Garis besar keamanan Azure untuk Azure DevTest Labs
Artikel
Garis besar keamanan ini menerapkan panduan dari tolok ukur keamanan cloud Microsoft versi 1.0 ke Azure DevTest Labs. Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh tolok ukur keamanan cloud Microsoft dan panduan terkait yang berlaku untuk Azure DevTest Labs.
Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Microsoft Defender untuk Cloud. definisi Azure Policy akan tercantum di bagian Kepatuhan Terhadap Peraturan di halaman portal Microsoft Defender untuk Cloud.
Saat fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan dengan kontrol dan rekomendasi tolok ukur keamanan cloud Microsoft. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.
Deskripsi: Lalu lintas jaringan layanan menghormati penetapan aturan Kelompok Keamanan Jaringan pada subnetnya.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
True
FALSE
Pelanggan
Panduan Konfigurasi: Gunakan grup keamanan jaringan (NSG) untuk membatasi atau memantau lalu lintas berdasarkan port, protokol, alamat IP sumber, atau alamat IP tujuan. Buat aturan NSG untuk membatasi port terbuka layanan Anda (seperti mencegah port manajemen diakses dari jaringan yang tidak tepercaya). Ketahuilah bahwa secara default, NSG menolak semua lalu lintas masuk tetapi mengizinkan lalu lintas dari jaringan virtual dan Azure Load Balancer.
NS-2: Mengamankan layanan cloud dengan kontrol jaringan
Fitur
Menonaktifkan Akses Jaringan Publik
Deskripsi: Layanan mendukung penonaktifan akses jaringan publik baik melalui menggunakan aturan pemfilteran IP ACL tingkat layanan (bukan NSG atau Azure Firewall) atau menggunakan sakelar pengalih 'Nonaktifkan Akses Jaringan Publik'.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
True
FALSE
Pelanggan
Panduan Konfigurasi: Nonaktifkan akses jaringan publik baik menggunakan aturan pemfilteran IP ACL tingkat layanan atau sakelar pengalih untuk akses jaringan publik.
IM-1: Menggunakan identitas dan sistem autentikasi terpusat
Fitur
Autentikasi Azure AD Diperlukan untuk Akses Sarana Data
Deskripsi: Layanan mendukung penggunaan autentikasi Azure AD untuk akses sarana data.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
True
FALSE
Pelanggan
Catatan fitur: Azure DevTest Labs mendukung identitas terkelola untuk sumber daya Azure serta manajemen rahasia melalui brankas kunci. DevTest Labs dapat secara asli menggunakan autentikasi Azure AD untuk layanan dan sumber daya Azure yang mendukungnya.
Ini didukung baik dari Portal Microsoft Azure, menggunakan SDK atau REST API kami, saat pengguna berinteraksi atau membuat DevTest Lab atau sumber daya apa pun yang didukung dalam Lab.
Deskripsi: Metode autentikasi lokal yang didukung untuk akses sarana data, seperti nama pengguna dan kata sandi lokal.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
True
True
Microsoft
Catatan fitur: Autentikasi default ke VM adalah autentikasi lokal (RDP/SSH). Hindari penggunaan metode atau akun autentikasi lokal, ini harus dinonaktifkan sedapat mungkin. Sebagai gantinya, gunakan Azure AD untuk mengautentikasi jika memungkinkan.
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
IM-3: Mengelola identitas aplikasi dengan aman dan otomatis
Fitur
Identitas Terkelola
Deskripsi: Tindakan bidang data mendukung autentikasi menggunakan identitas terkelola.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
True
Salah
Pelanggan
Catatan fitur: Meskipun kami tidak menyediakan Data Plane untuk layanan kami, sumber daya kami mendukung Identitas Terkelola.
Panduan Konfigurasi: Gunakan identitas terkelola Azure alih-alih perwakilan layanan jika memungkinkan, yang dapat mengautentikasi ke layanan dan sumber daya Azure yang mendukung autentikasi Azure Active Directory (Azure AD). Info masuk identitas terkelola sepenuhnya dikelola, diputar, dan dilindungi oleh platform, menghindari info masuk yang dikodekan secara permanen dalam kode sumber atau file konfigurasi.
