Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Garis besar keamanan ini menerapkan panduan dari tolok ukur keamanan cloud Microsoft versi 1.0 ke Azure Cosmos DB. Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh tolok ukur keamanan cloud Microsoft dan panduan terkait yang berlaku untuk Azure Cosmos DB.
Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Pertahanan Microsoft untuk Cloud. Definisi Azure Policy akan tercantum di bagian Kepatuhan Terhadap Peraturan di halaman portal Microsoft Defender for Cloud.
Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan dengan kontrol dan rekomendasi tolok ukur keamanan cloud Microsoft. Beberapa rekomendasi mungkin memerlukan paket Pertahanan Microsoft berbayar untuk mengaktifkan skenario keamanan tertentu.
Nota
Fitur yang tidak berlaku untuk Azure Cosmos DB telah dikecualikan. Untuk melihat bagaimana Azure Cosmos DB sepenuhnya memetakan tolok ukur keamanan cloud Microsoft, lihat file pemetaan garis besar keamanan Azure Cosmos DB lengkap.
Profil keamanan
Profil keamanan meringkas perilaku berdampak tinggi dari Azure Cosmos DB, yang dapat mengakibatkan peningkatan pertimbangan keamanan.
| Atribut Perilaku Layanan | Nilai |
|---|---|
| Kategori Produk | Database |
| Pelanggan dapat mengakses HOST / OS | Tidak Ada Akses |
| Layanan dapat disebarkan ke jaringan virtual pelanggan | False |
| Menyimpan konten pelanggan saat tidak aktif | Benar |
Keamanan jaringan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Keamanan jaringan.
NS-1: Menetapkan batas segmentasi jaringan
Features
Integrasi Jaringan Virtual
Deskripsi: Layanan mendukung penyebaran ke Virtual Network (VNet) privat pelanggan. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Sebarkan layanan ke jaringan virtual. Akun Azure Cosmos DB Anda akan diekspos ke jaringan virtual melalui IP publiknya.
Referensi: Mengonfigurasi akses ke Azure Cosmos DB dari jaringan virtual (VNet)
Dukungan Kelompok Keamanan Jaringan
Deskripsi: Lalu lintas jaringan layanan mematuhi batasan aturan Grup Keamanan Jaringan pada subnetnya. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| False | Tidak Berlaku | Tidak Berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
NS-2: Mengamankan layanan cloud dengan kontrol jaringan
Features
Azure Private Link
Deskripsi: Kemampuan pemfilteran IP asli layanan untuk memfilter lalu lintas jaringan (tidak bingung dengan NSG atau Azure Firewall). Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Sebarkan titik akhir privat untuk semua sumber daya Azure yang mendukung fitur Private Link, untuk membuat titik akses privat untuk sumber daya.
Referensi: Mengonfigurasi Azure Private Link untuk akun Azure Cosmos
Nonaktifkan Akses Jaringan Publik
Deskripsi: Layanan mendukung penonaktifan akses jaringan publik baik melalui menggunakan aturan pemfilteran IP ACL tingkat layanan (bukan NSG atau Azure Firewall) atau menggunakan sakelar pengalih 'Nonaktifkan Akses Jaringan Publik'. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Nonaktifkan akses jaringan publik baik menggunakan aturan pemfilteran IP ACL tingkat layanan atau sakelar pengalihan untuk akses jaringan publik.
Referensi: Mengonfigurasi firewall IP di Azure Cosmos DB
Microsoft Defender untuk Pemantauan Cloud
Definisi bawaan Azure Policy - Microsoft.DocumentDB:
| Nama (portal Microsoft Azure) |
Description | Effect(s) | Versi (GitHub) |
|---|---|---|---|
| Akun Azure Cosmos DB harus memiliki aturan firewall | Aturan firewall harus ditentukan di akun Azure Cosmos DB Anda untuk mencegah lalu lintas dari sumber yang tidak sah. Akun yang memiliki setidaknya satu aturan IP yang ditentukan dengan filter jaringan virtual diaktifkan dianggap sesuai. Akun yang menonaktifkan akses publik juga dianggap patuh. | Pemeriksaan, Tolak, Dinonaktifkan | 2.0.0 |
Pengelolaan identitas
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen identitas.
IM-1: Gunakan sistem identitas dan autentikasi terpusat
Features
Autentikasi Azure Active Directory Diperlukan untuk Akses ke Data Plane
Deskripsi: Layanan mendukung penggunaan autentikasi Azure ACTIVE Directory untuk akses sarana data. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Catatan fitur: Autentikasi Azure AD hanya didukung pada API Core (SQL). API lain hanya mendukung autentikasi berbasis kunci.
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
Metode Autentikasi Lokal untuk Akses Data Plane
Deskripsi: Metode autentikasi lokal yang didukung untuk akses sarana data, seperti nama pengguna dan kata sandi lokal. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | Benar | Microsoft |
Catatan fitur: Hindari penggunaan metode atau akun autentikasi lokal, ini harus dinonaktifkan sedapat mungkin. Sebagai gantinya, gunakan Azure AD untuk mengautentikasi jika memungkinkan.
