda. Data dienkripsi secara otomatis saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan (CMK) biasanya diperlukan untuk memenuhi standar kepatuhan terhadap peraturan. CMK memungkinkan data dienkripsi dengan kunci Azure Key Vault dibuat dan dimiliki oleh Anda. Pelajari lebih lanjut tentang enkripsi CMK di https://aka.ms/dps/CMK. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| Sumber daya Azure AI Services harus mengenkripsi data tidak aktif dengan kunci yang dikelola pelanggan (CMK) | Menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif memberikan kontrol lebih besar atas siklus hidup utama, termasuk rotasi dan manajemen. Ini sangat relevan untuk organisasi dengan persyaratan kepatuhan terkait. Ini tidak dinilai secara default dan hanya boleh diterapkan ketika diperlukan oleh persyaratan kepatuhan atau kebijakan terbatas. Jika tidak diaktifkan, data akan dienkripsi menggunakan kunci yang dikelola platform. Untuk menerapkan ini, perbarui parameter 'Efek' dalam Kebijakan Keamanan untuk cakupan yang berlaku. | Audit, Tolak, Dinonaktifkan | 2.2.0 |
| Azure API untuk FHIR harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengontrol enkripsi di seluruh data yang disimpan di Azure API untuk FHIR jika ini merupakan persyaratan peraturan atau kepatuhan. Kunci yang dikelola pelanggan juga memberikan enkripsi ganda dengan menambahkan enkripsi lapisan kedua di atas enkripsi default yang dilakukan dengan kunci yang dikelola layanan. | audit, Audit, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Akun Azure Automation harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi tidak aktif pada Akun Azure Automation Anda. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci tersebut biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/automation-cmk. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun Azure Batch harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari data akun Batch Anda. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci tersebut biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/Batch-CMK. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Grup kontainer Azure Container Instance harus menggunakan kunci yang dikelola pelanggan untuk enkripsi | Mengamankan kontainer Anda dengan fleksibilitas yang lebih besar menggunakan kunci yang dikelola pelanggan. Saat Anda menentukan kunci yang dikelola pelanggan, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Menggunakan kunci yang dikelola pelanggan menyediakan kemampuan tambahan untuk mengontrol rotasi kunci enkripsi utama atau menghapus data secara kriptografis. | Audit, Dinonaktifkan, Tolak | 1.0.0 |
| Akun Azure Cosmos DB harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari Azure Cosmos DB Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/cosmosdb-cmk. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Pekerjaan Azure Data Box harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi kata sandi pembuka kunci perangkat | Gunakan kunci yang dikelola pelanggan untuk mengontrol enkripsi kata sandi buka kunci perangkat untuk Azure Data Box. Kunci yang dikelola pelanggan juga membantu mengelola akses ke kata sandi buka kunci perangkat oleh layanan Azure Data Box untuk menyiapkan perangkat dan menyalin data secara otomatis. Data pada perangkat itu sendiri sudah dienkripsi saat istirahat dengan enkripsi Standar Enkripsi Lanjutan 256-bit, dan kata sandi pembuka kunci perangkat dienkripsi secara default dengan kunci yang dikelola Microsoft. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Enkripsi Azure Data Explorer saat nonaktif harus menggunakan kunci yang dikelola pelanggan | Mengaktifkan enkripsi saat tidak aktif menggunakan kunci yang dikelola pelanggan di kluster Azure Data Explorer Anda memberikan kontrol tambahan atas kunci yang digunakan oleh enkripsi saat tidak aktif. Fitur ini seringkali berlaku untuk pelanggan dengan persyaratan kepatuhan khusus dan memerlukan Gudang Kunci untuk mengelola kunci. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure Data Factory harus dienkripsi dengan kunci yang dikelola pelanggan | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi di seluruh Azure Data Factory Anda. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci tersebut biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/adf-cmk. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Kluster Azure HDInsight harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi tidak aktif kluster Azure HDInsight Anda. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan umumnya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/hdi.cmk. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Kluster Azure HDInsight harus menggunakan enkripsi di host untuk mengenkripsi data tidak aktif | Mengaktifkan enkripsi di host membantu melindungi dan menjaga data Anda untuk memenuhi komitmen keamanan dan kepatuhan organisasi. Saat Anda mengaktifkan enkripsi di host, data yang disimpan di host VM dienkripsi saat tidak aktif dan mengalirkan enkripsi ke layanan Microsoft Azure Storage. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Ruang kerja Azure Machine Learning harus dienkripsi dengan kunci yang dikelola pelanggan | Kelola enkripsi pada data ruang kerja Azure Machine Learning lainnya dengan kunci yang dikelola pelanggan. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan umumnya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/azureml-workspaces-cmk. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Kluster Log Azure Monitor harus dienkripsi dengan kunci yang dikelola pelanggan | Buat kluster log Azure Monitor dengan enkripsi kunci yang dikelola pelanggan. Secara default, data log dienkripsi dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi kepatuhan terhadap peraturan. Kunci yang dikelola pelanggan di Azure Monitor memberi lebih banyak kontrol atas akses ke data Anda, lihat https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Pekerjaan Azure Stream Analytics harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data | Gunakan kunci yang dikelola pelanggan saat Anda ingin menyimpan metadata dan aset data pribadi apa pun dengan aman dari tugas Analisis Aliran di akun penyimpanan Anda. Hal ini memberi Anda kendali penuh atas cara data Azure Stream Analytics Anda dienkripsi. