Garis besar keamanan Azure untuk Virtual Machines - Virtual Machines Linux
Garis besar keamanan ini menerapkan panduan dari tolok ukur keamanan cloud Microsoft versi 1.0 ke Virtual Machines - Virtual Machines Linux. Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh tolok ukur keamanan cloud Microsoft dan panduan terkait yang berlaku untuk Virtual Machines - Virtual Machines Linux.
Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Microsoft Defender untuk Cloud. definisi Azure Policy akan tercantum di bagian Kepatuhan Terhadap Peraturan di halaman portal Microsoft Defender untuk Cloud.
Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan dengan kontrol dan rekomendasi tolok ukur keamanan cloud Microsoft. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.
Catatan
Fitur yang tidak berlaku untuk Virtual Machines - Virtual Machines Linux telah dikecualikan. Untuk melihat bagaimana Virtual Machines - Linux Virtual Machines sepenuhnya memetakan tolok ukur keamanan cloud Microsoft, lihat file pemetaan garis besar keamanan Virtual Machines - Linux Virtual Machines lengkap.
Profil keamanan
Profil keamanan meringkas perilaku berdampak tinggi Virtual Machines - Virtual Machines Linux, yang dapat mengakibatkan peningkatan pertimbangan keamanan.
| Atribut Perilaku Layanan | Nilai |
|---|---|
| Kategori Produk | Compute |
| Pelanggan dapat mengakses HOST / OS | Akses Penuh |
| Layanan dapat disebarkan ke jaringan virtual pelanggan | True |
| Menyimpan konten pelanggan saat tidak aktif | True |
Keamanan jaringan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Keamanan jaringan.
NS-1: Membangun batas segmentasi jaringan
Fitur
Integrasi Jaringan Virtual
Deskripsi: Layanan mendukung penyebaran ke Virtual Network privat pelanggan (VNet). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Jaringan virtual dan komputer virtual di Azure
Dukungan Kelompok Keamanan Jaringan
Deskripsi: Lalu lintas jaringan layanan menghormati penetapan aturan Kelompok Keamanan Jaringan pada subnetnya. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan grup keamanan jaringan (NSG) untuk membatasi atau memantau lalu lintas berdasarkan port, protokol, alamat IP sumber, atau alamat IP tujuan. Buat aturan NSG untuk membatasi port terbuka layanan Anda (seperti mencegah port manajemen diakses dari jaringan yang tidak tepercaya). Ketahuilah bahwa secara default, NSG menolak semua lalu lintas masuk tetapi mengizinkan lalu lintas dari jaringan virtual dan Azure Load Balancer.
Saat membuat komputer virtual (VM) Azure, Anda harus membuat jaringan virtual atau menggunakan jaringan virtual yang ada dan mengonfigurasi VM dengan subnet. Pastikan bahwa semua subnet yang disebarkan memiliki Grup Keamanan Jaringan yang diterapkan dengan kontrol akses jaringan khusus untuk port dan sumber terpercaya aplikasi Anda.
Referensi: Grup keamanan jaringan
Pemantauan Microsoft Defender untuk Cloud
Definisi bawaan Azure Policy - Microsoft.ClassicCompute:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Semua port jaringan harus dibatasi pada grup keamanan jaringan yang terkait dengan komputer virtual Anda | Azure Security Center telah mengidentifikasi beberapa aturan masuk grup keamanan jaringan Anda terlalu permisif. Aturan masuk tidak boleh mengizinkan akses dari rentang 'Apa pun' atau 'Internet'. Ini berpotensi memungkinkan penyerang untuk menargetkan sumber daya Anda. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Definisi bawaan Azure Policy - Microsoft.Compute:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Rekomendasi pengerasan jaringan adaptif harus diterapkan pada komputer virtual yang menghadap internet | Azure Security Center menganalisis pola lalu lintas komputer virtual yang dihadapi Internet dan memberikan rekomendasi aturan Grup Keamanan Jaringan yang mengurangi potensi serangan permukaan | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
NS-2: Mengamankan layanan cloud dengan kontrol jaringan
Fitur
Menonaktifkan Akses Jaringan Publik
Deskripsi: Layanan mendukung penonaktifan akses jaringan publik baik melalui menggunakan aturan pemfilteran IP ACL tingkat layanan (bukan NSG atau Azure Firewall) atau menggunakan sakelar pengalih 'Nonaktifkan Akses Jaringan Publik'. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Layanan seperti iptable atau firewalld dapat diinstal di OS Linux dan menyediakan pemfilteran jaringan untuk menonaktifkan akses publik.
Manajemen identitas
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen identitas.
IM-1: Menggunakan identitas dan sistem autentikasi terpusat
Fitur
Autentikasi Azure AD Diperlukan untuk Akses Sarana Data
Deskripsi: Layanan mendukung penggunaan autentikasi Azure AD untuk akses sarana data. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan Azure Active Directory (Azure AD) sebagai metode autentikasi default untuk mengontrol akses sarana data Anda.
