Rekomendasi keamanan data

Artikel
12/08/2024

Artikel ini mencantumkan semua rekomendasi keamanan data yang mungkin Anda lihat di Microsoft Defender untuk Cloud.

Rekomendasi yang muncul di lingkungan Anda didasarkan pada sumber daya yang Anda lindungi dan pada konfigurasi yang disesuaikan. Anda dapat melihat rekomendasi di portal yang berlaku untuk sumber daya Anda.

Untuk mempelajari tentang tindakan yang dapat Anda ambil sebagai respons terhadap rekomendasi ini, lihat Memulihkan rekomendasi di Defender untuk Cloud.

Tip

Jika deskripsi rekomendasi mengatakan Tidak ada kebijakan terkait, biasanya itu karena rekomendasi tersebut tergantung pada rekomendasi yang berbeda.

Misalnya, rekomendasi Kegagalan kesehatan perlindungan titik akhir harus diperbaiki bergantung pada rekomendasi yang memeriksa apakah solusi perlindungan titik akhir diinstal (Solusi perlindungan titik akhir harus diinstal). Rekomendasi yang mendasarinya memang memiliki kebijakan. Membatasi kebijakan hanya untuk rekomendasi dasar yang menyederhanakan manajemen kebijakan.

Rekomendasi data Azure

Azure Cosmos DB harus menonaktifkan akses jaringan publik

Deskripsi: Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa akun Cosmos DB Anda tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan akun Cosmos DB Anda. Pelajari selengkapnya. (Kebijakan terkait: Azure Cosmos DB harus menonaktifkan akses jaringan publik).

Tingkat keparahan: Sedang

(Aktifkan jika diperlukan) Akun Azure Cosmos DB harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif

Deskripsi: Rekomendasi untuk menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default, tetapi tersedia untuk diaktifkan untuk skenario yang berlaku. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan. Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan. Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari Azure Cosmos DB Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan. Namun, kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. CMK memungkinkan data dienkripsi dengan kunci Azure Key Vault dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut tentang enkripsi CMK di https://aka.ms/cosmosdb-cmk. (Kebijakan terkait: Akun Azure Cosmos DB harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif).

Tingkat keparahan: Rendah

(Aktifkan jika diperlukan) Ruang kerja Azure Pembelajaran Mesin harus dienkripsi dengan kunci yang dikelola pelanggan (CMK)

Deskripsi: Rekomendasi untuk menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default, tetapi tersedia untuk diaktifkan untuk skenario yang berlaku. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan. Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan. Kelola enkripsi di seluruh data ruang kerja Azure Machine Learning Anda dengan kunci yang dikelola pelanggan. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi CMK umumnya diperlukan untuk memenuhi standar kepatuhan peraturan. CMK memungkinkan data dienkripsi dengan kunci Azure Key Vault dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut tentang enkripsi CMK di https://aka.ms/azureml-workspaces-cmk. (Kebijakan terkait: Ruang kerja Azure Pembelajaran Mesin harus dienkripsi dengan kunci yang dikelola pelanggan (CMK)).

Tingkat keparahan: Rendah

Azure SQL Database harus menjalankan TLS versi 1.2 atau yang lebih baru

Deskripsi: Mengatur versi TLS ke 1.2 atau yang lebih baru meningkatkan keamanan dengan memastikan Azure SQL Database Anda hanya dapat diakses dari klien menggunakan TLS 1.2 atau yang lebih baru. Menggunakan versi TLS kurang dari 1.2 tidak disarankan karena mereka memiliki kerentanan keamanan yang terdokumentasi dengan baik. (Kebijakan terkait: Azure SQL Database harus menjalankan TLS versi 1.2 atau yang lebih baru).

Tingkat keparahan: Sedang

Azure SQL Managed Instance harus menonaktifkan akses jaringan publik

Deskripsi: Menonaktifkan akses jaringan publik (titik akhir publik) pada Azure SQL Managed Instances meningkatkan keamanan dengan memastikan bahwa mereka hanya dapat diakses dari dalam jaringan virtual mereka atau melalui Titik Akhir Privat. Pelajari selengkapnya tentang akses jaringan publik. (Kebijakan terkait: Azure SQL Managed Instances harus menonaktifkan akses jaringan publik).

Tingkat keparahan: Sedang

Akun Cosmos DB harus menggunakan tautan privat

Deskripsi: Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Ketika titik akhir privat dipetakan ke akun Cosmos DB Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat. (Kebijakan terkait: Akun Cosmos DB harus menggunakan tautan privat).

Tingkat keparahan: Sedang

(Aktifkan jika diperlukan) Server MySQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif

Deskripsi: Rekomendasi untuk menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default, tetapi tersedia untuk diaktifkan untuk skenario yang berlaku. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan. Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan. Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari server MySQL Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan. Namun, kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. CMK memungkinkan data dienkripsi dengan kunci Azure Key Vault dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. (Kebijakan terkait: Bawa perlindungan data kunci Anda sendiri harus diaktifkan untuk server MySQL).

Tingkat keparahan: Rendah

(Aktifkan jika diperlukan) Server PostgreSQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif

Deskripsi: Rekomendasi untuk menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default, tetapi tersedia untuk diaktifkan untuk skenario yang berlaku. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan. Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan. Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari server PostgreSQL Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan. Namun, kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. CMK memungkinkan data dienkripsi dengan kunci Azure Key Vault dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. (Kebijakan terkait: Bawa perlindungan data kunci Anda sendiri harus diaktifkan untuk server PostgreSQL).

Tingkat keparahan: Rendah

(Aktifkan jika diperlukan) Instans terkelola SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif

Deskripsi: Rekomendasi untuk menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default, tetapi tersedia untuk diaktifkan untuk skenario yang berlaku. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan. Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan. Implementasi Enkripsi Data Transparan (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. (Kebijakan terkait: Instans terkelola SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif).

Tingkat keparahan: Rendah

(Aktifkan jika diperlukan) Server SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif

Deskripsi: Rekomendasi untuk menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default, tetapi tersedia untuk diaktifkan untuk skenario yang berlaku. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan. Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan. Implementasi Transparent Data Encryption (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. (Kebijakan terkait: Server SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif).

Tingkat keparahan: Rendah

(Aktifkan jika diperlukan) Akun penyimpanan harus menggunakan kunci yang dikelola pelanggan (CMK) untuk enkripsi

Deskripsi: Rekomendasi untuk menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default, tetapi tersedia untuk diaktifkan untuk skenario yang berlaku. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan. Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan. Amankan akun penyimpanan Anda dengan fleksibilitas yang lebih besar menggunakan kunci yang dikelola pelanggan (CMK). Saat Anda menentukan CMK, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Menggunakan CMK menyediakan kemampuan tambahan untuk mengontrol rotasi kunci enkripsi utama atau menghapus data secara kriptografis. (Kebijakan terkait: Akun penyimpanan harus menggunakan kunci yang dikelola pelanggan (CMK) untuk enkripsi).

Tingkat keparahan: Rendah

Akses publik akun penyimpanan harus dilarang

Deskripsi: Akses baca publik anonim ke kontainer dan blob di Azure Storage adalah cara mudah untuk berbagi data, tetapi mungkin menimbulkan risiko keamanan. Untuk mencegah pelanggaran data yang disebabkan oleh akses anonim yang tidak diinginkan, Microsoft merekomendasikan untuk mencegah akses publik ke akun penyimpanan kecuali skenario Anda memerlukannya.

Kebijakan terkait: Akses publik akun penyimpanan harus tidak diizinkan

Tingkat keparahan: Sedang

Semua jenis perlindungan ancaman tingkat lanjut harus diaktifkan dalam pengaturan keamanan data tingkat lanjut instans terkelola Bahasa Permintaan Terstruktur

Deskripsi: Disarankan untuk mengaktifkan semua jenis perlindungan ancaman tingkat lanjut pada instans terkelola SQL Anda. Mengaktifkan semua jenis melindungi terhadap injeksi SQL, kerentanan database, dan aktivitas anomali lainnya. (Tidak ada kebijakan terkait)

Tingkat keparahan: Sedang

Semua jenis perlindungan terhadap ancaman tingkat lanjut harus diatur dalam pengaturan keamanan data tingkat lanjut server SQL

Deskripsi: Disarankan untuk mengaktifkan semua jenis perlindungan ancaman tingkat lanjut di server SQL Anda. Mengaktifkan semua jenis melindungi terhadap injeksi SQL, kerentanan database, dan aktivitas anomali lainnya. (Tidak ada kebijakan terkait)

Tingkat keparahan: Sedang

Layanan API Management harus menggunakan jaringan virtual

Deskripsi: Penyebaran Azure Virtual Network menyediakan keamanan, isolasi, dan memungkinkan Anda menempatkan layanan API Management di jaringan yang tidak dapat dirutekan internet yang dapat Anda kontrol aksesnya. Jaringan ini kemudian dapat dihubungkan je jaringan lokal Anda menggunakan berbagai teknologi VPN yang memungkinkan akses ke layanan backend Anda dalam jaringan dan/atau lokal. Portal pengembang dan API gateway dapat dikonfigurasi untuk dapat diakses baik dari Internet atau hanya di jaringan virtual. (Kebijakan terkait: Layanan API Management harus menggunakan jaringan virtual).

Tingkat keparahan: Sedang

Azure App Configuration harus menggunakan tautan privat

Deskripsi: Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke instans konfigurasi aplikasi Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/appconfig/private-endpoint. (Kebijakan terkait: App Configuration harus menggunakan tautan privat).

Tingkat keparahan: Sedang

Retensi audit untuk server SQL harus diatur ke minimal 90 hari

Deskripsi: Mengaudit server SQL yang dikonfigurasi dengan periode retensi audit kurang dari 90 hari. (Kebijakan terkait: Server SQL harus dikonfigurasi dengan retensi audit 90 hari atau lebih tinggi.)

Tingkat keparahan: Rendah

Audit di server SQL harus diaktifkan

Deskripsi: Aktifkan audit di SQL Server Anda untuk melacak aktivitas database di semua database di server dan menyimpannya dalam log audit. (Kebijakan terkait: Audit di server SQL harus diaktifkan).

Tingkat keparahan: Rendah

Provisi otomatis agen Analitik Log harus diaktifkan pada langganan

Deskripsi: Untuk memantau kerentanan dan ancaman keamanan, Microsoft Defender untuk Cloud mengumpulkan data dari komputer virtual Azure Anda. Data dikumpulkan oleh agen Log Analytics, sebelumnya dikenal sebagai Microsoft Monitoring Agent (MMA), yang membaca berbagai konfigurasi terkait keamanan dan log peristiwa dari komputer dan menyalin data ke ruang kerja Log Analytics Anda untuk analisis. Sebaiknya aktifkan penyediaan otomatis untuk menerapkan agen secara otomatis ke semua Azure VM yang didukung dan yang baru yang dibuat. (Kebijakan terkait: Provisi otomatis agen Analitik Log harus diaktifkan pada langganan Anda).

Tingkat keparahan: Rendah

Azure Cache for Redis harus berada dalam jaringan virtual

Deskripsi: Penyebaran Azure Virtual Network (VNet) menyediakan keamanan dan isolasi yang ditingkatkan untuk Azure Cache for Redis Anda, serta subnet, kebijakan kontrol akses, dan fitur lainnya untuk membatasi akses lebih lanjut. Ketika instans Azure Cache for Redis dikonfigurasi dengan VNet, instans tersebut tidak dapat diatasi secara publik dan hanya dapat diakses dari mesin dan aplikasi virtual dalam VNet. (Kebijakan terkait: Azure Cache for Redis harus berada dalam jaringan virtual).

Tingkat keparahan: Sedang

Azure Database for MySQL harus memiliki administrator Azure Active Directory yang disediakan

Deskripsi: Provisikan administrator Microsoft Azure AD untuk Azure Database for MySQL Anda untuk mengaktifkan autentikasi Microsoft Azure ACTIVE Directory. Autentikasi Azure AD memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat pengguna database dan layanan Microsoft lainnya (Kebijakan terkait: Administrator Azure Active Directory harus disediakan untuk server MySQL).

Tingkat keparahan: Sedang

Azure Database for PostgreSQL harus memiliki administrator Azure Active Directory yang disediakan

Deskripsi: Provisikan administrator Microsoft Azure AD untuk Azure Database for PostgreSQL Anda untuk mengaktifkan autentikasi Azure ACTIVE Directory. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya
(Kebijakan terkait: Administrator Azure Active Directory harus disediakan untuk server PostgreSQL).

Tingkat keparahan: Sedang

Server fleksibel Azure Database for PostgreSQL harus mengaktifkan autentikasi Microsoft Entra saja

Deskripsi: Menonaktifkan metode autentikasi lokal dan mengharuskan autentikasi Microsoft Entra meningkatkan keamanan dengan memastikan bahwa server fleksibel Azure Database for PostgreSQL hanya dapat diakses oleh identitas Microsoft Entra (Kebijakan terkait: Server fleksibel Azure PostgreSQL harus mengaktifkan Autentikasi Microsoft Entra Only).

Tingkat keparahan: Sedang

Akun Azure Cosmos DB harus memiliki aturan firewall

Deskripsi: Aturan firewall harus ditentukan pada akun Azure Cosmos DB Anda untuk mencegah lalu lintas dari sumber yang tidak sah. Akun yang memiliki setidaknya satu aturan IP yang ditentukan dengan filter jaringan virtual diaktifkan dianggap sesuai. Akun yang menonaktifkan akses publik juga dianggap patuh. (Kebijakan terkait: Akun Azure Cosmos DB harus memiliki aturan firewall).

Tingkat keparahan: Sedang

Domain Azure Event Grid harus menggunakan tautan privat

Deskripsi: Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke domain Event Grid, bukan seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. (Kebijakan terkait: Domain Azure Event Grid harus menggunakan tautan privat).

Tingkat keparahan: Sedang

Topik Azure Event Grid harus menggunakan tautan pribadi

Deskripsi: Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke topik Anda, bukan ke seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. (Kebijakan terkait: Topik Azure Event Grid harus menggunakan tautan privat).

Tingkat keparahan: Sedang

Ruang kerja Azure Machine Learning harus menggunakan tautan pribadi

Deskripsi: Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke ruang kerja Azure Machine Learning, bukan seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/azureml-workspaces-privatelink. (Kebijakan terkait: Ruang kerja Azure Pembelajaran Mesin harus menggunakan tautan privat).

Tingkat keparahan: Sedang

Layanan Azure SignalR harus menggunakan tautan pribadi

Deskripsi: Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke sumber daya SignalR Anda daripada seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/asrs/privatelink. (Kebijakan terkait: Azure SignalR Service harus menggunakan tautan privat).

Tingkat keparahan: Sedang

Azure Spring Cloud harus menggunakan injeksi jaringan

Deskripsi: Instans Azure Spring Cloud harus menggunakan injeksi jaringan virtual untuk tujuan berikut: 1. Pisahkan Azure Spring Cloud dari Internet. 2. Aktifkan Azure Spring Cloud untuk berinteraksi dengan sistem baik di pusat data lokal atau layanan Azure di jaringan virtual lainnya. 3. Berdayakan pelanggan untuk mengontrol komunikasi jaringan masuk dan keluar untuk Azure Spring Cloud. (Kebijakan terkait: Azure Spring Cloud harus menggunakan injeksi jaringan).

Tingkat keparahan: Sedang

Server SQL harus memprovisikan administrator Azure Active Directory

Deskripsi: Provisikan administrator Microsoft Azure ACTIVE Directory untuk server SQL Anda untuk mengaktifkan autentikasi Microsoft Azure AD. Autentikasi Azure AD memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat pengguna database dan layanan Microsoft lainnya. (Kebijakan terkait: Administrator Azure Active Directory harus disediakan untuk server SQL).

