Gambaran umum kontrol keamanan Azure (v3)

Azure Security Benchmark (ASB) memberikan praktik terbaik dan rekomendasi preskriptif untuk membantu meningkatkan keamanan beban kerja, data, dan layanan di Azure. Tolok ukur ini adalah bagian dari serangkaian panduan keamanan holistik yang juga mencakup:

Azure Security Benchmark berfokus pada area kontrol yang berpusat pada cloud. Kontrol ini konsisten dengan tolok ukur keamanan terkenal, seperti yang dijelaskan oleh Pusat Kontrol Keamanan Internet (CIS), Institut Nasional Standar dan Teknologi (NIST), dan Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS).

Yang baru di ASB v3

Yang baru di Azure Security Benchmark v3:

  • Pemetaan ke kerangka kerja industri PCI-DSS v3.2.1 dan CIS Controls v8 ditambahkan di samping pemetaan yang ada ke CIS Controls v7.1 dan NIST SP800-53 Rev4.
  • Menyempurnakan panduan kontrol agar lebih terperinci dan dapat ditindaklanjuti, misalnya, panduan keamanan kini dibagi menjadi dua bagian terpisah, Prinsip Keamanan dan Panduan Azure. Prinsip Keamanan adalah "apa", menjelaskan kontrol pada tingkat teknologi-agnostik; Azure Guidance difokuskan pada "bagaimana", menguraikan fitur teknis yang relevan dan cara untuk menerapkan kontrol di Azure.
  • Penambahan kontrol baru, misalnya, DevOps Security sebagai keluarga kontrol baru yang juga mencakup topik seperti pemodelan ancaman dan keamanan rantai pasokan perangkat lunak. Manajemen kunci dan sertifikat diperkenalkan untuk merekomendasikan praktik terbaik manajemen kunci dan sertifikat di Azure.

Kontrol

Kontrol berikut ini disertakan dalam Azure Security Benchmark v3:

Domain Kontrol ASB Deskripsi
Keamanan jaringan (NS) Keamanan Jaringan mencakup kontrol untuk mengamankan dan melindungi jaringan Azure, termasuk mengamankan jaringan virtual, membangun koneksi privat, mencegah, dan mengurangi serangan eksternal, serta mengamankan DNS.
Manajemen Identitas (IM) Manajemen Identitas mencakup kontrol untuk membuat identitas dan akses kontrol yang aman menggunakan Azure Active Directory, termasuk penggunaan akses menyeluruh, autentikasi yang kuat, identitas terkelola (dan perwakilan layanan) untuk aplikasi, akses bersyarat, dan pemantauan anomali akun.
Akses Istimewa (PA) Akses Istimewa mencakup kontrol untuk melindungi akses istimewa ke penyewa dan sumber daya Azure Anda, termasuk berbagai kontrol untuk melindungi model administratif, akun administratif, dan stasiun kerja akses istimewa Anda dari risiko yang disengaja dan tidak disengaja.
Perlindungan Data (DP) Perlindungan Data mencakup kontrol perlindungan data saat tidak aktif, dalam perjalanan, dan melalui mekanisme akses resmi, termasuk menemukan, mengklasifikasikan, melindungi, dan memantau aset data sensitif menggunakan kontrol akses, enkripsi, kunci, dan manajemen sertifikat di Azure.
Manajemen Aset (AM) Aset Manajemen Aset mencakup kontrol untuk memastikan visibilitas dan tata kelola keamanan atas sumber daya Azure, termasuk rekomendasi tentang izin untuk personel keamanan, akses keamanan ke inventaris aset, dan mengelola persetujuan untuk layanan dan sumber daya (inventaris, melacak, dan memperbaiki).
Pengelogan dan Deteksi Ancaman (LT) Pengelogan dan Deteksi Ancaman mencakup kontrol untuk mendeteksi ancaman pada Azure dan mengaktifkan, mengumpulkan, dan menyimpan log audit untuk layanan Azure, termasuk memungkinkan proses deteksi, investigasi, serta remediasi dengan kontrol untuk membuat pemberitahuan berkualitas tinggi dengan deteksi ancaman bawaan di layanan Azure; ini juga termasuk mengumpulkan log dengan Azure Monitor, memusatkan analisis keamanan dengan Azure Sentinel, sinkronisasi waktu, dan retensi log.
Respons Insiden (IR) Respons Insiden mencakup kontrol dalam siklus hidup respons insiden - persiapan, deteksi dan analisis, penahanan, dan aktivitas pasca-insiden, termasuk menggunakan layanan Azure seperti Microsoft Defender untuk Cloud dan Sentinel untuk mengotomatiskan proses respons insiden.
Manajemen Postur dan Kerentanan (PV) Manajemen Postur dan Kerentanan berfokus pada kontrol untuk menilai dan meningkatkan postur keamanan Azure, termasuk pemindaian kerentanan, pengujian penetrasi dan remediasi, serta pelacakan, pelaporan, dan koreksi konfigurasi keamanan dalam sumber daya Azure.
Keamanan Titik Akhir (ES) Keamanan Titik Akhir mencakup kontrol dalam deteksi dan respons titik akhir, termasuk penggunaan deteksi dan respons titik akhir (EDR) serta layanan anti-malware untuk titik akhir di lingkungan Azure.
Pencadangan dan Pemulihan (BR) Pencadangan dan Pemulihan mencakup kontrol untuk memastikan bahwa pencadangan data dan konfigurasi di berbagai tingkat layanan telah dilakukan, divalidasi, dan dilindungi.
Keamanan DevOps (DS) Keamanan DevOps mencakup kontrol yang terkait dengan rekayasa keamanan dan operasi dalam proses DevOps, termasuk penerapan pemeriksaan keamanan penting (seperti pengujian keamanan aplikasi statis, manajemen kerentanan) sebelum fase penerapan untuk memastikan keamanan selama proses DevOps; itu juga mencakup topik umum seperti pemodelan ancaman dan keamanan pasokan perangkat lunak.
Tata Kelola dan Strategi (GS) Tata Kelola dan Strategi menyediakan panduan untuk memastikan strategi keamanan yang koheren dan pendekatan tata kelola yang terdokumentasi untuk memandu dan mempertahankan jaminan keamanan, termasuk menetapkan peran dan tanggung jawab untuk berbagai fungsi keamanan cloud, strategi teknis terpadu, serta mendukung kebijakan dan standar.

