Bagikan melalui


Garis besar keamanan Azure untuk Pencadangan

Garis besar keamanan ini menerapkan panduan dari tolok ukur keamanan cloud Microsoft versi 1.0 ke Cadangan. Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh tolok ukur keamanan cloud Microsoft dan panduan terkait yang berlaku untuk Pencadangan.

Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Microsoft Defender untuk Cloud. definisi Azure Policy akan tercantum di bagian Kepatuhan Terhadap Peraturan di halaman portal Microsoft Defender untuk Cloud.

Saat fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan dengan kontrol dan rekomendasi tolok ukur keamanan cloud Microsoft. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Fitur yang tidak berlaku untuk Backup telah dikecualikan. Untuk melihat bagaimana Backup memetakan sepenuhnya ke tolok ukur keamanan cloud Microsoft, lihat file pemetaan garis besar keamanan Backup lengkap.

Profil keamanan

Profil keamanan merangkum perilaku Cadangan berdampak tinggi, yang dapat mengakibatkan peningkatan pertimbangan keamanan.

Atribut Perilaku Layanan Nilai
Kategori Produk MGMT/Tata Kelola
Pelanggan dapat mengakses HOST / OS Tidak Ada Akses
Layanan dapat disebarkan ke jaringan virtual pelanggan FALSE
Menyimpan konten pelanggan saat tidak aktif FALSE

Keamanan jaringan

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Keamanan jaringan.

NS-2: Mengamankan layanan cloud dengan kontrol jaringan

Fitur

Deskripsi: Kemampuan pemfilteran IP asli layanan untuk memfilter lalu lintas jaringan (tidak bingung dengan NSG atau Azure Firewall). Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Sebarkan titik akhir privat untuk semua sumber daya Azure yang mendukung fitur Private Link, untuk membuat titik akses privat untuk sumber daya.

Referensi: ketersediaan Azure Private Link

Menonaktifkan Akses Jaringan Publik

Deskripsi: Layanan mendukung penonaktifan akses jaringan publik baik melalui menggunakan aturan pemfilteran IP ACL tingkat layanan (bukan NSG atau Azure Firewall) atau menggunakan sakelar pengalih 'Nonaktifkan Akses Jaringan Publik'. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Nonaktifkan akses jaringan publik baik menggunakan aturan pemfilteran IP ACL tingkat layanan atau sakelar pengalih untuk akses jaringan publik.

Referensi: Menolak akses jaringan publik ke vault

Manajemen identitas

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen identitas.

IM-3: Mengelola identitas aplikasi dengan aman dan otomatis

Fitur

Identitas Terkelola

Deskripsi: Tindakan bidang data mendukung autentikasi menggunakan identitas terkelola. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Catatan fitur: Identitas terkelola dapat dibuat untuk vault Anda dan hanya beroperasi pada sarana kontrol.

Untuk informasi selengkapnya, silakan kunjungi: Aktifkan Identitas Terkelola untuk vault Anda.

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

IM-8: Membatasi pemaparan info masuk dan rahasia

Fitur

Kredensial Layanan dan Rahasia Mendukung Integrasi dan Penyimpanan di Azure Key Vault

Deskripsi: Bidang data mendukung penggunaan asli Azure Key Vault untuk penyimpanan kredensial dan rahasia. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Catatan fitur: Fitur ini didukung untuk semua skenario, kecuali skenario lokal di mana file kredensial vault tidak disimpan di AKV.

Panduan Konfigurasi: Pastikan bahwa rahasia dan kredensial disimpan di lokasi yang aman seperti Azure Key Vault, alih-alih menyematkannya ke dalam file kode atau konfigurasi.

Referensi: Mengonfigurasi vault untuk mengenkripsi menggunakan kunci yang dikelola pelanggan

Akses dengan hak istimewa

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Akses istimewa.

PA-7: Mengikuti prinsip administrasi yang cukup (prinsip hak istimewa paling rendah)

Fitur

Azure RBAC untuk Data Plane

Deskripsi: Azure Role-Based Access Control (Azure RBAC) dapat digunakan untuk mengelola akses ke tindakan sarana data layanan. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Catatan fitur: Azure RBAC didukung untuk tindakan sarana kontrol.

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

Perlindungan data

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Perlindungan data.

DP-2: Memantau anomali dan ancaman yang menargetkan data sensitif

Fitur

Pencegahan Kebocoran/Kehilangan Data

Deskripsi: Layanan mendukung solusi DLP untuk memantau pergerakan data sensitif (dalam konten pelanggan). Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True Salah Pelanggan

Catatan fitur: Azure Backup mendukung fitur lanjutan seperti vault yang tidak dapat diubah, penghapusan sementara, otorisasi multi-pengguna yang dapat membantu melindungi data cadangan pelanggan yang biasanya sensitif secara alami.

Untuk informasi lebih lanjut, silakan kunjungi: Vault yang tidak dapat diubah, Penghapusan sementara, dan Otorisasi multi-pengguna

Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.

DP-3: Mengenkripsi data sensitif saat transit

Fitur

Data dalam Enkripsi Transit

Deskripsi: Layanan mendukung enkripsi dalam transit data untuk bidang data. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True True Microsoft

Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.

Referensi: Keamanan Lapisan Transportasi dalam Pencadangan

DP-4: Mengaktifkan enkripsi data tidak aktif secara default

Fitur

Enkripsi Data tidak Aktif Menggunakan Kunci Platform

Deskripsi: Enkripsi data tidak aktif menggunakan kunci platform didukung, konten pelanggan apa pun saat tidak aktif dienkripsi dengan kunci yang dikelola Microsoft ini. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True True Microsoft

Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.