Deskripsi: Bidang data mendukung autentikasi menggunakan perwakilan layanan.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
True
Salah
Pelanggan
Catatan fitur: Pengguna dapat mengonfigurasi perwakilan layanan sendiri untuk mengakses sumber daya lab.
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
IM-7: Membatasi akses sumber daya berdasarkan kondisi
Fitur
Akses Bersyarah untuk Data Plane
Deskripsi: Akses sarana data dapat dikontrol menggunakan Kebijakan Akses Bersyarah Azure AD.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
True
FALSE
Pelanggan
Catatan fitur: Azure DevTest Labs memungkinkan pengguna untuk mengelola dan menyebarkan komputer virtual Azure dalam langganan mereka sendiri dan komputer virtual tersebut dapat mendukung Akses Bersyarkat jika diperlukan, tergantung pada skenario pelanggan.
Panduan Konfigurasi: Tentukan kondisi dan kriteria yang berlaku untuk akses bersyarah Azure Active Directory (Azure AD) dalam beban kerja. Pertimbangkan kasus penggunaan umum seperti memblokir atau memberikan akses dari lokasi tertentu, memblokir perilaku masuk berisiko, atau mengharuskan perangkat yang dikelola organisasi untuk aplikasi tertentu.
IM-8: Membatasi pemaparan info masuk dan rahasia
Fitur
Kredensial Layanan dan Rahasia Mendukung Integrasi dan Penyimpanan di Azure Key Vault
Deskripsi: Bidang data mendukung penggunaan asli Azure Key Vault untuk penyimpanan kredensial dan rahasia.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
True
FALSE
Pelanggan
Catatan fitur: Rahasia DevTest Lab disimpan dengan aman di azure Key Vault pada langganan pelanggan. Ini digunakan oleh Layanan kami untuk berinteraksi dengan sumber daya Azure apa pun dalam Lab.
Anda dapat mengaktifkan identitas terkelola di komputer virtual Lab Anda juga untuk mengautentikasi ke sumber daya dalam konteks Lab.
Panduan Konfigurasi: Pastikan bahwa rahasia dan kredensial disimpan di lokasi yang aman seperti Azure Key Vault, alih-alih menyematkannya ke dalam file kode atau konfigurasi.
Catatan fitur: Pengguna mesin lab dapat berupa Admin lokal VM.
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
PA-7: Mengikuti prinsip administrasi yang cukup (prinsip hak istimewa paling rendah)
Fitur
Azure RBAC untuk Data Plane
Deskripsi: Azure Role-Based Access Control (Azure RBAC) dapat digunakan untuk mengelola akses ke tindakan sarana data layanan.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
True
FALSE
Pelanggan
Catatan fitur: Azure DevTest Labs telah mengintegrasikan dukungan Azure RBAC untuk semua sumber daya kami melalui peran bawaan.
Panduan Konfigurasi: Gunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk mengelola akses sumber daya Azure melalui penetapan peran bawaan. Peran RBAC Azure dapat ditetapkan ke pengguna, grup, perwakilan layanan, dan identitas terkelola.
DP-1: Menemukan, mengklasifikasikan, dan memberi label data sensitif
Fitur
Penemuan dan Klasifikasi Data Sensitif
Deskripsi: Alat (seperti Azure Purview atau Azure Information Protection) dapat digunakan untuk penemuan dan klasifikasi data dalam layanan.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
FALSE
Tidak berlaku
Tidak berlaku
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
DP-2: Memantau anomali dan ancaman yang menargetkan data sensitif
Fitur
Pencegahan Kebocoran/Kehilangan Data
Deskripsi: Layanan mendukung solusi DLP untuk memantau pergerakan data sensitif (dalam konten pelanggan).
