Garis besar keamanan Azure untuk Azure Virtual Desktop
Garis besar keamanan ini menerapkan panduan dari tolok ukur keamanan cloud Microsoft versi 1.0 ke Azure Virtual Desktop. Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh tolok ukur keamanan cloud Microsoft dan panduan terkait yang berlaku untuk Azure Virtual Desktop.
Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Microsoft Defender untuk Cloud. definisi Azure Policy akan tercantum di bagian Kepatuhan Terhadap Peraturan di halaman portal Microsoft Defender untuk Cloud.
Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan dengan kontrol dan rekomendasi tolok ukur keamanan cloud Microsoft. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.
Catatan
Fitur yang tidak berlaku untuk Azure Virtual Desktop telah dikecualikan. Untuk melihat bagaimana Azure Virtual Desktop sepenuhnya memetakan tolok ukur keamanan cloud Microsoft, lihat file pemetaan garis besar keamanan Azure Virtual Desktop lengkap.
Profil keamanan
Profil keamanan merangkum perilaku berdampak tinggi dari Azure Virtual Desktop, yang dapat mengakibatkan peningkatan pertimbangan keamanan.
| Atribut Perilaku Layanan | Nilai |
|---|---|
| Kategori Produk | Virtual Desktop |
| Pelanggan dapat mengakses HOST / OS | Akses Penuh |
| Layanan dapat disebarkan ke jaringan virtual pelanggan | Salah |
| Menyimpan konten pelanggan saat tidak aktif | FALSE |
Keamanan jaringan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Keamanan jaringan.
NS-1: Membangun batas segmentasi jaringan
Fitur
Integrasi Jaringan Virtual
Deskripsi: Layanan mendukung penyebaran ke Virtual Network privat pelanggan (VNet). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | Salah | Pelanggan |
Catatan fitur: Komputer virtual dalam kumpulan host harus ditempatkan di jaringan virtual.
Panduan Konfigurasi: Sebarkan layanan ke jaringan virtual. Tetapkan IP privat ke sumber daya (jika berlaku) kecuali ada alasan kuat untuk menetapkan IP publik langsung ke sumber daya.
Referensi: Tutorial: Membuat kumpulan host
Dukungan Kelompok Keamanan Jaringan
Deskripsi: Lalu lintas jaringan layanan menghormati penetapan aturan Kelompok Keamanan Jaringan pada subnetnya. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Komputer virtual yang digunakan dalam kumpulan host mendukung penggunaan grup keamanan jaringan.
Panduan Konfigurasi: Gunakan grup keamanan jaringan (NSG) untuk membatasi atau memantau lalu lintas berdasarkan port, protokol, alamat IP sumber, atau alamat IP tujuan. Buat aturan NSG untuk membatasi port terbuka layanan Anda (seperti mencegah port manajemen diakses dari jaringan yang tidak tepercaya). Ketahuilah bahwa secara default, NSG menolak semua lalu lintas masuk tetapi mengizinkan lalu lintas dari jaringan virtual dan Azure Load Balancer.
Referensi: Tutorial: Membuat kumpulan host
NS-2: Mengamankan layanan cloud dengan kontrol jaringan
Fitur
Azure Private Link
Deskripsi: Kemampuan pemfilteran IP asli layanan untuk memfilter lalu lintas jaringan (tidak bingung dengan NSG atau Azure Firewall). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Tautan privat dengan Azure Virtual Desktop saat ini dalam pratinjau.
Panduan Konfigurasi: Sebarkan titik akhir privat untuk semua sumber daya Azure yang mendukung fitur Private Link, untuk membuat titik akses privat untuk sumber daya.
Referensi: Gunakan Azure Private Link dengan Azure Virtual Desktop (pratinjau)
Menonaktifkan Akses Jaringan Publik
Deskripsi: Layanan mendukung penonaktifan akses jaringan publik baik melalui menggunakan aturan pemfilteran IP ACL tingkat layanan (bukan NSG atau Azure Firewall) atau menggunakan sakelar pengalih 'Nonaktifkan Akses Jaringan Publik'. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Manajemen identitas
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen identitas.