Referensi: Masuk ke komputer virtual Linux di Azure dengan menggunakan Azure AD dan OpenSSH
Metode Autentikasi Lokal untuk Akses Data Plane
Deskripsi: Metode autentikasi lokal yang didukung untuk akses sarana data, seperti nama pengguna dan kata sandi lokal. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Catatan fitur: Akun administrator lokal dibuat secara default selama penyebaran awal komputer virtual. Hindari penggunaan metode atau akun autentikasi lokal, ini harus dinonaktifkan sedapat mungkin. Sebagai gantinya, gunakan Azure AD untuk mengautentikasi jika memungkinkan.
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
IM-3: Mengelola identitas aplikasi dengan aman dan otomatis
Fitur
Identitas Terkelola
Deskripsi: Tindakan bidang data mendukung autentikasi menggunakan identitas terkelola. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Identitas terkelola secara tradisional dimanfaatkan oleh VM Linux untuk mengautentikasi ke layanan lain. Jika VM Linux mendukung autentikasi Azure AD, identitas terkelola mungkin didukung.
Panduan Konfigurasi: Gunakan identitas terkelola Azure alih-alih perwakilan layanan jika memungkinkan, yang dapat mengautentikasi ke layanan dan sumber daya Azure yang mendukung autentikasi Azure Active Directory (Azure AD). Info masuk identitas terkelola sepenuhnya dikelola, diputar, dan dilindungi oleh platform, menghindari info masuk yang dikodekan secara permanen dalam kode sumber atau file konfigurasi.
Perwakilan Layanan
Deskripsi: Bidang data mendukung autentikasi menggunakan perwakilan layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Perwakilan layanan dapat digunakan oleh aplikasi yang berjalan di VM Linux.
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
Pemantauan Microsoft Defender untuk Cloud
Definisi bawaan Azure Policy - Microsoft.Compute:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Ekstensi Konfigurasi Tamu komputer virtual harus disebarkan dengan identitas terkelola yang ditetapkan sistem | Ekstensi Konfigurasi Tamu memerlukan identitas terkelola yang ditetapkan sistem. Komputer virtual Azure dalam cakupan kebijakan ini tidak akan mematuhi kebijakan jika ekstensi Konfigurasi Tamu diinstal tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Pelajari lebih lanjut di https://aka.ms/gcpol | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
IM-7: Membatasi akses sumber daya berdasarkan kondisi
Fitur
Akses Bersyarah untuk Data Plane
Deskripsi: Akses sarana data dapat dikontrol menggunakan Kebijakan Akses Bersyarah Azure AD. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Gunakan Azure AD sebagai platform autentikasi inti dan otoritas sertifikat untuk SSH ke VM Linux dengan menggunakan autentikasi berbasis sertifikat Azure AD dan OpenSSH. Fungsionalitas ini memungkinkan organisasi untuk mengelola akses ke mesin virtual dengan kebijakan kontrol akses berbasis peran (RBAC) Azure dan Akses Bersyarat.
Panduan Konfigurasi: Tentukan kondisi dan kriteria yang berlaku untuk akses bersyarah Azure Active Directory (Azure AD) dalam beban kerja. Pertimbangkan kasus penggunaan umum seperti memblokir atau memberikan akses dari lokasi tertentu, memblokir perilaku masuk berisiko, atau mengharuskan perangkat yang dikelola organisasi untuk aplikasi tertentu.
Referensi: Masuk ke komputer virtual Linux di Azure dengan menggunakan Azure AD dan OpenSSH
IM-8: Membatasi pemaparan info masuk dan rahasia
Fitur
Kredensial Layanan dan Rahasia Mendukung Integrasi dan Penyimpanan di Azure Key Vault
Deskripsi: Bidang data mendukung penggunaan asli Azure Key Vault untuk penyimpanan kredensial dan rahasia. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Dalam bidang data atau sistem operasi, layanan dapat memanggil Azure Key Vault untuk kredensial atau rahasia.
Panduan Konfigurasi: Pastikan bahwa rahasia dan kredensial disimpan di lokasi yang aman seperti Azure Key Vault, alih-alih menyematkannya ke dalam file kode atau konfigurasi.
Akses dengan hak istimewa
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Akses istimewa.
PA-1: Memisahkan dan membatasi pengguna dengan hak istimewa tinggi/administratif
Fitur
Akun Admin Lokal
Deskripsi: Layanan memiliki konsep akun administratif lokal. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Catatan fitur: Hindari penggunaan metode atau akun autentikasi lokal, ini harus dinonaktifkan sedapat mungkin. Sebagai gantinya, gunakan Azure AD untuk mengautentikasi jika memungkinkan.
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Mulai cepat: Membuat komputer virtual Linux di portal Azure
PA-7: Mengikuti prinsip administrasi yang cukup (prinsip hak istimewa paling rendah)
Fitur
Azure RBAC untuk Data Plane
Deskripsi: Azure Role-Based Access Control (Azure RBAC) dapat digunakan untuk mengelola akses ke tindakan sarana data layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Gunakan Azure AD sebagai platform autentikasi inti dan otoritas sertifikat untuk SSH ke VM Linux dengan menggunakan autentikasi berbasis sertifikat Azure AD dan OpenSSH. Fungsionalitas ini memungkinkan organisasi untuk mengelola akses ke mesin virtual dengan kebijakan kontrol akses berbasis peran (RBAC) Azure dan Akses Bersyarat.