Rekomendasi Azure Security Benchmark

Setiap rekomendasi mencakup informasi berikut:

  • ASB ID: ID Azure Security Benchmark yang sesuai dengan rekomendasi.
  • Kontrol CIS v8 ID: Kontrol CIS v8 yang sesuai dengan rekomendasi.
  • Kontrol CIS v7.1 ID: Kontrol CIS v7.1 yang sesuai dengan rekomendasi (tidak tersedia di web karena alasan pemformatan).
  • PCI-DSS v3.2.1 ID: Kontrol PCI-DSS v3.2.1 yang sesuai dengan rekomendasi.
  • NIST SP 800-53 r4 ID(s): Kontrol NIST SP 800-53 r4 (Sedang dan Tinggi) yang sesuai dengan rekomendasi ini.
  • Prinsip Keamanan: Rekomendasi berfokus pada "apa", menjelaskan kontrol pada tingkat agnostik teknologi.
  • Panduan Azure: Rekomendasi berfokus pada "bagaimana", menjelaskan fitur teknis Azure dan dasar-dasar implementasi.
  • Konteks implementasi dan penambahan: Detail implementasi dan konteks relevan lainnya yang tertaut ke artikel dokumentasi penawaran layanan Azure.
  • Pemangku Kepentingan Keamanan Pelanggan: Fungsi keamanan di organisasi pelanggan yang mungkin akuntabel, bertanggung jawab, atau berkonsultasi untuk kontrol masing-masing. Ini mungkin berbeda dari organisasi ke organisasi tergantung pada struktur organisasi keamanan perusahaan Anda dan peran serta tanggung jawab yang Anda siapkan terkait dengan keamanan Azure.

Catatan

Pemetaan kontrol antara ASB dan tolok ukur industri (seperti CIS, NIST, dan PCI) hanya menunjukkan bahwa fitur Azure tertentu dapat digunakan untuk memenuhi sebagian atau seluruh persyaratan kontrol yang ditentukan dalam tolok ukur industri ini. Anda harus menyadari bahwa implementasi tersebut tidak selalu berarti kepatuhan penuh dari kontrol yang sesuai dalam tolok ukur industri ini.

Kami menyambut umpan balik mendetail dan partisipasi aktif Anda dalam upaya Azure Security Benchmark. Jika Anda ingin memberikan masukan langsung kepada tim Azure Security Benchmark, isi formulir di https://aka.ms/AzSecBenchmark

Unduh

Anda dapat mengunduh Azure Security Benchmark dalam format spreadsheet.

Langkah berikutnya