Detail inisiatif bawaan Kepatuhan Terhadap Peraturan SWIFT CSP v2021

Artikel berikut merinci bagaimana definisi inisiatif bawaan Azure Policy Regulatory Compliance memetakan ke domain kepatuhan dan kontrol di [Pratinjau]: SWIFT CSCF v2021. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat SWIFT CSCF v2021. Untuk memahami Kepemilikan, lihat definisi kebijakan Azure Policy dan Tanggung jawab bersama di awan.

Pemetaan berikut adalah untuk kontrol [Pratinjau]: SWIFT CSCF v2021. Gunakan navigasi di sebelah kanan untuk melompat langsung ke domain kepatuhan tertentu. Banyak kontrol diimplementasikan dengan definisi inisiatif Azure Policy. Untuk meninjau definisi inisiatif lengkap, buka Kebijakan di portal Microsoft Azure dan pilih halaman Definisi. Kemudian, temukan dan pilih [Pratinjau]: SWIFT CSCF v2021 definisi inisiatif bawaan Kepatuhan Terhadap Peraturan.

Penting

Setiap kontrol di bawah ini dikaitkan dengan satu atau beberapa definisi Azure Policy. Kebijakan ini mungkin membantu Anda menilai kepatuhan terhadap kontrol; namun, sering kali tidak ada kecocokan satu-ke-satu atau lengkap antara kontrol dan satu atau beberapa kebijakan. Dengan demikian, Kepatuhan di Azure Policy hanya mengacu pada definisi kebijakan itu sendiri; hal tersebut tidak memastikan Anda sepenuhnya mematuhi semua persyaratan kontrol. Selain itu, standar kepatuhan melibatkan kontrol yang tidak dicakup dalam definisi yang ada di Azure Policy saat ini. Oleh karena itu, kepatuhan dalam Azure Policy hanyalah pandangan parsial dari status kepatuhan Anda secara keseluruhan. Hubungan antara domain kepatuhan, kontrol, dan definisi Azure Policy untuk standar kepatuhan ini dapat berubah seiring waktu. Untuk melihat riwayat perubahan, lihat Riwayat Komit GitHub.

Perlindungan Lingkungan SWIFT

Perlindungan Lingkungan SWIFT

ID: SWIFT CSCF v2021 1.1

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Semua lalu lintas Internet harus dirutekan melalui Azure Firewall yang Anda sebarkan Azure Security Center telah mengidentifikasi bahwa beberapa subnet Anda tidak dilindungi dengan firewall generasi berikutnya. Lindungi subnet Anda dari potensi ancaman dengan membatasi akses ke mereka dengan Azure Firewall atau firewall generasi berikutnya yang didukung AuditIfNotExists, Dinonaktifkan 3.0.0-pratinjau
[Pratinjau]: Azure Key Vault harus menonaktifkan akses jaringan publik Nonaktifkan akses jaringan publik untuk brankas kunci Anda agar tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/akvprivatelink. Audit, Tolak, Dinonaktifkan pratinjau-2.0.0
[Pratinjau]: Container Registry harus menggunakan titik akhir layanan jaringan virtual Kebijakan ini mengaudit setiap Container Registry yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. Audit, Dinonaktifkan 1.0.0-pratinjau
[Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Linux Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. AuditIfNotExists, Dinonaktifkan pratinjau-1.0.2
[Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Windows Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. AuditIfNotExists, Dinonaktifkan pratinjau-1.0.2
[Pratinjau]: Titik akhir privat harus dikonfigurasi untuk Azure Key Vault Tautan privat menyediakan cara untuk menghubungkan Key Vault ke sumber daya Azure Anda tanpa mengirimkan lalu lintas melalui internet publik. Tautan privat memberikan perlindungan mendalam terhadap penyelundupan data. Audit, Tolak, Dinonaktifkan 1.1.0-pratinjau
Kontrol aplikasi adaptif untuk menetapkan aplikasi yang aman harus diaktifkan di komputer Anda Aktifkan kontrol aplikasi untuk menentukan daftar aplikasi yang diketahui aman yang sedang berjalan di komputer Anda, dan aktifkan pemberitahuan ketika aplikasi lain berjalan. Hal ini membantu memperkuat komputer Anda terhadap malware. Untuk menyederhanakan proses konfigurasi dan pemeliharaan aturan Anda, Security Center menggunakan pembelajaran mesin untuk menganalisis aplikasi yang berjalan di setiap komputer dan menyarankan daftar aplikasi yang diketahui aman. AuditIfNotExists, Dinonaktifkan 3.0.0
Rekomendasi pengerasan jaringan adaptif harus diterapkan pada komputer virtual yang menghadap internet Azure Security Center menganalisis pola lalu lintas komputer virtual yang dihadapi Internet dan memberikan rekomendasi aturan Grup Keamanan Jaringan yang mengurangi potensi serangan permukaan AuditIfNotExists, Dinonaktifkan 3.0.0
Semua port jaringan harus dibatasi pada grup keamanan jaringan yang terkait dengan komputer virtual Anda Azure Security Center telah mengidentifikasi beberapa aturan masuk grup keamanan jaringan Anda terlalu permisif. Aturan masuk tidak boleh mengizinkan akses dari rentang 'Apa pun' atau 'Internet'. Ini berpotensi memungkinkan penyerang untuk menargetkan sumber daya Anda. AuditIfNotExists, Dinonaktifkan 3.0.0
App Service harus menggunakan titik akhir layanan jaringan virtual Kebijakan ini mengaudit App Service apa pun yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. AuditIfNotExists, Dinonaktifkan 1.0.0
Rentang IP resmi harus ditentukan di Layanan Kubernetes Batasi akses ke API Manajemen Layanan Kube dengan memberikan akses API hanya ke alamat IP dalam rentang tertentu. Disarankan untuk membatasi akses ke rentang IP resmi untuk memastikan bahwa hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses kluster. Audit, Dinonaktifkan 2.0.1
Standar Azure DDoS Protection harus diaktifkan Standar perlindungan DDoS harus diaktifkan untuk semua jaringan virtual dengan subnet yang merupakan bagian dari gateway aplikasi dengan IP publik. AuditIfNotExists, Dinonaktifkan 3.0.0
Registri kontainer harus menggunakan tautan privat Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform private link menangani konektivitas antara konsumen dan layanan melalui jaringan Azure backbone.Dengan memetakan titik akhir pribadi ke container registry Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/acr/private-link. Audit, Dinonaktifkan 1.0.1
Cosmos DB harus menggunakan titik akhir layanan jaringan virtual Kebijakan ini mengaudit Cosmos DB apa pun yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. Audit, Dinonaktifkan 1.0.0
Event Hub harus menggunakan titik akhir layanan jaringan virtual Kebijakan ini mengaudit Pusat Aktivitas apa pun yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. AuditIfNotExists, Dinonaktifkan 1.0.0
Komputer virtual yang terhubung ke internet harus dilindungi dengan grup keamanan jaringan Lindungi komputer virtual Anda dari potensi ancaman dengan membatasi akses ke komputer virtual tersebut dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc AuditIfNotExists, Dinonaktifkan 3.0.0
Penerusan IP pada komputer virtual Anda harus dinonaktifkan Mengaktifkan penerusan IP pada NIC komputer virtual memungkinkan komputer menerima lalu lintas yang ditujukan ke tujuan lain. Penerusan IP jarang diperlukan (misalnya, saat menggunakan VM sebagai appliance virtual jaringan), dan oleh karena itu, hal ini harus ditinjau oleh tim keamanan jaringan. AuditIfNotExists, Dinonaktifkan 3.0.0
Key Vault harus menggunakan titik akhir layanan jaringan virtual Kebijakan ini mengaudit Key Vault apa pun yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. Audit, Dinonaktifkan 1.0.0
Network Watcher harus diaktifkan Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan ujung ke ujung. Diperlukan untuk memiliki grup sumber daya pengawas jaringan untuk dibuat di setiap wilayah tempat jaringan virtual berada. Pemberitahuan diaktifkan jika grup sumber daya pengawas jaringan tidak tersedia di wilayah tertentu. AuditIfNotExists, Dinonaktifkan 3.0.0
Koneksi titik akhir pribadi di Azure SQL Database harus diaktifkan Koneksi titik akhir privat menerapkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure SQL Database. Audit, Dinonaktifkan 1.1.0
Titik akhir privat harus diaktifkan untuk server MariaDB Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for MariaDB. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. AuditIfNotExists, Dinonaktifkan 1.0.2
Titik akhir privat harus diaktifkan untuk server MySQL Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for MySQL. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. AuditIfNotExists, Dinonaktifkan 1.0.2
Titik akhir privat harus diaktifkan untuk server PostgreSQL Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for PostgreSQL. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. AuditIfNotExists, Dinonaktifkan 1.0.2
Penelusuran kesalahan jarak jauh harus dimatikan untuk API Apps Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi API. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 1.0.0
Debugging jarak jauh harus dimatikan untuk Aplikasi Fungsi Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi fungsi. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 1.0.0
Debugging jarak jauh harus dimatikan untuk Aplikasi Web Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi web. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 1.0.0
SQL Server harus menggunakan titik akhir layanan jaringan virtual Kebijakan ini mengaudit SQL Server yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. AuditIfNotExists, Dinonaktifkan 1.0.0
Akun penyimpanan harus membatasi akses jaringan Akses jaringan ke akun penyimpanan harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk mengizinkan koneksi dari internet tertentu atau klien lokal, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke rentang alamat IP internet publik Audit, Tolak, Dinonaktifkan 1.1.1
Akun Penyimpanan harus menggunakan titik akhir layanan jaringan virtual Kebijakan ini mengaudit Akun Penyimpanan apa pun yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. Audit, Dinonaktifkan 1.0.0
Subnet harus dikaitkan dengan Grup Keamanan Jaringan Lindungi subnet Anda dari potensi ancaman dengan membatasi aksesnya dengan Network Security Group (NSG). NSG berisi daftar aturan Access Control List (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke subnet Anda. AuditIfNotExists, Dinonaktifkan 3.0.0
Template Image Builder VM harus menggunakan private link Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke sumber daya bangunan VM Image Builder Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Dinonaktifkan, Tolak 1.1.0