Panduan Konfigurasi: Dengan RBAC, tentukan siapa yang dapat masuk ke VM sebagai pengguna biasa atau dengan hak istimewa administrator. Saat pengguna bergabung ke tim, Anda dapat memperbarui kebijakan Azure RBAC agar mesin virtual memberikan akses yang sesuai. Saat karyawan meninggalkan organisasi Anda dan akun pengguna mereka dinonaktifkan atau dihapus dari Azure AD, mereka tidak lagi memiliki akses ke sumber daya Anda.
Referensi: Masuk ke komputer virtual Linux di Azure dengan menggunakan Azure AD dan OpenSSH
PA-8: Menentukan proses akses untuk dukungan penyedia cloud
Fitur
Customer Lockbox
Deskripsi: Customer Lockbox dapat digunakan untuk akses dukungan Microsoft. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Dalam skenario dukungan di mana Microsoft perlu mengakses data Anda, gunakan Customer Lockbox untuk meninjau, lalu menyetujui atau menolak setiap permintaan akses data Microsoft.
Perlindungan data
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Perlindungan data.
DP-1: Menemukan, mengklasifikasikan, dan memberi label data sensitif
Fitur
Penemuan dan Klasifikasi Data Sensitif
Deskripsi: Alat (seperti Azure Purview atau Azure Information Protection) dapat digunakan untuk penemuan dan klasifikasi data dalam layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
DP-2: Memantau anomali dan ancaman yang menargetkan data sensitif
Fitur
Pencegahan Kebocoran/Kehilangan Data
Deskripsi: Layanan mendukung solusi DLP untuk memantau pergerakan data sensitif (dalam konten pelanggan). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
DP-3: Mengenkripsi data sensitif saat transit
Fitur
Data dalam Enkripsi Transit
Deskripsi: Layanan mendukung enkripsi dalam transit data untuk bidang data. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Protokol komunikasi tertentu seperti SSH dienkripsi secara default. Namun, layanan lain seperti HTTP harus dikonfigurasi untuk menggunakan TLS untuk enkripsi.
Panduan Konfigurasi: Aktifkan transfer aman dalam layanan di mana ada data asli dalam fitur enkripsi transit bawaan. Terapkan HTTPS pada aplikasi dan layanan web apa pun dan pastikan TLS v1.2 atau yang lebih baru digunakan. Versi warisan seperti SSL 3.0, TLS v1.0 harus dinonaktifkan. Untuk manajemen jarak jauh Virtual Machines, gunakan SSH (untuk Linux) atau RDP/TLS (untuk Windows) alih-alih protokol yang tidak terenkripsi.
Referensi: Enkripsi dalam transit di VM
Pemantauan Microsoft Defender untuk Cloud
Definisi bawaan Azure Policy - Microsoft.Compute:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Komputer Windows harus dikonfigurasi untuk menggunakan protokol komunikasi yang aman | Untuk melindungi privasi informasi yang dikomunikasikan melalui Internet, komputer Anda harus menggunakan versi terbaru protokol kriptografi standar industri, Keamanan Lapisan Transportasi (TLS). TLS mengamankan komunikasi melalui jaringan dengan mengenkripsi koneksi antar mesin. | AuditIfNotExists, Dinonaktifkan | 4.1.1 |
DP-4: Mengaktifkan enkripsi data tidak aktif secara default
Fitur
Enkripsi Data tidak Aktif Menggunakan Kunci Platform
Deskripsi: Enkripsi data tidak aktif menggunakan kunci platform didukung, konten pelanggan apa pun saat tidak aktif dienkripsi dengan kunci yang dikelola Microsoft ini. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Catatan fitur: Secara default, disk terkelola menggunakan kunci enkripsi yang dikelola platform. Semua disk terkelola, rekam jepret, gambar, dan data yang ditulis ke disk terkelola yang ada secara otomatis dienkripsi saat tidak aktif dengan kunci yang dikelola platform.
