Pelajaran 15 definisi/inisiatif Azure Policy teratas untuk diterapkan (daftar rinci dan rasional)Tinjau lima definisi dan inisiatif Azure Policy kunci yang harus diterapkan di sebagian besar lingkungan, pahami rasionalnya, serta pelajari cara menyesuaikannya dengan profil risiko dan kebutuhan kepatuhan organisasi Anda.
Pemilihan inisiatif keamanan baselineKebijakan identitas dan akses kritisKebijakan proteksi data dan enkripsiKebijakan kontrol jaringan dan paparanPersyaratan pemantauan dan loggingPelajaran 2Kebijakan 2: memerlukan enkripsi dengan kunci terkelola pelanggan di mana diwajibkan — penugasan dan pengecualianKonfigurasikan kebijakan yang memerlukan enkripsi dengan kunci terkelola pelanggan di mana diwajibkan, pilih ruang lingkup yang tepat, dan rancang pengecualian untuk layanan atau lingkungan di mana CMK tidak layak atau diperlukan.
Layanan yang mendukung kunci terkelola pelangganDesain vault kunci dan rotasi kunciKebijakan yang memerlukan CMK untuk sumber dayaMenangani pengecualian dan sistem lamaMemantau penggunaan CMK dan kegagalanPelajaran 3Kebijakan 5: memerlukan log diagnostik dan kunci sumber daya untuk SQL dan penyimpanan produksi — penugasan dan tindakan remedialKonfigurasikan kebijakan yang memerlukan logging diagnostik dan kunci sumber daya untuk SQL dan penyimpanan produksi, definisikan ruang lingkup produksi, serta rancang langkah remediasi yang menghindari pemadaman sambil meningkatkan pemulihan dan auditabilitas.
Mengidentifikasi SQL dan penyimpanan produksiKebijakan untuk pengaktifan pengaturan diagnostikMemerlukan kunci sumber daya pada data kritisPenerapan otomatis konfigurasi loggingMeninjau efektivitas log dan kunciPelajaran 4Microsoft Defender for Cloud: pemilihan rencana, tingkat harga, dan kapan mengaktifkan proteksi beban kerjaPahami rencana dan tingkat harga Defender for Cloud, cara memilih proteksi per jenis beban kerja, serta kapan mengaktifkan rencana lanjutan untuk menyeimbangkan cakupan keamanan, optimalisasi biaya, dan persyaratan regulasi atau bisnis.
Ikhtisar rencana Defender for CloudKapabilitas tier gratis vs berbayarMengaktifkan rencana per langganan atau workspaceEstimasi biaya dan model chargebackOnboarding beban kerja baru secara amanPelajaran 5Kebijakan 4: tegakkan NSG dan pembatasan subnet untuk beban kerja dan tolak IP publik pada jenis sumber daya tertentuTerapkan kebijakan yang menegakkan NSG, pembatasan subnet, dan tolak IP publik pada jenis sumber daya sensitif. Pelajari cara merancang pagar pengaman jaringan yang mengurangi paparan sambil mengizinkan pola konektivitas yang diperlukan.
Kebijakan yang memerlukan NSG pada subnetMembatasi lalu lintas dengan aturan NSGMenolak IP publik pada sumber daya terlindungiHanya mengizinkan endpoint publik yang disetujuiMemvalidasi postur jaringan secara berkalaPelajaran 6Remediasi otomatis: deployIfNotExists dan identitas terkelola untuk tugas remediasiGunakan deployIfNotExists dan identitas terkelola untuk mengotomatisasi remediasi sumber daya tidak patuh, rancang logika remediasi aman, serta validasi bahwa perubahan diterapkan secara konsisten di berbagai lingkungan.
Cara kerja deployIfNotExists secara rinciMembuat tugas dan ruang lingkup remediasiMenggunakan identitas terkelola untuk perubahanMenguji remediasi di tier lebih rendahMemantau hasil pekerjaan remediasiPelajaran 7Menangani pengecualian kebijakan: proses pembebasan, pembebasan sementara, justifikasi, dan pelacakanDefinisikan dan kelola pembebasan Azure Policy, termasuk alur kerja persetujuan, pengecualian terikat waktu, dan persyaratan justifikasi, sambil mempertahankan traceability dan meminimalkan risiko jangka panjang dari deviasi yang diterima.
Jenis pembebasan dan ruang lingkup yang didukungMendokumentasikan justifikasi bisnisPembebasan terikat waktu dan terbarukanAlur kerja tinjauan dan persetujuanPelaporan pembebasan aktifPelajaran 8Pengaturan Defender for Cloud di grup manajemen dan langganan: integrasi workspace dan telemetri sentralRencanakan penerapan Defender for Cloud di grup manajemen dan langganan, integrasikan dengan workspace Log Analytics, serta sentralisasi telemetri untuk mendukung visibilitas lintas tenant dan operasi keamanan.