Kontrol Akun Istimewa Sistem Operasi

ID: SWIFT CSCF v2021 1.2

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Maksimum 3 pemilik harus ditunjuk untuk langganan Anda Direkomendasikan untuk menetapkan hingga 3 pemilik langganan untuk mengurangi potensi pelanggaran oleh pemilik yang disusupi. AuditIfNotExists, Dinonaktifkan 3.0.0
Administrator Azure Active Directory harus disediakan untuk server SQL Penyediaan audit administrator Microsoft Azure Active Directory untuk server SQL Anda agar mengaktifkan autentikasi Microsoft Azure Active Directory. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya AuditIfNotExists, Dinonaktifkan 1.0.0
Akun yang tidak digunakan lagi harus dihapus dari langganan Anda Akun yang tidak digunakan lagi harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk. AuditIfNotExists, Dinonaktifkan 3.0.0
Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk. AuditIfNotExists, Dinonaktifkan 3.0.0
Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. AuditIfNotExists, Dinonaktifkan 3.0.0
Akun eksternal dengan izin baca harus dihapus dari langganan Anda Akun eksternal dengan hak baca istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. AuditIfNotExists, Dinonaktifkan 3.0.0
Akun eksternal dengan izin menulis harus dihapus dari langganan Anda Akun eksternal dengan hak tulis istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. AuditIfNotExists, Dinonaktifkan 3.0.0
Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan tepat waktu Kemungkinan akses Just In Time (JIT) jaringan akan dipantau oleh Azure Security Center sebagai rekomendasi AuditIfNotExists, Dinonaktifkan 3.0.0
Penelusuran kesalahan jarak jauh harus dimatikan untuk API Apps Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi API. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 1.0.0
Debugging jarak jauh harus dimatikan untuk Aplikasi Fungsi Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi fungsi. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 1.0.0
Debugging jarak jauh harus dimatikan untuk Aplikasi Web Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi web. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 1.0.0
Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien Audit penggunaan autentikasi klien hanya melalui Azure Active Directory di Service Fabric Audit, Tolak, Dinonaktifkan 1.1.0
Harus ada lebih dari satu pemilik yang ditetapkan ke langganan Anda Sebaiknya tetapkan lebih dari satu pemilik langganan agar memiliki redundansi akses administrator. AuditIfNotExists, Dinonaktifkan 3.0.0

Perlindungan Platform Virtualisasi

ID: SWIFT CSCF v2021 1.3

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Audit VM yang tidak menggunakan disk terkelola Kebijakan ini mengaudit VM yang tidak menggunakan disk terkelola audit 1.0.0

Pembatasan Akses Internet

ID: SWIFT CSCF v2021 1.4

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Rentang IP terotorisasi harus ditentukan di Layanan Kubernetes Batasi akses ke API Manajemen Layanan Kube dengan memberikan akses API hanya ke alamat IP dalam rentang tertentu. Disarankan untuk membatasi akses ke rentang IP resmi untuk memastikan bahwa hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses kluster. Audit, Dinonaktifkan 2.0.1