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Enkripsi sisi server Azure Disk Storage - Kunci yang dikelola platform
Pemantauan Microsoft Defender untuk Cloud
Definisi bawaan Azure Policy - Microsoft.ClassicCompute:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Komputer virtual harus mengenkripsi disk sementara, cache, serta aliran data antara sumber daya Komputasi dan Penyimpanan | Secara default, OS dan disk data mesin virtual dienkripsi saat tidak aktif menggunakan kunci yang dikelola platform. Disk sementara, cache data, dan data yang mengalir di antara komputasi dan penyimpanan tidak dienkripsi. Abaikan rekomendasi ini jika: 1. menggunakan enkripsi di host, atau 2. enkripsi sisi server pada Disk Terkelola memenuhi persyaratan keamanan Anda. Pelajari lebih lanjut dalam: Enkripsi sisi server dari Azure Disk Storage: https://aka.ms/disksse, Penawaran enkripsi disk yang berbeda: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Dinonaktifkan | 2.0.3 |
Definisi bawaan Azure Policy - Microsoft.Compute:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Komputer virtual Linux harus mengaktifkan Azure Disk Encryption atau EncryptionAtHost. | Secara default, OS komputer virtual dan disk data dienkripsi saat tidak aktif menggunakan kunci yang dikelola platform; disk sementara dan cache data tidak dienkripsi, dan data tidak dienkripsi saat mengalir antara sumber daya komputasi dan penyimpanan. Gunakan Azure Disk Encryption atau EncryptionAtHost untuk mengenkripsi semua data ini. Kunjungi https://aka.ms/diskencryptioncomparison untuk membandingkan penawaran enkripsi. Kebijakan ini mengharuskan dua prasyarat untuk disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 1.2.0-preview |
DP-5: Menggunakan opsi kunci yang dikelola pelanggan dalam enkripsi data tidak aktif saat diperlukan
Fitur
Enkripsi Data tidak Aktif Menggunakan CMK
Deskripsi: Enkripsi data saat tidak aktif menggunakan kunci yang dikelola pelanggan didukung untuk konten pelanggan yang disimpan oleh layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Anda dapat memilih untuk mengelola enkripsi di tingkat setiap disk terkelola, dengan kunci Anda sendiri. Saat Anda menentukan kunci yang dikelola pelanggan, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Kunci yang dikelola pelanggan menawarkan fleksibilitas yang lebih besar untuk mengelola kontrol akses.
Panduan Konfigurasi: Jika diperlukan untuk kepatuhan terhadap peraturan, tentukan kasus penggunaan dan cakupan layanan di mana enkripsi menggunakan kunci yang dikelola pelanggan diperlukan. Aktifkan dan terapkan enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan untuk layanan tersebut.
Disk virtual pada Virtual Machines (VM) dienkripsi saat tidak aktif menggunakan enkripsi sisi Server atau enkripsi disk Azure (ADE). Azure Disk Encryption memanfaatkan fitur DM-Crypt Linux untuk mengenkripsi cakram terkelola dengan kunci yang dikelola pelanggan dalam VM tamu. Enkripsi sisi server dengan kunci yang dikelola pelanggan meningkat pada ADE dengan mengaktifkan Anda untuk menggunakan jenis OS dan gambar apa pun untuk mesin virtual Anda dengan mengenkripsi data di layanan Penyimpanan.
Referensi: Enkripsi sisi server Azure Disk Storage - Kunci yang dikelola pelanggan
DP-6: Menggunakan proses manajemen kunci yang aman
Fitur
Manajemen Kunci di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk kunci, rahasia, atau sertifikat pelanggan apa pun. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan Azure Key Vault untuk membuat dan mengontrol siklus hidup kunci enkripsi Anda, termasuk pembuatan kunci, distribusi, dan penyimpanan. Putar dan cabut kunci Anda di Azure Key Vault dan layanan Anda berdasarkan jadwal yang ditentukan atau ketika ada penghentian atau penyusupan kunci. Ketika ada kebutuhan untuk menggunakan kunci yang dikelola pelanggan (CMK) dalam beban kerja, layanan, atau tingkat aplikasi, pastikan Anda mengikuti praktik terbaik untuk manajemen kunci: Gunakan hierarki kunci untuk menghasilkan kunci enkripsi data (DEK) terpisah dengan kunci enkripsi kunci (KEK) Anda di brankas kunci Anda. Pastikan kunci terdaftar di Azure Key Vault dan direferensikan melalui ID kunci dari layanan atau aplikasi. Jika Anda perlu membawa kunci Anda sendiri (BYOK) ke layanan (seperti mengimpor kunci yang dilindungi HSM dari HSM lokal Anda ke Azure Key Vault), ikuti panduan yang direkomendasikan untuk melakukan pembuatan kunci awal dan transfer kunci.
Referensi: Membuat dan mengonfigurasi brankas kunci untuk Azure Disk Encryption
DP-7: Menggunakan proses manajemen sertifikat yang aman
Fitur
Manajemen Sertifikat di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk sertifikat pelanggan apa pun. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Manajemen Aset
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen aset.
AM-2: Hanya menggunakan layanan yang disetujui
Fitur
Dukungan Azure Policy
Deskripsi: Konfigurasi layanan dapat dipantau dan diberlakukan melalui Azure Policy. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Azure Policy dapat digunakan untuk menentukan perilaku yang diinginkan untuk VM Windows dan VM Linux organisasi Anda. Dengan menggunakan kebijakan, organisasi dapat menerapkan berbagai konvensi dan aturan di seluruh perusahaan dan menentukan dan menerapkan konfigurasi keamanan standar untuk Azure Virtual Machines. Penegakan perilaku yang diinginkan dapat membantu mengurangi risiko sambil berkontribusi pada keberhasilan organisasi.