IM-1: Menggunakan identitas dan sistem autentikasi terpusat
Fitur
Autentikasi Azure AD Diperlukan untuk Akses Sarana Data
Deskripsi: Layanan mendukung penggunaan autentikasi Azure AD untuk akses sarana data. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan Azure Active Directory (Azure AD) sebagai metode autentikasi default untuk mengontrol akses sarana data Anda.
Referensi: Azure AD bergabung untuk Azure Virtual Desktop
IM-3: Mengelola identitas aplikasi dengan aman dan otomatis
Fitur
Identitas Terkelola
Deskripsi: Tindakan bidang data mendukung autentikasi menggunakan identitas terkelola. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan identitas terkelola Azure alih-alih perwakilan layanan jika memungkinkan, yang dapat mengautentikasi ke layanan dan sumber daya Azure yang mendukung autentikasi Azure Active Directory (Azure AD). Info masuk identitas terkelola sepenuhnya dikelola, diputar, dan dilindungi oleh platform, menghindari info masuk yang dikodekan secara permanen dalam kode sumber atau file konfigurasi.
Referensi: Menyiapkan identitas terkelola
Perwakilan Layanan
Deskripsi: Bidang data mendukung autentikasi menggunakan perwakilan layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
IM-7: Membatasi akses sumber daya berdasarkan kondisi
Fitur
Akses Bersyarah untuk Data Plane
Deskripsi: Akses sarana data dapat dikontrol menggunakan Kebijakan Akses Bersyarah Azure AD. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Tentukan kondisi dan kriteria yang berlaku untuk akses bersyarah Azure Active Directory (Azure AD) dalam beban kerja. Pertimbangkan kasus penggunaan umum seperti memblokir atau memberikan akses dari lokasi tertentu, memblokir perilaku masuk berisiko, atau mengharuskan perangkat yang dikelola organisasi untuk aplikasi tertentu.
Referensi: Aktifkan Akses Bersyarah
IM-8: Membatasi pemaparan info masuk dan rahasia
Fitur
Kredensial Layanan dan Rahasia Mendukung Integrasi dan Penyimpanan di Azure Key Vault
Deskripsi: Bidang data mendukung penggunaan asli Azure Key Vault untuk penyimpanan kredensial dan rahasia. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Salah | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Akses dengan hak istimewa
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Akses istimewa.
PA-1: Memisahkan dan membatasi pengguna dengan hak istimewa tinggi/administratif
Fitur
Akun Admin Lokal
Deskripsi: Layanan memiliki konsep akun administratif lokal. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Akun administrator komputer virtual lokal dibuat untuk komputer virtual yang ditambahkan ke kumpulan host. Hindari penggunaan metode atau akun autentikasi lokal, ini harus dinonaktifkan sedapat mungkin. Sebagai gantinya, gunakan Azure AD untuk mengautentikasi jika memungkinkan.
Panduan Konfigurasi: Jika tidak diperlukan untuk operasi administratif rutin, nonaktifkan atau batasi akun admin lokal apa pun hanya untuk penggunaan darurat.
PA-7: Mengikuti prinsip administrasi yang cukup (prinsip hak istimewa paling rendah)
Fitur
Azure RBAC untuk Data Plane
Deskripsi: Azure Role-Based Access Control (Azure RBAC) dapat digunakan untuk mengelola akses ke tindakan sarana data layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk mengelola akses sumber daya Azure melalui penetapan peran bawaan. Peran RBAC Azure dapat ditetapkan ke pengguna, grup, perwakilan layanan, dan identitas terkelola.
Referensi: Peran Azure RBAC bawaan untuk Azure Virtual Desktop
PA-8: Menentukan proses akses untuk dukungan penyedia cloud
Fitur
Customer Lockbox
Deskripsi: Customer Lockbox dapat digunakan untuk akses dukungan Microsoft. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Salah | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Perlindungan data
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Perlindungan data.
DP-1: Menemukan, mengklasifikasikan, dan memberi label data sensitif
Fitur
Penemuan dan Klasifikasi Data Sensitif
Deskripsi: Alat (seperti Azure Purview atau Azure Information Protection) dapat digunakan untuk penemuan dan klasifikasi data dalam layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Gunakan Azure Information Protection (dan alat pemindaian terkait) untuk informasi sensitif dalam dokumen Office di Azure, lokal, Office 365, dan lokasi lainnya.