Mengurangi Permukaan serangan dan Kerentanan

Keamanan Aliran Data Internal

ID: SWIFT CSCF v2021 2.1

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Aplikasi API seharusnya hanya dapat diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Audit, Dinonaktifkan 1.0.0
Autentikasi ke komputer Linux memerlukan kunci SSH Meskipun SSH sendiri menyediakan koneksi terenkripsi, menggunakan kata sandi dengan SSH masih membuat VM rentan terhadap serangan brute force. Opsi paling aman untuk mengautentikasi ke komputer virtual Linux Azure melalui SSH adalah dengan kunci publik-pribadi, juga dikenal sebagai kunci SSH. Pelajari selengkapnya: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Dinonaktifkan 3.0.0
Variabel akun otomatisasi harus dienkripsi Penting untuk mengaktifkan enkripsi aset variabel akun Azure Automation saat menyimpan data sensitif Audit, Tolak, Dinonaktifkan 1.1.0
Azure SQL Database harus menjalankan versi TLS 1.2 atau yang lebih baru Mengatur versi TLS ke 1.2 atau yang lebih baru akan meningkatkan keamanan dengan memastikan Azure SQL Database Anda hanya dapat diakses dari klien yang menggunakan TLS 1.2 atau yang lebih baru. Menggunakan versi TLS kurang dari 1.2 tidak disarankan karena mereka memiliki kerentanan keamanan yang terdokumentasi dengan baik. Audit, Dinonaktifkan, Tolak 2.0.0
Pastikan aplikasi WEB mengatur 'Sertifikat Klien (Sertifikat klien masuk)' ke 'Aktif' Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi. Audit, Dinonaktifkan 1.0.0
Aplikasi Fungsi seharusnya hanya dapat diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Audit, Dinonaktifkan 1.0.0
Cluster Kubernetes hanya dapat diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Kini kebijakan ini tersedia untuk Kubernetes Service (AKS) dan dalam pratinjau untuk AKS Engine serta Kubernetes dengan dukungan Azure Arc. Untuk info selengkapnya, kunjungi https://aka.ms/kubepolicydoc Audit, Tolak, Dinonaktifkan 6.1.0
Versi TLS terbaru harus digunakan di Aplikasi API Anda Tingkatkan ke versi TLS terbaru AuditIfNotExists, Dinonaktifkan 1.0.0
Versi TLS terbaru harus digunakan di Aplikasi Fungsi Anda Tingkatkan ke versi TLS terbaru AuditIfNotExists, Dinonaktifkan 1.0.0
Versi TLS terbaru harus digunakan di Aplikasi Web Anda Tingkatkan ke versi TLS terbaru AuditIfNotExists, Dinonaktifkan 1.0.0
Identitas terkelola harus digunakan di API Apps Anda Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
Identitas terkelola harus digunakan di Aplikasi Fungsi Anda Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
Identitas terkelola harus digunakan di Aplikasi Web Anda Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
Kluster Service Fabric harus memiliki properti ClusterProtectionLevel yang disetel ke EncryptAndSign Service Fabric menyediakan tiga tingkat perlindungan (None, Sign, dan EncryptAndSign) untuk komunikasi node-to-node menggunakan sertifikat kluster utama. Atur tingkat perlindungan untuk memastikan bahwa semua pesan node-to-node dienkripsi dan ditandatangani secara digital Audit, Tolak, Dinonaktifkan 1.1.0
SQL Managed Instance harus memiliki versi TLS minimal 1.2 Mengatur versi TLS minimal ke 1.2 meningkatkan keamanan dengan memastikan Azure SQL Managed Instance Anda hanya dapat diakses dari klien menggunakan TLS 1.2. Menggunakan versi TLS kurang dari 1.2 tidak disarankan karena mereka memiliki kerentanan keamanan yang terdokumentasi dengan baik. Audit, Dinonaktifkan 1.0.1
Aplikasi Web hanya boleh diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Audit, Dinonaktifkan 1.0.0
Server web Windows harus dikonfigurasi untuk menggunakan protokol komunikasi yang aman Untuk melindungi privasi informasi yang dikomunikasikan melalui Internet, server web Anda harus menggunakan versi terbaru dari protokol kriptografi standar industri, Transport Layer Security (TLS). TLS mengamankan komunikasi melalui jaringan dengan menggunakan sertifikat keamanan untuk mengenkripsi koneksi antar komputer. AuditIfNotExists, Dinonaktifkan 4.0.0

Pembaruan Keamanan

ID: SWIFT CSCF v2021 2.2

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Audit komputer virtual Windows dengan reboot yang tertunda Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer menunda reboot karena salah satu alasan berikut: layanan berbasis komponen, Pembaruan Windows, ganti nama file tertunda, ganti nama komputer tertunda, reboot pengelola konfigurasi tertunda. Setiap deteksi memiliki jalur registri yang unik. auditIfNotExists 2.0.0
Pembaruan sistem pada set skala komputer virtual harus dipasang Audit apakah ada pembaruan keamanan sistem yang hilang dan pembaruan penting yang harus diinstal untuk memastikan bahwa set skala komputer virtual Windows dan Linux Anda aman. AuditIfNotExists, Dinonaktifkan 3.0.0
Pembaruan sistem harus dipasang di komputer Anda Pembaruan sistem keamanan yang hilang di server Anda akan dipantau oleh Azure Security Center sebagai rekomendasi AuditIfNotExists, Dinonaktifkan 4.0.0

Pengerasan Sistem

ID: SWIFT CSCF v2021 2.3

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Audit mesin Linux yang tidak memiliki izin file passwd diatur ke 0644 Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Linux izin file kata sandinya tidak diatur ke 0644 AuditIfNotExists, Dinonaktifkan 3.0.0
Audit komputer Windows yang berisi sertifikat yang kedaluwarsa dalam jumlah hari yang ditentukan Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika sertifikat di penyimpanan tertentu memiliki tanggal kedaluwarsa di luar rentang untuk jumlah hari yang ditentukan sebagai parameter. Kebijakan ini juga menyediakan opsi untuk hanya memeriksa sertifikat tertentu atau mengecualikan sertifikat tertentu, dan apakah akan melaporkan sertifikat yang kedaluwarsa. auditIfNotExists 2.0.0
Mengaudit komputer Windows yang tidak menyimpan kata sandi menggunakan enkripsi yang dapat dibalik Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows tidak menyimpan kata sandi menggunakan enkripsi yang dapat dibatalkan AuditIfNotExists, Dinonaktifkan 2.0.0
Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time Kemungkinan akses Just In Time (JIT) jaringan akan dipantau oleh Azure Security Center sebagai rekomendasi AuditIfNotExists, Dinonaktifkan 3.0.0
Template Image Builder VM harus menggunakan private link Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke sumber daya bangunan VM Image Builder Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Dinonaktifkan, Tolak 1.1.0