Tingkat keparahan: Tinggi

Mode autentikasi Ruang Kerja Azure Synapse harus Azure Active Directory Saja

Deskripsi: Mode autentikasi Ruang Kerja Azure Synapse harus berupa Azure Active Directory Hanya Azure Active Directory metode autentikasi yang meningkatkan keamanan dengan memastikan bahwa Ruang Kerja Synapse secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya. (Kebijakan terkait: Ruang Kerja Synapse hanya boleh menggunakan identitas Azure Active Directory untuk autentikasi).

Tingkat keparahan: Sedang

Repositori kode harus memiliki temuan pemindaian kode yang diselesaikan

Deskripsi: Defender untuk DevOps telah menemukan kerentanan dalam repositori kode. Untuk meningkatkan postur keamanan repositori, sangat disarankan untuk meremediasi kerentanan ini. (Tidak ada kebijakan terkait)

Tingkat keparahan: Sedang

Repositori kode harus menyelesaikan temuan pemindaian Dependabot

Tingkat keparahan: Sedang

Repositori kode harus menyelesaikan temuan pemindaian kode sebagai infrastruktur

Deskripsi: Defender untuk DevOps telah menemukan infrastruktur sebagai masalah konfigurasi keamanan kode di repositori. Masalah yang ditunjukkan di bawah ini telah terdeteksi di file templat. Untuk meningkatkan postur keamanan sumber daya cloud terkait, sangat disarankan untuk meremediasi masalah tersebut. (Tidak ada kebijakan terkait)

Tingkat keparahan: Sedang

Repositori kode harus menyelesaikan temuan pemindaian rahasia

Deskripsi: Defender untuk DevOps telah menemukan rahasia di repositori kode. Hal ini harus segera diremediasi untuk mencegah pelanggaran keamanan. Rahasia yang ditemukan di repositori dapat bocor atau ditemukan oleh musuh, sehingga menyebabkan bahaya pada aplikasi atau layanan. Untuk Azure DevOps, alat CredScan DevOps Microsoft Security hanya memindai build yang telah dikonfigurasi untuk dijalankan. Oleh karena itu, hasil mungkin tidak mencerminkan status lengkap rahasia di repositori Anda. (Tidak ada kebijakan terkait)

Tingkat keparahan: Tinggi

Akun Cognitive Services harus mengaktifkan enkripsi data

Deskripsi: Kebijakan ini mengaudit akun Cognitive Services apa pun yang tidak menggunakan enkripsi data. Untuk setiap akun dengan penyimpanan, Anda harus mengaktifkan enkripsi data dengan kunci yang dikelola pelanggan atau yang dikelola Microsoft. (Kebijakan terkait: Akun Cognitive Services harus mengaktifkan enkripsi data).

Tingkat keparahan: Rendah

Akun Cognitive Services harus menggunakan penyimpanan milik pelanggan atau mengaktifkan enkripsi data

Deskripsi: Kebijakan ini mengaudit akun Cognitive Services apa pun yang tidak menggunakan penyimpanan milik pelanggan atau enkripsi data. Untuk setiap akun Azure Cognitive Services dengan penyimpanan, gunakan penyimpanan milik pelanggan atau aktifkan enkripsi data. Menyelaraskan dengan Microsoft Cloud Security Benchmark. (Kebijakan terkait: Akun Cognitive Services harus menggunakan penyimpanan milik pelanggan atau mengaktifkan enkripsi data.)

Tingkat keparahan: Rendah

Log diagnostik di Azure Data Lake Store harus diaktifkan

Deskripsi: Aktifkan log dan pertahankan hingga satu tahun. Hal ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau jaringan Anda disusupi. (Kebijakan terkait: Log diagnostik di Azure Data Lake Store harus diaktifkan).

Tingkat keparahan: Rendah

Log diagnostik di Data Lake Analytics harus diaktifkan

Tingkat keparahan: Rendah

Pemberitahuan email untuk lansiran tingkat keparahan tinggi harus diaktifkan

Deskripsi: Untuk memastikan orang yang relevan di organisasi Anda diberi tahu ketika ada potensi pelanggaran keamanan di salah satu langganan Anda, aktifkan pemberitahuan email untuk pemberitahuan tingkat keparahan tinggi di Defender untuk Cloud. (Kebijakan terkait: Pemberitahuan email untuk pemberitahuan tingkat keparahan tinggi harus diaktifkan).

Tingkat keparahan: Rendah

Pemberitahuan email kepada pemilik langganan untuk lansiran tingkat keparahan tinggi harus diaktifkan

Deskripsi: Untuk memastikan pemilik langganan Anda diberi tahu ketika ada potensi pelanggaran keamanan dalam langganan mereka, atur pemberitahuan email ke pemilik langganan untuk pemberitahuan tingkat keparahan tinggi di Defender untuk Cloud. (Kebijakan terkait: Pemberitahuan email kepada pemilik langganan untuk pemberitahuan tingkat keparahan tinggi harus diaktifkan).

Tingkat keparahan: Sedang

Terapkan koneksi SSL harus diaktifkan untuk server database MySQL

Deskripsi: Azure Database for MySQL mendukung menyambungkan server Azure Database for MySQL Anda ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda. (Kebijakan terkait: Terapkan koneksi SSL harus diaktifkan untuk server database MySQL).

Tingkat keparahan: Sedang

Terapkan koneksi SSL harus diaktifkan untuk server database PostgreSQL

Deskripsi: Azure Database for PostgreSQL mendukung menyambungkan server Azure Database for PostgreSQL Anda ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda. (Kebijakan terkait: Terapkan koneksi SSL harus diaktifkan untuk server database PostgreSQL).

Tingkat keparahan: Sedang

Temuan kerentanan pada Aplikasi fungsi harus diselesaikan

Deskripsi: Pemindaian kerentanan runtime untuk fungsi memindai aplikasi fungsi Anda untuk kerentanan keamanan dan mengekspos temuan terperinci. Mengatasi masalah kerentanan dapat meningkatkan postur keamanan kontainer Anda secara signifikan dan melindunginya dari serangan. (Tidak ada kebijakan terkait)

Tingkat keparahan: Tinggi

Cadangan geo-redundan harus diaktifkan pada Azure Database for MariaDB

Deskripsi: Azure Database for MariaDB memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan di wilayah di mana server Anda dihosting, tetapi juga direplikasi ke wilayah yang dipasangkan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk cadangan hanya diperbolehkan saat membuat server. (Kebijakan terkait: Pencadangan geo-redundan harus diaktifkan untuk Azure Database for MariaDB).

Tingkat keparahan: Rendah

Pencadangan geo-redundan harus diaktifkan untuk Azure Database for MySQL

Deskripsi: Azure Database for MySQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan di wilayah di mana server Anda dihosting, tetapi juga direplikasi ke wilayah yang dipasangkan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk cadangan hanya diperbolehkan saat membuat server. (Kebijakan terkait: Pencadangan geo-redundan harus diaktifkan untuk Azure Database for MySQL).

Tingkat keparahan: Rendah

Pencadangan geo-redundan harus diaktifkan untuk Azure Database for PostgreSQL

Deskripsi: Azure Database for PostgreSQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan di wilayah di mana server Anda dihosting, tetapi juga direplikasi ke wilayah yang dipasangkan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk cadangan hanya diperbolehkan saat membuat server. (Kebijakan terkait: Pencadangan geo-redundan harus diaktifkan untuk Azure Database for PostgreSQL).

Tingkat keparahan: Rendah

Repositori GitHub harus mengaktifkan pemindaian Kode

Deskripsi: GitHub menggunakan pemindaian kode untuk menganalisis kode untuk menemukan kerentanan dan kesalahan keamanan dalam kode. Pemindaian kode dapat digunakan untuk menemukan, melakukan triase, dan memprioritaskan perbaikan untuk masalah yang ada dalam kode Anda. Pemindaian kode juga mencegah pengembang menyebabkan masalah baru. Pemindaian dapat dijadwalkan untuk hari dan waktu tertentu, atau pemindaian dapat dipicu saat peristiwa tertentu terjadi di repositori, seperti pendorongan. Jika pemindaian kode menemukan potensi kerentanan atau kesalahan dalam kode, GitHub akan menampilkan peringatan di repositori. Kerentanan adalah masalah dalam kode proyek yang dapat dieksploitasi untuk merusak kerahasiaan, integritas, atau ketersediaan proyek. (Tidak ada kebijakan terkait)

Tingkat keparahan: Sedang

Repositori GitHub harus mengaktifkan pemindaian Dependabot

Deskripsi: GitHub mengirimkan pemberitahuan Dependabot saat mendeteksi kerentanan dalam dependensi kode yang memengaruhi repositori. Kerentanan adalah masalah dalam kode proyek yang dapat dieksploitasi untuk merusak kerahasiaan, integritas, atau ketersediaan proyek atau proyek lain yang menggunakan kodenya. Kerentanan bervariasi menurut jenis, tingkat keparahan, dan metode serangan. Saat kode bergantung pada paket yang memiliki kerentanan keamanan, dependensi yang rentan ini dapat menyebabkan berbagai masalah. (Tidak ada kebijakan terkait)

Tingkat keparahan: Sedang

Repositori GitHub harus mengaktifkan pemindaian Rahasia

Deskripsi: GitHub memindai repositori untuk jenis rahasia yang diketahui, untuk mencegah penggunaan rahasia penipuan yang secara tidak sengaja diterapkan ke repositori. Pemindaian rahasia otomatis memindai seluruh riwayat Git Anda di semua cabang yang ada di repositori GitHub untuk menemukan rahasia apa pun. Contoh rahasia adalah token dan kunci privat yang dapat dikeluarkan penyedia layanan untuk autentikasi. Jika rahasia dimasukkan ke dalam repositori, siapa pun yang memiliki akses baca ke repositori dapat menggunakan rahasia untuk mengakses layanan eksternal dengan hak istimewa tersebut. Rahasia harus disimpan di lokasi khusus yang aman di luar repositori untuk proyek. (Tidak ada kebijakan terkait)

Tingkat keparahan: Tinggi

Microsoft Defender untuk server Azure SQL Database harus diaktifkan

Deskripsi: Pertahanan Microsoft untuk SQL adalah paket terpadu yang menyediakan kemampuan keamanan SQL tingkat lanjut. Azure Defender untuk SQL menyertakan fungsionalitas guna memunculkan dan mengurangi potensi kerentanan database, dan mendeteksi aktivitas ganjil yang dapat mengindikasikan ancaman terhadap database Anda, dan menemukan serta mengklasifikasikan data sensitif.

Perlindungan dari paket ini dikenakan biaya seperti yang ditunjukkan pada halaman paket Defender. Jika Anda tidak memiliki server Azure SQL Database dalam langganan ini, Anda tidak akan dikenakan biaya. Jika nanti Anda membuat server Azure SQL Database pada langganan ini, server tersebut akan otomatis dilindungi dan tagihan akan dimulai. Pelajari tentang detail harga setiap wilayah.

Pelajari selengkapnya di Pengantar Microsoft Defender untuk SQL. (Kebijakan terkait: Server Azure Defender untuk Azure SQL Database harus diaktifkan).

Tingkat keparahan: Tinggi

Microsoft Defender untuk DNS harus diaktifkan

Deskripsi: Pertahanan Microsoft untuk DNS menyediakan lapisan perlindungan tambahan untuk sumber daya cloud Anda dengan terus memantau semua kueri DNS dari sumber daya Azure Anda. Defender untuk DNS memberi tahu Anda tentang aktivitas mencurigakan di lapisan DNS. Pelajari selengkapnya di Pengantar Microsoft Defender untuk DNS. Mengaktifkan paket Defender ini akan menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Defender untuk Cloud: harga Defender untuk Cloud. (Tidak ada kebijakan terkait)

Tingkat keparahan: Tinggi

Microsoft Defender untuk database hubungan sumber terbuka harus diaktifkan

Deskripsi: Pertahanan Microsoft untuk database relasional sumber terbuka mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. Pelajari selengkapnya di Pengantar Microsoft Defender untuk database hubungan sumber terbuka.

Mengaktifkan paket ini akan mengakibatkan biaya untuk melindungi database relasional sumber terbuka Anda. Jika Anda tidak memiliki database hubungan sumber terbuka dalam langganan ini, tidak ada biaya yang akan dikenakan. Jika Anda membuat database hubungan sumber terbuka apa pun pada langganan ini di masa mendatang, database hubungan sumber terbuka tersebut akan secara otomatis dilindungi dan tagihan akan dimulai pada saat itu. (Tidak ada kebijakan terkait)

Tingkat keparahan: Tinggi

Microsoft Defender untuk Resource Manager harus diaktifkan

Deskripsi: Microsoft Defender untuk Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Defender untuk Cloud mendeteksi ancaman dan memberi tahu Anda tentang aktivitas mencurigakan. Pelajari selengkapnya di Pengantar Microsoft Defender untuk Resource Manager. Mengaktifkan paket Defender ini akan menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Defender untuk Cloud: harga Defender untuk Cloud. (Tidak ada kebijakan terkait)

Tingkat keparahan: Tinggi

Microsoft Defender untuk SQL di komputer harus diaktifkan pada ruang kerja

Deskripsi: Pertahanan Microsoft untuk server menghadirkan deteksi ancaman dan pertahanan tingkat lanjut untuk komputer Windows dan Linux Anda. Dengan paket Defender ini diaktifkan di langganan tetapi tidak di ruang kerja, Anda membayar kemampuan penuh Microsoft Defender untuk server tetapi kehilangan beberapa keuntungannya. Saat Anda mengaktifkan Microsoft Defender untuk server di ruang kerja, semua mesin yang melaporkan ke ruang kerja tersebut akan ditagih untuk Microsoft Defender untuk server - bahkan jika mesin berlangganan tanpa mengaktifkan paket Defender. Kecuali Anda juga mengaktifkan Microsoft Defender untuk server pada langganan, mesin tersebut tidak akan dapat memanfaatkan akses Mesin Virtual just-in-time, kontrol aplikasi adaptif, dan deteksi jaringan untuk sumber daya Azure. Pelajari selengkapnya di Pengantar Microsoft Defender untuk server. (Tidak ada kebijakan terkait)

Tingkat keparahan: Sedang

Microsoft Defender untuk server SQL pada mesin harus diaktifkan

Memulihkan rekomendasi ini akan mengakibatkan biaya untuk melindungi server SQL Anda pada komputer. Jika Anda tidak memiliki server SQL apa pun di komputer dalam langganan ini, tidak ada biaya yang akan dikenakan. Jika Anda membuat server SQL apa pun di komputer pada langganan ini di masa mendatang, server tersebut akan secara otomatis dilindungi dan tagihan akan dimulai pada saat itu. Pelajari selengkapnya tentang Microsoft Defender untuk server SQL pada mesin. (Kebijakan terkait: Azure Defender untuk server SQL pada komputer harus diaktifkan).

Tingkat keparahan: Tinggi

Microsoft Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi

Deskripsi: Pertahanan Microsoft untuk SQL adalah paket terpadu yang menyediakan kemampuan keamanan SQL tingkat lanjut. Ini muncul dan mengurangi potensi kerentanan database, dan mendeteksi aktivitas anomali yang dapat menunjukkan ancaman terhadap database Anda. Microsoft Defender untuk SQL ditagih seperti yang ditunjukkan pada detail harga setiap wilayah. (Kebijakan terkait: Keamanan data tingkat lanjut harus diaktifkan di server SQL Anda).