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Ruang kerja Azure Synapse harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengontrol enkripsi di seluruh data yang disimpan di ruang kerja Azure Synapse. Kunci yang dikelola pelanggan memberikan enkripsi ganda dengan menambahkan enkripsi lapisan kedua di atas enkripsi default dengan kunci yang dikelola layanan. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Bot Service harus dienkripsi dengan kunci yang dikelola pelanggan | Azure Bot Service secara otomatis mengenkripsi sumber daya Anda untuk melindungi data Anda dan memenuhi komitmen keamanan dan kepatuhan organisasi. Secara default, kunci enkripsi yang dikelola Microsoft digunakan. Untuk fleksibilitas yang lebih besar dalam mengelola kunci atau mengontrol akses ke langganan Anda, pilih kunci yang dikelola pelanggan, juga dikenal sebagai bawa kunci Anda sendiri (BYOK). Pelajari selengkapnya tentang enkripsi Azure Bot Service: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Sistem operasi dan disk data di kluster Azure Kubernetes Service harus dienkripsi dengan kunci yang dikelola pelanggan | Mengenkripsi OS dan disk data menggunakan kunci yang dikelola pelanggan memberikan lebih banyak kontrol dan fleksibilitas yang lebih besar dalam manajemen kunci. Ini adalah persyaratan umum dalam banyak standar kepatuhan peraturan dan industri. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Pendaftaran penampung harus dienkripsi dengan kunci yang dikelola pelanggan | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi tidak aktif di seluruh isi disk terkelola Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/acr/CMK. | Audit, Tolak, Dinonaktifkan | 1.1.2 |
| Menentukan proses manajemen kunci fisik | CMA_0115 - Menentukan proses manajemen kunci fisik | Manual, Dinonaktifkan | 1.1.0 |
| Menentukan penggunaan kriptografis | CMA_0120 - Menentukan penggunaan kriptografis | Manual, Dinonaktifkan | 1.1.0 |
| Menentukan persyaratan organisasi untuk manajemen kunci kriptografis | CMA_0123 - Menentukan persyaratan organisasi untuk manajemen kunci kriptografis | Manual, Dinonaktifkan | 1.1.0 |
| Menentukan persyaratan pernyataan | CMA_0136 - Menentukan persyaratan pernyataan | Manual, Dinonaktifkan | 1.1.0 |
| Namespace layanan Pusat Aktivitas harus menggunakan kunci yang dikelola pelanggan untuk enkripsi | Pusat Aktivitas mendukung opsi enkripsi data tidak aktif dengan kunci yang dikelola Microsoft (default) atau kunci yang dikelola pelanggan. Memilih untuk mengenkripsi data menggunakan kunci yang dikelola pelanggan memungkinkan Anda untuk menetapkan, memutar, menonaktifkan, dan mencabut akses ke kunci yang akan digunakan Pusat Aktivitas untuk mengenkripsi data di namespace layanan Anda. Harap diingat bahwa Pusat Aktivitas hanya mendukung enkripsi dengan kunci yang dikelola pelanggan untuk namespace layanan di kluster khusus. | Audit, Dinonaktifkan | 1.0.0 |
| Akun HPC Cache harus menggunakan kunci yang dikelola pelanggan untuk enkripsi | Kelola enkripsi yang tidak aktif di seluruh Azure HPC Cache dengan kunci yang dikelola pelanggan. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci tersebut biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. | Audit, Dinonaktifkan, Tolak | 2.0.0 |
| Menerbitkan sertifikat kunci umum | CMA_0347 - Menerbitkan sertifikat kunci umum | Manual, Dinonaktifkan | 1.1.0 |
| Lingkungan Layanan Integrasi Logic Apps harus dienkripsi dengan kunci yang dikelola pelanggan | Sebarkan ke Lingkungan Layanan Integrasi untuk mengelola enkripsi di seluruh data Logic Apps menggunakan kunci yang dikelola pelanggan. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci tersebut biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Mengelola kunci kriptografi simetris | CMA_0367 - Mengelola kunci kriptografi simetris | Manual, Dinonaktifkan | 1.1.0 |
| Disk terkelola harus dienkripsi ganda dengan kunci yang dikelola platform dan kunci yang dikelola pelanggan | Pelanggan sensitif keamanan tinggi yang memiliki kekhawatiran atas risiko terkait algoritma enkripsi, implementasi, atau kunci tertentu yang disusupi dapat memilih lapisan enkripsi tambahan menggunakan algoritma/mode enkripsi yang berbeda pada lapisan infrastruktur menggunakan kunci enkripsi yang dikelola platform. Set enkripsi disk diperlukan untuk menggunakan enkripsi ganda. Pelajari lebih lanjut di https://aka.ms/disks-doubleEncryption. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Server MySQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari server MySQL Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. | AuditIfNotExists, Dinonaktifkan | 1.0.4 |
| Disk data dan OS harus dienkripsi dengan kunci yang dikelola pelanggan | Menggunakan kunci yang dikelola pelanggan untuk mengelola enkripsi di seluruh konten disk terkelola Anda. Secara default, data dienkripsi saat tidak digunakan dengan kunci yang dikelola platform, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/disks-cmk. | Audit, Tolak, Dinonaktifkan | 3.0.0 |
| Server PostgreSQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data yang tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari server PostgreSQL Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. | AuditIfNotExists, Dinonaktifkan | 1.0.4 |
| Membatasi akses ke kunci privat | CMA_0445 - Membatasi akses terhadap kunci privat | Manual, Dinonaktifkan | 1.1.0 |
| Kueri tersimpan di Azure Monitor harus disimpan di akun penyimpanan pelanggan untuk enkripsi log | Tautkan akun penyimpanan ke ruang kerja Analitik Log untuk melindungi kueri tersimpan dengan enkripsi akun penyimpanan. Kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi kepatuhan peraturan dan untuk kontrol yang lebih atas akses ke kueri tersimpan Anda di Azure Monitor. Untuk detail selengkapnya tentang hal di atas, lihat https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Namespace layanan Azure Service Bus Premium harus menggunakan kunci yang dikelola pelanggan untuk enkripsi | Azure Service Bus mendukung opsi mengenkripsi data tidak aktif dengan kunci yang dikelola Microsoft (default) atau kunci yang dikelola pelanggan. Memilih untuk mengenkripsi data menggunakan kunci yang dikelola pelanggan memungkinkan Anda untuk menetapkan, merotasikan, menonaktifkan, dan mencabut akses ke kunci yang akan digunakan Azure Service Bus untuk mengenkripsi data di namespace layanan Anda. Perhatikan bahwa Azure Service Bus hanya mendukung enkripsi dengan kunci yang dikelola pelanggan untuk namespace layanan premium. | Audit, Dinonaktifkan | 1.0.0 |