Panduan Konfigurasi: Gunakan alat seperti Azure Purview, Azure Information Protection, dan Azure SQL Penemuan dan Klasifikasi Data untuk memindai, mengklasifikasikan, dan memberi label data sensitif apa pun yang berada di Azure, lokal, Microsoft 365, atau lokasi lainnya secara terpusat.
DP-2: Memantau anomali dan ancaman yang menargetkan data sensitif
Fitur
Pencegahan Kebocoran/Kehilangan Data
Deskripsi: Layanan mendukung solusi DLP untuk memantau pergerakan data sensitif (dalam konten pelanggan). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Microsoft |
Catatan fitur: Gunakan solusi pencegahan kehilangan data, seperti yang berbasis host, untuk menegakkan kontrol detektif dan/atau pencegahan untuk mencegah penyelundupan data.
Solusi seperti DLP untuk Microsoft Azure juga dapat digunakan untuk Lingkungan Virtual Desktop Anda. Untuk informasi selengkapnya, silakan kunjungi: Pencegahan Kehilangan Data (DLP) untuk perlindungan Informasi Microsoft Azure (AIP) menyediakan kemampuan pemantauan untuk informasi yang telah diklasifikasikan dan diberi label.
Panduan Konfigurasi: Jika diperlukan untuk kepatuhan pencegahan kehilangan data (DLP), Anda dapat menggunakan solusi DLP berbasis host dari Marketplace Azure atau solusi Microsoft 365 DLP untuk menegakkan kontrol detektif dan/atau pencegahan untuk mencegah penyelundupan data.
DP-3: Mengenkripsi data sensitif saat transit
Fitur
Data dalam Enkripsi Transit
Deskripsi: Layanan mendukung enkripsi dalam transit data untuk bidang data. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Jaringan
DP-4: Mengaktifkan enkripsi data tidak aktif secara default
Fitur
Enkripsi Data tidak Aktif Menggunakan Kunci Platform
Deskripsi: Enkripsi data tidak aktif menggunakan kunci platform didukung, konten pelanggan apa pun saat tidak aktif dienkripsi dengan kunci yang dikelola Microsoft ini. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Perlindungan data
DP-5: Menggunakan opsi kunci yang dikelola pelanggan dalam enkripsi data tidak aktif saat diperlukan
Fitur
Enkripsi Data tidak Aktif Menggunakan CMK
Deskripsi: Enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan didukung untuk konten pelanggan yang disimpan oleh layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
DP-6: Menggunakan proses manajemen kunci yang aman
Fitur
Manajemen Kunci di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk kunci, rahasia, atau sertifikat pelanggan apa pun. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
DP-7: Menggunakan proses manajemen sertifikat yang aman
Fitur
Manajemen Sertifikat di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk sertifikat pelanggan apa pun. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Manajemen Aset
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen aset.
AM-2: Hanya menggunakan layanan yang disetujui
Fitur
Dukungan Azure Policy
Deskripsi: Konfigurasi layanan dapat dipantau dan diberlakukan melalui Azure Policy. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan Microsoft Defender untuk Cloud untuk mengonfigurasi Azure Policy untuk mengaudit dan menerapkan konfigurasi sumber daya Azure Anda. Gunakan Azure Monitor untuk membuat peringatan saat ada deviasi konfigurasi yang terdeteksi pada sumber daya. Gunakan efek [tolak] dan [sebarkan jika tidak ada] Azure Policy untuk menerapkan konfigurasi aman di seluruh sumber daya Azure.
