Bagikan melalui


Garis besar keamanan Azure untuk Azure Resource Manager

Garis besar keamanan ini menerapkan panduan dari tolok ukur keamanan cloud Microsoft versi 1.0 ke Azure Resource Manager. Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh tolok ukur keamanan cloud Microsoft dan panduan terkait yang berlaku untuk Azure Resource Manager.

Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Microsoft Defender untuk Cloud. definisi Azure Policy akan tercantum di bagian Kepatuhan Terhadap Peraturan di halaman portal Microsoft Defender untuk Cloud.

Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan dengan kontrol dan rekomendasi tolok ukur keamanan cloud Microsoft. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Fitur yang tidak berlaku untuk Azure Resource Manager telah dikecualikan. Untuk melihat bagaimana Azure Resource Manager sepenuhnya memetakan tolok ukur keamanan cloud Microsoft, lihat file pemetaan garis besar keamanan Azure Resource Manager lengkap.

Profil keamanan

Profil keamanan meringkas perilaku berdampak tinggi dari Azure Resource Manager, yang dapat mengakibatkan peningkatan pertimbangan keamanan.

Atribut Perilaku Layanan Nilai
Kategori Produk MGMT/Tata Kelola
Pelanggan dapat mengakses HOST / OS Tidak Ada Akses
Layanan dapat disebarkan ke jaringan virtual pelanggan FALSE
Menyimpan konten pelanggan saat tidak aktif FALSE

Keamanan jaringan

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Keamanan jaringan.

NS-2: Mengamankan layanan cloud dengan kontrol jaringan

Fitur

Deskripsi: Kemampuan pemfilteran IP asli layanan untuk memfilter lalu lintas jaringan (tidak bingung dengan NSG atau Azure Firewall). Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Sebarkan titik akhir privat untuk membuat titik akses privat untuk mengelola sumber daya di bawah grup manajemen akar (penyewa).

Catatan: Resource Management Private Link sumber daya dapat dihubungkan ke titik akhir privat untuk mengaktifkan akses privat yang aman untuk mengelola sumber daya Azure.

Referensi: Membuat tautan privat untuk mengelola sumber daya Azure

Menonaktifkan Akses Jaringan Publik

Deskripsi: Layanan mendukung penonaktifan akses jaringan publik baik melalui menggunakan aturan pemfilteran IP ACL tingkat layanan (bukan NSG atau Azure Firewall) atau menggunakan sakelar pengalih 'Nonaktifkan Akses Jaringan Publik'. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Catatan fitur: Azure Resource Manager mendukung konektivitas privat melalui titik akhir privat Azure dan sumber daya Azure Resource Management Private Links. Namun, kemampuan untuk menonaktifkan akses jaringan publik belum tersedia.

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

Akses dengan hak istimewa

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Akses istimewa.

PA-8: Menentukan proses akses untuk dukungan penyedia cloud

Fitur

Customer Lockbox

Deskripsi: Customer Lockbox dapat digunakan untuk akses dukungan Microsoft. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

Perlindungan data

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Perlindungan data.

DP-3: Mengenkripsi data sensitif saat transit

Fitur

Data dalam Enkripsi Transit

Deskripsi: Layanan mendukung enkripsi dalam transit data untuk bidang data. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True True Microsoft

Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.

Referensi: Migrasi ke TLS 1.2 untuk Azure Resource Manager

DP-4: Mengaktifkan enkripsi data tidak aktif secara default

Fitur

Enkripsi Data tidak Aktif Menggunakan Kunci Platform

Deskripsi: Enkripsi data tidak aktif menggunakan kunci platform didukung, konten pelanggan apa pun saat tidak aktif dienkripsi dengan kunci yang dikelola Microsoft ini. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True True Microsoft

Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.

Manajemen Aset

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen aset.

AM-2: Hanya menggunakan layanan yang disetujui

Fitur

Dukungan Azure Policy

Deskripsi: Konfigurasi layanan dapat dipantau dan diberlakukan melalui Azure Policy. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.

Referensi: Azure Policy definisi bawaan untuk Azure Resource Manager

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pengelogan dan deteksi ancaman.

LT-1: Mengaktifkan kemampuan deteksi ancaman

Fitur

Microsoft Defender untuk Penawaran Layanan / Produk

Deskripsi: Layanan memiliki solusi Microsoft Defender khusus penawaran untuk memantau dan memperingatkan masalah keamanan. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Microsoft Defender untuk Resource Manager memantau operasi manajemen sumber daya di organisasi Anda, baik dilakukan melalui portal Azure, REST API Azure, Azure CLI, atau klien terprogram Azure lainnya. Defender untuk Cloud menjalankan analitik keamanan tingkat lanjut untuk mendeteksi ancaman dan memberi tahu Anda tentang aktivitas yang mencurigakan.

Referensi: Gambaran umum Microsoft Defender untuk Resource Manager

Pemantauan Microsoft Defender untuk Cloud

Definisi bawaan Azure Policy - Microsoft.Resources:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Azure Defender untuk App Service harus diaktifkan Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. AuditIfNotExists, Dinonaktifkan 1.0.3

LT-4: Mengaktifkan pengelogan untuk penyelidikan keamanan

Fitur

Log Sumber Daya Azure

Deskripsi: Layanan menghasilkan log sumber daya yang dapat menyediakan metrik dan pengelogan khusus layanan yang ditingkatkan. Pelanggan dapat mengonfigurasi log sumber daya ini dan mengirimnya ke sink data mereka sendiri seperti akun penyimpanan atau ruang kerja analitik log. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Aktifkan log sumber daya untuk Azure Resource Manager. Saat Anda membuat dan mengelola sumber daya di Azure, permintaan Akan diatur melalui sarana kontrol Azure, Azure Resource Manager. Dengan pengelogan sumber daya, Anda dapat memantau volume dan latensi permintaan sarana kontrol yang dibuat ke Azure. Dengan metrik ini, Anda dapat memperhatikan lalu lintas dan latensi untuk permintaan sarana kontrol di seluruh langganan Anda. Misalnya, sekarang Anda dapat mencari tahu kapan permintaan telah dibatasi atau gagal dengan memfilter kode status tertentu.

Referensi: Metrik Azure Resource Manager di Azure Monitor

Pencadangan dan Pemulihan

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pencadangan dan pemulihan.

BR-1: Pastikan pencadangan otomatis secara rutin

Fitur

Kemampuan Pencadangan Asli Layanan

Deskripsi: Layanan mendukung kemampuan pencadangan aslinya sendiri (jika tidak menggunakan Azure Backup). Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
Salah Tidak berlaku Tidak berlaku

Catatan fitur: Ekspor templat Azure Resource Manager tidak dapat digunakan untuk mengambil data tidak aktif. Untuk konfigurasi sumber daya, kami menyarankan Anda membuat infrastruktur dari templat sumber dan bila diperlukan, terapkan ulang dari sumber kebenaran tersebut. Ekspor Templat dapat membantu bootstrap proses tersebut, tetapi tidak cukup kuat untuk mempertangungjawabkan pemulihan bencana.

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

Langkah berikutnya