| ISQL managed instances harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data yang tidak aktif | Implementasi Enkripsi Data Transparan (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Server SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif | Implementasi Transparent Data Encryption (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. | Audit, Tolak, Dinonaktifkan | 2.0.1 |
| Cakupan enkripsi akun penyimpanan harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif di seluruh cakupan enkripsi akun penyimpanan Anda. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci brankas kunci Azure yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. Pelajari lebih lanjut tentang selengkapnya penyimpanan di https://aka.ms/encryption-scopes-overview. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun penyimpanan harus menggunakan kunci yang dikelola pelanggan untuk enkripsi | Amankan akun penyimpanan blob dan file Anda dengan fleksibilitas yang lebih besar menggunakan kunci yang dikelola pelanggan. Saat Anda menentukan kunci yang dikelola pelanggan, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Menggunakan kunci yang dikelola pelanggan memberikan kemampuan tambahan untuk mengontrol rotasi kunci enkripsi kunci atau menghapus data secara kriptografis. | Audit, Dinonaktifkan | 1.0.3 |
Ketersediaan
ID: NIST SP 800-53 Rev. 5 SC-12 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menjaga ketersediaan informasi | CMA_C1644 - Menjaga ketersediaan informasi | Manual, Dinonaktifkan | 1.1.0 |
Kunci Konten
ID: NIST SP 800-53 Rev. 5 SC-12 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menghasilkan, mengontrol, dan mendistribusikan kunci kriptografi simetris | CMA_C1645 - Menghasilkan, mengontrol, dan mendistribusikan kunci kriptografi konten | Manual, Dinonaktifkan | 1.1.0 |
Kunci Asimetris
ID: NIST SP 800-53 Rev. 5 SC-12 (3) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menghasilkan, mengontrol, dan mendistribusikan kunci kriptografi asimetris | CMA_C1646 - Menghasilkan, mengontrol, dan mendistribusikan kunci kriptografi asimetris | Manual, Dinonaktifkan | 1.1.0 |
Perlindungan Kriptografi
ID: NIST SP 800-53 Rev. 5 SC-13 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menentukan penggunaan kriptografis | CMA_0120 - Menentukan penggunaan kriptografis | Manual, Dinonaktifkan | 1.1.0 |
Perangkat dan Aplikasi Kolaborasi Komputasi
ID: NIST SP 800-53 Rev. 5 SC-15 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Secara eksplisit memberi tahu penggunaan perangkat komputasi kolaboratif | CMA_C1649 - Secara eksplisit memberi tahu penggunaan perangkat komputasi kolaboratif | Manual, Dinonaktifkan | 1.1.1 |
| Melarang aktivasi jarak jauh perangkat komputasi kolaboratif | CMA_C1648 - Melarang aktivasi jarak jauh perangkat komputasi kolaboratif | Manual, Dinonaktifkan | 1.1.0 |
Sertifikat Infrastruktur Kunci Publik
ID: NIST SP 800-53 Rev. 5 SC-17 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerbitkan sertifikat kunci umum | CMA_0347 - Menerbitkan sertifikat kunci umum | Manual, Dinonaktifkan | 1.1.0 |
Kode Seluler
ID: NIST SP 800-53 Rev. 5 SC-18 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengotorisasi, memantau, dan mengontrol penggunaan teknologi kode seluler | CMA_C1653 - Mengotorisasi, memantau, dan mengontrol penggunaan teknologi kode seluler | Manual, Dinonaktifkan | 1.1.0 |
| Menentukan teknologi kode seluler yang dapat diterima dan tidak dapat diterima | CMA_C1651 - Menentukan teknologi kode seluler yang dapat diterima dan tidak dapat diterima | Manual, Dinonaktifkan | 1.1.0 |
| Menetapkan pembatasan penggunaan untuk teknologi kode seluler | CMA_C1652 - Menetapkan pembatasan penggunaan untuk teknologi kode seluler | Manual, Dinonaktifkan | 1.1.0 |
Layanan Resolusi Nama/alamat Aman (Sumber otoritatif)
ID: NIST SP 800-53 Rev. 5 SC-20 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerapkan layanan nama/alamat yang toleran terhadap kesalahan | CMA_0305 - Menerapkan layanan nama/alamat yang toleran terhadap kesalahan | Manual, Dinonaktifkan | 1.1.0 |
| Menyediakan layanan resolusi nama dan alamat yang aman | CMA_0416 - Menyediakan layanan resolusi nama dan alamat yang aman | Manual, Dinonaktifkan | 1.1.0 |
Layanan Resolusi Nama/alamat Aman (Rekursif atau Penyelesai Penembolokan)
ID: NIST SP 800-53 Rev. 5 SC-21 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerapkan layanan nama/alamat yang toleran terhadap kesalahan | CMA_0305 - Menerapkan layanan nama/alamat yang toleran terhadap kesalahan | Manual, Dinonaktifkan | 1.1.0 |
| Memverifikasi integritas perangkat lunak, firmware, dan informasi | CMA_0542 - Memverifikasi integritas perangkat lunak, firmware, dan informasi | Manual, Dinonaktifkan | 1.1.0 |
Arsitektur dan Penyediaan untuk Layanan Resolusi Nama/alamat
ID: NIST SP 800-53 Rev. 5 SC-22 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menerapkan layanan nama/alamat yang toleran terhadap kesalahan | CMA_0305 - Menerapkan layanan nama/alamat yang toleran terhadap kesalahan | Manual, Dinonaktifkan | 1.1.0 |
Keaslian Sesi
ID: NIST SP 800-53 Rev. 5 SC-23 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengonfigurasi stasiun kerja untuk memeriksa sertifikat digital | CMA_0073 - Mengonfigurasi stasiun kerja untuk memeriksa sertifikat digital | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan pengidentifikasi sesi unik acak | CMA_0247 - Menerapkan pengidentifikasi sesi unik acak | Manual, Dinonaktifkan | 1.1.0 |
Membatalkan Pengidentifikasi Sesi saat Keluar
ID: NIST SP 800-53 Rev. 5 SC-23 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Membatalkan pengidentifikasi sesi saat keluar | CMA_C1661 - Membatalkan pengidentifikasi sesi saat keluar | Manual, Dinonaktifkan | 1.1.0 |
Gagal dalam Status yang Diketahui
ID: NIST SP 800-53 Rev. 5 SC-24 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memastikan sistem informasi gagal dalam status yang diketahui | CMA_C1662 - Memastikan sistem informasi gagal dalam status diketahui | Manual, Dinonaktifkan | 1.1.0 |
Perlindungan Informasi Saat Tidak Aktif
ID: NIST SP 800-53 Rev. 5 SC-28 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Lingkungan App Service harus telah mengaktifkan enkripsi internal | Mengatur InternalEncryption ke true mengenkripsi pagefile, disk pekerja, dan lalu lintas jaringan internal antara ujung depan dan pekerja di Lingkungan App Service. Untuk mempelajari lebih lanjut, lihat https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Dinonaktifkan | 1.0.1 |