Referensi: Azure Policy definisi bawaan untuk Azure Virtual Machines
Pemantauan Microsoft Defender untuk Cloud
Definisi bawaan Azure Policy - Microsoft.ClassicCompute:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Komputer virtual harus dimigrasikan ke sumber daya Azure Resource Manager baru | Gunakan Azure Resource Manager baru untuk komputer virtual Anda untuk memberikan peningkatan keamanan seperti: kontrol akses yang lebih kuat (RBAC), audit yang lebih baik, penerapan dan tata kelola berbasis Azure Resource Manager, akses ke identitas terkelola, akses ke brankas kunci untuk rahasia, berbasis Azure Active Directory autentikasi dan dukungan untuk tag dan grup sumber daya untuk manajemen keamanan yang lebih mudah | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Definisi bawaan Azure Policy - Microsoft.Compute:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Komputer virtual harus dimigrasikan ke sumber daya Azure Resource Manager baru | Gunakan Azure Resource Manager baru untuk komputer virtual Anda untuk memberikan peningkatan keamanan seperti: kontrol akses yang lebih kuat (RBAC), audit yang lebih baik, penerapan dan tata kelola berbasis Azure Resource Manager, akses ke identitas terkelola, akses ke brankas kunci untuk rahasia, berbasis Azure Active Directory autentikasi dan dukungan untuk tag dan grup sumber daya untuk manajemen keamanan yang lebih mudah | Audit, Tolak, Dinonaktifkan | 1.0.0 |
AM-5: Menggunakan hanya aplikasi yang disetujui di mesin virtual
Fitur
Microsoft Defender untuk Cloud - Kontrol Aplikasi Adaptif
Deskripsi: Layanan dapat membatasi aplikasi pelanggan apa yang berjalan pada komputer virtual menggunakan Kontrol Aplikasi Adaptif di Microsoft Defender untuk Cloud. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan Microsoft Defender untuk kontrol aplikasi adaptif Cloud untuk menemukan aplikasi yang berjalan di komputer virtual (VM) dan menghasilkan daftar izin aplikasi untuk mengamanatkan aplikasi yang disetujui dapat berjalan di lingkungan VM.
Referensi: Gunakan kontrol aplikasi adaptif untuk mengurangi permukaan serangan komputer Anda
Pemantauan Microsoft Defender untuk Cloud
Definisi bawaan Azure Policy - Microsoft.ClassicCompute:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Kontrol aplikasi adaptif untuk menetapkan aplikasi yang aman harus diaktifkan di komputer Anda | Aktifkan kontrol aplikasi untuk menentukan daftar aplikasi yang diketahui aman yang sedang berjalan di komputer Anda, dan aktifkan pemberitahuan ketika aplikasi lain berjalan. Hal ini membantu memperkuat komputer Anda terhadap malware. Untuk menyederhanakan proses konfigurasi dan pemeliharaan aturan Anda, Security Center menggunakan pembelajaran mesin untuk menganalisis aplikasi yang berjalan di setiap komputer dan menyarankan daftar aplikasi yang diketahui aman. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Definisi bawaan Azure Policy - Microsoft.Compute:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Kontrol aplikasi adaptif untuk menetapkan aplikasi yang aman harus diaktifkan di komputer Anda | Aktifkan kontrol aplikasi untuk menentukan daftar aplikasi yang diketahui aman yang sedang berjalan di komputer Anda, dan aktifkan pemberitahuan ketika aplikasi lain berjalan. Hal ini membantu memperkuat komputer Anda terhadap malware. Untuk menyederhanakan proses konfigurasi dan pemeliharaan aturan Anda, Security Center menggunakan pembelajaran mesin untuk menganalisis aplikasi yang berjalan di setiap komputer dan menyarankan daftar aplikasi yang diketahui aman. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Pengelogan dan Deteksi Ancaman
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pengelogan dan deteksi ancaman.
LT-1: Mengaktifkan kemampuan deteksi ancaman
Fitur
Microsoft Defender untuk Layanan / Penawaran Produk
Deskripsi: Layanan memiliki solusi Microsoft Defender khusus penawaran untuk memantau dan memperingatkan masalah keamanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Defender for Server memperluas perlindungan ke komputer Windows dan Linux Anda yang berjalan di Azure. Defender for Server terintegrasi dengan Microsoft Defender untuk Titik Akhir untuk menyediakan deteksi dan respons titik akhir (EDR), dan juga menyediakan sejumlah fitur perlindungan ancaman tambahan, seperti garis besar keamanan dan penilaian tingkat OS, pemindaian penilaian kerentanan, kontrol aplikasi adaptif (AAC), pemantauan integritas file (FIM), dan banyak lagi.