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
FALSE
Tidak berlaku
Tidak berlaku
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
DP-3: Mengenkripsi data sensitif saat transit
Fitur
Data dalam Enkripsi Transit
Deskripsi: Layanan mendukung enkripsi dalam transit data untuk bidang data.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
True
True
Microsoft
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
DP-4: Mengaktifkan enkripsi data tidak aktif secara default
Fitur
Enkripsi Data tidak Aktif Menggunakan Kunci Platform
Deskripsi: Enkripsi data tidak aktif menggunakan kunci platform didukung, konten pelanggan apa pun saat tidak aktif dienkripsi dengan kunci yang dikelola Microsoft ini.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
True
True
Microsoft
Catatan fitur: Dalam DevTest Labs, semua disk OS dan disk data yang dibuat sebagai bagian dari lab dienkripsi menggunakan kunci yang dikelola platform.
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
DP-6: Menggunakan proses manajemen kunci yang aman
Fitur
Manajemen Kunci di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk kunci, rahasia, atau sertifikat pelanggan apa pun.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
True
FALSE
Pelanggan
Panduan Konfigurasi: Gunakan Azure Key Vault untuk membuat dan mengontrol siklus hidup kunci enkripsi Anda, termasuk pembuatan kunci, distribusi, dan penyimpanan. Putar dan cabut kunci Anda di Azure Key Vault dan layanan Anda berdasarkan jadwal yang ditentukan atau ketika ada penghentian atau penyusupan kunci. Ketika ada kebutuhan untuk menggunakan kunci yang dikelola pelanggan (CMK) dalam beban kerja, layanan, atau tingkat aplikasi, pastikan Anda mengikuti praktik terbaik untuk manajemen kunci: Gunakan hierarki kunci untuk menghasilkan kunci enkripsi data (DEK) terpisah dengan kunci enkripsi kunci (KEK) Anda di brankas kunci Anda. Pastikan kunci terdaftar di Azure Key Vault dan direferensikan melalui ID kunci dari layanan atau aplikasi. Jika Anda perlu membawa kunci Anda sendiri (BYOK) ke layanan (seperti mengimpor kunci yang dilindungi HSM dari HSM lokal Anda ke Azure Key Vault), ikuti panduan yang direkomendasikan untuk melakukan pembuatan kunci awal dan transfer kunci.
DP-7: Menggunakan proses manajemen sertifikat yang aman
Fitur
Manajemen Sertifikat di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk sertifikat pelanggan apa pun.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
True
FALSE
Pelanggan
Catatan fitur: Azure DevTest Labs memungkinkan pengguna mengelola dan menyebarkan komputer virtual Azure dalam langganan mereka sendiri dan komputer virtual tersebut dapat mendukung manajemen sertifikat di Azure Key Vault jika diperlukan, tergantung pada skenario pelanggan.
Panduan Konfigurasi: Gunakan Azure Key Vault untuk membuat dan mengontrol siklus hidup sertifikat, termasuk pembuatan, impor, rotasi, pencabutan, penyimpanan, dan penghapusan menyeluruh sertifikat. Pastikan pembuatan sertifikat mengikuti standar yang ditentukan tanpa menggunakan properti yang tidak aman, seperti: ukuran kunci yang tidak cukup, periode validitas yang terlalu lama, kriptografi yang tidak aman. Siapkan rotasi otomatis sertifikat di Azure Key Vault dan layanan Azure (jika didukung) berdasarkan jadwal yang ditentukan atau ketika ada kedaluwarsa sertifikat. Jika rotasi otomatis tidak didukung dalam aplikasi, pastikan mereka masih diputar menggunakan metode manual di Azure Key Vault dan aplikasi.
Deskripsi: Konfigurasi layanan dapat dipantau dan diberlakukan melalui Azure Policy.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
True
FALSE
Pelanggan
Catatan fitur: Kebijakan Azure didukung dan dapat dikonfigurasi untuk sumber daya yang dibuat layanan kami, tetapi tidak ada konfigurasi kebijakan keamanan eksplisit dari Layanan kami.