| Variabel akun Automation harus dienkripsi | Penting untuk mengaktifkan enkripsi aset variabel akun Azure Automation saat menyimpan data sensitif | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Pekerjaan Azure Data Box harus mengaktifkan enkripsi ganda untuk data tidak aktif di perangkat | Aktifkan enkripsi berbasis perangkat lunak lapisan kedua untuk data tidak aktif di perangkat. Perangkat sudah dilindungi melalui Standar Enkripsi Lanjutan enkripsi 256-bit untuk data saat tidak aktif. Opsi ini menambahkan enkripsi data lapis kedua. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Kluster Log Azure Monitor harus dibuat dengan enkripsi infrastruktur yang diaktifkan (enkripsi ganda) | Untuk memastikan enkripsi data yang aman diaktifkan di tingkat layanan dan tingkat infrastruktur dengan dua algoritma enkripsi yang berbeda dan dua kunci yang berbeda, gunakan kluster khusus Azure Monitor. Opsi ini diaktifkan secara default bila didukung di wilayah tersebut, lihat https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Perangkat Azure Stack Edge harus menggunakan enkripsi ganda | Untuk mengamankan data saat tidak aktif pada perangkat, pastikan data dienkripsi ganda, akses ke data dikontrol, dan setelah perangkat dinonaktifkan, data dihapus dengan aman dari disk data. Enkripsi ganda adalah penggunaan dua lapis enkripsi: enkripsi BitLocker XTS-AES 256-bit pada volume data dan enkripsi bawaan pada hard drive. Pelajari selengkapnya pada dokumentasi gambaran keamanan untuk perangkat Stack Edge tertentu. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Enkripsi disk harus diaktifkan di Azure Data Explorer | Mengaktifkan enkripsi disk membantu melindungi dan mengamankan data Anda untuk memenuhi komitmen keamanan dan kepatuhan organisasi Anda. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Enkripsi ganda harus diaktifkan di Azure Data Explorer | Mengaktifkan enkripsi ganda membantu melindungi dan mengamankan data Anda untuk memenuhi komitmen keamanan dan kepatuhan organisasi Anda. Ketika enkripsi ganda telah diaktifkan, data di akun penyimpanan dienkripsi dua kali, sekali di tingkat layanan dan sekali di tingkat infrastruktur, menggunakan dua algoritme enkripsi yang berbeda dan dua kunci yang berbeda. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Membuat prosedur manajemen kebocoran data | CMA_0255 - Membuat prosedur manajemen kebocoran data | Manual, Dinonaktifkan | 1.1.0 |
| Enkripsi infrastruktur harus diaktifkan untuk server Azure Database for MySQL | Aktifkan enkripsi infrastruktur untuk server Azure Database for MySQL agar memiliki tingkat jaminan yang lebih tinggi bahwa data aman. Saat enkripsi infrastruktur diaktifkan, data saat tidak aktif dienkripsi dua kali menggunakan kunci terkelola Microsoft yang sesuai dengan FIPS 140-2. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Enkripsi infrastruktur harus diaktifkan untuk server Azure Database for PostgreSQL | Aktifkan enkripsi infrastruktur untuk server Azure Database for PostgreSQL agar memiliki tingkat jaminan yang lebih tinggi bahwa data aman. Saat enkripsi infrastruktur diaktifkan, data saat tidak aktif dienkripsi dua kali menggunakan kunci yang dikelola Microsoft yang sesuai dengan FIPS 140-2 | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Melindungi informasi khusus | CMA_0409 - Melindungi informasi khusus | Manual, Dinonaktifkan | 1.1.0 |
| Kluster Service Fabric harus memiliki properti ClusterProtectionLevel yang disetel ke EncryptAndSign | Service Fabric menyediakan tiga tingkat perlindungan (None, Sign, dan EncryptAndSign) untuk komunikasi node-to-node menggunakan sertifikat kluster utama. Atur tingkat perlindungan untuk memastikan bahwa semua pesan node-to-node dienkripsi dan ditandatangani secara digital | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Akun penyimpanan harus memiliki enkripsi infrastruktur | Aktifkan enkripsi infrastruktur untuk tingkat jaminan yang lebih tinggi bahwa data aman. Saat enkripsi infrastruktur diaktifkan, data dalam akun penyimpanan dienkripsi dua kali. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Disk dan cache sementara untuk kumpulan simpul agen di kluster Azure Kubernetes Service harus dienkripsi di host | Untuk meningkatkan keamanan data, data tersimpan pada host komputer virtual (VM) dari VM simpul Azure Kubernetes Service harus dienkripsi saat tidak aktif. Ini adalah persyaratan umum dalam banyak standar kepatuhan peraturan dan industri. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Enkripsi Data Transparan pada database SQL harus diaktifkan | Enkripsi data transparan harus diaktifkan untuk melindungi data-yang-tidak-aktif dan memenuhi persyaratan kepatuhan | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Komputer virtual dan set skala komputer virtual harus mengaktifkan enkripsi pada host | Menggunakan enkripsi di host guna mendapatkan enkripsi end-to-end untuk komputer virtual dan data set skala komputer virtual. Enkripsi di host memungkinkan enkripsi saat tidak digunakan untuk disk sementara dan cache disk OS/data. Disk OS sementara dan tentatif akan dienkripsi dengan kunci yang dikelola platform saat enkripsi di host diaktifkan. Cache disk OS/data dienkripsi saat tidak digunakan dengan kunci yang dikelola pelanggan atau dikelola platform, bergantung pada jenis enkripsi yang dipilih pada disk. Pelajari lebih lanjut di https://aka.ms/vm-hbe. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Perlindungan Kriptografi
ID: NIST SP 800-53 Rev. 5 SC-28 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Lingkungan App Service harus telah mengaktifkan enkripsi internal | Mengatur InternalEncryption ke true mengenkripsi pagefile, disk pekerja, dan lalu lintas jaringan internal antara ujung depan dan pekerja di Lingkungan App Service. Untuk mempelajari lebih lanjut, lihat https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Dinonaktifkan | 1.0.1 |