Referensi: Merencanakan penyebaran Defender for Server Anda
Pemantauan Microsoft Defender untuk Cloud
Definisi bawaan Azure Policy - Microsoft.Compute:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Windows Defender Exploit Guard harus diaktifkan di komputer Anda | Windows Defender Exploit Guard menggunakan agen Konfigurasi Tamu Azure Policy. Exploit Guard memiliki empat komponen yang dirancang untuk mengunci perangkat dari berbagai vektor serangan dan memblokir perilaku yang biasa digunakan dalam serangan malware sekaligus memungkinkan perusahaan untuk menyeimbangkan risiko keamanan dan persyaratan produktivitas (khusus Windows). | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
LT-4: Mengaktifkan pengelogan untuk penyelidikan keamanan
Fitur
Log Sumber Daya Azure
Deskripsi: Layanan menghasilkan log sumber daya yang dapat menyediakan metrik dan pengelogan khusus layanan yang ditingkatkan. Pelanggan dapat mengonfigurasi log sumber daya ini dan mengirimnya ke sink data mereka sendiri seperti akun penyimpanan atau ruang kerja analitik log. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Azure Monitor mulai secara otomatis mengumpulkan data metrik untuk host komputer virtual Anda saat Anda membuat VM. Namun, untuk mengumpulkan log dan data performa dari sistem operasi tamu komputer virtual, Anda harus menginstal agen Azure Monitor. Anda dapat menginstal agen dan mengonfigurasi pengumpulan menggunakan wawasan VM atau dengan membuat aturan pengumpulan data .
Referensi: Gambaran umum agen Analitik Log
Pemantauan Microsoft Defender untuk Cloud
Definisi bawaan Azure Policy - Microsoft.Compute:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Linux | Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. | AuditIfNotExists, Dinonaktifkan | pratinjau-1.0.2 |
Manajemen postur dan kerentanan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen postur dan kerentanan.
PV-3: Menetapkan dan membangun konfigurasi yang aman untuk sumber daya komputasi
Fitur
Konfigurasi Status Azure Automation
Deskripsi: Azure Automation Konfigurasi Status dapat digunakan untuk mempertahankan konfigurasi keamanan sistem operasi. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan Konfigurasi Status Azure Automation untuk mempertahankan konfigurasi keamanan sistem operasi.
Referensi: Mengonfigurasi VM dengan Konfigurasi Status yang Diinginkan
Agen Konfigurasi Tamu Azure Policy
Deskripsi: Azure Policy agen konfigurasi tamu dapat diinstal atau disebarkan sebagai ekstensi untuk menghitung sumber daya. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Azure Policy Konfigurasi Tamu sekarang disebut Konfigurasi Mesin Azure Automanage.
Panduan Konfigurasi: Gunakan Microsoft Defender untuk Cloud dan Azure Policy agen konfigurasi tamu untuk menilai dan memulihkan penyimpangan konfigurasi secara teratur pada sumber daya komputasi Azure Anda, termasuk VM, kontainer, dan lainnya.
Referensi: Memahami fitur konfigurasi mesin Azure Automanage
Gambar VM Kustom
Deskripsi: Layanan mendukung penggunaan gambar VM yang disediakan pengguna atau gambar bawaan dari marketplace dengan konfigurasi dasar tertentu yang telah diterapkan sebelumnya. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan gambar yang diperkeras yang telah dikonfigurasi sebelumnya dari pemasok tepercaya seperti Microsoft atau buat garis besar konfigurasi aman yang diinginkan ke dalam templat gambar VM.
Referensi: Tutorial: Membuat gambar kustom Azure VM dengan Azure CLI
PV-4: Mengaudit dan menerapkan konfigurasi yang aman untuk sumber daya komputasi
Fitur
Komputer Virtual Peluncuran Tepercaya
Deskripsi: Peluncuran Tepercaya melindungi dari teknik serangan canggih dan persisten dengan menggabungkan teknologi infrastruktur seperti boot aman, vTPM, dan pemantauan integritas. Setiap teknologi menyediakan lapisan pertahanan lain terhadap ancaman canggih. Peluncuran tepercaya memungkinkan penyebaran komputer virtual yang aman dengan pemuat boot terverifikasi, kernel OS, dan driver, dan melindungi kunci, sertifikat, dan rahasia dengan aman di komputer virtual. Peluncuran tepercaya juga memberikan wawasan dan yakin tentang seluruh integritas rantai boot dan memastikan beban kerja tepercaya dan dapat diverifikasi. Peluncuran tepercaya terintegrasi dengan Microsoft Defender untuk Cloud untuk memastikan VM dikonfigurasi dengan benar, dengan membuktikan VM dari jarak jauh di-boot dengan cara yang sehat. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Peluncuran tepercaya tersedia untuk VM generasi 2. Peluncuran terpercaya membutuhkan pembuatan komputer virtual baru. Anda tidak dapat mengaktifkan peluncuran terpercaya pada komputer virtual yang ada dan awalnya dibuat tanpanya.
Panduan Konfigurasi: Peluncuran tepercaya dapat diaktifkan selama penyebaran VM. Aktifkan ketiganya - Boot Aman, vTPM, dan pemantauan boot integritas untuk memastikan postur keamanan terbaik untuk komputer virtual. Harap dicatat bahwa ada beberapa prasyarat termasuk onboarding langganan Anda ke Microsoft Defender untuk Cloud, menetapkan inisiatif Azure Policy tertentu, dan mengonfigurasi kebijakan firewall.
Referensi: Menyebarkan VM dengan peluncuran tepercaya diaktifkan
PV-5: Melakukan penilaian kerentanan
Fitur
Penilaian Kerentanan menggunakan Microsoft Defender
Deskripsi: Layanan dapat dipindai untuk pemindaian kerentanan menggunakan Microsoft Defender untuk Cloud atau kemampuan penilaian kerentanan yang disematkan layanan Microsoft Defender lainnya (termasuk Microsoft Defender untuk server, registri kontainer, App Service, SQL, dan DNS). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Ikuti rekomendasi dari Microsoft Defender untuk Cloud untuk melakukan penilaian kerentanan pada komputer virtual Azure Anda.