Tingkat keparahan: Tinggi

Microsoft Defender untuk SQL harus diaktifkan untuk SQL Managed Instances yang tidak terlindungi

Tingkat keparahan: Tinggi

Microsoft Defender untuk Penyimpanan harus diaktifkan

Deskripsi: Pertahanan Microsoft untuk penyimpanan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan.

Perlindungan dari paket ini dikenakan biaya seperti yang ditunjukkan pada halaman paket Defender. Jika Anda tidak memiliki akun Azure Storage dalam langganan ini, Anda tidak akan dikenakan biaya. Jika nanti Anda membuat akun Azure Storage pada langganan ini, akun tersebut akan secara otomatis dilindungi dan tagihan akan dimulai. Pelajari tentang detail harga setiap wilayah. Pelajari lebih lanjut di Pengantar Microsoft Defender untuk Penyimpanan. (Kebijakan terkait: Azure Defender untuk Penyimpanan harus diaktifkan).

Tingkat keparahan: Tinggi

Network Watcher harus diaktifkan

Deskripsi: Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan end-to-end. Alat diagnostik dan visualisasi jaringan yang tersedia dengan Network Watcher membantu Anda memahami, mendiagnosis, dan mendapatkan wawasan ke jaringan Anda di Azure. (Kebijakan terkait: Network Watcher harus diaktifkan).

Tingkat keparahan: Rendah

Koneksi titik akhir pribadi di Azure SQL Database harus diaktifkan

Deskripsi: Koneksi titik akhir privat memberlakukan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure SQL Database. (Kebijakan terkait: Koneksi titik akhir privat di Azure SQL Database harus diaktifkan).

Tingkat keparahan: Sedang

Titik akhir privat harus diaktifkan untuk server MariaDB

Deskripsi: Koneksi titik akhir privat memberlakukan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure Database for MariaDB. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. (Kebijakan terkait: Titik akhir privat harus diaktifkan untuk server MariaDB).

Tingkat keparahan: Sedang

Titik akhir pribadi harus diaktifkan untuk server MySQL

Deskripsi: Koneksi titik akhir privat memberlakukan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure Database for MySQL. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. (Kebijakan terkait: Titik akhir privat harus diaktifkan untuk server MySQL).

Tingkat keparahan: Sedang

Titik akhir pribadi harus diaktifkan untuk server PostgreSQL

Deskripsi: Koneksi titik akhir privat memberlakukan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure Database for PostgreSQL. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. (Kebijakan terkait: Titik akhir privat harus diaktifkan untuk server PostgreSQL).

Tingkat keparahan: Sedang

Akses jaringan publik di Azure SQL Database harus dinonaktifkan

Deskripsi: Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan Azure SQL Database Anda hanya dapat diakses dari titik akhir privat. Konfigurasi ini menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. (Kebijakan terkait: Akses jaringan publik di Azure SQL Database harus dinonaktifkan).

Tingkat keparahan: Sedang

Akses jaringan publik harus dinonaktifkan untuk akun Azure Cognitive Services

Deskripsi: Kebijakan ini mengaudit akun Cognitive Services apa pun di lingkungan Anda dengan akses jaringan publik diaktifkan. Akses jaringan publik harus dinon-fungsikan agar hanya sambungan dari titik akhir privat yang diperbolehkan. (Kebijakan terkait: Akses jaringan publik harus dinonaktifkan untuk akun Cognitive Services).

Tingkat keparahan: Sedang

Akses jaringan publik harus dinonaktifkan untuk server MariaDB

Deskripsi: Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for MariaDB Anda hanya dapat diakses dari titik akhir privat. Konfigurasi ini secara ketat menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. (Kebijakan terkait: Akses jaringan publik harus dinonaktifkan untuk server MariaDB).

Tingkat keparahan: Sedang

Akses jaringan publik harus dinonaktifkan untuk server MySQL

Deskripsi: Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for MySQL Anda hanya dapat diakses dari titik akhir privat. Konfigurasi ini secara ketat menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. (Kebijakan terkait: Akses jaringan publik harus dinonaktifkan untuk server MySQL).

Tingkat keparahan: Sedang

Akses jaringan publik harus dinonaktifkan untuk server PostgreSQL

Deskripsi: Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for PostgreSQL Anda hanya dapat diakses dari titik akhir privat. Konfigurasi ini menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menolak semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. (Kebijakan terkait: Akses jaringan publik harus dinonaktifkan untuk server PostgreSQL).

Tingkat keparahan: Sedang

Redis Cache harus mengizinkan akses hanya melalui SSL

Deskripsi: Aktifkan hanya koneksi melalui SSL ke Redis Cache. Penggunaan koneksi aman memastikan autentikasi antara server dan layanan serta melindungi data saat transit dari serangan lapisan jaringan seperti man-in-the-middle, penyadapan, dan sesi-pembajakan. (Kebijakan terkait: Hanya koneksi aman ke Azure Cache for Redis yang harus diaktifkan).

Tingkat keparahan: Tinggi

Database SQL harus memiliki temuan kerentanan yang diselesaikan

Deskripsi: Penilaian Kerentanan SQL memindai database Anda untuk kerentanan keamanan, dan mengekspos penyimpangan dari praktik terbaik seperti kesalahan konfigurasi, izin berlebihan, dan data sensitif yang tidak terlindungi. Menyelesaikan kerentanan yang ditemukan dapat sangat meningkatkan postur keamanan database Anda. Pelajari lebih lanjut (Kebijakan terkait: Kerentanan pada database SQL Anda harus diperbaiki).

Tingkat keparahan: Tinggi

Instans terkelola SQL harus mengonfigurasi penilaian kerentanan

Deskripsi: Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda memulihkan potensi kerentanan database. (Kebijakan terkait: Penilaian kerentanan harus diaktifkan pada SQL Managed Instance).

Tingkat keparahan: Tinggi

SQL Server pada komputer harus mengatasi temuan kerentanan

Tingkat keparahan: Tinggi

Server SQL harus memprovisikan administrator Azure Active Directory

Tingkat keparahan: Tinggi

SQL Server harus memiliki penilaian kerentanan yang dikonfigurasi

Deskripsi: Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda memulihkan potensi kerentanan database. (Kebijakan terkait: Penilaian kerentanan harus diaktifkan di server SQL Anda).

Tingkat keparahan: Tinggi

Akun penyimpanan harus menggunakan koneksi tautan privat

Deskripsi: Tautan privat memberlakukan komunikasi yang aman, dengan menyediakan konektivitas privat ke akun penyimpanan (Kebijakan terkait: Akun penyimpanan harus menggunakan koneksi tautan privat).

Tingkat keparahan: Sedang

Akun penyimpanan harus dimigrasikan ke sumber daya Azure Resource Manager baru

Deskripsi: Untuk mendapatkan manfaat dari kemampuan baru di Azure Resource Manager, Anda dapat memigrasikan penyebaran yang ada dari model penyebaran Klasik. Resource Manager memungkinkan peningkatan keamanan seperti: kontrol akses yang lebih kuat (RBAC), audit yang lebih baik, penyebaran dan tata kelola berbasis ARM, akses ke identitas terkelola, akses ke brankas kunci untuk rahasia, autentikasi berbasis Azure AD, dan dukungan untuk tag dan grup sumber daya untuk manajemen keamanan yang lebih mudah. Pelajari lebih lanjut (Kebijakan terkait: Akun penyimpanan harus dimigrasikan ke sumber daya Azure Resource Manager baru).

Tingkat keparahan: Rendah

Akun penyimpanan harus mencegah akses kunci secara bersama

Deskripsi: Persyaratan audit Azure Active Directory (Azure AD) untuk mengotorisasi permintaan untuk akun penyimpanan Anda. Secara default, permintaan dapat diotorisasi dengan kredensial Azure Active Directory (Azure AD), atau dengan menggunakan kunci akses akun untuk otorisasi Kunci Bersama. Dari kedua jenis otorisasi ini, Azure AD menyediakan keamanan yang unggul dan kemudahan penggunaan melalui Kunci bersama, dan direkomendasikan oleh Microsoft. (Kebijakan terkait: kebijakan)

Tingkat keparahan: Sedang

Akun penyimpanan harus membatasi akses jaringan menggunakan aturan jaringan virtual

Deskripsi: Lindungi akun penyimpanan Anda dari potensi ancaman menggunakan aturan jaringan virtual sebagai metode pilihan alih-alih pemfilteran berbasis IP. Menonaktifkan pemfilteran berbasis IP mencegah IP publik mengakses akun penyimpanan Anda. (Kebijakan terkait: Akun penyimpanan harus membatasi akses jaringan menggunakan aturan jaringan virtual).

Tingkat keparahan: Sedang

Langganan harus memiliki alamat email kontak untuk masalah keamanan

Deskripsi: Untuk memastikan orang yang relevan di organisasi Anda diberi tahu saat ada potensi pelanggaran keamanan di salah satu langganan Anda, atur kontak keamanan untuk menerima pemberitahuan email dari Defender untuk Cloud. (Kebijakan terkait: Langganan harus memiliki alamat email kontak untuk masalah keamanan)

Tingkat keparahan: Rendah

Enkripsi Data Transparan pada database SQL harus diaktifkan

Deskripsi: Aktifkan enkripsi data transparan untuk melindungi data tidak aktif dan memenuhi persyaratan kepatuhan (Kebijakan terkait: Enkripsi Data Transparan pada database SQL harus diaktifkan).

Tingkat keparahan: Rendah

Template Pembuat Gambar VM harus menggunakan tautan pribadi

Deskripsi: Mengaudit templat VM Image Builder yang tidak memiliki jaringan virtual yang dikonfigurasi. Ketika jaringan virtual tidak dikonfigurasi, IP publik dibuat dan digunakan sebagai gantinya, yang mungkin langsung mengekspos sumber daya ke internet dan meningkatkan permukaan serangan potensial. (Kebijakan terkait: Templat VM Image Builder harus menggunakan tautan privat).

Tingkat keparahan: Sedang

Web Application Firewall (WAF) harus diaktifkan untuk Azure Application Gateway

Deskripsi: Sebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Berdasarkan negara/wilayah, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. (Kebijakan terkait: Web Application Firewall (WAF) harus diaktifkan untuk Application Gateway).

Tingkat keparahan: Rendah

Web Application Firewall (WAF) harus diaktifkan untuk layanan Azure Front Door Service

Tingkat keparahan: Rendah

Rekomendasi data AWS

Kluster Amazon Aurora harus mengaktifkan pelacakan mundur

Deskripsi: Kontrol ini memeriksa apakah kluster Amazon Aurora mengaktifkan backtracking. Cadangan membantu Anda memulihkan lebih cepat dari insiden keamanan. Mereka juga memperkuat ketahanan sistem Anda. Aurora backtracking mengurangi waktu untuk memulihkan database ke titik waktu tertentu. Ini tidak memerlukan pemulihan database untuk melakukannya. Untuk informasi selengkapnya tentang pelacakan mundur di Aurora, lihat Melacak mundur klaster Aurora DB di Panduan Pengguna Amazon Aurora.

Tingkat keparahan: Sedang

Rekam jepret Amazon EBS seharusnya tidak dapat disembuhkan secara publik

Deskripsi: Rekam jepret Amazon EBS tidak boleh dapat dilaporkan secara publik oleh semua orang kecuali diizinkan secara eksplisit, untuk menghindari paparan data yang tidak disengaja. Selain itu, izin untuk mengubah konfigurasi Amazon EBS harus dibatasi hanya untuk akun AWS resmi.

Tingkat keparahan: Tinggi

Definisi tugas Amazon ECS harus memiliki mode jaringan aman dan definisi pengguna

Deskripsi: Kontrol ini memeriksa apakah definisi tugas Amazon ECS aktif yang memiliki mode jaringan host juga memiliki definisi kontainer istimewa atau pengguna. Kontrol gagal untuk definisi tugas yang memiliki mode jaringan host dan definisi wadah di mana privileged=false atau kosong dan user=root atau kosong. Jika definisi tugas memiliki hak istimewa yang ditingkatkan, itu karena pelanggan secara khusus ikut serta dalam konfigurasi tersebut. Kontrol ini memeriksa eskalasi hak istimewa yang tidak terduga ketika definisi tugas mengaktifkan jaringan host tetapi pelanggan tidak memilih untuk meningkatkan hak istimewa.

Tingkat keparahan: Tinggi

Domain Amazon Elasticsearch Service harus mengenkripsi data yang dikirim antar node

Deskripsi: Kontrol ini memeriksa apakah domain Amazon ES mengaktifkan enkripsi node-to-node. HTTPS (TLS) dapat digunakan untuk membantu mencegah penyerang potensial menguping atau memanipulasi lalu lintas jaringan menggunakan serangan person-in-the-middle atau serupa. Hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan. Mengaktifkan enkripsi node-to-node untuk domain Amazon ES memastikan bahwa komunikasi intra-cluster dienkripsi saat transit. Mungkin ada penalti kinerja yang terkait dengan konfigurasi ini. Anda harus mengetahui dan menguji pertukaran kinerja sebelum mengaktifkan opsi ini.

Tingkat keparahan: Sedang

Domain Amazon Elasticsearch Service harus mengaktifkan enkripsi saat istirahat

Deskripsi: Penting untuk mengaktifkan enkripsi sisa domain Amazon ES untuk melindungi data sensitif

Tingkat keparahan: Sedang

Database Amazon RDS harus dienkripsi menggunakan kunci yang dikelola pelanggan

Deskripsi: Pemeriksaan ini mengidentifikasi database RDS yang dienkripsi dengan kunci KMS default dan bukan dengan kunci yang dikelola pelanggan. Sebagai praktik terdepan, gunakan kunci yang dikelola pelanggan untuk mengenkripsi data pada database RDS Anda dan mempertahankan kontrol kunci dan data Anda pada beban kerja sensitif.

Tingkat keparahan: Sedang

Instans Amazon RDS harus dikonfigurasi dengan pengaturan pencadangan otomatis

Deskripsi: Pemeriksaan ini mengidentifikasi instans RDS, yang tidak diatur dengan pengaturan pencadangan otomatis. Jika Pencadangan Otomatis diatur, RDS membuat rekam jepret volume penyimpanan instans DB Anda, mencadangkan seluruh instans DB dan bukan hanya database individual, yang menyediakan pemulihan titik waktu. Pencadangan otomatis terjadi selama waktu jendela cadangan yang ditentukan dan menyimpan cadangan untuk jangka waktu terbatas seperti yang didefinisikan dalam periode retensi. Disarankan untuk mengatur cadangan otomatis untuk server RDS penting Anda yang membantu dalam proses pemulihan data.

Tingkat keparahan: Sedang

Kluster Amazon Redshift harus mengaktifkan pencatatan audit

Deskripsi: Kontrol ini memeriksa apakah kluster Amazon Redshift mengaktifkan pengelogan audit. Pencatatan audit Amazon Redshift memberikan informasi tambahan tentang koneksi dan aktivitas pengguna di klaster Anda. Data ini dapat disimpan dan diamankan di Amazon S3 dan dapat membantu dalam audit dan investigasi keamanan. Untuk informasi selengkapnya, lihat Pencatatan log audit basis data di Panduan Manajemen Klaster Amazon Redshift.