| Variabel akun Automation harus dienkripsi | Penting untuk mengaktifkan enkripsi aset variabel akun Azure Automation saat menyimpan data sensitif | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Pekerjaan Azure Data Box harus mengaktifkan enkripsi ganda untuk data tidak aktif di perangkat | Aktifkan enkripsi berbasis perangkat lunak lapisan kedua untuk data tidak aktif di perangkat. Perangkat sudah dilindungi melalui Standar Enkripsi Lanjutan enkripsi 256-bit untuk data saat tidak aktif. Opsi ini menambahkan enkripsi data lapis kedua. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Kluster Log Azure Monitor harus dibuat dengan enkripsi infrastruktur yang diaktifkan (enkripsi ganda) | Untuk memastikan enkripsi data yang aman diaktifkan di tingkat layanan dan tingkat infrastruktur dengan dua algoritma enkripsi yang berbeda dan dua kunci yang berbeda, gunakan kluster khusus Azure Monitor. Opsi ini diaktifkan secara default bila didukung di wilayah tersebut, lihat https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Perangkat Azure Stack Edge harus menggunakan enkripsi ganda | Untuk mengamankan data saat tidak aktif pada perangkat, pastikan data dienkripsi ganda, akses ke data dikontrol, dan setelah perangkat dinonaktifkan, data dihapus dengan aman dari disk data. Enkripsi ganda adalah penggunaan dua lapis enkripsi: enkripsi BitLocker XTS-AES 256-bit pada volume data dan enkripsi bawaan pada hard drive. Pelajari selengkapnya pada dokumentasi gambaran keamanan untuk perangkat Stack Edge tertentu. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Enkripsi disk harus diaktifkan di Azure Data Explorer | Mengaktifkan enkripsi disk membantu melindungi dan mengamankan data Anda untuk memenuhi komitmen keamanan dan kepatuhan organisasi Anda. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Enkripsi ganda harus diaktifkan di Azure Data Explorer | Mengaktifkan enkripsi ganda membantu melindungi dan mengamankan data Anda untuk memenuhi komitmen keamanan dan kepatuhan organisasi Anda. Ketika enkripsi ganda telah diaktifkan, data di akun penyimpanan dienkripsi dua kali, sekali di tingkat layanan dan sekali di tingkat infrastruktur, menggunakan dua algoritme enkripsi yang berbeda dan dua kunci yang berbeda. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Menerapkan kontrol untuk mengamankan semua media | CMA_0314 - Menerapkan kontrol untuk mengamankan semua media | Manual, Dinonaktifkan | 1.1.0 |
| Enkripsi infrastruktur harus diaktifkan untuk server Azure Database for MySQL | Aktifkan enkripsi infrastruktur untuk server Azure Database for MySQL agar memiliki tingkat jaminan yang lebih tinggi bahwa data aman. Saat enkripsi infrastruktur diaktifkan, data saat tidak aktif dienkripsi dua kali menggunakan kunci terkelola Microsoft yang sesuai dengan FIPS 140-2. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Enkripsi infrastruktur harus diaktifkan untuk server Azure Database for PostgreSQL | Aktifkan enkripsi infrastruktur untuk server Azure Database for PostgreSQL agar memiliki tingkat jaminan yang lebih tinggi bahwa data aman. Saat enkripsi infrastruktur diaktifkan, data saat tidak aktif dienkripsi dua kali menggunakan kunci yang dikelola Microsoft yang sesuai dengan FIPS 140-2 | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Melindungi data dalam transit menggunakan enkripsi | CMA_0403 - Melindungi data dalam transit menggunakan enkripsi | Manual, Dinonaktifkan | 1.1.0 |
| Kluster Service Fabric harus memiliki properti ClusterProtectionLevel yang disetel ke EncryptAndSign | Service Fabric menyediakan tiga tingkat perlindungan (None, Sign, dan EncryptAndSign) untuk komunikasi node-to-node menggunakan sertifikat kluster utama. Atur tingkat perlindungan untuk memastikan bahwa semua pesan node-to-node dienkripsi dan ditandatangani secara digital | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Akun penyimpanan harus memiliki enkripsi infrastruktur | Aktifkan enkripsi infrastruktur untuk tingkat jaminan yang lebih tinggi bahwa data aman. Saat enkripsi infrastruktur diaktifkan, data dalam akun penyimpanan dienkripsi dua kali. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Disk dan cache sementara untuk kumpulan simpul agen di kluster Azure Kubernetes Service harus dienkripsi di host | Untuk meningkatkan keamanan data, data tersimpan pada host komputer virtual (VM) dari VM simpul Azure Kubernetes Service harus dienkripsi saat tidak aktif. Ini adalah persyaratan umum dalam banyak standar kepatuhan peraturan dan industri. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Enkripsi Data Transparan pada database SQL harus diaktifkan | Enkripsi data transparan harus diaktifkan untuk melindungi data-yang-tidak-aktif dan memenuhi persyaratan kepatuhan | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Komputer virtual dan set skala komputer virtual harus mengaktifkan enkripsi pada host | Menggunakan enkripsi di host guna mendapatkan enkripsi end-to-end untuk komputer virtual dan data set skala komputer virtual. Enkripsi di host memungkinkan enkripsi saat tidak digunakan untuk disk sementara dan cache disk OS/data. Disk OS sementara dan tentatif akan dienkripsi dengan kunci yang dikelola platform saat enkripsi di host diaktifkan. Cache disk OS/data dienkripsi saat tidak digunakan dengan kunci yang dikelola pelanggan atau dikelola platform, bergantung pada jenis enkripsi yang dipilih pada disk. Pelajari lebih lanjut di https://aka.ms/vm-hbe. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Isolasi Proses
ID: NIST SP 800-53 Rev. 5 SC-39 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mempertahankan domain eksekusi terpisah untuk menjalankan proses | CMA_C1665 - Mempertahankan domain eksekusi terpisah untuk proses yang sedang berjalan | Manual, Dinonaktifkan | 1.1.0 |
Integritas Sistem dan Informasi
Kebijakan dan Prosedur
ID: NIST SP 800-53 Rev. 5 SI-1 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Meninjau dan memperbarui kebijakan dan prosedur integritas informasi | CMA_C1667 - Meninjau dan memperbarui kebijakan dan prosedur integritas informasi | Manual, Dinonaktifkan | 1.1.0 |
Remediasi Kerusakan
ID: NIST SP 800-53 Rev. 5 SI-2 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Solusi penilaian kerentanan harus diaktifkan pada komputer virtual Anda | Mengaudit komputer virtual untuk mendeteksi apakah mereka menjalankan solusi penilaian kerentanan yang didukung. Komponen inti dari setiap risiko cyber dan program keamanan adalah identifikasi dan analisis kerentanan. Tingkat harga standar Azure Security Center mencakup pemindaian kerentanan untuk komputer virtual Anda tanpa biaya tambahan. Selain itu, Pusat Keamanan dapat secara otomatis menyebarkan alat ini untuk Anda. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Aplikasi App Service harus menggunakan 'Versi HTTP' terbaru | Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru. | AuditIfNotExists, Dinonaktifkan | 4.0.0 |
