Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Penting
Garis besar keamanan ini didasarkan pada versi Microsoft Cloud Security Benchmark (v1.0) sebelumnya. Untuk panduan keamanan saat ini untuk Virtual Network, lihat Mengamankan Azure Virtual Network Anda.
Garis besar keamanan ini menerapkan panduan dari tolok ukur keamanan cloud Microsoft versi 1.0 ke Virtual Network. Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh tolok ukur keamanan cloud Microsoft dan panduan terkait yang berlaku untuk Virtual Network.
Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Pertahanan Microsoft untuk Cloud. Definisi Azure Policy akan tercantum di bagian Kepatuhan Terhadap Peraturan di halaman portal Microsoft Defender for Cloud.
Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan dengan kontrol dan rekomendasi tolok ukur keamanan cloud Microsoft. Beberapa rekomendasi mungkin memerlukan paket Pertahanan Microsoft berbayar untuk mengaktifkan skenario keamanan tertentu.
Nota
Fitur yang tidak berlaku untuk Virtual Network telah dikecualikan. Untuk melihat bagaimana Virtual Network sepenuhnya memetakan tolok ukur keamanan cloud Microsoft, lihat file pemetaan garis besar keamanan Virtual Network lengkap.
Profil keamanan
Profil keamanan meringkas perilaku berdampak tinggi dari Virtual Network, yang dapat mengakibatkan peningkatan pertimbangan keamanan.
| Atribut Perilaku Layanan | Nilai |
|---|---|
| Kategori Produk | Jaringan |
| Pelanggan dapat mengakses HOST / OS | Tidak Ada Akses |
| Layanan dapat disebarkan ke jaringan virtual pelanggan | Benar |
| Menyimpan konten pelanggan saat tidak aktif | False |
Keamanan jaringan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Keamanan jaringan.
NS-1: Menetapkan batas segmentasi jaringan
Features
Dukungan Kelompok Keamanan Jaringan
Deskripsi: Lalu lintas jaringan layanan mematuhi penetapan aturan Kelompok Keamanan Jaringan di subnetnya. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | Benar | Microsoft |
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Membatasi akses jaringan ke sumber daya
Microsoft Defender untuk Pemantauan Cloud
Definisi bawaan Azure Policy - Microsoft.Network:
| Nama (portal Microsoft Azure) |
Description | Effect(s) | Versi (GitHub) |
|---|---|---|---|
| Subnet harus dikaitkan dengan Grup Keamanan Jaringan | Lindungi subnet Anda dari potensi ancaman dengan membatasi aksesnya dengan Network Security Group (NSG). NSG berisi daftar aturan Access Control List (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke subnet Anda. | AuditIfNotExists, Sudah Dinonaktifkan | 3.0.0 |
Pengelolaan identitas
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen identitas.
IM-1: Gunakan sistem identitas dan autentikasi terpusat
Features
Autentikasi Azure AD Diperlukan untuk Akses ke Data Plane
Deskripsi: Layanan mendukung penggunaan autentikasi Azure ACTIVE Directory untuk akses sarana data. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| False | Tidak Berlaku | Tidak Berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Akses istimewa
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Akses istimewa.
PA-7: Ikuti prinsip administrasi seminimal mungkin (hak istimewa terkecil)
Features
Azure RBAC untuk Data Plane
Deskripsi: Azure Role-Based Access Control (Azure RBAC) dapat digunakan untuk mengelola akses ke tindakan sarana data layanan. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| False | Tidak Berlaku | Tidak Berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Perlindungan data
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Perlindungan data.
DP-3: Mengenkripsi data sensitif saat transit
Features
Enkripsi Data yang Sedang Ditransfer
Deskripsi: Layanan mendukung enkripsi data saat dalam perjalanan untuk pesawat data. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| False | Tidak Berlaku | Tidak Berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Manajemen aset
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen aset.
AM-2: Hanya gunakan layanan yang disetujui
Features
Dukungan Azure Policy
Deskripsi: Konfigurasi layanan dapat dipantau dan diberlakukan melalui Azure Policy. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Gunakan Microsoft Defender for Cloud untuk mengonfigurasi Azure Policy untuk mengaudit dan menerapkan konfigurasi sumber daya Azure Anda. Gunakan Azure Monitor untuk membuat pemberitahuan saat ada penyimpangan konfigurasi yang terdeteksi pada sumber daya. Gunakan efek Azure Policy [tolak] dan [sebarkan jika tidak ada] untuk menerapkan konfigurasi aman di seluruh sumber daya Azure.
Referensi: Definisi bawaan Azure Policy untuk Azure Virtual Network
Pengelogan dan deteksi ancaman
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pengelogan dan deteksi ancaman.
LT-4: Mengaktifkan pengelogan untuk penyelidikan keamanan
Features
Log Sumber Daya Azure
Deskripsi: Layanan menghasilkan log sumber daya yang dapat menyediakan metrik dan pengelogan khusus layanan yang ditingkatkan. Pelanggan dapat mengonfigurasi log sumber daya ini dan mengirimkannya ke sink data mereka sendiri seperti akun penyimpanan atau ruang kerja analitik log. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Benar | False | Pelanggan |
Panduan Konfigurasi: Aktifkan log sumber daya untuk layanan. Misalnya, Key Vault mendukung log sumber daya tambahan untuk tindakan yang mengambil rahasia dari brankas kunci dan Azure SQL memiliki log sumber daya yang melacak permintaan ke database. Konten log sumber daya bervariasi menurut layanan Azure dan jenis sumber daya.
Pencadangan dan pemulihan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pencadangan dan pemulihan.
BR-1: Pastikan pencadangan otomatis dilakukan secara rutin
Features
Azure Backup
Deskripsi: Layanan dapat dicadangkan oleh layanan Azure Backup. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| False | Tidak Berlaku | Tidak Berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Langkah selanjutnya
- Lihat gambaran umum tolok ukur keamanan cloud Microsoft
- Pelajari selengkapnya tentang garis besar keamanan Azure