Referensi: Garis besar keamanan Azure untuk Azure Virtual Desktop
AM-5: Menggunakan hanya aplikasi yang disetujui di mesin virtual
Fitur
Microsoft Defender untuk Cloud - Kontrol Aplikasi Adaptif
Deskripsi: Layanan dapat membatasi aplikasi pelanggan apa yang berjalan pada komputer virtual menggunakan Kontrol Aplikasi Adaptif di Microsoft Defender untuk Cloud. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Catatan fitur: Meskipun Kontrol Aplikasi Adaptif melalui Microsoft Defender untuk Cloud tidak didukung, saat memilih model penyebaran, Anda dapat menyediakan akses pengguna jarak jauh ke seluruh desktop virtual atau hanya aplikasi tertentu. Aplikasi jarak jauh, atau RemoteApp, memberikan pengalaman tanpa hambatan saat pengguna bekerja dengan aplikasi di desktop virtual mereka. RemoteApps mengurangi risiko hanya dengan membiarkan pengguna bekerja dengan subset komputer jarak jauh yang diekspos oleh aplikasi.
Untuk informasi lebih lanjut, silakan kunjungi: Menggunakan Aplikasi Jarak Jauh
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Pengelogan dan Deteksi Ancaman
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pengelogan dan deteksi ancaman.
LT-1: Mengaktifkan kemampuan deteksi ancaman
Fitur
Microsoft Defender untuk Penawaran Layanan / Produk
Deskripsi: Layanan memiliki solusi Microsoft Defender khusus penawaran untuk memantau dan memperingatkan masalah keamanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan Azure Active Directory (Azure AD) sebagai metode autentikasi default untuk mengontrol akses sarana manajemen Anda. Saat Anda mendapatkan pemberitahuan dari Microsoft Defender untuk Key Vault, selidiki dan tanggapi pemberitahuan.
Referensi: Onboard perangkat Windows di Azure Virtual Desktop
LT-4: Mengaktifkan pengelogan untuk penyelidikan keamanan
Fitur
Log Sumber Daya Azure
Deskripsi: Layanan menghasilkan log sumber daya yang dapat menyediakan metrik dan pengelogan khusus layanan yang ditingkatkan. Pelanggan dapat mengonfigurasi log sumber daya ini dan mengirimnya ke sink data mereka sendiri seperti akun penyimpanan atau ruang kerja analitik log. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Aktifkan log sumber daya untuk layanan. Misalnya, Key Vault mendukung log sumber daya tambahan untuk tindakan yang mendapatkan rahasia dari brankas kunci atau dan Azure SQL memiliki log sumber daya yang melacak permintaan ke database. Konten log sumber daya bervariasi menurut jenis layanan dan sumber daya Azure.
Referensi: Mendorong data diagnostik ke ruang kerja Anda
Manajemen postur dan kerentanan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen postur dan kerentanan.
PV-3: Menetapkan dan membangun konfigurasi yang aman untuk sumber daya komputasi
Fitur
Konfigurasi Status Azure Automation
Deskripsi: Azure Automation Konfigurasi Status dapat digunakan untuk mempertahankan konfigurasi keamanan sistem operasi. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Agen Konfigurasi Tamu Azure Policy
Deskripsi: Azure Policy agen konfigurasi tamu dapat diinstal atau disebarkan sebagai ekstensi untuk menghitung sumber daya. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Gambar VM Kustom
Deskripsi: Layanan mendukung penggunaan gambar VM yang disediakan pengguna atau gambar bawaan dari marketplace dengan konfigurasi dasar tertentu yang telah diterapkan sebelumnya. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan gambar yang diperkeras yang telah dikonfigurasi sebelumnya dari pemasok tepercaya seperti Microsoft atau buat garis besar konfigurasi aman yang diinginkan ke dalam templat gambar VM
Referensi: Sistem operasi dan lisensi
Gambar Kontainer Kustom
Deskripsi: Layanan mendukung penggunaan gambar kontainer yang disediakan pengguna atau gambar bawaan dari marketplace dengan konfigurasi dasar tertentu yang telah diterapkan sebelumnya. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
PV-5: Melakukan penilaian kerentanan
Fitur
Penilaian Kerentanan menggunakan Microsoft Defender
Deskripsi: Layanan dapat dipindai untuk pemindaian kerentanan menggunakan Microsoft Defender untuk Cloud atau kemampuan penilaian kerentanan yang disematkan layanan Microsoft Defender lainnya (termasuk Microsoft Defender untuk server, registri kontainer, App Service, SQL, dan DNS). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | Salah | Pelanggan |
Panduan Konfigurasi: Ikuti rekomendasi dari Microsoft Defender untuk Cloud untuk melakukan penilaian kerentanan pada komputer virtual Azure, gambar kontainer, dan server SQL Anda.