Memilih hierarki grup manajemenMenghubungkan langganan ke workspaceMensentralisasi telemetri DefenderPertimbangan multi-tenant dan hybridKontrol akses untuk tim keamananPelajaran 9Strategi penugasan kebijakan: grup manajemen vs langganan vs grup sumber daya dan implikasi pewarisanPelajari cara memilih ruang lingkup penugasan Azure Policy yang tepat menggunakan grup manajemen, langganan, dan grup sumber daya, pahami perilaku pewarisan, serta rancang struktur skalabel yang mendukung least privilege dan kepemilikan jelas.
Kapan menugaskan pada ruang lingkup grup manajemenTrade-off penugasan tingkat langgananPencakupan grup sumber daya untuk pengecualianPewarisan dan urutan evaluasi kebijakanMenangani kebijakan tumpang tindih dan konflikPelajaran 10Integrasi dengan Microsoft Sentinel dan praktik terbaik penerusan peringatan DefenderPelajari cara meneruskan peringatan Defender for Cloud ke Microsoft Sentinel, rancang aturan analitik, serta terapkan praktik terbaik untuk normalisasi peringatan, deduplikasi, dan penanganan insiden di berbagai lingkungan.
Menghubungkan Defender ke workspace SentinelMengonfigurasi aturan penerusan peringatanMennormalisasi dan memperkaya peringatan keamananMembuat aturan analitik SentinelAlur kerja triage dan respons insidenPelajaran 11Rencana Defender yang direkomendasikan: App Service, Penyimpanan, SQL, Key Vault, dan Mesin Virtual – rasional dan kontrol protektifIdentifikasi rencana Defender for Cloud yang direkomendasikan untuk App Service, Penyimpanan, SQL, Key Vault, dan Mesin Virtual, serta pahami kontrol protektif yang diberikan masing-masing untuk mendeteksi ancaman dan mengeraskan konfigurasi.
Proteksi Defender for App ServiceDeteksi ancaman Defender for StorageDefender for SQL dan server SQLPemantauan akses Defender for Key VaultDefender for Servers dan VMPelajaran 12Operasionalisasi postur: prioritisasi berbasis risiko, penyesuaian peringatan, dan integrasi temuan postur ke backlog sprintTerjemahkan temuan postur ke proses operasional dengan memprioritaskan risiko, menyesuaikan peringatan berisik, dan mengintegrasikan tugas remediasi ke sprint agile, memastikan perbaikan berkelanjutan dan pengurangan risiko yang terukur.
Prioritisasi temuan berbasis risikoMenyesuaikan kebijakan dan ambang peringatanMembuat backlog remediasi untuk timMenanamkan tugas postur ke sprintMetrik dan KPI untuk kematangan posturPelajaran 13Kebijakan 3: batasi penerapan sumber daya ke wilayah yang disetujui — penugasan grup manajemen vs langgananTerapkan kebijakan yang membatasi penerapan ke wilayah yang disetujui, bandingkan penugasan grup manajemen versus langganan, serta selaraskan strategi wilayah dengan residensi data, latensi, dan persyaratan regulasi.
Mendefinisikan daftar wilayah yang diizinkanMenugaskan kebijakan wilayah pada hierarkiMenangani layanan global dan tanpa wilayahMengelola pengecualian untuk kasus khususMengaudit penggunaan wilayah seiring waktuPelajaran 14Kebijakan 1: tegakkan HTTPS-saja pada App Service dan situs web statis penyimpanan — ruang lingkup penugasan dan mode remediasiPelajari cara menegakkan HTTPS-saja untuk App Service dan situs web statis menggunakan Azure Policy, pilih ruang lingkup penugasan yang benar, serta konfigurasikan tugas remediasi untuk memperbaiki sumber daya tidak patuh secara otomatis pada skala besar.
Kebijakan built-in untuk penegakan HTTPS-sajaPencakupan kebijakan ke aplikasi web dan penyimpananMenggunakan deployIfNotExists untuk pengaturan HTTPSMenangani aplikasi HTTP-saja lamaMenguji dan memvalidasi penegakan HTTPSPelajaran 15Pemantauan kepatuhan berkelanjutan: menggunakan dasbor kepatuhan Azure Policy, pemindaian terjadwal, dan peringatanJelajahi cara menggunakan tampilan kepatuhan Azure Policy, evaluasi terjadwal, dan peringatan untuk mempertahankan kepatuhan berkelanjutan, mendeteksi drift dengan cepat, serta menyediakan bukti untuk audit dan pelaporan regulasi di berbagai lingkungan.
Menggunakan dasbor kepatuhan Azure PolicyMenjadwalkan dan memicu pemindaian kebijakanMengonfigurasi peringatan dan email kepatuhanMengekspor data kepatuhan untuk auditMelacak kemajuan drift dan remediasi