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Mengamankan akses ke data di Azure Cosmos DB
Microsoft Defender untuk Pemantauan Cloud
Definisi bawaan Azure Policy - Microsoft.DocumentDB:
| Nama (portal Microsoft Azure) |
Description | Effect(s) | Versi (GitHub) |
|---|---|---|---|
| Akun database Cosmos DB harus menonaktifkan metode autentikasi lokal | Menonaktifkan metode autentikasi lokal akan meningkatkan keamanan dengan memastikan bahwa registri kontainer secara eksklusif mewajibkan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Pemeriksaan, Tolak, Dinonaktifkan | 1.1.0 |
IM-3: Mengelola identitas aplikasi dengan aman dan otomatis
Features
Identitas yang Dikelola
Deskripsi: Tindakan bidang data mendukung autentikasi menggunakan identitas terkelola. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Catatan fitur: Autentikasi Azure Active Directory hanya didukung pada API Core (SQL).
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
Referensi: Mengonfigurasi identitas terkelola dengan Azure Active Directory untuk akun Azure Cosmos DB Anda
Induk Layanan
Deskripsi: Lapisan data mendukung autentikasi menggunakan prinsipal layanan. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Catatan fitur: Autentikasi Azure AD hanya didukung oleh API Inti (SQL).
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
IM-7: Membatasi akses sumber daya berdasarkan kondisi
Features
Akses Bersyarat untuk Data Plane
Deskripsi: Akses lapisan data dapat dikontrol menggunakan Kebijakan Akses Bersyarat Azure AD. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Catatan fitur: Kebijakan akses bersyarat didukung di mana autentikasi Azure AD digunakan. Autentikasi Azure Active Directory hanya didukung pada API Inti (SQL).
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
IM-8: Membatasi paparan informasi kredensial dan rahasia
Features
Dukungan untuk Integrasi dan Penyimpanan Kredensial Layanan dan Rahasia di Azure Key Vault
Deskripsi: Data plane mendukung penggunaan asli Azure Key Vault untuk penyimpanan kredensial dan rahasia. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| False | Tidak Berlaku | Tidak Berlaku |
Catatan fitur: Cosmos DB dapat menggunakan kunci primer/sekunder (rahasia bersama) untuk mengontrol akses ke data. Integrasi rahasia ini ke Key Vault tidak didukung langsung oleh Cosmos DB, tetapi kode klien kustom yang menggunakan rahasia bersama dapat menggunakan Key Vault jika diinginkan.
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Akses istimewa
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Akses istimewa.
PA-7: Ikuti prinsip administrasi seminimal mungkin (hak istimewa terkecil)
Features
Azure RBAC untuk Data Plane
Deskripsi: Azure Role-Based Access Control (Azure RBAC) dapat digunakan untuk mengelola akses terhadap tindakan pada lapisan data layanan. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
PA-8: Menentukan proses akses untuk dukungan penyedia cloud
Features
Customer Lockbox
Deskripsi: Customer Lockbox dapat digunakan untuk akses dukungan Microsoft. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| False | Tidak Berlaku | Tidak Berlaku |
Catatan fitur: Lockbox tidak dapat diimplementasikan di Azure Cosmos DB karena sifat layanan yang multi-tenant.
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Perlindungan data
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Perlindungan data.
DP-1: Menemukan, mengklasifikasikan, dan memberi label data sensitif
Features
Penemuan dan Klasifikasi Data Sensitif
Deskripsi: Alat (seperti Azure Purview atau Perlindungan Informasi Azure) dapat digunakan untuk penemuan dan klasifikasi data dalam layanan. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Catatan fitur: Klasifikasi data Microsoft Purview hanya mendukung AZURE Cosmos DB Core (SQL) API.
Panduan Konfigurasi: Gunakan Microsoft Purview untuk memindai, mengklasifikasikan, dan memberi label data sensitif apa pun yang berada di akun Azure Cosmos DB Anda.
Referensi: Menyambungkan ke database Azure Cosmos (SQL API) di Microsoft Purview
DP-2: Memantau anomali dan ancaman yang menargetkan data sensitif
Features
Pencegahan Kebocoran/Kehilangan Data
Deskripsi: Layanan mendukung solusi DLP untuk memantau pergerakan data sensitif (dalam konten pelanggan). Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Gunakan Pertahanan Microsoft untuk Azure Cosmos DB untuk mendeteksi upaya penyelundupan data.
Referensi: Microsoft Defender untuk Azure Cosmos DB
DP-3: Mengenkripsi data sensitif saat transit
Features
Enkripsi Data yang Sedang Ditransfer
< c0>Deskripsi: Layanan mendukung enkripsi data yang sedang dalam perjalanan untuk lapisan data. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | Benar | Microsoft |
Catatan fitur: Cosmos DB mendukung enkripsi data saat transit dengan TLS v1.2 atau lebih besar dan ini tidak dapat dinonaktifkan. Azure juga menyediakan enkripsi untuk data saat transit antar pusat data Azure.