Referensi: Merencanakan penyebaran Defender untuk Server Anda
Pemantauan Microsoft Defender untuk Cloud
Definisi bawaan Azure Policy - Microsoft.ClassicCompute:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Solusi penilaian kerentanan harus diaktifkan pada komputer virtual Anda | Mengaudit komputer virtual untuk mendeteksi apakah mereka menjalankan solusi penilaian kerentanan yang didukung. Komponen inti dari setiap risiko cyber dan program keamanan adalah identifikasi dan analisis kerentanan. Tingkat harga standar Azure Security Center mencakup pemindaian kerentanan untuk komputer virtual Anda tanpa biaya tambahan. Selain itu, Pusat Keamanan dapat secara otomatis menyebarkan alat ini untuk Anda. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Definisi bawaan Azure Policy - Microsoft.Compute:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Solusi penilaian kerentanan harus diaktifkan pada komputer virtual Anda | Mengaudit komputer virtual untuk mendeteksi apakah mereka menjalankan solusi penilaian kerentanan yang didukung. Komponen inti dari setiap risiko cyber dan program keamanan adalah identifikasi dan analisis kerentanan. Tingkat harga standar Azure Security Center mencakup pemindaian kerentanan untuk komputer virtual Anda tanpa biaya tambahan. Selain itu, Pusat Keamanan dapat secara otomatis menyebarkan alat ini untuk Anda. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
PV-6: Secara cepat dan otomatis memulihkan kerentanan
Fitur
Manajemen Pembaruan Azure Automation
Deskripsi: Layanan dapat menggunakan manajemen pembaruan Azure Automation untuk menyebarkan patch dan pembaruan secara otomatis. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan manajemen pembaruan Azure Automation atau solusi pihak ketiga untuk memastikan bahwa pembaruan keamanan terbaru diinstal pada VM Linux Anda.
Referensi: Mengelola pembaruan dan patch untuk VM Anda
Layanan Patching Tamu Azure
Deskripsi: Layanan dapat menggunakan Patching Tamu Azure untuk menyebarkan patch dan pembaruan secara otomatis. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Layanan dapat memanfaatkan mekanisme pembaruan yang berbeda seperti Peningkatan Gambar OS Otomatis dan Patching Tamu Otomatis. Kemampuan disarankan untuk menerapkan keamanan terbaru dan pembaruan penting ke OS Tamu Komputer Virtual Anda dengan mengikuti Prinsip Penyebaran Aman.
Patching Tamu Otomatis memungkinkan Anda menilai dan memperbarui komputer virtual Azure secara otomatis untuk menjaga kepatuhan keamanan dengan pembaruan Kritis dan Keamanan yang dirilis setiap bulan. Updates diterapkan selama jam sibuk, termasuk VM dalam set ketersediaan. Kemampuan ini tersedia untuk VMSS Flexible Orchestration, dengan dukungan di masa mendatang pada peta jalan untuk Uniform Orchestration.
Jika Anda menjalankan beban kerja tanpa status, Peningkatan Gambar OS Otomatis sangat ideal untuk menerapkan pembaruan terbaru untuk Seragam VMSS Anda. Dengan kemampuan putar kembali, pembaruan ini kompatibel dengan Marketplace atau Gambar kustom. Dukungan peningkatan bergulir di masa mendatang pada peta jalan untuk Flexible Orchestration.
Referensi: Patching Tamu VM Otomatis untuk Azure VM
Pemantauan Microsoft Defender untuk Cloud
Definisi bawaan Azure Policy - Microsoft.ClassicCompute:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Pembaruan sistem harus dipasang di komputer Anda | Pembaruan sistem keamanan yang hilang di server Anda akan dipantau oleh Azure Security Center sebagai rekomendasi | AuditIfNotExists, Dinonaktifkan | 4.0.0 |
Definisi bawaan Azure Policy - Microsoft.Compute:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Pembaruan sistem harus dipasang pada komputer Anda (didukung oleh Pusat Pembaruan) | Komputer Anda tidak memiliki sistem, keamanan, dan pembaruan penting. Pembaruan perangkat lunak sering menyertakan patch penting pada lubang keamanan. Lubang semacam itu sering dieksploitasi dalam serangan malware sehingga sangat penting untuk memperbarui perangkat lunak Anda. Untuk menginstal semua tambalan yang luar biasa dan mengamankan komputer Anda, ikuti langkah-langkah remediasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
Keamanan titik akhir
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Keamanan titik akhir.