Tingkat keparahan: Sedang

Kluster Amazon Redshift harus mengaktifkan snapshot otomatis

Deskripsi: Kontrol ini memeriksa apakah kluster Amazon Redshift mengaktifkan rekam jepret otomatis. Ini juga memeriksa apakah periode retensi snapshot lebih besar dari atau sama dengan tujuh. Cadangan membantu Anda memulihkan lebih cepat dari insiden keamanan. Mereka memperkuat ketahanan sistem Anda. Amazon Redshift mengambil snapshot berkala secara default. Kontrol ini memeriksa apakah snapshot otomatis diaktifkan dan dipertahankan setidaknya selama tujuh hari. Untuk informasi selengkapnya tentang rekam jepret otomatis Amazon Redshift, lihat Rekam jepret otomatis di Panduan Manajemen Kluster Amazon Redshift.

Tingkat keparahan: Sedang

Cluster Amazon Redshift harus melarang akses publik

Deskripsi: Kami merekomendasikan kluster Amazon Redshift untuk menghindari aksesibilitas publik dengan mengevaluasi bidang 'publiclyAccessible' dalam item konfigurasi kluster.

Tingkat keparahan: Tinggi

Amazon Redshift seharusnya memiliki peningkatan otomatis ke versi utama yang diaktifkan

Deskripsi: Kontrol ini memeriksa apakah peningkatan versi utama otomatis diaktifkan untuk kluster Amazon Redshift. Mengaktifkan pemutakhiran versi utama otomatis memastikan bahwa pembaruan versi utama terbaru untuk klaster Amazon Redshift diinstal selama jendela pemeliharaan. Pembaruan ini mungkin termasuk patch keamanan dan perbaikan bug. Tetap up to date dengan instalasi patch adalah langkah penting dalam mengamankan sistem.

Tingkat keparahan: Sedang

Antrian Amazon SQS harus dienkripsi saat istirahat

Deskripsi: Kontrol ini memeriksa apakah antrean Amazon SQS dienkripsi saat tidak aktif. Enkripsi sisi server (SSE) memungkinkan Anda mengirimkan data sensitif dalam antrian terenkripsi. Untuk melindungi konten pesan dalam antrean, SSE menggunakan kunci yang dikelola di AWS KMS. Untuk informasi selengkapnya, lihat Enkripsi saat istirahat di Panduan Pengembang Amazon Simple Queue Service.

Tingkat keparahan: Sedang

Langganan pemberitahuan peristiwa RDS harus dikonfigurasi untuk peristiwa klaster kritis

Deskripsi: Kontrol ini memeriksa apakah langganan peristiwa Amazon RDS ada yang memiliki pemberitahuan yang diaktifkan untuk jenis sumber berikut: Pasangan kunci-nilai kategori peristiwa. DBCluster: [Pemeliharaan dan kegagalan]. Pemberitahuan acara RDS menggunakan Amazon SNS untuk membuat Anda mengetahui perubahan dalam ketersediaan atau konfigurasi sumber daya RDS Anda. Notifikasi ini memungkinkan respons cepat. Untuk informasi selengkapnya tentang pemberitahuan peristiwa RDS, lihat Menggunakan pemberitahuan peristiwa Amazon RDS di Panduan Pengguna Amazon RDS.

Tingkat keparahan: Rendah

Langganan pemberitahuan peristiwa RDS harus dikonfigurasi untuk peristiwa instans basis data penting

Deskripsi: Kontrol ini memeriksa apakah langganan peristiwa Amazon RDS ada dengan pemberitahuan yang diaktifkan untuk jenis sumber berikut: Pasangan kunci-nilai kategori peristiwa. DBInstance: [Pemeliharaan, perubahan konfigurasi, dan kegagalan]. Pemberitahuan acara RDS menggunakan Amazon SNS untuk membuat Anda mengetahui perubahan dalam ketersediaan atau konfigurasi sumber daya RDS Anda. Notifikasi ini memungkinkan respons cepat. Untuk informasi selengkapnya tentang pemberitahuan peristiwa RDS, lihat Menggunakan pemberitahuan peristiwa Amazon RDS di Panduan Pengguna Amazon RDS.

Tingkat keparahan: Rendah

Langganan pemberitahuan peristiwa RDS harus dikonfigurasi untuk peristiwa grup parameter basis data penting

Deskripsi: Kontrol ini memeriksa apakah langganan peristiwa Amazon RDS ada dengan pemberitahuan yang diaktifkan untuk jenis sumber berikut: Pasangan kunci-nilai kategori peristiwa. DBParameterGroup: ["konfigurasi", "ubah"]. Pemberitahuan acara RDS menggunakan Amazon SNS untuk membuat Anda mengetahui perubahan dalam ketersediaan atau konfigurasi sumber daya RDS Anda. Notifikasi ini memungkinkan respons cepat. Untuk informasi selengkapnya tentang pemberitahuan peristiwa RDS, lihat Menggunakan pemberitahuan peristiwa Amazon RDS di Panduan Pengguna Amazon RDS.

Tingkat keparahan: Rendah

Langganan pemberitahuan peristiwa RDS harus dikonfigurasi untuk peristiwa grup keamanan basis data penting

Deskripsi: Kontrol ini memeriksa apakah langganan peristiwa Amazon RDS ada dengan pemberitahuan yang diaktifkan untuk jenis sumber berikut: Pasangan kunci-nilai kategori peristiwa. DBSecurityGroup: [Konfigurasi, perubahan, kegagalan]. Pemberitahuan acara RDS menggunakan Amazon SNS untuk membuat Anda mengetahui perubahan dalam ketersediaan atau konfigurasi sumber daya RDS Anda. Pemberitahuan ini memungkinkan respons yang cepat. Untuk informasi selengkapnya tentang pemberitahuan peristiwa RDS, lihat Menggunakan pemberitahuan peristiwa Amazon RDS di Panduan Pengguna Amazon RDS.

Tingkat keparahan: Rendah

API Gateway REST dan WebSocket API logging harus diaktifkan

Deskripsi: Kontrol ini memeriksa apakah semua tahapan AMAZON API Gateway REST atau WebSocket API telah mengaktifkan pengelogan. Kontrol gagal jika pengelogan tidak diaktifkan untuk semua metode tahap atau jika Tingkat pengelogan bukan KESALAHAN atau INFO. Tahap API Gateway REST atau WebSocket API harus mengaktifkan log yang relevan. API Gateway REST dan logging eksekusi WebSocket API menyediakan catatan mendetail tentang permintaan yang dibuat ke tahapan API Gateway REST dan WebSocket API. Tahapannya mencakup respons backend integrasi API, respons otorisasi Lambda, dan requestId untuk titik akhir integrasi AWS.

Tingkat keparahan: Sedang

Data cache API REST API Gateway harus dienkripsi saat diam

Deskripsi: Kontrol ini memeriksa apakah semua metode dalam tahap REST API Gateway yang mengaktifkan cache dienkripsi. Kontrol gagal jika metode apa pun dalam tahap API Gateway REST API dikonfigurasi ke cache dan cache tidak dienkripsi. Mengenkripsi data saat istirahat mengurangi risiko data yang disimpan di disk diakses oleh pengguna yang tidak diautentikasi ke AWS. Itu menambahkan satu set kontrol akses untuk membatasi kemampuan pengguna yang tidak sah mengakses data. Misalnya, izin API diperlukan untuk mendekripsi data sebelum dapat dibaca. API Gateway REST Cache API harus dienkripsi saat istirahat untuk lapisan keamanan tambahan.

Tingkat keparahan: Sedang

Tahap REST API Gateway API harus dikonfigurasi untuk menggunakan sertifikat SSL untuk autentikasi backend

Deskripsi: Kontrol ini memeriksa apakah tahapAN REST API Amazon API Gateway memiliki sertifikat SSL yang dikonfigurasi. Sistem backend menggunakan sertifikat ini untuk mengautentikasi bahwa permintaan yang masuk berasal dari API Gateway. Tahap API Gateway REST API harus dikonfigurasi dengan sertifikat SSL untuk memungkinkan sistem backend mengautentikasi bahwa permintaan berasal dari API Gateway.

Tingkat keparahan: Sedang

Tahap API Gateway REST API harus mengaktifkan pelacakan AWS X-Ray

Deskripsi: Kontrol ini memeriksa apakah pelacakan aktif AWS X-Ray diaktifkan untuk tahap REST API Amazon API Gateway Anda. Pelacakan aktif X-Ray memungkinkan respons yang lebih cepat terhadap perubahan kinerja di infrastruktur yang mendasarinya. Perubahan kinerja dapat mengakibatkan kurangnya ketersediaan API. Pelacakan aktif X-Ray menyediakan metrik permintaan pengguna real-time yang mengalir melalui operasi API Gateway REST API Anda dan layanan yang terhubung.

Tingkat keparahan: Rendah

API Gateway harus dikaitkan dengan AWS web AWS WAF

Deskripsi: Kontrol ini memeriksa apakah tahap API Gateway menggunakan daftar kontrol akses web (ACL) AWS WAF. Kontrol ini gagal jika ACL web AWS WAF tidak dilampirkan ke tahap REST API Gateway. AWS WAF adalah firewall aplikasi web yang membantu melindungi aplikasi web dan API dari serangan. Ini memungkinkan Anda untuk mengonfigurasi ACL, yang merupakan seperangkat aturan yang mengizinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan ketentuan keamanan web yang dapat disesuaikan yang Anda tetapkan. Pastikan tahapan API Gateway Anda dikaitkan dengan AWS web AWS WAF untuk membantu melindunginya dari serangan berbahaya.

Tingkat keparahan: Sedang

Logging Aplikasi dan Penyeimbang Beban Klasik harus diaktifkan

Deskripsi: Kontrol ini memeriksa apakah Load Balancer Aplikasi dan Load Balancer Klasik telah mengaktifkan pengelogan. Kontrol gagal jika access_logs.s3.enabled salah. Elastic Load Balancing menyediakan log akses yang menangkap informasi mendetail tentang permintaan yang dikirim ke load balancer Anda. Setiap log berisi informasi seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server. Anda dapat menggunakan log akses untuk menganalisis pola lalu lintas dan memecahkan masalah. Untuk mempelajari lebih lanjut, lihat Akses log untuk Classic Load Balancer Anda di Panduan Pengguna untuk Classic Load Balancer.

Tingkat keparahan: Sedang

Volume EBS yang dilampirkan harus dienkripsi saat diam

Deskripsi: Kontrol ini memeriksa apakah volume EBS yang berada dalam status terlampir dienkripsi. Untuk lulus pemeriksaan ini, volume EBS harus digunakan dan dienkripsi. Jika volume EBS tidak terpasang, maka volume tersebut tidak tunduk pada pemeriksaan ini. Untuk lapisan keamanan tambahan data sensitif Anda dalam volume EBS, Anda harus mengaktifkan enkripsi EBS saat istirahat. Enkripsi Amazon EBS menawarkan solusi enkripsi langsung untuk sumber daya EBS Anda yang tidak mengharuskan Anda membangun, memelihara, dan mengamankan infrastruktur manajemen kunci Anda sendiri. Ini menggunakan kunci master pelanggan (CMK) AWS KMS saat membuat volume dan snapshot terenkripsi. Untuk mempelajari lebih lanjut tentang enkripsi Amazon EBS, lihat Enkripsi Amazon EBS di Panduan Pengguna Amazon EC2 untuk Instans Linux.

Tingkat keparahan: Sedang

Instans replikasi AWS Database Migration Service tidak boleh berpublikasi

Deskripsi: Untuk melindungi instans yang direplikasi dari ancaman. Instans replikasi privat harus memiliki alamat IP privat yang tidak dapat Anda akses di luar jaringan replikasi. Instans replikasi harus memiliki alamat IP pribadi saat database sumber dan target berada di jaringan yang sama, dan jaringan terhubung ke VPC instans replikasi menggunakan VPN, AWS Direct Connect, atau peering VPC. Anda juga harus memastikan bahwa akses ke konfigurasi instans AWS DMS Anda dibatasi hanya untuk pengguna yang berwenang. Untuk melakukannya, batasi izin IAM pengguna untuk mengubah pengaturan dan sumber daya AWS DMS.

Tingkat keparahan: Tinggi

Pendengar Classic Load Balancer harus dikonfigurasi dengan penghentian HTTPS atau TLS

Deskripsi: Kontrol ini memeriksa apakah listener Load Balancer Klasik Anda dikonfigurasi dengan protokol HTTPS atau TLS untuk koneksi front-end (klien ke load balancer). Kontrol ini berlaku jika Classic Load Balancer memiliki pendengar. Jika Load Balancer Klasik Anda tidak memiliki listener yang dikonfigurasi, kontrol tidak melaporkan temuan apa pun. Kontrol lolos jika pendengar Classic Load Balancer dikonfigurasi dengan TLS atau HTTPS untuk koneksi front-end. Kontrol gagal jika listener tidak dikonfigurasi dengan TLS atau HTTPS untuk koneksi front-end. Sebelum Anda mulai menggunakan penyeimbang beban, Anda harus menambahkan satu atau beberapa pendengar. Listener adalah proses yang menggunakan protokol dan port yang dikonfigurasi untuk memeriksa permintaan koneksi. Pendengar dapat mendukung protokol HTTP dan HTTPS/TLS. Anda harus selalu menggunakan pendengar HTTPS atau TLS, sehingga penyeimbang beban melakukan pekerjaan enkripsi dan dekripsi dalam perjalanan.

Tingkat keparahan: Sedang

Penyeimbang Beban Klasik harus mengaktifkan pengurasan koneksi

Deskripsi: Kontrol ini memeriksa apakah Load Balancer Klasik mengaktifkan pengurasan koneksi. Mengaktifkan pengurasan koneksi pada Load Balancer Klasik memastikan bahwa load balancer berhenti mengirim permintaan ke instans yang membatalkan pendaftaran atau tidak sehat. Itu membuat koneksi yang ada tetap terbuka. Ini berguna untuk instans dalam grup Penskalaan Otomatis, untuk memastikan bahwa koneksi tidak terputus secara tiba-tiba.

Tingkat keparahan: Sedang

Distribusi CloudFront harus mengaktifkan AWS WAF

Deskripsi: Kontrol ini memeriksa apakah distribusi CloudFront dikaitkan dengan ACL web AWS WAF atau AWS WAFv2. Kontrol gagal jika distribusi tidak terkait dengan ACL web. AWS WAF adalah firewall aplikasi web yang membantu melindungi aplikasi web dan API dari serangan. Ini memungkinkan Anda untuk mengonfigurasi seperangkat aturan, yang disebut daftar kontrol akses web (web ACL), yang mengizinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan ketentuan keamanan web yang dapat disesuaikan yang Anda tetapkan. Pastikan distribusi CloudFront Anda dikaitkan dengan AWS web AWS WAF untuk membantu melindunginya dari serangan berbahaya.

Tingkat keparahan: Sedang

Distribusi CloudFront harus mengaktifkan logging

Deskripsi: Kontrol ini memeriksa apakah pengelogan akses server diaktifkan pada distribusi CloudFront. Kontrol gagal jika pengelogan akses tidak diaktifkan untuk distribusi. Log akses CloudFront memberikan informasi terperinci tentang setiap permintaan pengguna yang diterima CloudFront. Setiap log berisi informasi seperti tanggal dan waktu permintaan diterima, alamat IP penampil yang membuat permintaan, sumber permintaan, dan nomor port permintaan dari penampil. Log ini berguna untuk aplikasi seperti audit keamanan dan akses serta investigasi forensik. Untuk informasi selengkapnya tentang cara menganalisis log akses, lihat Mengkueri log Amazon CloudFront di Panduan Pengguna Amazon Athena.