Referensi: Mengaktifkan Microsoft Defender untuk Cloud
PV-6: Secara cepat dan otomatis memulihkan kerentanan
Fitur
Manajemen Pembaruan Azure Automation
Deskripsi: Layanan dapat menggunakan Azure Automation Manajemen Pembaruan untuk menyebarkan patch dan pembaruan secara otomatis. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Keamanan titik akhir
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Keamanan titik akhir.
ES-1: Menggunakan Deteksi dan Respons Titik Akhir (EDR)
Fitur
Solusi EDR
Deskripsi: Fitur Deteksi dan Respons Titik Akhir (EDR) seperti Azure Defender untuk server dapat disebarkan ke titik akhir. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | Salah | Pelanggan |
Panduan Konfigurasi: Azure Defender untuk server (dengan Microsoft Defender untuk Titik Akhir terintegrasi) menyediakan kemampuan EDR untuk mencegah, mendeteksi, menyelidiki, dan merespons ancaman tingkat lanjut. Gunakan Microsoft Defender for untuk Cloud untuk menyebarkan Azure Defender untuk server untuk titik akhir Anda dan mengintegrasikan peringatan ke solusi SIEM Anda seperti Azure Sentinel.
Referensi: Aktifkan perlindungan titik akhir
ES-2: Gunakan perangkat lunak antimalware modern
Fitur
Solusi Anti-Malware
Deskripsi: Fitur anti-malware seperti Microsoft Defender Antivirus, Microsoft Defender untuk Titik Akhir dapat disebarkan di titik akhir. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | Salah | Pelanggan |
Panduan Konfigurasi: Untuk Windows Server 2016 ke atas, Microsoft Defender untuk Antivirus diinstal secara default. Untuk Windows Server 2012 R2 ke atas, pelanggan dapat menginstal SCEP (System Center Endpoint Protection). Untuk Linux, pelanggan dapat memiliki pilihan untuk menginstal Microsoft Defender untuk Linux. Atau, pelanggan juga memiliki pilihan untuk menginstal produk anti-malware pihak ketiga.
Referensi: Mengaktifkan Microsoft Defender untuk Cloud
ES-3: Memastikan perangkat lunak anti-malware dan tanda tangan diperbarui
Fitur
Pemantauan Kesehatan Solusi Anti-Malware
Deskripsi: Solusi anti-malware menyediakan pemantauan status kesehatan untuk pembaruan platform, mesin, dan tanda tangan otomatis. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | Salah | Pelanggan |
Panduan Konfigurasi: Konfigurasikan solusi anti-malware Anda untuk memastikan platform, mesin, dan tanda tangan diperbarui dengan cepat dan konsisten dan statusnya dapat dipantau.
Referensi: Mengaktifkan Microsoft Defender untuk Cloud
Pencadangan dan Pemulihan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pencadangan dan pemulihan.
BR-1: Pastikan pencadangan otomatis secara rutin
Fitur
Pencadangan Azure
Deskripsi: Layanan dapat dicadangkan oleh layanan Azure Backup. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | Salah | Pelanggan |
Panduan Konfigurasi: Aktifkan Azure Backup dan konfigurasikan sumber cadangan (seperti Azure Virtual Machines, SQL Server, database HANA, atau Berbagi File) pada frekuensi yang diinginkan dan dengan periode retensi yang diinginkan. Untuk Azure Virtual Machines, Anda dapat menggunakan Azure Policy untuk mengaktifkan pencadangan otomatis.
Referensi: Bagaimana Azure Virtual Desktop menangani pencadangan?
Kemampuan Pencadangan Asli Layanan
Deskripsi: Layanan mendukung kemampuan pencadangan aslinya sendiri (jika tidak menggunakan Azure Backup). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Catatan fitur: Azure Virtual Desktop memanfaatkan Azure Backup.
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Langkah berikutnya
- Lihat gambaran umum tolok ukur keamanan cloud Microsoft
- Pelajari selengkapnya tentang Garis besar keamanan Azure