Bagikan melalui


Garis besar keamanan Azure untuk Azure Machine Learning Service

Garis besar keamanan ini menerapkan panduan dari tolok ukur keamanan cloud Microsoft versi 1.0 ke Azure Machine Learning Service. Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh tolok ukur keamanan cloud Microsoft dan panduan terkait yang berlaku untuk Layanan Pembelajaran Mesin.

Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Microsoft Defender untuk Cloud. definisi Azure Policy akan tercantum di bagian Kepatuhan Terhadap Peraturan di halaman portal Microsoft Defender untuk Cloud.

Saat fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan dengan kontrol dan rekomendasi tolok ukur keamanan cloud Microsoft. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Fitur yang tidak berlaku untuk Azure Machine Learning Service telah dikecualikan. Untuk melihat bagaimana Azure Machine Learning Service sepenuhnya memetakan tolok ukur keamanan cloud Microsoft, lihat file pemetaan garis besar keamanan Azure Machine Learning Service lengkap.

Profil keamanan

Profil keamanan merangkum perilaku berdampak tinggi dari Azure Machine Learning Service, yang dapat mengakibatkan peningkatan pertimbangan keamanan.

Atribut Perilaku Layanan Nilai
Kategori Produk AI+ML
Pelanggan dapat mengakses HOST / OS Akses Penuh
Layanan dapat disebarkan ke jaringan virtual pelanggan True
Menyimpan konten pelanggan saat tidak aktif Salah

Keamanan jaringan

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Keamanan jaringan.

NS-1: Membangun batas segmentasi jaringan

Fitur

Integrasi Jaringan Virtual

Deskripsi: Layanan mendukung penyebaran ke Virtual Network privat pelanggan (VNet). Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True Salah Bersama

Panduan Konfigurasi: Gunakan isolasi jaringan terkelola untuk memberikan pengalaman isolasi jaringan otomatis.

Catatan: Anda juga dapat menggunakan jaringan virtual untuk sumber daya Azure Machine Learning, tetapi beberapa jenis komputasi tidak didukung.

Referensi: Mengamankan sumber daya ruang kerja Azure Machine Learning menggunakan jaringan virtual (VNet)

Dukungan Kelompok Keamanan Jaringan

Deskripsi: Lalu lintas jaringan layanan menghormati penetapan aturan Kelompok Keamanan Jaringan pada subnetnya. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True Salah Bersama

Panduan Konfigurasi: Gunakan isolasi jaringan terkelola untuk memberikan pengalaman isolasi jaringan otomatis yang mencakup konfigurasi masuk dan keluar menggunakan NSG.

Catatan: Gunakan kelompok keamanan jaringan (NSG) untuk membatasi atau memantau lalu lintas berdasarkan port, protokol, alamat IP sumber, atau alamat IP tujuan. Buat aturan NSG untuk membatasi port terbuka layanan Anda (seperti mencegah port manajemen diakses dari jaringan yang tidak tepercaya). Ketahuilah bahwa secara default, NSG menolak semua lalu lintas masuk tetapi mengizinkan lalu lintas dari jaringan virtual dan Azure Load Balancer.

Referensi: Merencanakan isolasi jaringan

NS-2: Mengamankan layanan cloud dengan kontrol jaringan

Fitur

Deskripsi: Kemampuan pemfilteran IP asli layanan untuk memfilter lalu lintas jaringan (tidak bingung dengan NSG atau Azure Firewall). Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True Salah Pelanggan

Panduan Konfigurasi: Sebarkan titik akhir privat untuk semua sumber daya Azure yang mendukung fitur Private Link, untuk membuat titik akses privat untuk sumber daya.

Referensi: Mengonfigurasi titik akhir privat untuk ruang kerja Azure Machine Learning

Menonaktifkan Akses Jaringan Publik

Deskripsi: Layanan mendukung penonaktifan akses jaringan publik baik melalui menggunakan aturan pemfilteran IP ACL tingkat layanan (bukan NSG atau Azure Firewall) atau menggunakan sakelar pengalih 'Nonaktifkan Akses Jaringan Publik'. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True Salah Pelanggan

Panduan Konfigurasi: Nonaktifkan akses jaringan publik baik menggunakan aturan pemfilteran IP ACL tingkat layanan atau sakelar pengalih untuk akses jaringan publik.