| Azure Defender untuk App Service harus diaktifkan | Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk server Azure SQL Database harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Azure Defender untuk Key Vault harus diaktifkan | Azure Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun key vault. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk Resource Manager harus diaktifkan | Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Azure Defender untuk server harus diaktifkan | Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk server SQL pada mesin harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Aplikasi Fungsi harus menggunakan 'Versi HTTP' terbaru | Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru. | AuditIfNotExists, Dinonaktifkan | 4.0.0 |
| Menggabungkan remediasi cacat ke dalam manajemen konfigurasi | CMA_C1671 - Menggabungkan remediasi cacat ke dalam manajemen konfigurasi | Manual, Dinonaktifkan | 1.1.0 |
| Layanan Kubernetes harus ditingkatkan ke versi Kubernetes yang tidak rentan | Tingkatkan klaster layanan Kubernetes Anda ke versi Kubernetes yang lebih baru untuk melindungi dari kerentanan yang diketahui di versi Kubernetes Anda saat ini. Kerentanan CVE-2019-9946 telah di-patch di Kubernetes versi 1.11.9+, 1.12.7+, 1.13.5+, dan 1.14.0+ | Audit, Dinonaktifkan | 1.0.2 |
| Pertahanan Microsoft untuk Kontainer harus diaktifkan | Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Pertahanan Microsoft untuk Penyimpanan harus diaktifkan | Microsoft Defender for Storage mendeteksi potensi ancaman terhadap akun penyimpanan Anda. Ini membantu mencegah tiga dampak utama pada data dan beban kerja Anda: unggahan file berbahaya, penyelundupan data sensitif, dan kerusakan data. Paket Defender for Storage baru mencakup Pemindaian Malware dan Deteksi Ancaman Data Sensitif. Paket ini juga menyediakan struktur harga yang dapat diprediksi (per akun penyimpanan) untuk kontrol atas cakupan dan biaya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Remediasi kelemahan sistem informasi | CMA_0427 - Remediasi kelemahan sistem informasi | Manual, Dinonaktifkan | 1.1.0 |
| Database SQL harus memiliki temuan kerentanan yang diselesaikan | Pantau hasil pemindaian penilaian kerentanan dan rekomendasi tentang cara memulihkan kerentanan basis data. | AuditIfNotExists, Dinonaktifkan | 4.1.0 |
| Kerentanan dalam konfigurasi keamanan di komputer Anda harus diremediasi | Server yang tidak memenuhi baseline yang dikonfigurasi akan dipantau oleh Azure Security Center sebagai rekomendasi | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
Status Remediasi Celah Otomatis
ID: NIST SP 800-53 Rev. 5 SI-2 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengotomatiskan remediasi cacat | CMA_0027 - Mengotomatiskan remediasi cacat | Manual, Dinonaktifkan | 1.1.0 |
| Remediasi kelemahan sistem informasi | CMA_0427 - Remediasi kelemahan sistem informasi | Manual, Dinonaktifkan | 1.1.0 |
Saatnya Memperbaiki Kekurangan dan Tolok Ukur untuk Tindakan Korektif
ID: NIST SP 800-53 Rev. 5 SI-2 (3) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menetapkan tolok ukur untuk remediasi cacat | CMA_C1675 - Menetapkan tolok ukur untuk remediasi cacat | Manual, Dinonaktifkan | 1.1.0 |
| Mengukur waktu antara identifikasi cacat dan remediasi cacat | CMA_C1674 - Mengukur waktu antara identifikasi cacat dan remediasi cacat | Manual, Dinonaktifkan | 1.1.0 |
Penghapusan Perangkat Lunak dan Firmware Versi Sebelumnya
ID: NIST SP 800-53 Rev. 5 SI-2 (6) Kepemilikan: Pelanggan
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Aplikasi App Service harus menggunakan 'Versi HTTP' terbaru | Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru. | AuditIfNotExists, Dinonaktifkan | 4.0.0 |
| Aplikasi Fungsi harus menggunakan 'Versi HTTP' terbaru | Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru. | AuditIfNotExists, Dinonaktifkan | 4.0.0 |
| Layanan Kubernetes harus ditingkatkan ke versi Kubernetes yang tidak rentan | Tingkatkan klaster layanan Kubernetes Anda ke versi Kubernetes yang lebih baru untuk melindungi dari kerentanan yang diketahui di versi Kubernetes Anda saat ini. Kerentanan CVE-2019-9946 telah di-patch di Kubernetes versi 1.11.9+, 1.12.7+, 1.13.5+, dan 1.14.0+ | Audit, Dinonaktifkan | 1.0.2 |
Perlindungan Kode Berbahaya
ID: NIST SP 800-53 Rev. 5 SI-3 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure Defender untuk server harus diaktifkan | Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Memblokir proses tidak tepercaya dan tidak resmi yang berjalan dari USB | CMA_0050 - Memblokir proses yang tidak tepercaya dan tidak resmi yang berjalan dari USB | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola gateway | CMA_0363 - Mengelola gateway | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan analisis tren pada ancaman | CMA_0389 - Melakukan analisis tren terhadap ancaman | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan pemindaian kerentanan | CMA_0393 - Melakukan pemindaian kerentanan | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau laporan deteksi malware setiap minggu | CMA_0475 - Meninjau laporan deteksi malware setiap minggu | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau status perlindungan terhadap ancaman setiap minggu | CMA_0479 - Meninjau status perlindungan terhadap ancaman setiap minggu | Manual, Dinonaktifkan | 1.1.0 |
| Memperbarui definisi antivirus | CMA_0517 - Memperbarui definisi antivirus | Manual, Dinonaktifkan | 1.1.0 |
| Windows Defender Exploit Guard harus diaktifkan di komputer Anda | Windows Defender Exploit Guard menggunakan agen Konfigurasi Tamu Azure Policy. Exploit Guard memiliki empat komponen yang dirancang untuk mengunci perangkat dari berbagai vektor serangan dan memblokir perilaku yang biasa digunakan dalam serangan malware sekaligus memungkinkan perusahaan untuk menyeimbangkan risiko keamanan dan persyaratan produktivitas (khusus Windows). | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
Pemantauan Sistem
ID: NIST SP 800-53 Rev. 5 SI-4 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Semua lalu lintas Internet harus dirutekan melalui Azure Firewall yang Anda sebarkan | Azure Security Center telah mengidentifikasi bahwa beberapa subnet Anda tidak dilindungi dengan firewall generasi berikutnya. Lindungi subnet Anda dari potensi ancaman dengan membatasi akses ke mereka dengan Azure Firewall atau firewall generasi berikutnya yang didukung | AuditIfNotExists, Dinonaktifkan | 3.0.0-pratinjau |