Keamanan Aliran Data Back-office

ID: SWIFT CSCF v2021 2.4A

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Aplikasi API seharusnya hanya dapat diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Audit, Dinonaktifkan 1.0.0
Autentikasi ke komputer Linux memerlukan kunci SSH Meskipun SSH sendiri menyediakan koneksi terenkripsi, menggunakan kata sandi dengan SSH masih membuat VM rentan terhadap serangan brute force. Opsi paling aman untuk mengautentikasi ke komputer virtual Linux Azure melalui SSH adalah dengan kunci publik-pribadi, juga dikenal sebagai kunci SSH. Pelajari selengkapnya: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Dinonaktifkan 3.0.0
Variabel akun otomatisasi harus dienkripsi Penting untuk mengaktifkan enkripsi aset variabel akun Azure Automation saat menyimpan data sensitif Audit, Tolak, Dinonaktifkan 1.1.0
Pastikan aplikasi WEB mengatur 'Sertifikat Klien (Sertifikat klien masuk)' ke 'Aktif' Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi. Audit, Dinonaktifkan 1.0.0
Aplikasi Fungsi seharusnya hanya dapat diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Audit, Dinonaktifkan 1.0.0
Hanya koneksi aman ke Azure Cache for Redis Anda yang harus diaktifkan Audit memungkinkan hanya koneksi melalui SSL ke Azure Cache for Redis. Penggunaan koneksi aman memastikan autentikasi antara server dan layanan serta melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking Audit, Tolak, Dinonaktifkan 1.0.0
Aplikasi Web hanya boleh diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Audit, Dinonaktifkan 1.0.0
Server web Windows harus dikonfigurasi untuk menggunakan protokol komunikasi yang aman Untuk melindungi privasi informasi yang dikomunikasikan melalui Internet, server web Anda harus menggunakan versi terbaru dari protokol kriptografi standar industri, Transport Layer Security (TLS). TLS mengamankan komunikasi melalui jaringan dengan menggunakan sertifikat keamanan untuk mengenkripsi koneksi antar komputer. AuditIfNotExists, Dinonaktifkan 4.0.0

Perlindungan Data Transmisi Eksternal

ID: SWIFT CSCF v2021 2.5A

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Aplikasi API seharusnya hanya dapat diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Audit, Dinonaktifkan 1.0.0
Audit komputer virtual tanpa konfigurasi pemulihan bencana Mengaudit komputer virtual yang tidak memiliki konfigurasi pemulihan bencana. Untuk mempelajari penemuan bencana lebih lanjut, buka https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Mengaudit VM yang tidak menggunakan disk terkelola Kebijakan ini mengaudit VM yang tidak menggunakan disk terkelola audit 1.0.0
Variabel akun otomatisasi harus dienkripsi Penting untuk mengaktifkan enkripsi aset variabel akun Azure Automation saat menyimpan data sensitif Audit, Tolak, Dinonaktifkan 1.1.0
Azure Backup harus diaktifkan untuk Virtual Machines Pastikan perlindungan Virtual Machines Azure Anda dengan mengaktifkan Azure Backup. Azure Backup adalah solusi perlindungan data yang aman dan hemat biaya untuk Azure. AuditIfNotExists, Dinonaktifkan 3.0.0
Registri kontainer harus dienkripsi dengan kunci yang dikelola pelanggan Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi tidak aktif di seluruh isi disk terkelola Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/acr/CMK. Audit, Tolak, Dinonaktifkan 1.1.2
Aplikasi Fungsi seharusnya hanya dapat diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Audit, Dinonaktifkan 1.0.0
Penyimpanan geo-redundan harus diaktifkan untuk Akun Penyimpanan Gunakan geo-redundansi untuk membuat aplikasi yang sangat tersedia Audit, Dinonaktifkan 1.0.0
Cadangan geo-redundan jangka panjang harus diaktifkan untuk Azure SQL Database Kebijakan ini mengaudit Azure SQL Database dengan pencadangan geo-redundan jangka panjang yang tidak diaktifkan. AuditIfNotExists, Dinonaktifkan 2.0.0
Transfer aman ke akun penyimpanan harus diaktifkan Persyaratan audit Transfer aman di akun penyimpanan Anda. Transfer aman adalah opsi yang memaksa akun penyimpanan Anda untuk menerima permintaan hanya dari koneksi aman (HTTPS). Penggunaan HTTPS memastikan autentikasi antara server dan layanan dan melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking Audit, Tolak, Dinonaktifkan 2.0.0
Enkripsi Data Transparan di database SQL harus diaktifkan Enkripsi data transparan harus diaktifkan untuk melindungi data-yang-tidak-aktif dan memenuhi persyaratan kepatuhan AuditIfNotExists, Dinonaktifkan 2.0.0
Komputer virtual harus mengenkripsi disk sementara, cache, serta aliran data antara sumber daya Komputasi dan Penyimpanan Secara default, OS dan disk data mesin virtual dienkripsi saat tidak aktif menggunakan kunci yang dikelola platform. Disk sementara, cache data, dan data yang mengalir di antara komputasi dan penyimpanan tidak dienkripsi. Abaikan rekomendasi ini jika: 1. menggunakan enkripsi di host, atau 2. enkripsi sisi server pada Disk Terkelola memenuhi persyaratan keamanan Anda. Pelajari lebih lanjut dalam: Enkripsi sisi server dari Azure Disk Storage: https://aka.ms/disksse, Penawaran enkripsi disk yang berbeda: https://aka.ms/diskencryptioncomparison AuditIfNotExists, Dinonaktifkan 2.0.3
Aplikasi Web hanya boleh diakses melalui HTTPS Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Audit, Dinonaktifkan 1.0.0