Referensi: Mengonfigurasi titik akhir privat untuk ruang kerja Azure Machine Learning

Pemantauan Microsoft Defender untuk Cloud

Definisi bawaan Azure Policy - Microsoft.MachineLearningServices:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Komputasi Azure Machine Learning harus berada dalam jaringan virtual Azure Virtual Networks menyediakan keamanan dan isolasi yang ditingkatkan untuk Kluster dan Instans Komputasi Azure Machine Learning Anda, serta subnet, kebijakan kontrol akses, dan fitur lainnya untuk membatasi akses lebih lanjut. Ketika komputasi dikonfigurasi dengan jaringan virtual, komputasi tidak dapat diatasi secara publik dan hanya dapat diakses dari komputer virtual dan aplikasi dalam jaringan virtual. Audit, Dinonaktifkan 1.0.1

Manajemen identitas

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen identitas.

IM-1: Menggunakan identitas dan sistem autentikasi terpusat

Fitur

Autentikasi Azure AD Diperlukan untuk Akses Sarana Data

Deskripsi: Layanan mendukung penggunaan autentikasi Azure AD untuk akses sarana data. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True True Microsoft

Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.

Referensi: Menyiapkan autentikasi untuk sumber daya dan alur kerja Azure Machine Learning

Metode Autentikasi Lokal untuk Akses Data Plane

Deskripsi: Metode autentikasi lokal yang didukung untuk akses sarana data, seperti nama pengguna dan kata sandi lokal. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

IM-3: Mengelola identitas aplikasi dengan aman dan otomatis

Fitur

Identitas Terkelola

Deskripsi: Tindakan bidang data mendukung autentikasi menggunakan identitas terkelola. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Gunakan identitas terkelola Azure alih-alih perwakilan layanan jika memungkinkan, yang dapat mengautentikasi ke layanan dan sumber daya Azure yang mendukung autentikasi Azure Active Directory (Azure AD). Info masuk identitas terkelola sepenuhnya dikelola, diputar, dan dilindungi oleh platform, menghindari info masuk yang dikodekan secara permanen dalam kode sumber atau file konfigurasi.

Referensi: Menyiapkan autentikasi antara Azure Machine Learning dan layanan lainnya

Perwakilan Layanan

Deskripsi: Bidang data mendukung autentikasi menggunakan perwakilan layanan. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.

Referensi: Menyiapkan autentikasi antara Azure Machine Learning dan layanan lainnya

IM-7: Membatasi akses sumber daya berdasarkan kondisi

Fitur

Akses Bersyarah untuk Data Plane

Deskripsi: Akses sarana data dapat dikontrol menggunakan Kebijakan Akses Bersyarah Azure AD. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Tentukan kondisi dan kriteria yang berlaku untuk akses bersyarah Azure Active Directory (Azure AD) dalam beban kerja. Pertimbangkan kasus penggunaan umum seperti memblokir atau memberikan akses dari lokasi tertentu, memblokir perilaku masuk berisiko, atau mengharuskan perangkat yang dikelola organisasi untuk aplikasi tertentu.

Referensi: Gunakan Akses Bersyarah

IM-8: Membatasi pemaparan info masuk dan rahasia

Fitur

Kredensial Layanan dan Rahasia Mendukung Integrasi dan Penyimpanan di Azure Key Vault

Deskripsi: Bidang data mendukung penggunaan asli Azure Key Vault untuk penyimpanan kredensial dan rahasia. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Pastikan bahwa rahasia dan kredensial disimpan di lokasi yang aman seperti Azure Key Vault, alih-alih menyematkannya ke dalam file kode atau konfigurasi.

Referensi: Menggunakan rahasia kredensial autentikasi dalam pekerjaan Azure Machine Learning

Akses dengan hak istimewa

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Akses istimewa.

PA-1: Memisahkan dan membatasi pengguna dengan hak istimewa tinggi/administratif

Fitur

Akun Admin Lokal

Deskripsi: Layanan memiliki konsep akun administratif lokal. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

PA-7: Mengikuti prinsip administrasi yang cukup (prinsip hak istimewa paling rendah)

Fitur

Azure RBAC untuk Data Plane

Deskripsi: Azure Role-Based Access Control (Azure RBAC) dapat digunakan untuk mengelola akses ke tindakan sarana data layanan. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Gunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk mengelola akses sumber daya Azure melalui penetapan peran bawaan. Peran RBAC Azure dapat ditetapkan ke pengguna, grup, perwakilan layanan, dan identitas terkelola.

Referensi: Mengelola akses ke ruang kerja Azure Machine Learning

PA-8: Menentukan proses akses untuk dukungan penyedia cloud

Fitur

Customer Lockbox

Deskripsi: Customer Lockbox dapat digunakan untuk akses dukungan Microsoft. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

Perlindungan data

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Perlindungan data.