| [Pratinjau]: Kluster Kubernetes yang mengaktifkan Azure Arc harus memiliki ekstensi Microsoft Defender untuk Cloud yang diinstal | Ekstensi Microsoft Defender untuk Cloud untuk Azure Arc memberikan perlindungan ancaman untuk kluster Kubernetes Anda yang mendukung Arc. Ekstensi ini mengumpulkan data dari simpul dalam kluster dan mengirimkannya ke backend Azure Defender untuk Kube di cloud untuk dianalisis lebih lanjut. Pelajari lebih lanjut di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Dinonaktifkan | 6.0.0-pratinjau |
| [Pratinjau]: Ekstensi Analitik Log harus diinstal di mesin Azure Arc Linux | Kebijakan ini mengaudit mesin Linux Azure Arc jika ekstensi Analitik Log tidak terpasang. | AuditIfNotExists, Dinonaktifkan | 1.0.1-pratinjau |
| [Pratinjau]: Ekstensi Analitik Log harus diinstal di mesin Azure Arc Windows | Kebijakan ini mengaudit mesin Windows Azure Arc jika ekstensi Analitik Log tidak terpasang. | AuditIfNotExists, Dinonaktifkan | 1.0.1-pratinjau |
| [Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Linux | Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. | AuditIfNotExists, Dinonaktifkan | pratinjau-1.0.2 |
| [Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Windows | Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. | AuditIfNotExists, Dinonaktifkan | pratinjau-1.0.2 |
| Azure Defender untuk App Service harus diaktifkan | Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk server Azure SQL Database harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Azure Defender untuk Key Vault harus diaktifkan | Azure Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun key vault. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk Resource Manager harus diaktifkan | Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Azure Defender untuk server harus diaktifkan | Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk server SQL pada mesin harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak dilindungi | Audit server SQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi | Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Ekstensi Konfigurasi Tamu harus dipasang di mesin Anda | Untuk memastikan konfigurasi yang aman dari pengaturan in-guest mesin Anda, instal ekstensi Guest Configuration. Pengaturan tamu yang dipantau ekstensi mencakup konfigurasi sistem operasi, konfigurasi atau keberadaan aplikasi, dan pengaturan lingkungan. Setelah diinstal, kebijakan tamu akan tersedia seperti 'Windows Exploit guard harus diaktifkan'. Pelajari lebih lanjut di https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Pertahanan Microsoft untuk Kontainer harus diaktifkan | Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Pertahanan Microsoft untuk Penyimpanan harus diaktifkan | Microsoft Defender for Storage mendeteksi potensi ancaman terhadap akun penyimpanan Anda. Ini membantu mencegah tiga dampak utama pada data dan beban kerja Anda: unggahan file berbahaya, penyelundupan data sensitif, dan kerusakan data. Paket Defender for Storage baru mencakup Pemindaian Malware dan Deteksi Ancaman Data Sensitif. Paket ini juga menyediakan struktur harga yang dapat diprediksi (per akun penyimpanan) untuk kontrol atas cakupan dan biaya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Network Watcher harus diaktifkan | Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan ujung ke ujung. Diperlukan untuk memiliki grup sumber daya pengawas jaringan untuk dibuat di setiap wilayah tempat jaringan virtual berada. Pemberitahuan diaktifkan jika grup sumber daya pengawas jaringan tidak tersedia di wilayah tertentu. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Mendapatkan pendapat hukum untuk memantau aktivitas sistem | CMA_C1688 - Mendapatkan pendapat hukum untuk memantau aktivitas sistem | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan analisis tren pada ancaman | CMA_0389 - Melakukan analisis tren terhadap ancaman | Manual, Dinonaktifkan | 1.1.0 |
| Berikan informasi pemantauan sesuai kebutuhan | CMA_C1689 - Berikan informasi pemantauan sesuai kebutuhan | Manual, Dinonaktifkan | 1.1.0 |
| Ekstensi Konfigurasi Tamu komputer virtual harus diterapkan dengan identitas terkelola yang ditetapkan sistem | Ekstensi Konfigurasi Tamu memerlukan identitas terkelola yang ditetapkan sistem. Komputer virtual Azure dalam cakupan kebijakan ini tidak akan mematuhi kebijakan jika ekstensi Konfigurasi Tamu diinstal tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Pelajari lebih lanjut di https://aka.ms/gcpol | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Alat dan Mekanisme Otomatis untuk Analisis Waktu Nyata
ID: NIST SP 800-53 Rev. 5 SI-4 (2) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mendokumentasikan operasi keamanan | CMA_0202 - Mendokumentasikan operasi keamanan | Manual, Dinonaktifkan | 1.1.0 |
| Mengaktifkan sensor untuk solusi keamanan titik akhir | CMA_0514 - Mengaktifkan sensor untuk solusi keamanan titik akhir | Manual, Dinonaktifkan | 1.1.0 |
Lalu Lintas Komunikasi Masuk dan Keluar
ID: NIST SP 800-53 Rev. 5 SI-4 (4) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengotorisasi, memantau, dan mengontrol voip | CMA_0025 - Mengotorisasi, memantau, dan mengontrol voip | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan perlindungan batas sistem | CMA_0328 - Menerapkan perlindungan batas sistem | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola gateway | CMA_0363 - Mengelola gateway | Manual, Dinonaktifkan | 1.1.0 |
| Merutekan lalu lintas melalui titik akses jaringan terkelola | CMA_0484 - Merutekan lalu lintas melalui titik akses jaringan terkelola | Manual, Dinonaktifkan | 1.1.0 |
Pemberitahuan yang Dihasilkan Sistem
ID: NIST SP 800-53 Rev. 5 SI-4 (5) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memperingatkan personel mengenai kebocoran informasi | CMA_0007 - Memperingatkan personel mengenai kebocoran informasi | Manual, Dinonaktifkan | 1.1.0 |
| Mengembangkan rencana respons insiden | CMA_0145 - Mengembangkan rencana respons insiden | Manual, Dinonaktifkan | 1.1.0 |
| Mengatur pemberitahuan otomatis untuk aplikasi cloud baru dan cloud yang sedang tren di organisasi Anda | CMA_0495 - Mengatur pemberitahuan otomatis untuk aplikasi cloud baru dan yang sedang tren di organisasi Anda | Manual, Dinonaktifkan | 1.1.0 |
Pemberitahuan Otomatis yang Dihasilkan Organisasi
ID: NIST SP 800-53 Rev. 5 SI-4 (12) Kepemilikan: Pelanggan
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Pemberitahuan email untuk lansiran tingkat keparahan tinggi harus diaktifkan | Untuk memastikan orang yang relevan di organisasi Anda diberi tahu ketika terdapat potensi pelanggaran keamanan di salah satu langganan Anda, aktifkan pemberitahuan email untuk peringatan tingkat keparahan tinggi di Security Center. | AuditIfNotExists, Dinonaktifkan | 1.2.0 |