Tingkat keparahan: Sedang

Distribusi CloudFront harus memerlukan enkripsi saat transit

Deskripsi: Kontrol ini memeriksa apakah distribusi Amazon CloudFront mengharuskan penonton untuk menggunakan HTTPS secara langsung atau apakah menggunakan pengalihan. Kontrol gagal jika ViewerProtocolPolicy disetel ke izinkan-semua untuk defaultCacheBehavior atau untuk cacheBehaviors. HTTPS (TLS) dapat digunakan untuk membantu mencegah penyerang potensial menggunakan serangan person-in-the-middle atau serupa untuk menguping atau memanipulasi lalu lintas jaringan. Hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan. Mengenkripsi data saat transit dapat memengaruhi kinerja. Anda harus menguji aplikasi Anda dengan fitur ini untuk memahami profil kinerja dan dampak TLS.

Tingkat keparahan: Sedang

Log CloudTrail harus dienkripsi saat diam menggunakan KMS CMK

Deskripsi: Kami merekomendasikan untuk mengonfigurasi CloudTrail untuk menggunakan SSE-KMS. Mengonfigurasi CloudTrail untuk menggunakan SSE-KMS memberikan lebih banyak kontrol kerahasiaan pada data log karena pengguna tertentu harus memiliki izin baca S3 pada wadah log yang sesuai dan harus diberikan izin dekripsi oleh kebijakan CMK.

Tingkat keparahan: Sedang

Koneksi ke klaster Amazon Redshift harus dienkripsi saat transit

Deskripsi: Kontrol ini memeriksa apakah koneksi ke kluster Amazon Redshift diperlukan untuk menggunakan enkripsi saat transit. Pemeriksaan gagal jika parameter kluster Amazon Redshift require_SSL tidak diatur ke 1. TLS dapat digunakan untuk membantu mencegah penyerang potensial menggunakan serangan person-in-the-middle atau serupa untuk menguping atau memanipulasi lalu lintas jaringan. Hanya koneksi terenkripsi melalui TLS yang diizinkan. Mengenkripsi data saat transit dapat memengaruhi kinerja. Anda harus menguji aplikasi Anda dengan fitur ini untuk memahami profil kinerja dan dampak TLS.

Tingkat keparahan: Sedang

Koneksi ke domain Elasticsearch harus dienkripsi menggunakan TLS 1.2

Deskripsi: Kontrol ini memeriksa apakah koneksi ke domain Elasticsearch diperlukan untuk menggunakan TLS 1.2. Pemeriksaan gagal jika domain Elasticsearch TLSSecurityPolicy bukan Policy-Min-TLS-1-2-2019-07. HTTPS (TLS) dapat digunakan untuk membantu mencegah penyerang potensial menggunakan serangan person-in-the-middle atau serupa untuk menguping atau memanipulasi lalu lintas jaringan. Hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan. Mengenkripsi data saat transit dapat memengaruhi kinerja. Anda harus menguji aplikasi Anda dengan fitur ini untuk memahami profil kinerja dan dampak TLS. TLS 1.2 menyediakan beberapa peningkatan keamanan dibandingkan versi TLS sebelumnya.

Tingkat keparahan: Sedang

Tabel DynamoDB harus mengaktifkan pemulihan point-in-time

Deskripsi: Kontrol ini memeriksa apakah pemulihan point-in-time (PITR) diaktifkan untuk tabel Amazon DynamoDB. Cadangan membantu Anda memulihkan lebih cepat dari insiden keamanan. Mereka juga memperkuat ketahanan sistem Anda. Pemulihan titik-dalam-waktu DynamoDB mengotomatiskan pencadangan untuk tabel DynamoDB. Ini mengurangi waktu untuk memulihkan dari operasi penghapusan atau penulisan yang tidak disengaja. Tabel DynamoDB yang mengaktifkan PITR dapat dipulihkan ke titik waktu mana pun dalam 35 hari terakhir.

Tingkat keparahan: Sedang

Enkripsi default EBS harus diaktifkan

Deskripsi: Kontrol ini memeriksa apakah enkripsi tingkat akun diaktifkan secara default untuk Amazon Elastic Block Store (Amazon EBS). Kontrol gagal jika enkripsi tingkat akun tidak diaktifkan. Saat enkripsi diaktifkan untuk akun Anda, volume Amazon EBS dan salinan snapshot dienkripsi saat diam. Ini menambahkan lapisan perlindungan lain untuk data Anda. Untuk informasi selengkapnya, lihat Enkripsi secara default di Panduan Pengguna Amazon EC2 untuk Instans Linux.

Jenis instans berikut tidak mendukung enkripsi: R1, C1, dan M1.

Tingkat keparahan: Sedang

Lingkungan Pohon Kacang Elastis seharusnya mengaktifkan pelaporan kesehatan yang disempurnakan

Deskripsi: Kontrol ini memeriksa apakah pelaporan kesehatan yang ditingkatkan diaktifkan untuk lingkungan AWS Elastic Beanstalk Anda. Pelaporan kesehatan yang ditingkatkan Elastic Beanstalk memungkinkan respons yang lebih cepat terhadap perubahan kesehatan infrastruktur yang mendasarinya. Perubahan ini dapat mengakibatkan kurangnya ketersediaan aplikasi. Pelaporan kesehatan Elastic Beanstalk yang disempurnakan menyediakan deskriptor status untuk mengukur tingkat keparahan masalah yang diidentifikasi dan mengidentifikasi kemungkinan penyebab untuk diselidiki. Agen kesehatan Elastic Beanstalk, yang disertakan dalam Amazon Machine Images (AMIs) yang didukung, mengevaluasi log dan metrik instans EC2 lingkungan.

Tingkat keparahan: Rendah

Pembaruan platform terkelola Elastic Beanstalk harus diaktifkan

Deskripsi: Kontrol ini memeriksa apakah pembaruan platform terkelola diaktifkan untuk lingkungan Elastic Beanstalk. Mengaktifkan pembaruan platform terkelola memastikan bahwa perbaikan, pembaruan, dan fitur platform terbaru yang tersedia untuk lingkungan diinstal. Tetap up to date dengan instalasi patch adalah langkah penting dalam mengamankan sistem.

Tingkat keparahan: Tinggi

Elastic Load Balancer seharusnya tidak memiliki sertifikat ACM kedaluwarsa atau kedaluwarsa dalam 90 hari.

Deskripsi: Pemeriksaan ini mengidentifikasi Elastic Load Balancer (ELB) yang menggunakan sertifikat ACM kedaluwarsa atau kedaluwarsa dalam 90 hari. AWS Certificate Manager (ACM) adalah alat pilihan untuk menyediakan, mengelola, dan menyebarkan sertifikat server Anda. Dengan ACM. Anda dapat meminta sertifikat atau menyebarkan ACM atau sertifikat eksternal yang ada ke sumber daya AWS. Sebagai praktik terbaik, disarankan untuk mengganti sertifikat yang kedaluwarsa/kedaluwarsa sambil mempertahankan asosiasi ELB dari sertifikat asli.

Tingkat keparahan: Tinggi

Pencatatan kesalahan domain Elasticsearch ke CloudWatch Logs harus diaktifkan

Deskripsi: Kontrol ini memeriksa apakah domain Elasticsearch dikonfigurasi untuk mengirim log kesalahan ke Log CloudWatch. Anda harus mengaktifkan log kesalahan untuk domain Elasticsearch dan mengirim log tersebut ke CloudWatch Logs untuk retensi dan respons. Log kesalahan domain dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan.

Tingkat keparahan: Sedang

Domain Elasticsearch harus dikonfigurasi dengan setidaknya tiga node master khusus

Deskripsi: Kontrol ini memeriksa apakah domain Elasticsearch dikonfigurasi dengan setidaknya tiga simpul master khusus. Kontrol ini gagal jika domain tidak menggunakan simpul master khusus. Kontrol ini lolos jika domain Elasticsearch memiliki lima node master khusus. Namun, menggunakan lebih dari tiga node master mungkin tidak perlu untuk mengurangi risiko ketersediaan, dan akan menghasilkan lebih banyak biaya. Domain Elasticsearch membutuhkan setidaknya tiga node master khusus untuk ketersediaan tinggi dan toleransi kesalahan. Sumber daya simpul master khusus dapat dibatasi selama penyebaran biru/hijau simpul data karena ada lebih banyak simpul untuk dikelola. Menyebarkan domain Elasticsearch dengan setidaknya tiga node master khusus memastikan kapasitas sumber daya node master yang memadai dan operasi cluster jika sebuah node gagal.

Tingkat keparahan: Sedang

Domain Elasticsearch harus memiliki setidaknya tiga simpul data

Deskripsi: Kontrol ini memeriksa apakah domain Elasticsearch dikonfigurasi dengan setidaknya tiga simpul data dan zoneAwarenessEnabled adalah benar. Domain Elasticsearch membutuhkan setidaknya tiga node data untuk ketersediaan tinggi dan toleransi kesalahan. Menyebarkan domain Elasticsearch dengan setidaknya tiga node data memastikan operasi cluster jika sebuah node gagal.

Tingkat keparahan: Sedang

Domain Elasticsearch harus mengaktifkan pencatatan audit

Deskripsi: Kontrol ini memeriksa apakah domain Elasticsearch mengaktifkan pengelogan audit. Kontrol ini gagal jika domain Elasticsearch tidak mengaktifkan pengelogan audit. Log audit sangat dapat disesuaikan. Mereka memungkinkan Anda untuk melacak aktivitas pengguna di klaster Elasticsearch Anda, termasuk keberhasilan dan kegagalan otentikasi, permintaan ke OpenSearch, perubahan indeks, dan kueri pencarian yang masuk.

Tingkat keparahan: Sedang

Pemantauan yang ditingkatkan harus dikonfigurasi untuk instans dan kluster RDS DB

Deskripsi: Kontrol ini memeriksa apakah pemantauan yang ditingkatkan diaktifkan untuk instans RDS DB Anda. Di Amazon RDS, Enhanced Monitoring memungkinkan respons yang lebih cepat terhadap perubahan kinerja di infrastruktur yang mendasarinya. Perubahan kinerja ini dapat mengakibatkan kurangnya ketersediaan data. Pemantauan yang Ditingkatkan menyediakan metrik waktu nyata dari sistem operasi tempat instans DB RDS Anda berjalan. Agen diinstal pada instance. Agen dapat memperoleh metrik lebih akurat daripada yang dimungkinkan dari lapisan hypervisor. Metrik Pemantauan yang Ditingkatkan berguna saat Anda ingin melihat bagaimana proses atau utas yang berbeda pada instans DB menggunakan CPU. Untuk informasi selengkapnya, lihat Pemantauan yang Disempurnakan di Panduan Pengguna Amazon RDS.

Tingkat keparahan: Rendah

Pastikan rotasi untuk CMK yang dibuat pelanggan diaktifkan

Deskripsi: AWS Key Management Service (KMS) memungkinkan pelanggan untuk memutar kunci backing, yang merupakan materi kunci yang disimpan dalam KMS yang terkait dengan ID kunci kunci master pelanggan (CMK) yang Dibuat Pelanggan. Ini adalah kunci cadangan yang digunakan untuk melakukan operasi kriptografi seperti enkripsi dan dekripsi. Rotasi kunci otomatis saat ini mempertahankan semua kunci cadangan sebelumnya sehingga dekripsi data terenkripsi dapat dilakukan secara transparan. Disarankan agar rotasi kunci CMK diaktifkan. Memutar kunci enkripsi membantu mengurangi dampak potensial kunci yang disusupi karena data yang dienkripsi dengan kunci baru tidak dapat diakses dengan kunci sebelumnya yang mungkin telah diekspos.

Tingkat keparahan: Sedang

Pastikan pencatatan akses bucket S3 diaktifkan di bucket CloudTrail S3

Deskripsi: Pengelogan Akses Bucket S3 menghasilkan log yang berisi catatan akses Pastikan pengelogan akses wadah S3 diaktifkan pada wadah CloudTrail S3 untuk setiap permintaan yang dibuat ke wadah S3 Anda. Catatan log akses berisi detail tentang permintaan, seperti jenis permintaan, sumber daya yang ditentukan dalam permintaan yang berfungsi, dan waktu serta tanggal permintaan diproses. Disarankan agar pengelogan akses wadah diaktifkan pada wadah CloudTrail S3. Dengan mengaktifkan pengelogan bucket S3 pada wadah S3 target, Anda dapat mengambil semua peristiwa, yang mungkin memengaruhi objek dalam wadah target. Mengonfigurasi log yang akan ditempatkan dalam wadah terpisah memungkinkan akses ke informasi log, yang dapat berguna dalam alur kerja respons keamanan dan insiden.

Tingkat keparahan: Rendah

Pastikan wadah S3 yang digunakan untuk menyimpan log CloudTrail tidak dapat diakses secara publik

Deskripsi: CloudTrail mencatat catatan setiap panggilan API yang dilakukan di akun AWS Anda. File log ini disimpan dalam ember S3. Disarankan agar kebijakan wadah, atau daftar kontrol akses (ACL), diterapkan ke wadah S3 yang dicatat CloudTrail untuk mencegah akses publik ke log CloudTrail. Mengizinkan akses publik ke konten log CloudTrail dapat membantu persaingan dalam mengidentifikasi kelemahan dalam penggunaan atau konfigurasi akun yang terpengaruh.

Tingkat keparahan: Tinggi

IAM seharusnya tidak memiliki sertifikat SSL/TLS yang kedaluwarsa

Deskripsi: Pemeriksaan ini mengidentifikasi sertifikat SSL/TLS yang kedaluwarsa. Untuk mengaktifkan koneksi HTTPS ke situs web atau aplikasi Anda di AWS, Anda memerlukan sertifikat server SSL/TLS. Anda dapat menggunakan ACM atau IAM untuk menyimpan dan menyebarkan sertifikat server. Menghapus sertifikat SSL/TLS yang kedaluwarsa menghilangkan risiko bahwa sertifikat yang tidak valid akan disebarkan secara tidak sengaja ke sumber daya seperti AWS Elastic Load Balancer (ELB), yang dapat merusak kredibilitas aplikasi/situs web di belakang ELB. Pemeriksaan ini menghasilkan pemberitahuan jika ada sertifikat SSL/TLS kedaluwarsa yang disimpan di AWS IAM. Sebagai praktik terbaik, disarankan untuk menghapus sertifikat yang kedaluwarsa.

Tingkat keparahan: Tinggi

Sertifikat ACM yang diimpor harus diperbarui setelah jangka waktu tertentu

Deskripsi: Kontrol ini memeriksa apakah sertifikat ACM di akun Anda ditandai untuk kedaluwarsa dalam waktu 30 hari. Ini memeriksa sertifikat yang diimpor dan sertifikat yang disediakan oleh AWS Certificate Manager. ACM dapat secara otomatis memperbarui sertifikat yang menggunakan validasi DNS. Untuk sertifikat yang menggunakan validasi email, Anda harus membalas email validasi domain. ACM juga tidak memperbarui sertifikat yang Anda impor secara otomatis. Anda harus memperbarui sertifikat yang diimpor secara manual. Untuk informasi selengkapnya tentang pembaruan terkelola untuk sertifikat ACM, lihat Perpanjangan terkelola untuk sertifikat ACM di Panduan Pengguna AWS Certificate Manager.

Tingkat keparahan: Sedang

Identitas yang disediakan berlebihan dalam akun harus diselidiki untuk mengurangi Indeks Creep Izin (PCI)

Deskripsi: Identitas yang disediakan berlebihan dalam akun harus diselidiki untuk mengurangi Indeks Creep Izin (PCI) dan untuk melindungi infrastruktur Anda. Kurangi PCI dengan menghapus penetapan izin berisiko tinggi yang tidak digunakan. PCI tinggi mencerminkan risiko yang terkait dengan identitas dengan izin yang melebihi penggunaan normal atau yang diperlukan.