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Enkripsi ganda
DP-4: Mengaktifkan enkripsi data yang disimpan secara default
Features
Enkripsi Data yang Tidak Aktif Menggunakan Kunci Platform
Deskripsi: Enkripsi data saat tidak aktif menggunakan kunci platform didukung, konten pelanggan apa pun yang tidak aktif dienkripsi dengan kunci terkelola Microsoft ini. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | Benar | Microsoft |
Catatan fitur: Data yang disimpan di akun Azure Cosmos DB Anda dienkripsi secara otomatis dan mulus dengan kunci yang dikelola oleh Microsoft (kunci yang dikelola layanan).
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Enkripsi data di Azure Cosmos DB
DP-5: Gunakan opsi kunci yang dikelola pelanggan dalam enkripsi data tidak aktif saat diperlukan
Features
Enkripsi Data Saat Tidak Aktif Menggunakan CMK
Deskripsi: Enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan didukung untuk konten pelanggan yang disimpan oleh layanan. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Jika diperlukan untuk kepatuhan terhadap peraturan, tentukan kasus penggunaan dan cakupan layanan di mana enkripsi menggunakan kunci yang dikelola pelanggan diperlukan. Aktifkan dan terapkan enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan untuk layanan tersebut.
Referensi: Mengonfigurasi kunci yang dikelola pelanggan untuk akun Azure Cosmos Anda dengan Azure Key Vault
Microsoft Defender untuk Pemantauan Cloud
Definisi bawaan Azure Policy - Microsoft.DocumentDB:
| Nama (portal Microsoft Azure) |
Description | Effect(s) | Versi (GitHub) |
|---|---|---|---|
| Akun Azure Cosmos DB harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari Azure Cosmos DB Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. Pelajari lebih lanjut di https://aka.ms/cosmosdb-cmk. | audit, Audit, menolak, Menolak, dinonaktifkan, Dinonaktifkan | 1.1.0 |
DP-6: Menggunakan proses manajemen kunci yang aman
Features
Manajemen Kunci di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk kunci pelanggan, rahasia, atau sertifikat apa pun. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
Referensi: Mengonfigurasi kunci yang dikelola pelanggan untuk akun Azure Cosmos DB Anda dengan Azure Key Vault
Manajemen aset
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen aset.
AM-2: Hanya gunakan layanan yang disetujui
Features
Dukungan Azure Policy
Deskripsi: Konfigurasi layanan dapat dipantau dan diberlakukan melalui Azure Policy. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
Referensi: Definisi kebijakan bawaan Azure Policy - Cosmos DB
Pengelogan dan deteksi ancaman
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pengelogan dan deteksi ancaman.
LT-1: Mengaktifkan kemampuan deteksi ancaman
Features
Microsoft Defender untuk Penawaran Layanan / Produk
Deskripsi: Layanan memiliki solusi Pertahanan Microsoft khusus penawaran untuk memantau dan memperingatkan masalah keamanan. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Gunakan Pertahanan Microsoft untuk Azure Cosmos DB untuk mendeteksi beberapa ancaman keamanan secara otomatis.
Referensi: Microsoft Defender untuk Azure Cosmos DB
LT-4: Mengaktifkan pengelogan untuk penyelidikan keamanan
Features
Log Sumber Daya Azure
Deskripsi: Layanan menghasilkan log sumber daya yang dapat menyediakan metrik dan pengelogan khusus layanan yang ditingkatkan. Pelanggan dapat mengonfigurasi log sumber daya ini dan mengirimkannya ke penampung data mereka sendiri seperti akun penyimpanan atau ruang kerja analitik log. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Aktifkan log sumber daya untuk layanan. Azure Cosmos DB memungkinkan Anda memantau aktivitas melalui Azure Monitor atau log diagnostik kustom yang dapat dianalisis dengan Azure Log Analytics.
Referensi: Memantau Azure Cosmos DB
Pencadangan dan pemulihan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pencadangan dan pemulihan.
BR-1: Pastikan pencadangan otomatis dilakukan secara rutin
Features
Azure Backup
Deskripsi: Layanan dapat menggunakan layanan Azure Backup untuk membuat cadangan. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| False | Tidak Berlaku | Tidak Berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Kemampuan Pencadangan Asli Layanan
Deskripsi: Layanan mendukung kemampuan pencadangan bawaan (jika tidak menggunakan Azure Backup). Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Bawaan | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | Benar | Microsoft |
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Pencadangan online dan pemulihan data sesuai permintaan di Azure Cosmos DB
Langkah selanjutnya
- Lihat gambaran umum tolok ukur keamanan cloud Microsoft
- Pelajari selengkapnya tentang garis besar keamanan Azure