| Pemberitahuan email kepada pemilik langganan untuk lansiran tingkat keparahan tinggi harus diaktifkan | Untuk memastikan pemilik langganan Anda diberitahu ketika ada potensi pelanggaran keamanan di langganan mereka, atur pemberitahuan email ke pemilik langganan untuk peringatan tingkat keparahan tinggi di Security Center. | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
| Langganan harus memiliki alamat email kontak untuk masalah keamanan | Untuk memastikan orang yang relevan di organisasi Anda diberi tahu saat ada potensi pelanggaran keamanan di salah satu langganan Anda, atur kontak keamanan untuk menerima pemberitahuan email dari Security Center. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Deteksi Intrusi Nirkabel
ID: NIST SP 800-53 Rev. 5 SI-4 (14) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Kontrol keamanan akses nirkabel dokumen | CMA_C1695 - Kontrol keamanan akses nirkabel dokumen | Manual, Dinonaktifkan | 1.1.0 |
Layanan Jaringan Tidak Sah
ID: NIST SP 800-53 Rev. 5 SI-4 (22) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mendeteksi layanan jaringan yang belum diotorisasi atau belum disetujui | CMA_C1700 - Mendeteksi layanan jaringan yang belum diotorisasi atau belum disetujui | Manual, Dinonaktifkan | 1.1.0 |
Indikator Kompromi
ID: NIST SP 800-53 Rev. 5 SI-4 (24) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Temukan indikator penyusupan apa pun | CMA_C1702 - Temukan indikator penyusupan apa pun | Manual, Dinonaktifkan | 1.1.0 |
Peringatan Keamanan, Nasihat, dan Arahan
ID: NIST SP 800-53 Rev. 5 SI-5 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menyebarluaskan pemberitahuan keamanan kepada personel | CMA_C1705 - Menyebarkan pemberitahuan keamanan kepada personel | Manual, Dinonaktifkan | 1.1.0 |
| Menetapkan program inteligensi ancaman | CMA_0260 - Menetapkan program inteligensi ancaman | Manual, Dinonaktifkan | 1.1.0 |
| Membuat pemberitahuan keamanan internal | CMA_C1704 - Menghasilkan pemberitahuan keamanan internal | Manual, Dinonaktifkan | 1.1.0 |
| Menerapkan arahan keamanan | CMA_C1706 - Menerapkan arahan keamanan | Manual, Dinonaktifkan | 1.1.0 |
Pemberitahuan dan Peringatan Otomatis
ID: NIST SP 800-53 Rev. 5 SI-5 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menggunakan mekanisme otomatis untuk pemberitahuan keamanan | CMA_C1707 - Gunakan mekanisme otomatis untuk pemberitahuan keamanan | Manual, Dinonaktifkan | 1.1.0 |
Verifikasi Fungsi Keamanan dan Privasi
ID: NIST SP 800-53 Rev. 5 SI-6 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Membuat tindakan alternatif untuk anomali yang diidentifikasi | CMA_C1711 - Membuat tindakan alternatif untuk anomali yang diidentifikasi | Manual, Dinonaktifkan | 1.1.0 |
| Memberi tahu personel tentang tes verifikasi keamanan yang gagal | CMA_C1710 - Memberi tahu personel tentang tes verifikasi keamanan yang gagal | Manual, Dinonaktifkan | 1.1.0 |
| Melakukan verifikasi fungsi keamanan pada frekuensi yang ditentukan | CMA_C1709 - Melakukan verifikasi fungsi keamanan pada frekuensi yang ditentukan | Manual, Dinonaktifkan | 1.1.0 |
| Memverifikasi fungsi keamanan | CMA_C1708 - Memverifikasi fungsi keamanan | Manual, Dinonaktifkan | 1.1.0 |
Perangkat Lunak, Firmware, dan Integritas Informasi
ID: NIST SP 800-53 Rev. 5 SI-7 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memverifikasi integritas perangkat lunak, firmware, dan informasi | CMA_0542 - Memverifikasi integritas perangkat lunak, firmware, dan informasi | Manual, Dinonaktifkan | 1.1.0 |
Pemeriksaan Integritas
ID: NIST SP 800-53 Rev. 5 SI-7 (1) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memverifikasi integritas perangkat lunak, firmware, dan informasi | CMA_0542 - Memverifikasi integritas perangkat lunak, firmware, dan informasi | Manual, Dinonaktifkan | 1.1.0 |
| Menampilkan dan mengonfigurasi data diagnostik sistem | CMA_0544 - Menampilkan dan mengonfigurasi data diagnostik sistem | Manual, Dinonaktifkan | 1.1.0 |
Respons Otomatis terhadap Pelanggaran Integritas
ID: NIST SP 800-53 Rev. 5 SI-7 (5) Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menggunakan matikan/hidupkan ulang otomatis saat pelanggaran terdeteksi | CMA_C1715 - Menggunakan matikan/hidupkan ulang otomatis saat pelanggaran terdeteksi | Manual, Dinonaktifkan | 1.1.0 |
Validasi Masukan Informasi
ID: NIST SP 800-53 Rev. 5 SI-10 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Melakukan validasi input informasi | CMA_C1723 - Melakukan validasi input informasi | Manual, Dinonaktifkan | 1.1.0 |
Penanganan Kesalahan
ID: NIST SP 800-53 Rev. 5 SI-11 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Hasilkan pesan kesalahan | CMA_C1724 - Menghasilkan pesan kesalahan | Manual, Dinonaktifkan | 1.1.0 |
| Ungkap pesan kesalahan | CMA_C1725 - Mengungkapkan pesan kesalahan | Manual, Dinonaktifkan | 1.1.0 |
Manajemen dan Retensi Informasi
ID: NIST SP 800-53 Rev. 5 SI-12 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengontrol akses fisik | CMA_0081 - Mengontrol akses fisik | Manual, Dinonaktifkan | 1.1.0 |
| Mengelola input, output, pemrosesan, dan penyimpanan data | CMA_0369 - Mengelola input, output, pemrosesan, dan penyimpanan data | Manual, Dinonaktifkan | 1.1.0 |
| Meninjau aktivitas dan analitik label | CMA_0474 - Meninjau aktivitas dan analitik label | Manual, Dinonaktifkan | 1.1.0 |
Perlindungan Memori
ID: NIST SP 800-53 Rev. 5 SI-16 Kepemilikan: Bersama
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure Defender untuk server harus diaktifkan | Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Windows Defender Exploit Guard harus diaktifkan di komputer Anda | Windows Defender Exploit Guard menggunakan agen Konfigurasi Tamu Azure Policy. Exploit Guard memiliki empat komponen yang dirancang untuk mengunci perangkat dari berbagai vektor serangan dan memblokir perilaku yang biasa digunakan dalam serangan malware sekaligus memungkinkan perusahaan untuk menyeimbangkan risiko keamanan dan persyaratan produktivitas (khusus Windows). | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
Langkah berikutnya
Artikel tambahan tentang Azure Policy:
- Ikhtisar Kepatuhan terhadap Peraturan.
- Lihat struktur definisi inisiatif.
- Tinjau contoh lain di Contoh Azure Policy.
- Tinjau Memahami efek kebijakan.
- Pelajari cara memulihkan sumber daya yang tidak sesuai syarat.