Panduan Konfigurasi: Gunakan Microsoft Defender untuk Cloud untuk mengonfigurasi Azure Policy untuk mengaudit dan menerapkan konfigurasi sumber daya Azure Anda. Gunakan Azure Monitor untuk membuat peringatan saat ada deviasi konfigurasi yang terdeteksi pada sumber daya. Gunakan efek [tolak] dan [sebarkan jika tidak ada] Azure Policy untuk menerapkan konfigurasi yang aman di seluruh sumber daya Azure.
AM-5: Menggunakan hanya aplikasi yang disetujui di mesin virtual
Fitur
Microsoft Defender untuk Cloud - Kontrol Aplikasi Adaptif
Deskripsi: Layanan dapat membatasi aplikasi pelanggan apa yang berjalan pada komputer virtual menggunakan Kontrol Aplikasi Adaptif di Microsoft Defender untuk Cloud.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
True
FALSE
Pelanggan
Panduan Konfigurasi: Gunakan Microsoft Defender untuk kontrol aplikasi adaptif Cloud untuk menemukan aplikasi yang berjalan di komputer virtual (VM) dan menghasilkan daftar izin aplikasi untuk mengamanatkan aplikasi yang disetujui dapat berjalan di lingkungan VM.
PV-3: Menetapkan dan membangun konfigurasi yang aman untuk sumber daya komputasi
Fitur
Konfigurasi Status Azure Automation
Deskripsi: Azure Automation State Configuration dapat digunakan untuk mempertahankan konfigurasi keamanan sistem operasi.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
True
FALSE
Pelanggan
Catatan fitur: Pengguna tidak memiliki akses ke VM host DevTest Labs Service, tetapi layanan kami memungkinkan pengguna untuk mengelola dan menyebarkan Azure Virtual Machines dalam langganan mereka sendiri dan DSC (Desired State Configuration) berlaku untuk mesin tersebut.
Panduan Konfigurasi: Gunakan konfigurasi status Azure Automation untuk mempertahankan konfigurasi keamanan sistem operasi.
Agen Konfigurasi Tamu Azure Policy
Deskripsi: Azure Policy agen konfigurasi tamu dapat diinstal atau disebarkan sebagai ekstensi untuk menghitung sumber daya.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
True
FALSE
Pelanggan
Catatan fitur: Pengguna tidak memiliki akses ke VM host DevTest Labs Service, tetapi layanan kami memungkinkan pengguna untuk mengelola dan menyebarkan Azure Virtual Machines dalam langganan mereka sendiri dan Azure Policy Agen Konfigurasi Tamu berlaku untuk mesin tersebut.
Panduan Konfigurasi: Gunakan Microsoft Defender untuk Cloud dan Azure Policy agen konfigurasi tamu untuk menilai dan memulihkan penyimpangan konfigurasi secara teratur pada sumber daya komputasi Azure Anda, termasuk VM, kontainer, dan lainnya.
Gambar VM Kustom
Deskripsi: Layanan mendukung penggunaan gambar VM yang disediakan pengguna atau gambar bawaan dari marketplace dengan konfigurasi dasar tertentu yang telah diterapkan sebelumnya.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
True
True
Microsoft
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Penilaian Kerentanan menggunakan Microsoft Defender
Deskripsi: Layanan dapat dipindai untuk pemindaian kerentanan menggunakan Microsoft Defender untuk Cloud atau kemampuan penilaian kerentanan tersemat layanan Microsoft Defender lainnya (termasuk Microsoft Defender untuk server, registri kontainer, App Service, SQL, dan DNS).
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
True
FALSE
Pelanggan
Catatan fitur: Saat membuat DevTest Labs, mungkin ada sumber daya komputasi yang mendasar sebagai bagian dari lab. Ada alat untuk penilaian kerentanan, di luar layanan kami, yang dapat digunakan pada sumber daya tersebut.
Panduan Konfigurasi: Ikuti rekomendasi dari Microsoft Defender untuk Cloud untuk melakukan penilaian kerentanan pada komputer virtual Azure, gambar kontainer, dan server SQL Anda.