Tingkat keparahan: Sedang

Peningkatan versi minor otomatis RDS harus diaktifkan

Deskripsi: Kontrol ini memeriksa apakah peningkatan versi minor otomatis diaktifkan untuk instans database RDS. Mengaktifkan pemutakhiran versi minor otomatis memastikan bahwa pembaruan versi minor terbaru ke sistem manajemen basis data relasional (RDBMS) diinstal. Upgrade ini mungkin termasuk patch keamanan dan perbaikan bug. Tetap up to date dengan instalasi patch adalah langkah penting dalam mengamankan sistem.

Tingkat keparahan: Tinggi

Snapshot cluster RDS dan snapshot database harus dienkripsi saat diam

Deskripsi: Kontrol ini memeriksa apakah rekam jepret RDS DB dienkripsi. Kontrol ini ditujukan untuk instans DB RDS. Namun, itu juga dapat menghasilkan temuan untuk snapshot instans Aurora DB, instans Neptune DB, dan klaster Amazon DocumentDB. Jika temuan ini tidak berguna, maka Anda dapat menekannya. Mengenkripsi data saat istirahat mengurangi risiko bahwa pengguna yang tidak diautentikasi mendapatkan akses ke data yang disimpan di disk. Data dalam snapshot RDS harus dienkripsi saat diam untuk lapisan keamanan tambahan.

Tingkat keparahan: Sedang

Kluster RDS harus mengaktifkan perlindungan penghapusan

Deskripsi: Kontrol ini memeriksa apakah kluster RDS mengaktifkan perlindungan penghapusan. Kontrol ini ditujukan untuk instans DB RDS. Namun, itu juga dapat menghasilkan temuan untuk instans Aurora DB, instans DB Neptune, dan klaster Amazon DocumentDB. Jika temuan ini tidak berguna, maka Anda dapat menekannya. Mengaktifkan perlindungan penghapusan kluster adalah lapisan perlindungan lain terhadap penghapusan atau penghapusan database yang tidak disengaja oleh entitas yang tidak sah. Saat perlindungan penghapusan diaktifkan, kluster RDS tidak dapat dihapus. Sebelum permintaan penghapusan dapat berhasil, perlindungan penghapusan harus dinonaktifkan.

Tingkat keparahan: Rendah

Kluster DB RDS harus dikonfigurasi untuk beberapa Availability Zone

Deskripsi: Kluster RDS DB harus dikonfigurasi untuk beberapa data yang disimpan. Penerapan ke beberapa Availability Zone memungkinkan Availability Zone otomatisasi untuk memastikan ketersediaan failover ed jika terjadi masalah ketersediaan Availability Zone dan selama acara pemeliharaan RDS reguler.

Tingkat keparahan: Sedang

Kluster DB RDS harus dikonfigurasi untuk menyalin tag ke cuplikan

Deskripsi: Identifikasi dan inventarifikasi aset TI Anda adalah aspek penting dari tata kelola dan keamanan. Anda harus memiliki visibilitas semua klaster DB RDS Anda sehingga Anda dapat menilai postur keamanannya dan bertindak pada area kelemahan potensial. Snapshot harus diberi tag dengan cara yang sama seperti cluster database RDS induknya. Mengaktifkan setelan ini memastikan bahwa snapshot mewarisi tag dari cluster database induknya.

Tingkat keparahan: Rendah

Instans DB RDS harus dikonfigurasi untuk menyalin tag ke cuplikan

Deskripsi: Kontrol ini memeriksa apakah instans RDS DB dikonfigurasi untuk menyalin semua tag ke rekam jepret saat rekam jepret dibuat. Identifikasi dan inventarisasi aset TI Anda adalah aspek penting dari tata kelola dan keamanan. Anda harus memiliki visibilitas semua instans DB RDS Anda sehingga Anda dapat menilai postur keamanannya dan mengambil tindakan pada area kelemahan potensial. Snapshot harus diberi tag dengan cara yang sama seperti instans database RDS induknya. Mengaktifkan setelan ini memastikan bahwa snapshot mewarisi tag dari instance database induknya.

Tingkat keparahan: Rendah

Instans DB RDS harus dikonfigurasi dengan beberapa Availability Zone

Deskripsi: Kontrol ini memeriksa apakah ketersediaan tinggi diaktifkan untuk instans RDS DB Anda. Instans DB RDS harus dikonfigurasi untuk beberapa Availability Zone (AZ). Ini memastikan ketersediaan data yang disimpan. Penyebaran multi-AZ memungkinkan failover otomatis jika ada masalah dengan ketersediaan Zona Ketersediaan dan selama pemeliharaan RDS reguler.

Tingkat keparahan: Sedang

Instans DB RDS harus mengaktifkan perlindungan penghapusan

Deskripsi: Kontrol ini memeriksa apakah instans RDS DB Anda yang menggunakan salah satu mesin database yang tercantum mengaktifkan perlindungan penghapusan. Mengaktifkan perlindungan penghapusan instans adalah lapisan perlindungan lain terhadap penghapusan atau penghapusan database yang tidak disengaja oleh entitas yang tidak sah. Saat perlindungan penghapusan diaktifkan, instans RDS DB tidak dapat dihapus. Sebelum permintaan penghapusan dapat berhasil, perlindungan penghapusan harus dinonaktifkan.

Tingkat keparahan: Rendah

Instans DB RDS harus mengaktifkan enkripsi saat istirahat

Deskripsi: Kontrol ini memeriksa apakah enkripsi penyimpanan diaktifkan untuk instans Amazon RDS DB Anda. Kontrol ini ditujukan untuk instans DB RDS. Namun, itu juga dapat menghasilkan temuan untuk instans Aurora DB, instans DB Neptune, dan klaster Amazon DocumentDB. Jika temuan ini tidak berguna, maka Anda dapat menekannya. Untuk lapisan keamanan tambahan bagi data sensitif Anda di instans DB RDS, Anda harus mengonfigurasi instans DB RDS Anda untuk dienkripsi saat tidak digunakan. Untuk mengenkripsi instans DB RDS dan snapshot saat istirahat, aktifkan opsi enkripsi untuk instans DB RDS Anda. Data yang dienkripsi saat istirahat mencakup penyimpanan dasar untuk instans DB, pencadangan otomatisnya, replika baca, dan snapshot. Instans DB terenkripsi RDS menggunakan algoritme enkripsi AES-256 standar terbuka untuk mengenkripsi data Anda di server yang menghosting instans DB RDS Anda. Setelah data Anda dienkripsi, Amazon RDS menangani otentikasi akses dan dekripsi data Anda secara transparan dengan dampak minimal pada kinerja. Anda tidak perlu mengubah aplikasi klien database Anda untuk menggunakan enkripsi. Enkripsi Amazon RDS saat ini tersedia untuk semua mesin database dan jenis penyimpanan. Enkripsi Amazon RDS tersedia untuk sebagian besar kelas instans DB. Untuk mempelajari tentang kelas instans DB yang tidak mendukung enkripsi Amazon RDS, lihat Mengenkripsi sumber daya Amazon RDS di Panduan Pengguna Amazon RDS.

Tingkat keparahan: Sedang

Instans DB RDS harus melarang akses publik

Deskripsi: Sebaiknya Anda juga memastikan bahwa akses ke konfigurasi instans RDS Anda hanya terbatas pada pengguna yang berwenang, dengan membatasi izin IAM pengguna untuk memodifikasi pengaturan dan sumber daya instans RDS.

Tingkat keparahan: Tinggi

Cuplikan RDS harus melarang akses publik

Deskripsi: Sebaiknya hanya mengizinkan prinsipal yang berwenang untuk mengakses rekam jepret dan mengubah konfigurasi Amazon RDS.

Tingkat keparahan: Tinggi

Hapus rahasia Pengelola Rahasia yang tidak digunakan

Deskripsi: Kontrol ini memeriksa apakah rahasia Anda telah diakses dalam jumlah hari tertentu. Nilai default adalah 90 hari. Jika rahasia tidak diakses dalam jumlah hari yang ditentukan, kontrol ini gagal. Menghapus rahasia yang tidak digunakan sama pentingnya dengan memutar rahasia. Rahasia yang tidak digunakan dapat disalahgunakan oleh mantan penggunanya, yang tidak lagi membutuhkan akses ke rahasia ini. Selain itu, karena semakin banyak pengguna mendapatkan akses ke rahasia, seseorang mungkin salah menangani dan membocorkannya ke entitas yang tidak berwenang, yang meningkatkan risiko penyalahgunaan. Menghapus rahasia yang tidak digunakan membantu mencabut akses rahasia dari pengguna yang tidak lagi membutuhkannya. Ini juga membantu mengurangi biaya penggunaan Manajer Rahasia. Oleh karena itu, penting untuk secara rutin menghapus rahasia yang tidak digunakan.

Tingkat keparahan: Sedang

Bucket S3 harus mengaktifkan replikasi lintas wilayah

Deskripsi: Mengaktifkan replikasi lintas wilayah S3 memastikan bahwa beberapa versi data tersedia di Wilayah yang berbeda. Ini memungkinkan Anda untuk melindungi bucket S3 Anda dari serangan DDoS dan kejadian korupsi data.

Tingkat keparahan: Rendah

S3 bucket harus mengaktifkan enkripsi sisi server

Deskripsi: Aktifkan enkripsi sisi server untuk melindungi data di wadah S3 Anda. Mengenkripsi data dapat mencegah akses ke data sensitif jika terjadi pelanggaran data.

Tingkat keparahan: Sedang

Rahasia Pengelola Rahasia yang dikonfigurasi dengan rotasi otomatis harus berhasil diputar

Deskripsi: Kontrol ini memeriksa apakah rahasia AWS Secrets Manager berhasil diputar berdasarkan jadwal rotasi. Kontrol gagal jika RotationOccurringAsScheduled adalah false. Kontrol tidak mengevaluasi rahasia yang tidak memiliki rotasi yang dikonfigurasi. Secrets Manager membantu Anda meningkatkan postur keamanan organisasi Anda. Rahasia mencakup kredensial basis data, kata sandi, dan kunci API pihak ketiga. Anda dapat menggunakan Pengelola Rahasia untuk menyimpan rahasia secara terpusat, mengenkripsi rahasia secara otomatis, mengontrol akses ke rahasia, dan memutar rahasia dengan aman dan otomatis. Manajer Rahasia dapat memutar rahasia. Anda dapat menggunakan rotasi untuk mengganti rahasia jangka panjang dengan rahasia jangka pendek. Memutar rahasia Anda membatasi berapa lama pengguna yang tidak sah dapat menggunakan rahasia yang disusupi. Untuk alasan ini, Anda harus sering memutar rahasia Anda. Selain mengonfigurasi rahasia untuk diputar secara otomatis, Anda harus memastikan bahwa rahasia tersebut berhasil diputar berdasarkan jadwal rotasi. Untuk mempelajari lebih lanjut tentang rotasi, lihat Memutar rahasia AWS Secrets Manager Anda di Panduan Pengguna AWS Secrets Manager.

Tingkat keparahan: Sedang

Rahasia Pengelola Rahasia harus dirotasi dalam beberapa hari tertentu

Deskripsi: Kontrol ini memeriksa apakah rahasia Anda telah diputar setidaknya sekali dalam waktu 90 hari. Memutar rahasia dapat membantu Anda mengurangi risiko penggunaan rahasia yang tidak sah di akun AWS Anda. Contohnya termasuk kredensial basis data, kata sandi, kunci API pihak ketiga, dan bahkan teks arbitrer. Jika Anda tidak mengubah rahasia Anda untuk jangka waktu yang lama, rahasia lebih mungkin disusupi. Karena semakin banyak pengguna mendapatkan akses ke suatu rahasia, kemungkinan besar seseorang salah menangani dan membocorkannya ke entitas yang tidak berwenang. Rahasia dapat bocor melalui log dan data cache. Mereka dapat dibagikan untuk tujuan debugging dan tidak diubah atau dicabut setelah debugging selesai. Untuk semua alasan ini, rahasia harus sering diputar. Anda dapat mengonfigurasi rahasia Anda untuk rotasi otomatis di AWS Secrets Manager. Dengan rotasi otomatis, Anda dapat mengganti rahasia jangka panjang dengan rahasia jangka pendek, yang secara signifikan mengurangi risiko kompromi. Pusat Keamanan menyarankan Anda mengaktifkan rotasi untuk rahasia Manajer Rahasia Anda. Untuk mempelajari lebih lanjut tentang rotasi, lihat Memutar rahasia AWS Secrets Manager Anda di Panduan Pengguna AWS Secrets Manager.

Tingkat keparahan: Sedang

Deskripsi: Kontrol ini memeriksa apakah topik SNS dienkripsi saat tidak aktif menggunakan AWS KMS. Mengenkripsi data saat istirahat mengurangi risiko data yang disimpan di disk diakses oleh pengguna yang tidak diautentikasi ke AWS. Itu juga menambahkan satu set kontrol akses untuk membatasi kemampuan pengguna yang tidak sah untuk mengakses data. Misalnya, izin API diperlukan untuk mendekripsi data sebelum dapat dibaca. Topik SNS harus dienkripsi saat tidak aktif untuk lapisan keamanan tambahan. Untuk informasi selengkapnya, lihat Enkripsi saat istirahat di Panduan Pengembang Amazon Simple Notification Service.

Tingkat keparahan: Sedang

Log aliran VPC harus diaktifkan di semua VPC

Deskripsi: Log Alur VPC memberikan visibilitas ke dalam lalu lintas jaringan yang melewati VPC dan dapat digunakan untuk mendeteksi lalu lintas atau wawasan anomali selama peristiwa keamanan.

Tingkat keparahan: Sedang

Rekomendasi data GCP

Pastikan bendera database '3625 (bendera pelacakan)' untuk instans Cloud SQL SQL Server diatur ke 'nonaktif'

Deskripsi: Disarankan untuk mengatur bendera database "3625 (bendera pelacakan)" untuk instans Cloud SQL SQL Server ke "nonaktif." Bendera pelacakan sering digunakan untuk mendiagnosis masalah performa atau untuk men-debug prosedur tersimpan atau sistem komputer yang kompleks, tetapi mungkin juga direkomendasikan oleh Dukungan Microsoft untuk mengatasi perilaku yang berdampak negatif pada beban kerja tertentu. Semua bendera pelacakan yang didokumenkan dan yang direkomendasikan oleh Dukungan Microsoft didukung sepenuhnya di lingkungan produksi saat digunakan sebagaimana diarahkan. "3625(trace log)" Membatasi jumlah informasi yang dikembalikan kepada pengguna yang bukan anggota peran server tetap sysadmin, dengan menutupi parameter beberapa pesan kesalahan menggunakan '******.' Ini dapat membantu mencegah pengungkapan informasi sensitif. Oleh karena itu, disarankan untuk menonaktifkan bendera ini. Rekomendasi ini berlaku untuk instans database SQL Server.

Tingkat keparahan: Sedang

Pastikan bendera database 'skrip eksternal diaktifkan' untuk instans Cloud SQL SQL Server diatur ke 'nonaktif'

Deskripsi: Disarankan untuk mengatur bendera database "skrip eksternal diaktifkan" untuk instans Cloud SQL SQL Server ke nonaktif. "Skrip eksternal diaktifkan" mengaktifkan eksekusi skrip dengan ekstensi bahasa jarak jauh tertentu. Properti ini NONAKTIF secara default. Saat Layanan Analitik Tingkat Lanjut diinstal, penyiapan dapat secara opsional mengatur properti ini ke true. Karena fitur "Skrip Eksternal Diaktifkan" memungkinkan skrip eksternal ke SQL seperti file yang terletak di pustaka R untuk dijalankan, yang dapat berdampak buruk pada keamanan sistem, oleh karena itu ini harus dinonaktifkan. Rekomendasi ini berlaku untuk instans database SQL Server.