DP-1: Menemukan, mengklasifikasikan, dan memberi label data sensitif

Fitur

Penemuan dan Klasifikasi Data Sensitif

Deskripsi: Alat (seperti Azure Purview atau Azure Information Protection) dapat digunakan untuk penemuan dan klasifikasi data dalam layanan. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Gunakan alat seperti Azure Purview, Azure Information Protection, dan Azure SQL Penemuan dan Klasifikasi Data untuk memindai, mengklasifikasikan, dan memberi label data sensitif apa pun yang berada di Azure, lokal, Microsoft 365, atau lokasi lainnya secara terpusat.

Referensi: Menyambungkan dan mengelola Azure Machine Learning di Microsoft Purview

DP-2: Memantau anomali dan ancaman yang menargetkan data sensitif

Fitur

Pencegahan Kebocoran/Kehilangan Data

Deskripsi: Layanan mendukung solusi DLP untuk memantau pergerakan data sensitif (dalam konten pelanggan). Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Jika diperlukan untuk kepatuhan pencegahan kehilangan data (DLP), Anda dapat menggunakan konfigurasi perlindungan penyelundupan data. Isolasi jaringan terkelola juga mendukung perlindungan penyelundupan data.

Referensi: Pencegahan penyelundupan data Azure Machine Learning

DP-3: Mengenkripsi data sensitif saat transit

Fitur

Data dalam Enkripsi Transit

Deskripsi: Layanan mendukung enkripsi dalam transit data untuk bidang data. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True True Microsoft

Catatan fitur: Azure Machine Learning menggunakan TLS untuk mengamankan komunikasi internal antara berbagai layanan mikro Azure Machine Learning. Semua akses Azure Storage juga terjadi melalui saluran aman.

Untuk informasi tentang cara mengamankan titik akhir online Kube yang dibuat melalui Azure Machine Learning, silakan kunjungi: Mengonfigurasi titik akhir online yang aman dengan TLS/SSL

Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.

Referensi: Enkripsi saat transit

DP-4: Mengaktifkan enkripsi data tidak aktif secara default

Fitur

Enkripsi Data tidak Aktif Menggunakan Kunci Platform

Deskripsi: Enkripsi data tidak aktif menggunakan kunci platform didukung, konten pelanggan apa pun saat tidak aktif dienkripsi dengan kunci yang dikelola Microsoft ini. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True True Microsoft

Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.

Referensi: Enkripsi data dengan Azure Machine Learning

DP-5: Menggunakan opsi kunci yang dikelola pelanggan dalam enkripsi data tidak aktif saat diperlukan

Fitur

Enkripsi Data tidak Aktif Menggunakan CMK

Deskripsi: Enkripsi data saat tidak aktif menggunakan kunci yang dikelola pelanggan didukung untuk konten pelanggan yang disimpan oleh layanan. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Jika diperlukan untuk kepatuhan terhadap peraturan, tentukan kasus penggunaan dan cakupan layanan di mana enkripsi menggunakan kunci yang dikelola pelanggan diperlukan. Aktifkan dan terapkan enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan untuk layanan tersebut.

Referensi: Kunci yang dikelola pelanggan untuk Azure Machine Learning

Pemantauan Microsoft Defender untuk Cloud

Definisi bawaan Azure Policy - Microsoft.MachineLearningServices:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Ruang kerja Azure Machine Learning harus dienkripsi dengan kunci yang dikelola pelanggan Kelola enkripsi pada data ruang kerja Azure Machine Learning lainnya dengan kunci yang dikelola pelanggan. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan umumnya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/azureml-workspaces-cmk. Audit, Tolak, Dinonaktifkan 1.0.3