Referensi: levels-of-encryption-in-azure-backup

DP-5: Menggunakan opsi kunci yang dikelola pelanggan dalam enkripsi data tidak aktif saat diperlukan

Fitur

Enkripsi Data tidak Aktif Menggunakan CMK

Deskripsi: Enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan didukung untuk konten pelanggan yang disimpan oleh layanan. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Jika diperlukan untuk kepatuhan terhadap peraturan, tentukan kasus penggunaan dan cakupan layanan di mana enkripsi menggunakan kunci yang dikelola pelanggan diperlukan. Aktifkan dan terapkan enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan untuk layanan tersebut.

Referensi: Enkripsi data cadangan menggunakan kunci yang dikelola pelanggan

DP-6: Menggunakan proses manajemen kunci yang aman

Fitur

Manajemen Kunci di Azure Key Vault

Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk kunci, rahasia, atau sertifikat pelanggan apa pun. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Gunakan Azure Key Vault untuk membuat dan mengontrol siklus hidup kunci enkripsi Anda, termasuk pembuatan kunci, distribusi, dan penyimpanan. Putar dan cabut kunci Anda di Azure Key Vault dan layanan Anda berdasarkan jadwal yang ditentukan atau ketika ada penghentian atau kompromi kunci. Ketika ada kebutuhan untuk menggunakan kunci yang dikelola pelanggan (CMK) dalam beban kerja, layanan, atau tingkat aplikasi, pastikan Anda mengikuti praktik terbaik untuk manajemen kunci: Gunakan hierarki kunci untuk menghasilkan kunci enkripsi data (DEK) terpisah dengan kunci enkripsi kunci (KEK) Anda di brankas kunci Anda. Pastikan kunci terdaftar di Azure Key Vault dan direferensikan melalui ID kunci dari layanan atau aplikasi. Jika Anda perlu membawa kunci Anda sendiri (BYOK) ke layanan (seperti mengimpor kunci yang dilindungi HSM dari HSM lokal Anda ke Azure Key Vault), ikuti panduan yang direkomendasikan untuk melakukan pembuatan kunci awal dan transfer kunci.

Referensi: Enkripsi dalam Azure Backup

DP-7: Menggunakan proses manajemen sertifikat yang aman

Fitur

Manajemen Sertifikat di Azure Key Vault

Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk sertifikat pelanggan apa pun. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Gunakan Azure Key Vault untuk membuat dan mengontrol siklus hidup sertifikat, termasuk pembuatan, impor, rotasi, pencabutan, penyimpanan, dan pembersihan sertifikat. Pastikan pembuatan sertifikat mengikuti standar yang ditentukan tanpa menggunakan properti yang tidak aman, seperti: ukuran kunci yang tidak cukup, periode validitas yang terlalu lama, kriptografi yang tidak aman. Siapkan rotasi otomatis sertifikat di Azure Key Vault dan layanan Azure (jika didukung) berdasarkan jadwal yang ditentukan atau ketika ada kedaluwarsa sertifikat. Jika rotasi otomatis tidak didukung dalam aplikasi, pastikan mereka masih diputar menggunakan metode manual di Azure Key Vault dan aplikasi.

Referensi: Enkripsi cadangan

Manajemen Aset

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen aset.

AM-2: Hanya menggunakan layanan yang disetujui

Fitur

Dukungan Azure Policy

Deskripsi: Konfigurasi layanan dapat dipantau dan diberlakukan melalui Azure Policy. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True True Microsoft

Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.

Referensi: Pencadangan kebijakan Azure

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pengelogan dan deteksi ancaman.

LT-1: Mengaktifkan kemampuan deteksi ancaman

Fitur

Microsoft Defender untuk Penawaran Layanan / Produk

Deskripsi: Layanan memiliki solusi Microsoft Defender khusus penawaran untuk memantau dan memperingatkan masalah keamanan. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

LT-4: Mengaktifkan pengelogan untuk penyelidikan keamanan

Fitur

Log Sumber Daya Azure

Deskripsi: Layanan menghasilkan log sumber daya yang dapat menyediakan metrik dan pengelogan khusus layanan yang ditingkatkan. Pelanggan dapat mengonfigurasi log sumber daya ini dan mengirimnya ke sink data mereka sendiri seperti akun penyimpanan atau ruang kerja analitik log. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Aktifkan log sumber daya untuk layanan. Misalnya, Key Vault mendukung log sumber daya tambahan untuk tindakan yang mendapatkan rahasia dari brankas kunci atau dan Azure SQL memiliki log sumber daya yang melacak permintaan ke database. Konten log sumber daya bervariasi menurut jenis layanan dan sumber daya Azure.

Referensi: Gunakan pengaturan diagnostik untuk vault Layanan Pemulihan

Pencadangan dan Pemulihan

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pencadangan dan pemulihan.

BR-1: Pastikan pencadangan otomatis secara rutin

Fitur

Pencadangan Azure

Deskripsi: Layanan dapat dicadangkan oleh layanan Azure Backup. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True True Microsoft

Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.

Pemantauan Microsoft Defender untuk Cloud

Definisi bawaan Azure Policy - Microsoft.RecoveryServices:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure Backup harus diaktifkan untuk Virtual Machines Pastikan perlindungan Virtual Machines Azure Anda dengan mengaktifkan Azure Backup. Azure Backup adalah solusi perlindungan data yang aman dan hemat biaya untuk Azure. AuditIfNotExists, Dinonaktifkan 3.0.0

Langkah berikutnya