Tingkat keparahan: Tinggi

Memastikan bendera database 'akses jarak jauh' untuk instans Cloud SQL dari SQL Server diatur ke 'nonaktif'

Deskripsi: Disarankan untuk mengatur bendera database "akses jarak jauh" untuk instans Cloud SQL SQL Server ke "nonaktif." Opsi "akses jarak jauh" mengontrol eksekusi prosedur tersimpan dari server lokal atau jarak jauh tempat instans SQL Server berjalan. Nilai default untuk opsi ini adalah 1. Ini memberikan izin untuk menjalankan prosedur tersimpan lokal dari server jarak jauh atau prosedur tersimpan jarak jauh dari server lokal. Untuk mencegah prosedur tersimpan lokal dijalankan dari server jarak jauh atau prosedur tersimpan jarak jauh agar tidak dijalankan di server lokal, ini harus dinonaktifkan. Opsi Akses Jarak Jauh mengontrol eksekusi prosedur tersimpan lokal di server jarak jauh atau prosedur tersimpan jarak jauh di server lokal. Fungsionalitas 'Akses jarak jauh' dapat disalahgunakan untuk meluncurkan serangan Denial-of-Service (DoS) pada server jarak jauh dengan menghentikan pemuatan pemrosesan kueri ke target, oleh karena itu ini harus dinonaktifkan. Rekomendasi ini berlaku untuk instans database SQL Server.

Tingkat keparahan: Tinggi

Pastikan bendera database 'skip_show_database' untuk instans Cloud SQL Mysql diatur ke 'aktif'

Deskripsi: Disarankan untuk mengatur bendera database "skip_show_database" untuk instans Cloud SQL Mysql ke "aktif." Bendera database 'skip_show_database' mencegah orang menggunakan pernyataan SHOW DATABASES jika mereka tidak memiliki hak istimewa SHOW DATABASES. Ini dapat meningkatkan keamanan jika Anda memiliki kekhawatiran tentang pengguna yang dapat melihat database milik pengguna lain. Efeknya tergantung pada hak istimewa SHOW DATABASES: Jika nilai variabel AKTIF, pernyataan SHOW DATABASES hanya diizinkan untuk pengguna yang memiliki hak istimewa SHOW DATABASES, dan pernyataan menampilkan semua nama database. Jika nilai NONAKTIF, SHOW DATABASEs diizinkan untuk semua pengguna, tetapi hanya menampilkan nama database yang penggunanya memiliki SHOW DATABASES atau hak istimewa lainnya. Rekomendasi ini berlaku untuk instans database Mysql.

Tingkat keparahan: Rendah

Pastikan bahwa kunci enkripsi default yang dikelola Pelanggan (CMEK) ditentukan untuk semua Himpunan Data BigQuery

Deskripsi: BigQuery secara default mengenkripsi data sebagai tidak aktif dengan menggunakan Enkripsi Amplop menggunakan kunci kriptografi yang dikelola Google. Data dienkripsi menggunakan kunci enkripsi data dan kunci enkripsi data itu sendiri dienkripsi lebih lanjut menggunakan kunci enkripsi kunci. Ini mulus dan tidak memerlukan input tambahan dari pengguna. Namun, jika Anda ingin memiliki kontrol yang lebih besar, Kunci enkripsi yang dikelola pelanggan (CMEK) dapat digunakan sebagai solusi manajemen kunci enkripsi untuk BigQuery Data Sets. BigQuery secara default mengenkripsi data sebagai tidak aktif dengan menggunakan Enkripsi Amplop menggunakan kunci kriptografi yang dikelola Google. Ini mulus dan tidak memerlukan input tambahan dari pengguna. Untuk kontrol yang lebih besar atas enkripsi, kunci enkripsi yang dikelola pelanggan (CMEK) dapat digunakan sebagai solusi manajemen kunci enkripsi untuk BigQuery Data Sets. Mengatur kunci enkripsi default yang dikelola Pelanggan (CMEK) untuk himpunan data memastikan tabel apa pun yang dibuat di masa mendatang akan menggunakan CMEK yang ditentukan jika tidak ada yang lain yang disediakan.

Google tidak menyimpan kunci Anda di servernya dan tidak dapat mengakses data yang dilindungi kecuali Anda memberikan kuncinya.

Ini juga berarti bahwa jika Anda lupa atau kehilangan kunci Anda, tidak ada cara bagi Google untuk memulihkan kunci atau memulihkan data apa pun yang dienkripsi dengan kunci yang hilang.

Tingkat keparahan: Sedang

Pastikan bahwa semua Tabel BigQuery dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK)

Deskripsi: BigQuery secara default mengenkripsi data sebagai tidak aktif dengan menggunakan Enkripsi Amplop menggunakan kunci kriptografi yang dikelola Google. Data dienkripsi menggunakan kunci enkripsi data dan kunci enkripsi data itu sendiri dienkripsi lebih lanjut menggunakan kunci enkripsi kunci. Ini mulus dan tidak memerlukan input tambahan dari pengguna. Namun, jika Anda ingin memiliki kontrol yang lebih besar, Kunci enkripsi yang dikelola pelanggan (CMEK) dapat digunakan sebagai solusi manajemen kunci enkripsi untuk BigQuery Data Sets. Jika CMEK digunakan, CMEK digunakan untuk mengenkripsi kunci enkripsi data alih-alih menggunakan kunci enkripsi yang dikelola google. BigQuery secara default mengenkripsi data sebagai tidak aktif dengan menggunakan Enkripsi Amplop menggunakan kunci kriptografi yang dikelola Google. Ini mulus dan tidak memerlukan input tambahan dari pengguna. Untuk kontrol yang lebih besar atas enkripsi, kunci enkripsi yang dikelola pelanggan (CMEK) dapat digunakan sebagai solusi manajemen kunci enkripsi untuk tabel BigQuery. CMEK digunakan untuk mengenkripsi kunci enkripsi data alih-alih menggunakan kunci enkripsi yang dikelola google. BigQuery menyimpan tabel dan asosiasi CMEK dan enkripsi/dekripsi dilakukan secara otomatis. Menerapkan kunci default yang dikelola Pelanggan pada himpunan data BigQuery memastikan bahwa semua tabel baru yang dibuat di masa mendatang akan dienkripsi menggunakan CMEK tetapi tabel yang ada perlu diperbarui untuk menggunakan CMEK satu per satu.

Google tidak menyimpan kunci Anda di servernya dan tidak dapat mengakses data yang dilindungi kecuali Anda memberikan kuncinya. Ini juga berarti bahwa jika Anda lupa atau kehilangan kunci Anda, tidak ada cara bagi Google untuk memulihkan kunci atau memulihkan data apa pun yang dienkripsi dengan kunci yang hilang.

Tingkat keparahan: Sedang

Pastikan himpunan data BigQuery tidak dapat diakses secara anonim atau dapat diakses publik

Deskripsi: Disarankan agar kebijakan IAM pada himpunan data BigQuery tidak mengizinkan akses anonim dan/atau publik. Memberikan izin kepada allUsers atau allAuthenticatedUsers memungkinkan siapa pun untuk mengakses himpunan data. Akses tersebut mungkin tidak diinginkan jika data sensitif disimpan dalam himpunan data. Oleh karena itu, pastikan akses anonim dan/atau publik ke himpunan data tidak diizinkan.

Tingkat keparahan: Tinggi

Pastikan instans database Cloud SQL dikonfigurasi dengan cadangan otomatis

Deskripsi: Disarankan agar semua instans database SQL diatur untuk mengaktifkan pencadangan otomatis. Cadangan menyediakan cara untuk memulihkan instans Cloud SQL untuk memulihkan data yang hilang atau memulihkan dari masalah dengan instans tersebut. Pencadangan otomatis perlu diatur untuk instans apa pun yang berisi data yang harus dilindungi dari kehilangan atau kerusakan. Rekomendasi ini berlaku untuk instans SQL Server, PostgreSql, MySql generasi 1, dan MySql generasi 2.

Tingkat keparahan: Tinggi

Pastikan instans database Cloud SQL tidak dibuka untuk dunia

Deskripsi: Server Database harus menerima koneksi hanya dari Jaringan/IP tepercaya dan membatasi akses dari dunia. Untuk meminimalkan permukaan serangan pada instans server Database, hanya IP tepercaya/diketahui dan diperlukan yang harus disetujui untuk menyambungkannya. Jaringan resmi tidak boleh memiliki IP/jaringan yang dikonfigurasi ke 0.0.0.0/0, yang akan memungkinkan akses ke instans dari mana saja di dunia. Perhatikan bahwa jaringan resmi hanya berlaku untuk instans dengan IP publik.

Tingkat keparahan: Tinggi

Pastikan instans database Cloud SQL tidak memiliki IP publik

Deskripsi: Disarankan untuk mengonfigurasi instans Sql Generasi Kedua untuk menggunakan IP privat alih-alih IP publik. Untuk menurunkan permukaan serangan organisasi, database Cloud SQL tidak boleh memiliki IP publik. IP privat menyediakan keamanan jaringan yang ditingkatkan dan latensi yang lebih rendah untuk aplikasi Anda.

Tingkat keparahan: Tinggi

Pastikan wadah Cloud Storage tidak dapat diakses secara anonim atau publik

Deskripsi: Disarankan agar kebijakan IAM pada wadah Cloud Storage tidak mengizinkan akses anonim atau publik. Mengizinkan akses anonim atau publik memberikan izin kepada siapa pun untuk mengakses konten wadah. Akses tersebut mungkin tidak diinginkan jika Anda menyimpan data sensitif apa pun. Oleh karena itu, pastikan bahwa akses anonim atau publik ke wadah tidak diizinkan.

Tingkat keparahan: Tinggi

Pastikan wadah Cloud Storage mengaktifkan akses tingkat bucket yang seragam

Deskripsi: Disarankan agar akses tingkat wadah seragam diaktifkan pada wadah Cloud Storage. Disarankan untuk menggunakan akses tingkat bucket seragam untuk menyatukan dan menyederhanakan cara Anda memberikan akses ke sumber daya Cloud Storage Anda. Cloud Storage menawarkan dua sistem untuk memberikan izin kepada pengguna untuk mengakses wadah dan objek Anda: Cloud Identity and Access Management (Cloud IAM) dan Access Control Lists (ACL).
Sistem ini bertindak secara paralel - agar pengguna dapat mengakses sumber daya Cloud Storage, hanya salah satu sistem yang perlu memberikan izin pengguna. Cloud IAM digunakan di seluruh Google Cloud dan memungkinkan Anda memberikan berbagai izin di tingkat wadah dan proyek. ACL hanya digunakan oleh Cloud Storage dan memiliki opsi izin terbatas, tetapi memungkinkan Anda untuk memberikan izin per objek.

Untuk mendukung sistem izin seragam, Cloud Storage memiliki akses tingkat wadah yang seragam. Menggunakan fitur ini menonaktifkan ACL untuk semua sumber daya Cloud Storage: akses ke sumber daya Cloud Storage kemudian diberikan secara eksklusif melalui Cloud IAM. Mengaktifkan akses tingkat wadah seragam menjamin bahwa jika wadah Penyimpanan tidak dapat diakses secara publik, tidak ada objek di wadah yang dapat diakses secara publik.

Tingkat keparahan: Sedang

Pastikan instans Komputasi mengaktifkan Komputasi Rahasia

Deskripsi: Google Cloud mengenkripsi data tidak aktif dan dalam transit, tetapi data pelanggan harus didekripsi untuk diproses. Komputasi Rahasia adalah teknologi terobosan yang mengenkripsi data yang sedang digunakan saat sedang diproses. Lingkungan Komputasi Rahasia menjaga data tetap dienkripsi dalam memori dan di tempat lain di luar unit pemrosesan pusat (CPU). VM Rahasia memanfaatkan fitur Secure Encrypted Virtualization (SEV) dari CPU AMD EPYC. Data pelanggan akan tetap dienkripsi saat digunakan, diindeks, dikueri, atau dilatih. Kunci enkripsi dihasilkan dalam perangkat keras, per VM, dan tidak dapat diekspor. Berkat pengoptimalan perangkat keras bawaan dari performa dan keamanan, tidak ada penalti performa yang signifikan untuk beban kerja Komputasi Rahasia. Komputasi Rahasia memungkinkan kode sensitif pelanggan dan data lain yang dienkripsi dalam memori selama pemrosesan. Google tidak memiliki akses ke kunci enkripsi. VM rahasia dapat membantu meringankan kekhawatiran tentang risiko yang terkait dengan dependensi pada infrastruktur Google atau akses orang dalam Google ke data pelanggan dengan jelas.

Tingkat keparahan: Tinggi

Pastikan bahwa kebijakan retensi pada wadah log dikonfigurasi menggunakan Bucket Lock

Deskripsi: Mengaktifkan kebijakan penyimpanan pada wadah log akan melindungi log yang disimpan dalam wadah penyimpanan cloud agar tidak ditimpa atau dihapus secara tidak sengaja. Disarankan untuk menyiapkan kebijakan retensi dan mengonfigurasi Bucket Lock pada semua wadah penyimpanan yang digunakan sebagai sink log. Log dapat diekspor dengan membuat satu atau beberapa sink yang menyertakan filter log dan tujuan. Karena Pengelogan Stackdriver menerima entri log baru, mereka dibandingkan dengan setiap sink. Jika entri log cocok dengan filter sink, salinan entri log ditulis ke tujuan. Sink dapat dikonfigurasi untuk mengekspor log dalam wadah penyimpanan. Disarankan untuk mengonfigurasi kebijakan retensi data untuk wadah penyimpanan cloud ini dan untuk mengunci kebijakan penyimpanan data; sehingga secara permanen mencegah kebijakan dikurangi atau dihapus. Dengan cara ini, jika sistem pernah disusupi oleh penyerang atau orang dalam berbahaya yang ingin menutupi jejak mereka, log aktivitas pasti dipertahankan untuk penyelidikan forensik dan keamanan.

Tingkat keparahan: Rendah

Pastikan instans database Cloud SQL mengharuskan semua koneksi masuk untuk menggunakan SSL

Deskripsi: Disarankan untuk memberlakukan semua koneksi masuk ke instans database SQL untuk menggunakan SSL. Koneksi database SQL jika berhasil terperangkap (MITM); dapat mengungkapkan data sensitif seperti kredensial, kueri database, output kueri, dll. Untuk keamanan, disarankan untuk selalu menggunakan enkripsi SSL saat menyambungkan ke instans Anda. Rekomendasi ini berlaku untuk instans Postgresql, MySql generasi 1, dan MySql generasi 2.