DP-6: Menggunakan proses manajemen kunci yang aman

Fitur

Manajemen Kunci di Azure Key Vault

Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk kunci, rahasia, atau sertifikat pelanggan apa pun. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Gunakan Azure Key Vault untuk membuat dan mengontrol siklus hidup kunci enkripsi Anda, termasuk pembuatan kunci, distribusi, dan penyimpanan. Putar dan cabut kunci Anda di Azure Key Vault dan layanan Anda berdasarkan jadwal yang ditentukan atau ketika ada penghentian atau penyusupan kunci. Ketika ada kebutuhan untuk menggunakan kunci yang dikelola pelanggan (CMK) dalam beban kerja, layanan, atau tingkat aplikasi, pastikan Anda mengikuti praktik terbaik untuk manajemen kunci: Gunakan hierarki kunci untuk menghasilkan kunci enkripsi data (DEK) terpisah dengan kunci enkripsi kunci (KEK) Anda di brankas kunci Anda. Pastikan kunci terdaftar di Azure Key Vault dan direferensikan melalui ID kunci dari layanan atau aplikasi. Jika Anda perlu membawa kunci Anda sendiri (BYOK) ke layanan (seperti mengimpor kunci yang dilindungi HSM dari HSM lokal Anda ke Azure Key Vault), ikuti panduan yang direkomendasikan untuk melakukan pembuatan kunci awal dan transfer kunci.

Referensi: Kunci yang dikelola pelanggan untuk Azure Machine Learning

DP-7: Menggunakan proses manajemen sertifikat yang aman

Fitur

Manajemen Sertifikat di Azure Key Vault

Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk sertifikat pelanggan apa pun. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

Manajemen Aset

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen aset.

AM-2: Hanya menggunakan layanan yang disetujui

Fitur

Dukungan Azure Policy

Deskripsi: Konfigurasi layanan dapat dipantau dan diberlakukan melalui Azure Policy. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Gunakan Microsoft Defender untuk Cloud untuk mengonfigurasi Azure Policy untuk mengaudit dan menerapkan konfigurasi sumber daya Azure Anda. Gunakan Azure Monitor untuk membuat peringatan saat ada deviasi konfigurasi yang terdeteksi pada sumber daya. Gunakan efek [tolak] dan [sebarkan jika tidak ada] Azure Policy untuk menerapkan konfigurasi yang aman di seluruh sumber daya Azure.

Referensi: Azure Policy definisi kebijakan bawaan untuk Azure Machine Learning

AM-5: Menggunakan hanya aplikasi yang disetujui di mesin virtual

Fitur

Microsoft Defender untuk Cloud - Kontrol Aplikasi Adaptif

Deskripsi: Layanan dapat membatasi aplikasi pelanggan apa yang berjalan pada komputer virtual menggunakan Kontrol Aplikasi Adaptif di Microsoft Defender untuk Cloud. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pengelogan dan deteksi ancaman.

LT-1: Mengaktifkan kemampuan deteksi ancaman

Fitur

Microsoft Defender untuk Penawaran Layanan / Produk

Deskripsi: Layanan memiliki solusi Microsoft Defender khusus penawaran untuk memantau dan memperingatkan masalah keamanan. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Catatan fitur: Jika menggunakan kontainer atau kluster kustom Anda sendiri untuk Azure Machine Learning, Anda harus mengaktifkan pemindaian sumber daya Azure Container Registry dan sumber daya Azure Kubernetes Service melalui Microsoft Defender for Cloud. Namun, Microsoft Defender untuk Cloud tidak dapat digunakan pada instans komputasi atau kluster komputasi terkelola Azure Machine Learning.

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

LT-4: Mengaktifkan pengelogan untuk penyelidikan keamanan

Fitur

Log Sumber Daya Azure

Deskripsi: Layanan menghasilkan log sumber daya yang dapat menyediakan metrik dan pengelogan khusus layanan yang ditingkatkan. Pelanggan dapat mengonfigurasi log sumber daya ini dan mengirimnya ke sink data mereka sendiri seperti akun penyimpanan atau ruang kerja analitik log. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Aktifkan log sumber daya untuk layanan. Misalnya, Key Vault mendukung log sumber daya tambahan untuk tindakan yang mendapatkan rahasia dari brankas kunci atau dan Azure SQL memiliki log sumber daya yang melacak permintaan ke database. Konten log sumber daya bervariasi menurut jenis layanan dan sumber daya Azure.

Referensi: Memantau Azure Machine Learning

Manajemen postur dan kerentanan

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen postur dan kerentanan.

PV-3: Menetapkan dan membangun konfigurasi yang aman untuk sumber daya komputasi

Fitur

Konfigurasi Status Azure Automation

Deskripsi: Azure Automation Konfigurasi Status dapat digunakan untuk mempertahankan konfigurasi keamanan sistem operasi. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

Agen Konfigurasi Tamu Azure Policy

Deskripsi: Azure Policy agen konfigurasi tamu dapat diinstal atau disebarkan sebagai ekstensi untuk menghitung sumber daya. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Gunakan Microsoft Defender untuk Cloud dan Azure Policy agen konfigurasi tamu untuk menilai dan memulihkan penyimpangan konfigurasi secara teratur pada sumber daya komputasi Azure Anda, termasuk VM, kontainer, dan lainnya.