PV-6: Secara cepat dan otomatis memulihkan kerentanan
Fitur
Manajemen Pembaruan Azure Automation
Deskripsi: Layanan dapat menggunakan Azure Automation Manajemen Pembaruan untuk menyebarkan patch dan pembaruan secara otomatis.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
True
FALSE
Pelanggan
Catatan fitur: Pengguna tidak memiliki akses ke VM host DevTest Labs Service, tetapi layanan kami memungkinkan pengguna untuk mengelola dan menyebarkan Azure Virtual Machines dalam langganan mereka sendiri dan Manajemen Pembaruan Automation dapat dikelola secara independen untuk komputer tersebut.
Panduan Konfigurasi: Gunakan Azure Automation Manajemen Pembaruan atau solusi pihak ketiga untuk memastikan bahwa pembaruan keamanan terbaru diinstal pada VM Windows dan Linux Anda. Untuk VM Windows, pastikan Windows Update telah difungsikan dan disetel untuk memperbarui secara otomatis.
Deskripsi: Fitur anti-malware seperti Microsoft Defender Antivirus, Microsoft Defender untuk Titik Akhir dapat disebarkan di titik akhir.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
True
FALSE
Pelanggan
Catatan fitur: Pengguna tidak memiliki akses ke VM host DevTest Labs Service, tetapi layanan kami memungkinkan pengguna untuk mengelola dan menyebarkan Azure Virtual Machines dalam langganan mereka sendiri dan sangat disarankan menggunakan solusi Anti-Malware di komputer tersebut.
Panduan Konfigurasi: Untuk Windows Server 2016 ke atas, Microsoft Defender untuk Antivirus diinstal secara default. Untuk Windows Server 2012 R2 ke atas, pelanggan dapat menginstal SCEP (System Center Endpoint Protection). Untuk Linux, pelanggan dapat memiliki pilihan untuk menginstal Microsoft Defender untuk Linux. Atau, pelanggan juga memiliki pilihan untuk menginstal produk anti-malware pihak ketiga.
ES-3: Memastikan perangkat lunak anti-malware dan tanda tangan diperbarui
Fitur
Pemantauan Kesehatan Solusi Anti-Malware
Deskripsi: Solusi anti-malware menyediakan pemantauan status kesehatan untuk pembaruan platform, mesin, dan tanda tangan otomatis.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
True
FALSE
Pelanggan
Catatan fitur: Pengguna tidak memiliki akses ke VM host DevTest Labs Service, tetapi layanan kami memungkinkan pengguna untuk mengelola dan menyebarkan Azure Virtual Machines dalam langganan mereka sendiri dan sangat disarankan menggunakan Pemantauan Kesehatan Solusi Anti-Malware untuk komputer tersebut.
Panduan Konfigurasi: Konfigurasikan solusi anti-malware Anda untuk memastikan platform, mesin, dan tanda tangan diperbarui dengan cepat dan konsisten dan statusnya dapat dipantau.
Deskripsi: Layanan dapat dicadangkan oleh layanan Azure Backup.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
True
FALSE
Pelanggan
Catatan fitur: Azure DevTest Labs tidak secara eksplisit memberikan dukungan untuk Azure Backup, tetapi dapat dikonfigurasi oleh pelanggan untuk VM Komputasi yang disebarkan oleh layanan kami.
Panduan Konfigurasi: Aktifkan Azure Backup dan konfigurasikan sumber cadangan (seperti Azure Virtual Machines, SQL Server, database HANA, atau Berbagi File) pada frekuensi yang diinginkan dan dengan periode retensi yang diinginkan. Untuk Azure Virtual Machines, Anda dapat menggunakan Azure Policy untuk mengaktifkan pencadangan otomatis.
Kemampuan Pencadangan Asli Layanan
Deskripsi: Layanan mendukung kemampuan pencadangan aslinya sendiri (jika tidak menggunakan Azure Backup).
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
FALSE
Tidak berlaku
Tidak berlaku
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.