Kerahasiaan dan Integritas Sesi Operator

ID: SWIFT CSCF v2021 2.6

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure SQL Database harus menjalankan TLS versi 1.2 atau yang lebih baru Mengatur versi TLS ke 1.2 atau yang lebih baru akan meningkatkan keamanan dengan memastikan Azure SQL Database Anda hanya dapat diakses dari klien yang menggunakan TLS 1.2 atau yang lebih baru. Menggunakan versi TLS kurang dari 1.2 tidak disarankan karena mereka memiliki kerentanan keamanan yang terdokumentasi dengan baik. Audit, Dinonaktifkan, Tolak 2.0.0
Terapkan koneksi SSL harus diaktifkan untuk server database MySQL Azure Database for MySQL mendukung koneksi server Azure Database for MySQL Anda ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda. Audit, Dinonaktifkan 1.0.1
Pemberlakuan koneksi SSL harus diaktifkan untuk server database PostgreSQL Azure Database for PostgreSQL mendukung penyambungan server Azure Database for PostgreSQL ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda. Audit, Dinonaktifkan 1.0.1
Versi TLS terbaru harus digunakan di Aplikasi API Anda Tingkatkan ke versi TLS terbaru AuditIfNotExists, Dinonaktifkan 1.0.0
Versi TLS terbaru harus digunakan di Aplikasi Fungsi Anda Tingkatkan ke versi TLS terbaru AuditIfNotExists, Dinonaktifkan 1.0.0
Versi TLS terbaru harus digunakan di Aplikasi Web Anda Tingkatkan ke versi TLS terbaru AuditIfNotExists, Dinonaktifkan 1.0.0
Hanya koneksi aman ke Azure Cache for Redis Anda yang harus diaktifkan Audit memungkinkan hanya koneksi melalui SSL ke Azure Cache for Redis. Penggunaan koneksi aman memastikan autentikasi antara server dan layanan serta melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking Audit, Tolak, Dinonaktifkan 1.0.0
SQL Managed Instance harus memiliki versi TLS minimal 1.2 Mengatur versi TLS minimal ke 1.2 meningkatkan keamanan dengan memastikan Azure SQL Managed Instance Anda hanya dapat diakses dari klien menggunakan TLS 1.2. Menggunakan versi TLS kurang dari 1.2 tidak disarankan karena mereka memiliki kerentanan keamanan yang terdokumentasi dengan baik. Audit, Dinonaktifkan 1.0.1
Server web Windows harus dikonfigurasi untuk menggunakan protokol komunikasi yang aman Untuk melindungi privasi informasi yang dikomunikasikan melalui Internet, server web Anda harus menggunakan versi terbaru dari protokol kriptografi standar industri, Transport Layer Security (TLS). TLS mengamankan komunikasi melalui jaringan dengan menggunakan sertifikat keamanan untuk mengenkripsi koneksi antar komputer. AuditIfNotExists, Dinonaktifkan 4.0.0

Pemindaian Kerentanan

ID: SWIFT CSCF v2021 2.7

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure Defender untuk App Service harus diaktifkan Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk server Azure SQL Database harus diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk Key Vault harus diaktifkan Azure Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun key vault. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk server harus diaktifkan Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk server SQL pada mesin harus diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk Penyimpanan harus diaktifkan Azure Defender for Storage menyediakan deteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. AuditIfNotExists, Dinonaktifkan 1.0.3
Database SQL harus memiliki temuan kerentanan yang diselesaikan Pantau hasil pemindaian penilaian kerentanan dan rekomendasi tentang cara memulihkan kerentanan basis data. AuditIfNotExists, Dinonaktifkan 4.0.0
Kerentanan dalam konfigurasi keamanan kontainer harus diperbaiki Audit kerentanan dalam konfigurasi keamanan pada mesin dengan Docker diinstal dan ditampilkan sebagai rekomendasi di Security Center. AuditIfNotExists, Dinonaktifkan 3.0.0
Kerentanan dalam konfigurasi keamanan pada mesin Anda harus diperbaiki Server yang tidak memenuhi baseline yang dikonfigurasi akan dipantau oleh Azure Security Center sebagai rekomendasi AuditIfNotExists, Dinonaktifkan 3.0.0
Kerentanan dalam konfigurasi keamanan pada set skala komputer virtual Anda harus diperbaiki Audit kerentanan OS pada set skala komputer virtual Anda untuk melindunginya dari serangan. AuditIfNotExists, Dinonaktifkan 3.0.0
Setelan Penilaian Kerentanan untuk server SQL harus berisi alamat email untuk menerima laporan pemindaian Pastikan bahwa alamat email diberikan untuk bidang 'Kirim laporan pindaian ke' di setelan Penilaian Kerentanan. Alamat email ini menerima ringkasan hasil pemindaian setelah pemindaian berkala berjalan di server SQL. AuditIfNotExists, Dinonaktifkan 2.0.0
Penilaian kerentanan harus diaktifkan di SQL Managed Instance Audit setiap Instans Terkelola SQL yang tidak mengaktifkan pemindaian penilaian kerentanan berulang. Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda meremediasi kerentanan database potensial. AuditIfNotExists, Dinonaktifkan 1.0.1
Penilaian kerentanan harus diaktifkan di server SQL Anda Audit server Azure SQL yang tidak mengaktifkan pemindaian penilaian kerentanan berulang. Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda meremediasi kerentanan database potensial. AuditIfNotExists, Dinonaktifkan 2.0.0

Mengamankan Lingkungan Secara Fisik

Keamanan Fisik

ID: SWIFT CSCF v2021 3.1

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Audit VM yang tidak menggunakan disk terkelola Kebijakan ini mengaudit VM yang tidak menggunakan disk terkelola audit 1.0.0

Mencegah Penyusupan Informasi Masuk

Kebijakan kata sandi

ID: SWIFT CSCF v2021 4.1

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Mengaudit komputer Linux yang memungkinkan koneksi jarak jauh dari akun tanpa sandi Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Linux mengizinkan koneksi jarak jauh dari akun tanpa kata sandi AuditIfNotExists, Dinonaktifkan 3.0.0
Mengaudit komputer Linux yang memiliki akun tanpa kata sandi Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Linux memiliki akun tanpa kata sandi AuditIfNotExists, Dinonaktifkan 3.0.0
Mengaudit komputer Windows yang mengizinkan penggunaan kembali 24 kata sandi sebelumnya Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows mengizinkan penggunaan kembali 24 kata sandi sebelumnya AuditIfNotExists, Dinonaktifkan 2.0.0
Mengaudit komputer Windows yang tidak memiliki usia kata sandi maksimal 70 hari Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows tidak memiliki usia kata sandi maksimum 70 hari AuditIfNotExists, Dinonaktifkan 2.0.0
Audit komputer Windows yang tidak memiliki usia kata sandi minimum 1 hari Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows tidak memiliki usia kata sandi minimum 1 hari AuditIfNotExists, Dinonaktifkan 2.0.0
Audit komputer Windows dengan setelan kompleksitas kata sandi tidak diaktifkan Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows tidak memiliki setelan kompleksitas kata sandi yang diaktifkan AuditIfNotExists, Dinonaktifkan 2.0.0
Mengaudit komputer Windows yang tidak membatasi panjang kata sandi minimum hingga 14 karakter Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows tidak membatasi panjang kata sandi minimal hingga 14 karakter AuditIfNotExists, Dinonaktifkan 2.0.0

