Browser ini sudah tidak didukung.
Mutakhirkan ke Microsoft Edge untuk memanfaatkan fitur, pembaruan keamanan, dan dukungan teknis terkini.
Garis besar keamanan ini menerapkan panduan dari tolok ukur keamanan cloud Microsoft versi 1.0 ke Container Instances. Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh tolok ukur keamanan cloud Microsoft dan panduan terkait yang berlaku untuk Container Instances.
Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Microsoft Defender untuk Cloud. definisi Azure Policy akan tercantum di bagian Kepatuhan Terhadap Peraturan di halaman portal Microsoft Defender untuk Cloud.
Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan dengan kontrol dan rekomendasi tolok ukur keamanan cloud Microsoft. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.
Catatan
Fitur yang tidak berlaku untuk Container Instances telah dikecualikan. Untuk melihat bagaimana Container Instances sepenuhnya memetakan tolok ukur keamanan cloud Microsoft, lihat file pemetaan garis besar keamanan Container Instances lengkap.
Profil keamanan merangkum perilaku Container Instances berdampak tinggi, yang dapat mengakibatkan peningkatan pertimbangan keamanan.
| Atribut Perilaku Layanan | Nilai |
|---|---|
| Kategori Produk | Komputasi, Kontainer |
| Pelanggan dapat mengakses HOST / OS | Tidak Ada Akses |
| Layanan dapat disebarkan ke jaringan virtual pelanggan | True |
| Menyimpan konten pelanggan saat tidak aktif | Salah |
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Keamanan jaringan.
Deskripsi: Layanan mendukung penyebaran ke Virtual Network privat pelanggan (VNet). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | Salah | Pelanggan |
Panduan Konfigurasi: Sebarkan layanan ke jaringan virtual. Tetapkan IP privat ke sumber daya (jika berlaku) kecuali ada alasan kuat untuk menetapkan IP publik langsung ke sumber daya.
Referensi: Menyebarkan instans kontainer ke dalam Virtual Network
Deskripsi: Lalu lintas jaringan layanan menghormati penetapan aturan Kelompok Keamanan Jaringan pada subnetnya. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | Salah | Pelanggan |
Panduan Konfigurasi: Gunakan aturan NSG untuk mengontrol akses kontainer ke subnet atau sumber daya jaringan lainnya
Catatan: Menempatkan Azure Load Balancer di depan instans kontainer dalam grup kontainer jaringan tidak didukung.
Deskripsi: Kemampuan pemfilteran IP asli layanan untuk memfilter lalu lintas jaringan (tidak bingung dengan NSG atau Azure Firewall). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Deskripsi: Layanan mendukung penonaktifan akses jaringan publik baik melalui menggunakan aturan pemfilteran IP ACL tingkat layanan (bukan NSG atau Azure Firewall) atau menggunakan sakelar pengalih 'Nonaktifkan Akses Jaringan Publik'. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen identitas.
Deskripsi: Layanan mendukung penggunaan autentikasi Azure AD untuk akses sarana data. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Catatan fitur: Pelanggan dapat membuat penggunaan atau identitas Terkelola yang ditetapkan sistem untuk mengakses sumber daya dengan aman di ARM
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Deskripsi: Metode autentikasi lokal yang didukung untuk akses sarana data, seperti nama pengguna dan kata sandi lokal. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Deskripsi: Tindakan bidang data mendukung autentikasi menggunakan identitas terkelola. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan identitas terkelola untuk sumber daya Azure untuk menjalankan kode di Azure Container Instances yang berinteraksi dengan layanan Azure lainnya - tanpa mempertahankan rahasia atau kredensial apa pun dalam kode. Fitur ini menyediakan penyebaran Azure Container Instances dengan identitas terkelola secara otomatis di Azure Active Directory.
Referensi: Cara Menggunakan Identitas Terkelola dengan Azure Container Instances
Deskripsi: Data plane mendukung autentikasi menggunakan perwakilan layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Deskripsi: Akses sarana data dapat dikontrol menggunakan Kebijakan Akses Bersyar Azure AD. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
Deskripsi: Data plane mendukung penggunaan asli Azure Key Vault untuk penyimpanan kredensial dan rahasia. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Akses istimewa.
Deskripsi: Azure Role-Based Access Control (Azure RBAC) dapat digunakan untuk mengelola akses ke tindakan sarana data layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Jika menggunakan registri privat berbasis cloud seperti Azure Container Registry dengan Azure Container Instances, gunakan kontrol akses berbasis peran Azure (Azure RBAC) mengelola akses ke data dan sumber daya dalam registri kontainer Azure.
Referensi: Rekomendasi keamanan untuk Azure Container Instances
Deskripsi: Customer Lockbox dapat digunakan untuk akses dukungan Microsoft. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Perlindungan data.
Deskripsi: Enkripsi data tidak aktif menggunakan kunci platform didukung, konten pelanggan apa pun saat tidak aktif dienkripsi dengan kunci yang dikelola Microsoft ini. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Microsoft |
Panduan Konfigurasi: Aktifkan enkripsi data tidak aktif menggunakan kunci yang dikelola platform (dikelola Microsoft) di mana tidak dikonfigurasi secara otomatis oleh layanan.