Tingkat keparahan: Tinggi

Pastikan bahwa bendera database 'autentikasi database yang terkandung' untuk Cloud SQL pada instans SQL Server diatur ke 'nonaktif'

Deskripsi: Disarankan untuk mengatur bendera database "autentikasi database terkandung" untuk Cloud SQL pada instans SQL Server diatur ke "nonaktif." Database mandiri mencakup semua pengaturan database dan metadata yang diperlukan untuk menentukan database dan tidak memiliki dependensi konfigurasi pada instans Mesin Database tempat database diinstal. Pengguna dapat tersambung ke database tanpa mengautentikasi login di tingkat Mesin Database. Mengisolasi database dari Mesin Database memungkinkan untuk dengan mudah memindahkan database ke instans SQL Server lain. Database yang terkandung memiliki beberapa ancaman unik yang harus dipahami dan dimitigasi oleh administrator SQL Server Database Engine. Sebagian besar ancaman terkait dengan proses autentikasi USER WITH PASSWORD, yang memindahkan batas autentikasi dari tingkat Mesin Database ke tingkat database, oleh karena itu disarankan untuk menonaktifkan bendera ini. Rekomendasi ini berlaku untuk instans database SQL Server.

Tingkat keparahan: Sedang

Pastikan bahwa bendera database 'rantai kepemilikan silang db' untuk instans Cloud SQL SQL Server diatur ke 'nonaktif'

Deskripsi: Disarankan untuk mengatur bendera database "rantai kepemilikan silang db" untuk instans Cloud SQL SQL Server ke "nonaktif." Gunakan opsi "kepemilikan lintas db" untuk menautkan untuk mengonfigurasi rantai kepemilikan lintas database untuk instans Microsoft SQL Server. Opsi server ini memungkinkan Anda mengontrol rantai kepemilikan lintas database di tingkat database atau untuk memungkinkan rantai kepemilikan lintas database untuk semua database. Mengaktifkan "kepemilikan lintas db" tidak disarankan kecuali semua database yang dihosting oleh instans SQL Server harus berpartisipasi dalam rantai kepemilikan lintas database dan Anda menyadari implikasi keamanan dari pengaturan ini. Rekomendasi ini berlaku untuk instans database SQL Server.

Tingkat keparahan: Sedang

Memastikan bahwa tanda database 'local_infile' untuk instans Cloud SQL Mysql diatur ke 'nonaktif'

Deskripsi: Disarankan untuk mengatur bendera database local_infile untuk instans Cloud SQL MySQL ke nonaktif. Bendera local_infile mengontrol kemampuan LOKAL sisi server untuk pernyataan LOAD DATA. Bergantung pada pengaturan local_infile, server menolak atau mengizinkan pemuatan data lokal oleh klien yang mengaktifkan LOKAL di sisi klien. Untuk secara eksplisit menyebabkan server menolak pernyataan LOAD DATA LOCAL (terlepas dari bagaimana program dan pustaka klien dikonfigurasi pada waktu build atau runtime), mulailah mysqld dengan local_infile dinonaktifkan. local_infile juga dapat diatur pada runtime. Karena masalah keamanan yang terkait dengan bendera local_infile, disarankan untuk menonaktifkannya. Rekomendasi ini berlaku untuk instans database MySQL.

Tingkat keparahan: Sedang

Pastikan filter metrik log dan pemberitahuan ada untuk perubahan izin IAM Cloud Storage

Deskripsi: Disarankan agar filter metrik dan alarm dibuat untuk perubahan IAM Wadah Penyimpanan Cloud. Memantau perubahan pada izin wadah penyimpanan cloud dapat mengurangi waktu yang diperlukan untuk mendeteksi dan memperbaiki izin pada wadah dan objek penyimpanan cloud sensitif di dalam wadah.

Tingkat keparahan: Rendah

Pastikan filter metrik log dan pemberitahuan ada untuk perubahan konfigurasi instans SQL

Deskripsi: Disarankan agar filter metrik dan alarm dibuat untuk perubahan konfigurasi instans SQL. Memantau perubahan konfigurasi instans SQL dapat mengurangi waktu yang diperlukan untuk mendeteksi dan memperbaiki kesalahan konfigurasi yang dilakukan di server SQL. Di bawah ini adalah beberapa opsi yang dapat dikonfigurasi yang mungkin berdampak pada postur keamanan instans SQL:

Mengaktifkan pencadangan otomatis dan ketersediaan tinggi: Kesalahan konfigurasi mungkin berdampak buruk pada kelangsungan bisnis, pemulihan bencana, dan ketersediaan tinggi
Mengotorisasi jaringan: Kesalahan konfigurasi dapat meningkatkan paparan ke jaringan yang tidak tepercaya

Tingkat keparahan: Rendah

Pastikan hanya ada kunci akun layanan yang dikelola GCP untuk setiap akun layanan

Deskripsi: Akun layanan terkelola pengguna tidak boleh memiliki kunci yang dikelola pengguna. Siapa pun yang memiliki akses ke kunci akan dapat mengakses sumber daya melalui akun layanan. Kunci yang dikelola GCP digunakan oleh layanan Platform Cloud seperti App Engine dan Compute Engine. Kunci ini tidak dapat diunduh. Google akan menyimpan kunci dan memutarnya secara otomatis setiap minggu. Kunci yang dikelola pengguna dibuat, diunduh, dan dikelola oleh pengguna. Mereka kedaluwarsa 10 tahun dari pembuatan. Untuk kunci yang dikelola pengguna, pengguna harus mengambil kepemilikan aktivitas manajemen kunci, yang meliputi:

Penyimpanan kunci
Distribusi kunci
Pencabutan kunci
Rotasi kunci
Perlindungan kunci dari pengguna yang tidak sah
Pemulihan kunci

Bahkan dengan tindakan pencegahan pemilik kunci, kunci dapat dengan mudah dibocorkan oleh praktik pengembangan umum yang kurang optimal seperti memeriksa kunci ke dalam kode sumber atau meninggalkannya di direktori Unduhan, atau secara tidak sengaja meninggalkannya di blog/saluran dukungan. Disarankan untuk mencegah kunci akun layanan yang dikelola pengguna.

Tingkat keparahan: Rendah

Pastikan bendera database 'koneksi pengguna' untuk instans Cloud SQL SQL Server diatur sebagaimana mewajarkan

Deskripsi: Disarankan untuk mengatur bendera database "koneksi pengguna" untuk instans Cloud SQL SQL Server sesuai dengan nilai yang ditentukan organisasi. Opsi "koneksi pengguna" menentukan jumlah maksimum koneksi pengguna simultan yang diizinkan pada instans SQL Server. Jumlah aktual koneksi pengguna yang diizinkan juga tergantung pada versi SQL Server yang Anda gunakan, dan juga batas aplikasi atau aplikasi dan perangkat keras Anda. SQL Server memungkinkan maksimum 32.767 koneksi pengguna. Karena koneksi pengguna adalah opsi dinamis (mengonfigurasi sendiri), SQL Server menyesuaikan jumlah maksimum koneksi pengguna secara otomatis sesuai kebutuhan, hingga nilai maksimum yang diizinkan. Misalnya, jika hanya 10 pengguna yang masuk, 10 objek koneksi pengguna dialokasikan. Dalam kebanyakan kasus, Anda tidak perlu mengubah nilai untuk opsi ini. Defaultnya adalah 0, yang berarti bahwa koneksi pengguna maksimum (32.767) diizinkan. Rekomendasi ini berlaku untuk instans database SQL Server.

Tingkat keparahan: Rendah

Pastikan bendera database 'opsi pengguna' untuk instans Cloud SQL SQL Server tidak dikonfigurasi

Deskripsi: Disarankan agar, bendera database "opsi pengguna" untuk instans Cloud SQL SQL Server tidak boleh dikonfigurasi. Opsi "opsi pengguna" menentukan default global untuk semua pengguna. Daftar opsi pemrosesan kueri default dibuat selama durasi sesi kerja pengguna. Pengaturan opsi pengguna memungkinkan Anda mengubah nilai default opsi SET (jika pengaturan default server tidak sesuai). Pengguna dapat mengambil alih default ini dengan menggunakan pernyataan SET. Anda dapat mengonfigurasi opsi pengguna secara dinamis untuk login baru. Setelah Anda mengubah pengaturan opsi pengguna, sesi masuk baru menggunakan pengaturan baru; Sesi masuk saat ini tidak terpengaruh. Rekomendasi ini berlaku untuk instans database SQL Server.

Tingkat keparahan: Rendah

Pengelogan untuk kluster GKE harus diaktifkan

Deskripsi: Rekomendasi ini mengevaluasi apakah properti loggingService dari kluster berisi lokasi yang harus digunakan Cloud Logging untuk menulis log.

Tingkat keparahan: Tinggi

Penerapan versi objek harus diaktifkan pada wadah penyimpanan tempat sink dikonfigurasi

Deskripsi: Rekomendasi ini mengevaluasi apakah bidang yang diaktifkan di properti penerapan versi wadah diatur ke true.

Tingkat keparahan: Tinggi

Identitas yang disediakan berlebihan dalam proyek harus diselidiki untuk mengurangi Indeks Creep Izin (PCI)

Deskripsi: Identitas yang disediakan berlebihan dalam proyek harus diselidiki untuk mengurangi Indeks Creep Izin (PCI) dan untuk melindungi infrastruktur Anda. Kurangi PCI dengan menghapus penetapan izin berisiko tinggi yang tidak digunakan. PCI tinggi mencerminkan risiko yang terkait dengan identitas dengan izin yang melebihi penggunaan normal atau yang diperlukan.

Tingkat keparahan: Sedang

Proyek yang memiliki kunci kriptografi seharusnya tidak memiliki pengguna dengan izin Pemilik

Deskripsi: Rekomendasi ini mengevaluasi kebijakan izinkan IAM dalam metadata proyek untuk prinsipal yang diberi peran/Pemilik.

Tingkat keparahan: Sedang

Wadah penyimpanan yang digunakan sebagai sink log tidak boleh dapat diakses publik

Deskripsi: Rekomendasi ini mengevaluasi kebijakan IAM wadah untuk allUsers utama atau allAuthenticatedUsers, yang memberikan akses publik.

Tingkat keparahan: Tinggi

Bagikan melalui

Rekomendasi keamanan data

Rekomendasi data Azure

Azure Cosmos DB harus menonaktifkan akses jaringan publik

(Aktifkan jika diperlukan) Akun Azure Cosmos DB harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif

(Aktifkan jika diperlukan) Ruang kerja Azure Pembelajaran Mesin harus dienkripsi dengan kunci yang dikelola pelanggan (CMK)

Azure SQL Database harus menjalankan TLS versi 1.2 atau yang lebih baru

Azure SQL Managed Instance harus menonaktifkan akses jaringan publik

Akun Cosmos DB harus menggunakan tautan privat

(Aktifkan jika diperlukan) Server MySQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif

(Aktifkan jika diperlukan) Server PostgreSQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif

(Aktifkan jika diperlukan) Instans terkelola SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif

(Aktifkan jika diperlukan) Server SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif

(Aktifkan jika diperlukan) Akun penyimpanan harus menggunakan kunci yang dikelola pelanggan (CMK) untuk enkripsi

Akses publik akun penyimpanan harus dilarang

Semua jenis perlindungan ancaman tingkat lanjut harus diaktifkan dalam pengaturan keamanan data tingkat lanjut instans terkelola Bahasa Permintaan Terstruktur

Semua jenis perlindungan terhadap ancaman tingkat lanjut harus diatur dalam pengaturan keamanan data tingkat lanjut server SQL

Layanan API Management harus menggunakan jaringan virtual

Azure App Configuration harus menggunakan tautan privat

Retensi audit untuk server SQL harus diatur ke minimal 90 hari

Audit di server SQL harus diaktifkan

Provisi otomatis agen Analitik Log harus diaktifkan pada langganan

Azure Cache for Redis harus berada dalam jaringan virtual

Azure Database for MySQL harus memiliki administrator Azure Active Directory yang disediakan

Azure Database for PostgreSQL harus memiliki administrator Azure Active Directory yang disediakan

Server fleksibel Azure Database for PostgreSQL harus mengaktifkan autentikasi Microsoft Entra saja

Akun Azure Cosmos DB harus memiliki aturan firewall

Domain Azure Event Grid harus menggunakan tautan privat

Topik Azure Event Grid harus menggunakan tautan pribadi

Ruang kerja Azure Machine Learning harus menggunakan tautan pribadi

Layanan Azure SignalR harus menggunakan tautan pribadi

Azure Spring Cloud harus menggunakan injeksi jaringan

Server SQL harus memprovisikan administrator Azure Active Directory

Mode autentikasi Ruang Kerja Azure Synapse harus Azure Active Directory Saja

Repositori kode harus memiliki temuan pemindaian kode yang diselesaikan

Repositori kode harus menyelesaikan temuan pemindaian Dependabot

Repositori kode harus menyelesaikan temuan pemindaian kode sebagai infrastruktur

Repositori kode harus menyelesaikan temuan pemindaian rahasia

Akun Cognitive Services harus mengaktifkan enkripsi data

Akun Cognitive Services harus menggunakan penyimpanan milik pelanggan atau mengaktifkan enkripsi data

Log diagnostik di Azure Data Lake Store harus diaktifkan

Log diagnostik di Data Lake Analytics harus diaktifkan

Pemberitahuan email untuk lansiran tingkat keparahan tinggi harus diaktifkan

Pemberitahuan email kepada pemilik langganan untuk lansiran tingkat keparahan tinggi harus diaktifkan

Terapkan koneksi SSL harus diaktifkan untuk server database MySQL

Terapkan koneksi SSL harus diaktifkan untuk server database PostgreSQL

Temuan kerentanan pada Aplikasi fungsi harus diselesaikan

Cadangan geo-redundan harus diaktifkan pada Azure Database for MariaDB

Pencadangan geo-redundan harus diaktifkan untuk Azure Database for MySQL

Pencadangan geo-redundan harus diaktifkan untuk Azure Database for PostgreSQL

Repositori GitHub harus mengaktifkan pemindaian Kode

Repositori GitHub harus mengaktifkan pemindaian Dependabot

Repositori GitHub harus mengaktifkan pemindaian Rahasia

Microsoft Defender untuk server Azure SQL Database harus diaktifkan

Microsoft Defender untuk DNS harus diaktifkan

Microsoft Defender untuk database hubungan sumber terbuka harus diaktifkan

Microsoft Defender untuk Resource Manager harus diaktifkan

Microsoft Defender untuk SQL di komputer harus diaktifkan pada ruang kerja

Microsoft Defender untuk server SQL pada mesin harus diaktifkan

Microsoft Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi

Microsoft Defender untuk SQL harus diaktifkan untuk SQL Managed Instances yang tidak terlindungi

Microsoft Defender untuk Penyimpanan harus diaktifkan

Network Watcher harus diaktifkan

Koneksi titik akhir pribadi di Azure SQL Database harus diaktifkan

Titik akhir privat harus diaktifkan untuk server MariaDB

Titik akhir pribadi harus diaktifkan untuk server MySQL

Titik akhir pribadi harus diaktifkan untuk server PostgreSQL

Akses jaringan publik di Azure SQL Database harus dinonaktifkan

Akses jaringan publik harus dinonaktifkan untuk akun Azure Cognitive Services

Akses jaringan publik harus dinonaktifkan untuk server MariaDB

Akses jaringan publik harus dinonaktifkan untuk server MySQL

Akses jaringan publik harus dinonaktifkan untuk server PostgreSQL

Redis Cache harus mengizinkan akses hanya melalui SSL

Database SQL harus memiliki temuan kerentanan yang diselesaikan

Instans terkelola SQL harus mengonfigurasi penilaian kerentanan

SQL Server pada komputer harus mengatasi temuan kerentanan

Server SQL harus memprovisikan administrator Azure Active Directory

SQL Server harus memiliki penilaian kerentanan yang dikonfigurasi

Akun penyimpanan harus menggunakan koneksi tautan privat

Akun penyimpanan harus dimigrasikan ke sumber daya Azure Resource Manager baru