Autentikasi Multifaktor

ID: SWIFT CSCF v2021 4.2

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
MFA harus mengaktifkan akun dengan izin tulis di langganan Anda Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak tulis istimewa untuk mencegah pelanggaran akun atau sumber daya. AuditIfNotExists, Dinonaktifkan 3.0.0
MFA harus diaktifkan pada akun dengan izin pemilik pada langganan Anda Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan izin pemilik untuk mencegah pelanggaran akun atau sumber daya. AuditIfNotExists, Dinonaktifkan 3.0.0
MFA harus diaktifkan pada akun dengan izin baca pada langganan Anda Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak baca istimewa untuk mencegah pelanggaran akun atau sumber daya. AuditIfNotExists, Dinonaktifkan 3.0.0

Kelola Identitas dan Pisahkan Hak Istimewa

Kontrol Akses Logis

ID: SWIFT CSCF v2021 5.1

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Maksimum 3 pemilik harus ditunjuk untuk langganan Anda Direkomendasikan untuk menetapkan hingga 3 pemilik langganan untuk mengurangi potensi pelanggaran oleh pemilik yang disusupi. AuditIfNotExists, Dinonaktifkan 3.0.0
Akun yang tidak digunakan lagi harus dihapus dari langganan Anda Akun yang tidak digunakan lagi harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk. AuditIfNotExists, Dinonaktifkan 3.0.0
Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk. AuditIfNotExists, Dinonaktifkan 3.0.0
Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. AuditIfNotExists, Dinonaktifkan 3.0.0
Akun eksternal dengan izin baca harus dihapus dari langganan Anda Akun eksternal dengan hak baca istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. AuditIfNotExists, Dinonaktifkan 3.0.0
Akun eksternal dengan izin menulis harus dihapus dari langganan Anda Akun eksternal dengan hak tulis istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. AuditIfNotExists, Dinonaktifkan 3.0.0
Harus ada lebih dari satu pemilik yang ditetapkan ke langganan Anda Sebaiknya tetapkan lebih dari satu pemilik langganan agar memiliki redundansi akses administrator. AuditIfNotExists, Dinonaktifkan 3.0.0

Token Management

ID: SWIFT CSCF v2021 5.2

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Identitas terkelola harus digunakan di API Apps Anda Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
Identitas terkelola harus digunakan di Aplikasi Fungsi Anda Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
Identitas terkelola harus digunakan di Aplikasi Web Anda Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time Kemungkinan akses Just In Time (JIT) jaringan akan dipantau oleh Azure Security Center sebagai rekomendasi AuditIfNotExists, Dinonaktifkan 3.0.0

Penyimpanan Kata Sandi Fisik dan Logis

ID: SWIFT CSCF v2021 5.4

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Audit mesin Windows yang tidak menyimpan sandi menggunakan enkripsi yang dapat dibalik Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows tidak menyimpan kata sandi menggunakan enkripsi yang dapat dibatalkan AuditIfNotExists, Dinonaktifkan 2.0.0
Azure Key Vault harus mengaktifkan perlindungan dari penghapusan menyeluruh Penghapusan brankas kunci yang berbahaya dapat menyebabkan hilangnya data secara permanen. Orang dalam berbahaya di organisasi Anda dapat berpotensi menghapus dan membersihkan brankas kunci. Perlindungan penghapusan menyeluruh melindungi Anda dari serangan orang dalam dengan memberlakukan periode retensi wajib untuk brankas kunci yang dihapus sementara. Tidak ada seorang pun di dalam organisasi Anda atau Microsoft yang dapat membersihkan brankas kunci Anda selama periode penyimpanan penghapusan sementara. Audit, Tolak, Dinonaktifkan 2.0.0
Identitas terkelola harus digunakan di API Apps Anda Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
Identitas terkelola harus digunakan di Aplikasi Fungsi Anda Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0
Identitas terkelola harus digunakan di Aplikasi Web Anda Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan AuditIfNotExists, Dinonaktifkan 2.0.0

Mendeteksi Aktivitas Anomali ke Sistem atau Rekaman Transaksi

Perlindungan Malware

ID: SWIFT CSCF v2021 6.1

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Solusi perlindungan titik akhir harus dipasang pada set skala komputer virtual Audit keberadaan dan kesehatan solusi perlindungan titik akhir pada set skala komputer virtual Anda, untuk melindunginya dari ancaman dan kerentanan. AuditIfNotExists, Dinonaktifkan 3.0.0
Microsoft Antimalware untuk Azure harus dikonfigurasi untuk memperbarui tanda tangan proteksi secara otomatis Kebijakan ini mengaudit komputer virtual Windows apa pun yang tidak dikonfigurasi dengan pembaruan otomatis tanda tangan perlindungan Microsoft Antimalware. AuditIfNotExists, Dinonaktifkan 1.0.0
Ekstensi Microsoft IaaSAntimalware harus disebarkan di server Windows Kebijakan ini mengaudit VM server Windows apa pun tanpa ekstensi Microsoft IaaSAntimalware yang diterapkan. AuditIfNotExists, Dinonaktifkan 1.0.0
Memantau Perlindungan Titik Akhir yang tidak ada di Azure Security Center Server tanpa agen Perlindungan Titik Akhir yang diinstal akan dipantau oleh Azure Security Center sebagai rekomendasi AuditIfNotExists, Dinonaktifkan 3.0.0

Integritas Perangkat Lunak

ID: SWIFT CSCF v2021 6.2

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Sistem operasi dan disk data di kluster Azure Kubernetes Service harus dienkripsi dengan kunci yang dikelola pelanggan Mengenkripsi OS dan disk data menggunakan kunci yang dikelola pelanggan memberikan lebih banyak kontrol dan fleksibilitas yang lebih besar dalam manajemen kunci. Ini adalah persyaratan umum dalam banyak standar kepatuhan peraturan dan industri. Audit, Tolak, Dinonaktifkan 1.0.0
Penelusuran kesalahan jarak jauh harus dimatikan untuk API Apps Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi API. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 1.0.0
Debugging jarak jauh harus dimatikan untuk Aplikasi Fungsi Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi fungsi. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 1.0.0
Debugging jarak jauh harus dimatikan untuk Aplikasi Web Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi web. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 1.0.0