ES-1: Menggunakan Deteksi dan Respons Titik Akhir (EDR)
Fitur
Solusi EDR
Deskripsi: Fitur Deteksi dan Respons Titik Akhir (EDR) seperti Azure Defender untuk server dapat disebarkan ke titik akhir. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Azure Defender untuk server (dengan Microsoft Defender untuk Titik Akhir terintegrasi) menyediakan kemampuan EDR untuk mencegah, mendeteksi, menyelidiki, dan merespons ancaman tingkat lanjut. Gunakan Microsoft Defender for untuk Cloud untuk menyebarkan Azure Defender untuk server untuk titik akhir Anda dan mengintegrasikan peringatan ke solusi SIEM Anda seperti Azure Sentinel.
Referensi: Merencanakan penyebaran Defender untuk Server Anda
ES-2: Gunakan perangkat lunak antimalware modern
Fitur
Solusi Anti-Malware
Deskripsi: Fitur anti-malware seperti Microsoft Defender Antivirus, Microsoft Defender untuk Titik Akhir dapat disebarkan di titik akhir. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Untuk Linux, pelanggan dapat memiliki pilihan untuk menginstal Microsoft Defender untuk Titik Akhir untuk Linux. Atau, pelanggan juga memiliki pilihan untuk menginstal produk anti-malware pihak ketiga.
Referensi: Microsoft Defender untuk Titik Akhir di Linux
Pemantauan Microsoft Defender untuk Cloud
Definisi bawaan Azure Policy - Microsoft.ClassicCompute:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Masalah kesehatan perlindungan titik akhir harus diselesaikan pada komputer Anda | Mengatasi masalah kesehatan perlindungan titik akhir pada komputer virtual Anda untuk melindungi mereka dari ancaman dan kerentanan terbaru. Solusi perlindungan titik akhir yang didukung Azure Security Center didokumentasikan di sini - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Penilaian perlindungan titik akhir didokumentasikan di sini - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Definisi bawaan Azure Policy - Microsoft.Compute:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Masalah kesehatan perlindungan titik akhir harus diselesaikan pada komputer Anda | Mengatasi masalah kesehatan perlindungan titik akhir pada komputer virtual Anda untuk melindungi mereka dari ancaman dan kerentanan terbaru. Solusi perlindungan titik akhir yang didukung Azure Security Center didokumentasikan di sini - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Penilaian perlindungan titik akhir didokumentasikan di sini - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
ES-3: Memastikan perangkat lunak anti-malware dan tanda tangan diperbarui
Fitur
Pemantauan Kesehatan Solusi Anti-Malware
Deskripsi: Solusi anti-malware menyediakan pemantauan status kesehatan untuk pembaruan platform, mesin, dan tanda tangan otomatis. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Kecerdasan keamanan dan pembaruan produk berlaku untuk Pertahanan untuk Titik Akhir yang dapat diinstal pada VM Linux.
Panduan Konfigurasi: Konfigurasikan solusi anti-malware Anda untuk memastikan platform, mesin, dan tanda tangan diperbarui dengan cepat dan konsisten dan statusnya dapat dipantau.
Pemantauan Microsoft Defender untuk Cloud
Definisi bawaan Azure Policy - Microsoft.ClassicCompute:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Masalah kesehatan perlindungan titik akhir harus diselesaikan pada komputer Anda | Mengatasi masalah kesehatan perlindungan titik akhir pada komputer virtual Anda untuk melindungi mereka dari ancaman dan kerentanan terbaru. Solusi perlindungan titik akhir yang didukung Azure Security Center didokumentasikan di sini - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Penilaian perlindungan titik akhir didokumentasikan di sini - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Definisi bawaan Azure Policy - Microsoft.Compute:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Masalah kesehatan perlindungan titik akhir harus diselesaikan pada komputer Anda | Mengatasi masalah kesehatan perlindungan titik akhir pada komputer virtual Anda untuk melindungi mereka dari ancaman dan kerentanan terbaru. Solusi perlindungan titik akhir yang didukung Azure Security Center didokumentasikan di sini - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Penilaian perlindungan titik akhir didokumentasikan di sini - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Pencadangan dan Pemulihan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pencadangan dan pemulihan.
BR-1: Pastikan pencadangan otomatis secara rutin
Fitur
Pencadangan Azure
Deskripsi: Layanan dapat dicadangkan oleh layanan Azure Backup. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Aktifkan Azure Backup dan target Azure Virtual Machines (VM), serta frekuensi dan periode retensi yang diinginkan. Ini termasuk pencadangan status sistem lengkap. Jika Anda menggunakan enkripsi cakram Azure, cadangan Azure VM secara otomatis menangani pencadangan kunci yang dikelola pelanggan. Untuk Azure Virtual Machines, Anda dapat menggunakan Azure Policy untuk mengaktifkan pencadangan otomatis.
Referensi: Opsi pencadangan dan pemulihan untuk komputer virtual di Azure
Pemantauan Microsoft Defender untuk Cloud
Definisi bawaan Azure Policy - Microsoft.Compute:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure Backup harus diaktifkan untuk Virtual Machines | Pastikan perlindungan Virtual Machines Azure Anda dengan mengaktifkan Azure Backup. Azure Backup adalah solusi perlindungan data yang aman dan hemat biaya untuk Azure. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Langkah berikutnya
- Lihat gambaran umum tolok ukur keamanan cloud Microsoft
- Pelajari selengkapnya tentang Garis besar keamanan Azure