Referensi: Azure Container Instances - mengenkripsi data penyebaran
Deskripsi: Enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan didukung untuk konten pelanggan yang disimpan oleh layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Jika diperlukan untuk kepatuhan terhadap peraturan, tentukan kasus penggunaan dan cakupan layanan di mana enkripsi menggunakan kunci yang dikelola pelanggan diperlukan. Aktifkan dan terapkan enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan untuk layanan tersebut.
Referensi: Azure Container Instances - mengenkripsi data penyebaran
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk kunci, rahasia, atau sertifikat pelanggan apa pun. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | Salah | Pelanggan |
Panduan Konfigurasi: Gunakan Azure Key Vault untuk membuat dan mengontrol siklus hidup kunci enkripsi Anda yang digunakan untuk enkripsi berbasis kunci yang dikelola pelanggan untuk instans kontainer Anda.
Referensi: Membuat sumber daya Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk sertifikat pelanggan apa pun. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen aset.
Deskripsi: Konfigurasi layanan dapat dipantau dan diberlakukan melalui Azure Policy. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | Salah | Pelanggan |
Catatan fitur: Azure Container Instances mendukung konfigurasi kebijakan untuk 2 fitur (CMK dan penyebaran di jaringan virtual privat)
Panduan Konfigurasi: Gunakan Microsoft Defender untuk Cloud untuk mengonfigurasi Azure Policy untuk mengaudit dan menerapkan konfigurasi sumber daya Azure Anda. Gunakan Azure Monitor untuk membuat peringatan saat ada deviasi konfigurasi yang terdeteksi pada sumber daya. Gunakan efek [tolak] dan [sebarkan jika tidak ada] Azure Policy untuk menerapkan konfigurasi yang aman di seluruh sumber daya Azure.
Referensi: Azure Policy definisi bawaan untuk Azure Container Instances
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pengelogan dan deteksi ancaman.
Deskripsi: Layanan menghasilkan log sumber daya yang dapat menyediakan metrik dan pengelogan khusus layanan yang ditingkatkan. Pelanggan dapat mengonfigurasi log sumber daya ini dan mengirimnya ke sink data mereka sendiri seperti akun penyimpanan atau ruang kerja analitik log. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Ruang kerja Log Analytics menyediakan lokasi terpusat untuk menyimpan dan mengkueri data log tidak hanya dari sumber daya Azure, tetapi juga sumber daya dan sumber daya lokal di cloud lain. Azure Container Instances menyertakan dukungan bawaan untuk mengirim log dan data peristiwa ke log Azure Monitor.
Referensi: Grup kontainer dan pengelogan instans dengan log Azure Monitor
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pencadangan dan pemulihan.
Deskripsi: Layanan dapat dicadangkan oleh layanan Azure Backup. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Catatan fitur: ACI direkomendasikan untuk aplikasi stateless dan kami tidak menawarkan layanan pencadangan. Pelanggan dapat memilih wilayah yang mendukung dukungan AZ untuk mendukung penyebaran mereka di wilayah yang sama. Untuk lintas wilayah, mereka perlu merancang pencadangan dan solusi pemulihan bencana dengan menyebarkan aplikasi mereka di ACI di beberapa wilayah dan merutekan lalu lintas menggunakan manajer lalu lintas untuk menangani kasus penggunaan pemulihan bencana.
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Deskripsi: Layanan mendukung kemampuan pencadangan aslinya sendiri (jika tidak menggunakan Azure Backup). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Pelatihan
Modul
Mengenal Azure Backup - Training
Mengevaluasi apakah Azure Backup cocok digunakan untuk kebutuhan pencadangan Anda dan menjelaskan cara kerja fitur Azure Backup untuk menyediakan solusi pencadangan untuk kebutuhan Anda.
Sertifikasi
Bersertifikat Microsoft: Rekan Administrator Perlindungan Informasi dan Kepatuhan - Certifications
Menunjukkan dasar-dasar keamanan data, manajemen siklus hidup, keamanan informasi, dan kepatuhan untuk melindungi penyebaran Microsoft 365.
Dokumentasi
Pertimbangan keamanan untuk instans kontainer - Azure Container Instances
Rekomendasi untuk mengamankan gambar dan rahasia untuk Azure Container Instances, dan pertimbangan keamanan umum untuk platform kontainer apa pun
Garis besar keamanan Azure untuk Azure Container Apps
Garis besar keamanan Azure Container Apps menyediakan panduan prosedural dan sumber daya untuk menerapkan rekomendasi keamanan yang ditentukan dalam tolok ukur keamanan cloud Microsoft.
Mengenkripsi data penyebaran - Azure Container Instances
Pelajari tentang enkripsi data yang bertahan untuk sumber daya instans kontainer Anda dan cara mengenkripsi data dengan kunci yang dikelola pelanggan