Integritas Database

ID: SWIFT CSCF v2021 6.3

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Audit di server SQL harus diaktifkan Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit. AuditIfNotExists, Dinonaktifkan 2.0.0
Cosmos DB harus menggunakan titik akhir layanan jaringan virtual Kebijakan ini mengaudit Cosmos DB apa pun yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. Audit, Dinonaktifkan 1.0.0
Pemutusan koneksi harus dicatat untuk server database PostgreSQL. Kebijakan ini membantu mengaudit database PostgreSQL di lingkungan Anda tanpa mengaktifkan log_disconnections. AuditIfNotExists, Dinonaktifkan 1.0.0
Cadangan redundansi geografis harus diaktifkan di Azure Database for MariaDB Azure Database for MariaDB memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. Audit, Dinonaktifkan 1.0.1
Cadangan geo-redundan harus diaktifkan untuk Azure Database for MySQL Azure Database for MySQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. Audit, Dinonaktifkan 1.0.1
Cadangan geo-redundan harus diaktifkan untuk Azure Database for PostgreSQL Azure Database for PostgreSQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. Audit, Dinonaktifkan 1.0.1
Akses jaringan publik di Azure SQL Database harus dinonaktifkan Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan Azure SQL Database Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Audit, Tolak, Dinonaktifkan 1.1.0
Akses jaringan publik harus dinonaktifkan untuk server MariaDB Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for MariaDB Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini secara ketat menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Audit, Dinonaktifkan 1.0.2
Akses jaringan publik harus dinonaktifkan untuk server MySQL Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for MySQL Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini secara ketat menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Audit, Dinonaktifkan 1.0.2
Akses jaringan publik harus dinonaktifkan untuk server PostgreSQL Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for PostgreSQL Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menolak semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Audit, Dinonaktifkan 1.0.2
Server SQL dengan audit ke tujuan akun penyimpanan harus dikonfigurasi dengan minimal retensi 90 hari atau lebih Untuk tujuan penyelidikan insiden, kami menyarankan pengaturan retensi data untuk audit SQL Server Anda ke tujuan akun penyimpanan setidaknya 90 hari. Konfirmasikan bahwa Anda memenuhi aturan retensi yang diperlukan untuk wilayah tempat Anda beroperasi. Ini terkadang diperlukan untuk memenuhi standar peraturan. AuditIfNotExists, Dinonaktifkan 3.0.0
Enkripsi Data Transparan di database SQL harus diaktifkan Enkripsi data transparan harus diaktifkan untuk melindungi data-yang-tidak-aktif dan memenuhi persyaratan kepatuhan AuditIfNotExists, Dinonaktifkan 2.0.0

Pembuatan Log dan Pemantauan

ID: SWIFT CSCF v2021 6.4

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Ekstensi Analitik Log harus diaktifkan untuk citra mesin virtual yang tercantum Melaporkan mesin virtual sebagai tidak sesuai jika citra mesin virtual tidak ada dalam daftar yang ditentukan dan ekstensi tidak terinstal. AuditIfNotExists, Dinonaktifkan 2.0.1-pratinjau
[Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Linux Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. AuditIfNotExists, Dinonaktifkan pratinjau-1.0.2
[Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Windows Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. AuditIfNotExists, Dinonaktifkan pratinjau-1.0.2
Log aktivitas harus disimpan setidaknya selama satu tahun Kebijakan ini mengaudit log aktivitas jika retensi tidak disetel selama 365 hari atau selamanya (hari retensi disetel ke 0). AuditIfNotExists, Dinonaktifkan 1.0.0
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. ubah 4.0.0
Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. ubah 4.0.0
Mengaudit komputer virtual tanpa konfigurasi pemulihan bencana Mengaudit komputer virtual yang tidak memiliki konfigurasi pemulihan bencana. Untuk mempelajari penemuan bencana lebih lanjut, buka https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Audit di server SQL harus diaktifkan Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit. AuditIfNotExists, Dinonaktifkan 2.0.0
Provisi otomatis dari agen Log Analytics harus diaktifkan di langganan Anda Untuk memantau kerentanan dan ancaman keamanan, Azure Security Center mengumpulkan data dari komputer virtual Azure Anda. Data dikumpulkan oleh agen Log Analytics, sebelumnya dikenal sebagai Microsoft Monitoring Agent (MMA), yang membaca berbagai konfigurasi terkait keamanan dan log peristiwa dari komputer dan menyalin data ke ruang kerja Log Analytics Anda untuk analisis. Sebaiknya aktifkan penyediaan otomatis untuk menerapkan agen secara otomatis ke semua Azure VM yang didukung dan yang baru yang dibuat. AuditIfNotExists, Dinonaktifkan 1.0.1
Azure Backup harus diaktifkan untuk Virtual Machines Pastikan perlindungan Virtual Machines Azure Anda dengan mengaktifkan Azure Backup. Azure Backup adalah solusi perlindungan data yang aman dan hemat biaya untuk Azure. AuditIfNotExists, Dinonaktifkan 3.0.0
Azure Defender untuk App Service harus diaktifkan Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk server Azure SQL Database harus diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk Key Vault harus diaktifkan Azure Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun key vault. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk server harus diaktifkan Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk server SQL pada mesin harus diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk Penyimpanan harus diaktifkan Azure Defender for Storage menyediakan deteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. AuditIfNotExists, Dinonaktifkan 1.0.3
Profil log Azure Monitor harus mengumpulkan log untuk kategori ‘tulis,’ 'hapus,' dan 'tindakan' Kebijakan ini memastikan bahwa profil log mengumpulkan log untuk kategori 'tulis,' 'hapus,' dan 'tindakan' AuditIfNotExists, Dinonaktifkan 1.0.0
Azure Monitor harus mengumpulkan log aktivitas dari semua wilayah Kebijakan ini mengaudit profil log Azure Monitor yang tidak mengekspor aktivitas dari semua wilayah yang didukung Azure termasuk global. AuditIfNotExists, Dinonaktifkan 2.0.0
Solusi Azure Monitor 'Keamanan dan Audit' harus disebarkan Kebijakan ini memastikan bahwa Keamanan dan Audit disebarkan. AuditIfNotExists, Dinonaktifkan 1.0.0
Sebarkan ekstensi Konfigurasi Tamu Linux untuk mengaktifkan penugasan Konfigurasi Tamu di VM Linux Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Linux ke komputer virtual Linux yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Linux adalah prasyarat untuk semua penugasan Konfigurasi Tamu Linux dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Linux. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. deployIfNotExists 3.0.0
Sebarkan ekstensi Konfigurasi Tamu Windows untuk mengaktifkan penugasan Konfigurasi Tamu pada VM Windows Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Windows ke komputer virtual Windows yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Windows adalah prasyarat untuk semua penugasan Konfigurasi Tamu Windows dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Windows. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. deployIfNotExists 1.2.0
Ekstensi Analitik Log harus diaktifkan dalam set skala mesin virtual untuk citra mesin virtual yang tercantum Melaporkan set skala mesin virtual sebagai tidak sesuai jika citra mesin virtual tidak ada dalam daftar yang ditentukan dan ekstensi tidak terinstal. AuditIfNotExists, Dinonaktifkan 2.0.1
Log sumber daya di Azure Data Lake Store harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Azure Stream Analytics harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di akun Azure Batch harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Data Lake Analytics harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Event Hub harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Azure IoT Hub harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 3.0.1
Log sumber daya di Key Vault harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda membuat ulang jejak aktivitas yang akan digunakan untuk penyelidikan saat terjadi insiden keamanan atau jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Logic Apps harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di layanan Pencarian harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya di Azure Service Bus harus diaktifkan Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi AuditIfNotExists, Dinonaktifkan 5.0.0
Log sumber daya dalam Microsoft Azure Virtual Machine Scale Sets harus diaktifkan Sebaiknya aktifkan Log agar jejak aktivitas dapat dibuat kembali saat penyelidikan diperlukan jika terjadi insiden atau penyusupan. AuditIfNotExists, Dinonaktifkan 2.1.0
Ekstensi Analitik Log harus diinstal di Virtual Machine Scale Sets Kebijakan ini mengaudit Virtual Machine Scale Sets Windows/Linux jika ekstensi Analitik Log tidak terinstal. AuditIfNotExists, Dinonaktifkan 1.0.1
Ekstensi Analitik Log harus terinstal di mesin virtual Kebijakan ini mengaudit setiap mesin virtual Windows/Linux jika ekstensi Analitik Log tidak terinstal. AuditIfNotExists, Dinonaktifkan 1.0.1