Gambar VM Kustom

Deskripsi: Layanan mendukung penggunaan gambar VM yang disediakan pengguna atau gambar bawaan dari marketplace dengan konfigurasi dasar tertentu yang telah diterapkan sebelumnya. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

Gambar Kontainer Kustom

Deskripsi: Layanan mendukung penggunaan gambar kontainer yang disediakan pengguna atau gambar bawaan dari marketplace dengan konfigurasi dasar tertentu yang telah diterapkan sebelumnya. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Gunakan gambar yang diperkeras yang telah dikonfigurasi sebelumnya dari pemasok tepercaya seperti Microsoft atau buat garis besar konfigurasi aman yang diinginkan ke dalam templat gambar kontainer

Referensi: Melatih model dengan menggunakan gambar Docker kustom

PV-5: Melakukan penilaian kerentanan

Fitur

Penilaian Kerentanan menggunakan Microsoft Defender

Deskripsi: Layanan dapat dipindai untuk pemindaian kerentanan menggunakan Microsoft Defender untuk Cloud atau kemampuan penilaian kerentanan yang disematkan layanan Microsoft Defender lainnya (termasuk Microsoft Defender untuk server, registri kontainer, App Service, SQL, dan DNS). Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Catatan fitur: Penginstalan agen Defender for Server saat ini tidak didukung, namun Trivy dapat diinstal pada instans komputasi untuk menemukan kerentanan tingkat paket OS dan Python.

Untuk informasi selengkapnya, silakan kunjungi: Manajemen kerentanan untuk Azure Machine Learning

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

PV-6: Secara cepat dan otomatis memulihkan kerentanan

Fitur

Manajemen Pembaruan Azure Automation

Deskripsi: Layanan dapat menggunakan manajemen pembaruan Azure Automation untuk menyebarkan patch dan pembaruan secara otomatis. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Catatan fitur: Kluster komputasi secara otomatis meningkatkan ke gambar VM terbaru. Jika kluster dikonfigurasi dengan node min = 0, secara otomatis meningkatkan node ke versi citra VM terbaru ketika semua pekerjaan selesai dan kluster berkurang menjadi nol node.

Instans komputasi mendapatkan citra mesin virtual terbaru pada saat provisi. Microsoft merilis gambar VM baru setiap bulan. Setelah instans komputasi disebarkan, instans tersebut tidak diperbarui secara aktif. Untuk terus mengikuti pembaruan perangkat lunak terbaru dan patch keamanan, Anda dapat:

  1. Membuat ulang instans komputasi untuk mendapatkan gambar OS terbaru (disarankan)

  2. Atau, perbarui paket OS dan Python secara teratur.

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

Keamanan titik akhir

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Keamanan titik akhir.

ES-1: Menggunakan Deteksi dan Respons Titik Akhir (EDR)

Fitur

Solusi EDR

Deskripsi: Fitur Deteksi dan Respons Titik Akhir (EDR) seperti Azure Defender untuk server dapat disebarkan ke titik akhir. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

ES-2: Gunakan perangkat lunak antimalware modern

Fitur

Solusi Anti-Malware

Deskripsi: Fitur anti-malware seperti antivirus Microsoft Defender, Microsoft Defender untuk Titik Akhir dapat disebarkan pada titik akhir. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: ClamAV dapat digunakan untuk menemukan malware dan telah diinstal sebelumnya pada instans komputasi.

Referensi: Manajemen kerentanan pada host komputasi

ES-3: Memastikan perangkat lunak anti-malware dan tanda tangan diperbarui

Fitur

Pemantauan Kesehatan Solusi Anti-Malware

Deskripsi: Solusi anti-malware menyediakan pemantauan status kesehatan untuk pembaruan platform, mesin, dan tanda tangan otomatis. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: ClamAV dapat digunakan untuk menemukan malware dan telah diinstal sebelumnya pada instans komputasi.

Pencadangan dan Pemulihan

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pencadangan dan pemulihan.

BR-1: Pastikan pencadangan otomatis secara rutin

Fitur

Pencadangan Azure

Deskripsi: Layanan dapat dicadangkan oleh layanan Azure Backup. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

Kemampuan Pencadangan Asli Layanan

Deskripsi: Layanan mendukung kemampuan pencadangan aslinya sendiri (jika tidak menggunakan Azure Backup). Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

Langkah berikutnya