Deteksi Penyusupan

ID: SWIFT CSCF v2021 6.5A

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
[Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Linux Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. AuditIfNotExists, Dinonaktifkan pratinjau-1.0.2
[Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Windows Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. AuditIfNotExists, Dinonaktifkan pratinjau-1.0.2
Rekomendasi pengerasan jaringan adaptif harus diterapkan pada komputer virtual yang menghadap internet Azure Security Center menganalisis pola lalu lintas komputer virtual yang dihadapi Internet dan memberikan rekomendasi aturan Grup Keamanan Jaringan yang mengurangi potensi serangan permukaan AuditIfNotExists, Dinonaktifkan 3.0.0
Azure Defender untuk App Service harus diaktifkan Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk server Azure SQL Database harus diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk Key Vault harus diaktifkan Azure Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun key vault. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk server harus diaktifkan Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. AuditIfNotExists, Dinonaktifkan 1.0.3
Azure Defender untuk server SQL pada mesin harus diaktifkan Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. AuditIfNotExists, Dinonaktifkan 1.0.2
Azure Defender untuk Penyimpanan harus diaktifkan Azure Defender for Storage menyediakan deteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. AuditIfNotExists, Dinonaktifkan 1.0.3
Sistem operasi dan disk data di kluster Azure Kubernetes Service harus dienkripsi dengan kunci yang dikelola pelanggan Mengenkripsi OS dan disk data menggunakan kunci yang dikelola pelanggan memberikan lebih banyak kontrol dan fleksibilitas yang lebih besar dalam manajemen kunci. Ini adalah persyaratan umum dalam banyak standar kepatuhan peraturan dan industri. Audit, Tolak, Dinonaktifkan 1.0.0
CORS tidak boleh mengizinkan setiap sumber daya mengakses API Apps Anda Cross-Origin Resource Sharing (CORS) seharusnya tidak mengizinkan semua domain mengakses aplikasi API Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi API Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
CORS tidak boleh mengizinkan setiap sumber daya mengakses Aplikasi Fungsi Anda Cross-Origin Resource Sharing (CORS) seharusnya tidak mengizinkan semua domain mengakses aplikasi Fungsi Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Fungsi Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
CORS tidak boleh mengizinkan setiap sumber daya mengakses Aplikasi Web Anda Cross-Origin Resource Sharing (CORS) tidak boleh mengizinkan semua domain mengakses aplikasi web Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan apl web Anda. AuditIfNotExists, Dinonaktifkan 1.0.0
Network Watcher harus diaktifkan Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan ujung ke ujung. Diperlukan untuk memiliki grup sumber daya pengawas jaringan untuk dibuat di setiap wilayah tempat jaringan virtual berada. Pemberitahuan diaktifkan jika grup sumber daya pengawas jaringan tidak tersedia di wilayah tertentu. AuditIfNotExists, Dinonaktifkan 3.0.0
Hanya koneksi aman ke Azure Cache for Redis Anda yang harus diaktifkan Audit memungkinkan hanya koneksi melalui SSL ke Azure Cache for Redis. Penggunaan koneksi aman memastikan autentikasi antara server dan layanan serta melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking Audit, Tolak, Dinonaktifkan 1.0.0
Penelusuran kesalahan jarak jauh harus dimatikan untuk API Apps Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi API. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 1.0.0
Debugging jarak jauh harus dimatikan untuk Aplikasi Fungsi Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi fungsi. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 1.0.0
Debugging jarak jauh harus dimatikan untuk Aplikasi Web Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi web. Penelusuran kesalahan jarak jauh harus dinonaktifkan. AuditIfNotExists, Dinonaktifkan 1.0.0

Rencana untuk Tanggapan Insiden dan Berbagi Informasi

Perencanaan Respons Insiden Cyber

ID: SWIFT CSCF v2021 7.1

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Pemberitahuan email untuk pemberitahuan tingkat keparahan tinggi harus diaktifkan Untuk memastikan orang yang relevan di organisasi Anda diberi tahu ketika terdapat potensi pelanggaran keamanan di salah satu langganan Anda, aktifkan pemberitahuan email untuk peringatan tingkat keparahan tinggi di Security Center. AuditIfNotExists, Dinonaktifkan 1.0.1
Pemberitahuan email kepada pemilik langganan untuk lansiran tingkat keparahan tinggi harus diaktifkan Untuk memastikan pemilik langganan Anda diberitahu ketika ada potensi pelanggaran keamanan di langganan mereka, atur pemberitahuan email ke pemilik langganan untuk peringatan tingkat keparahan tinggi di Security Center. AuditIfNotExists, Dinonaktifkan 2.0.0
Langganan harus memiliki alamat email kontak untuk masalah keamanan Untuk memastikan orang yang relevan di organisasi Anda diberi tahu saat ada potensi pelanggaran keamanan di salah satu langganan Anda, atur kontak keamanan untuk menerima pemberitahuan email dari Security Center. AuditIfNotExists, Dinonaktifkan 1.0.1

Langkah berikutnya

Artikel tambahan tentang Azure Policy: