Kontrol Keamanan v3: Akses istimewa
Akses Istimewa mencakup kontrol untuk melindungi akses istimewa ke penyewa dan sumber daya Azure Anda, termasuk berbagai kontrol untuk melindungi model administratif, akun administratif, dan stasiun kerja akses istimewa Anda dari risiko yang disengaja dan tidak disengaja.
PA-1: Memisahkan dan membatasi pengguna dengan hak istimewa tinggi/administratif
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 5.4, 6.8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Prinsip Keamanan: Memastikan Anda mengidentifikasi semua akun dampak bisnis yang tinggi. Batasi jumlah akun istimewa/administratif di sarana kontrol cloud, sarana manajemen, dan sarana data/beban kerja Anda.
Panduan Azure: Microsoft Azure Active Directory (Microsoft Azure AD) adalah layanan manajemen identitas dan akses default Azure. Peran bawaan yang paling penting di Microsoft Azure AD adalah Administrator Global dan Administrator Peran Istimewa, karena pengguna yang ditetapkan ke dua peran ini dapat mendelegasikan peran administrator. Dengan hak istimewa ini, pengguna dapat membaca dan memodifikasi setiap sumber daya secara langsung atau tidak langsung di lingkungan Azure Anda:
- Administrator Global / Administrator Perusahaan: Pengguna dengan peran ini memiliki akses ke semua fitur administratif di Microsoft Azure Active Directory, serta layanan yang menggunakan identitas Microsoft Azure Active Directory.
- Administrator Peran Istimewa: Pengguna dengan peran ini dapat mengelola penetapan peran di Azure AD, serta dalam Azure AD Privileged Identity Management (PIM). Selain itu, peran ini memungkinkan pengelolaan semua aspek PIM dan unit administrasi.
Di luar Microsoft Azure AD, Azure memiliki peran bawaan yang dapat menjadi penting untuk akses istimewa di tingkat sumber daya.
- Pemilik: Memberikan akses penuh untuk mengelola semua sumber daya, termasuk kemampuan untuk menetapkan peran di Azure RBAC.
- Kontributor: Memberikan akses penuh untuk mengelola semua sumber daya, tetapi tidak mengizinkan Anda untuk menetapkan peran di Azure RBAC, mengelola tugas di Azure Blueprints, atau berbagi galeri gambar.
- Admin Akses Pengguna: Memungkinkan Anda mengelola akses pengguna ke sumber daya Azure. Catatan: Anda mungkin memiliki peran penting lainnya yang perlu diatur apabila Anda menggunakan peran kustom di tingkat Microsoft Azure AD atau tingkat sumber daya dengan izin istimewa tertentu yang ditetapkan.
Pastikan Anda juga membatasi akun istimewa di manajemen, identitas, dan sistem keamanan lainnya yang memiliki akses administratif ke aset penting bisnis Anda, seperti Pengendali Domain (DC) AD DS, alat keamanan, dan alat manajemen sistem dengan agen yang diinstal pada sistem penting bisnis. Penyerang yang menyusup ke dalam sistem manajemen dan keamanan ini dapat segera mengubahnya menjadi sarana untuk menyusupi aset-aset penting bisnis.
Implementasi dan konteks tambahan:
- Izin peran administrator di Microsoft Azure Active Directory
- Menggunakan pemberitahuan keamanan Azure Privileged Identity Management
- Mengamankan akses istimewa untuk penyebaran hibrid dan cloud di Azure Active Directory
Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):
PA-2: Menghindari akses berdiri untuk akun dan izin pengguna
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| T/A | AC-2 | T/A |
Prinsip Keamanan: Alih-alih membuat hak istimewa tegak, gunakan mekanisme just-in-time (JIT) untuk menetapkan akses istimewa ke tingkatan sumber daya yang berbeda.
Panduan Azure: Mengaktifkan akses istimewa just-in-time (JIT) ke sumber daya Azure dan Microsoft Azure AD menggunakan Azure Active Directory Privileged Identity Management (PIM). JIT merupakan model di mana pengguna menerima izin sementara untuk menjalankan tugas istimewa, yang mencegah pengguna berbahaya atau tidak sah memperoleh izin setelah izin kedaluwarsa. Akses diberikan hanya ketika pengguna membutuhkannya. PIM juga dapat menghasilkan pemberitahuan keamanan ketika ada aktivitas yang mencurigakan atau tidak aman di organisasi Microsoft Azure AD Anda.
Batasi lalu lintas masuk ke port manajemen mesin virtual (VM) sensitif Anda dengan just-in-time (JIT) Microsoft Defender untuk Cloud untuk fitur akses VM. Hal ini memastikan akses istimewa ke VM diberikan hanya ketika pengguna membutuhkannya.
Implementasi dan konteks tambahan:
Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):
PA-3: Mengelola siklus hidup identitas dan hak
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Prinsip Keamanan: Menggunakan proses otomatis atau kontrol teknis untuk mengelola siklus hidup identitas dan akses termasuk permintaan, peninjauan, persetujuan, provisi, dan deprovisi.
Panduan Azure: Menggunakan fitur pengelolaan pemberian hak Microsoft Azure AD untuk mengotomatiskan alur kerja permintaan akses (untuk grup sumber daya Azure). Hal ini memungkinkan alur kerja untuk grup sumber daya Azure untuk mengelola tugas akses, ulasan, kedaluwarsa, serta persetujuan ganda atau multi-tahap.
Implementasi dan konteks tambahan:
- Apa yang dimaksud dengan tinjauan akses Microsoft Azure Active Directory
- Apa yang dimaksud dengan pengelolaan pemberian hak Microsoft Azure Active Directory
Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):
PA-4: Meninjau dan rekonsiliasi akses pengguna secara rutin
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2, AC-6 | 7.1, 7.2, 8.1, A3.4 |
Prinsip Keamanan: Melaksanakan peninjauan rutin terhadap hak akun istimewa. Pastikan akses yang diberikan ke akun berlaku untuk administrasi sarana kontrol, sarana manajemen, dan beban kerja.
Panduan Azure: Meninjau semua akun istimewa dan hak akses di Azure termasuk seperti penyewa Azure, layanan Azure, VM/IaaS, proses CI/CD, serta manajemen perusahaan dan alat keamanan.
Gunakan tinjauan akses Microsoft Azure AD untuk meninjau peran Microsoft Azure AD dan peran akses sumber daya Azure, keanggotaan grup, akses ke aplikasi perusahaan. Pelaporan Microsoft Azure AD juga dapat menyediakan log untuk membantu menemukan akun usang, akun yang tidak digunakan selama jangka waktu tertentu.
Selain itu, Azure Active Directory Privileged Identity Management dapat dikonfigurasi untuk memperingatkan saat jumlah akun administrator yang dibuat berlebihan, dan untuk mengidentifikasi akun administrator yang kedaluwarsa atau tidak dikonfigurasi dengan benar.
Implementasi dan konteks tambahan:
- Membuat tinjauan akses peran sumber daya Azure di Privileged Identity Management (PIM)
- Cara menggunakan identitas Azure Active Directory dan tinjauan akses
Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):
PA-5: Menyiapkan akses darurat
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| T/A | AC-2 | T/A |
Prinsip Keamanan: Menyiapkan akses darurat untuk memastikan bahwa Anda tidak secara tidak sengaja terkunci dari infrastruktur cloud penting Anda (seperti identitas dan sistem manajemen akses) dalam keadaan darurat.
Akun akses darurat harus jarang digunakan dan dapat sangat merusak organisasi jika dikompromikan, tetapi ketersediaannya bagi organisasi juga sangat penting untuk beberapa skenario ketika diperlukan.
Panduan Azure: Untuk mencegah terkunci secara tidak sengaja dari organisasi Microsoft Azure AD Anda, siapkan akun akses darurat (misalnya akun dengan peran Administrator Global) untuk mengakses saat akun administratif normal tidak dapat digunakan. Akun akses darurat biasanya sangat diistimewakan, dan tidak boleh diberikan kepada individu tertentu. Akun akses darurat terbatas pada skenario darurat atau "pecahkan kaca" di mana akun administratif normal tidak dapat digunakan.
Anda harus memastikan bahwa kredensial (seperti kata sandi, sertifikat, atau kartu pintar) untuk akun akses darurat tetap aman dan hanya diketahui oleh individu yang berwenang untuk menggunakannya hanya dalam keadaan darurat. Anda juga dapat menggunakan kontrol tambahan, seperti kontrol ganda (misalnya membagi info masuk menjadi dua bagian dan memberikannya kepada orang yang berbeda) untuk meningkatkan keamanan proses ini. Anda juga harus memantau log masuk dan audit untuk memastikan akun akses darurat hanya dapat digunakan berdasarkan otorisasi.
Implementasi dan konteks tambahan:
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
PA-6: Menggunakan stasiun kerja akses dengan hak istimewa
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2, SC-2, SC-7 | T/A |
Prinsip Keamanan: Stasiun kerja yang aman dan terisolasi sangat penting untuk keamanan peran sensitif seperti administrator, pengembang, dan operator layanan penting.
Panduan Azure: Menggunakan Azure Active Directory, Microsoft Defender, dan/atau Microsoft Intune untuk menyebarkan stasiun kerja akses istimewa (PAW) secara lokal atau di Azure untuk tugas istimewa. PAW harus dikelola secara terpusat untuk memberlakukan konfigurasi yang aman, termasuk autentikasi yang kuat, garis besar perangkat lunak dan perangkat keras, serta akses logika dan jaringan yang dibatasi.
Anda juga dapat menggunakan Azure Bastion yang merupakan layanan PaaS yang dikelola platform sepenuhnya yang dapat diprovisikan di dalam jaringan virtual Anda. Azure Bastion memungkinkan konektivitas RDP/SSH ke mesin virtual Anda langsung dari portal Microsoft Azure menggunakan browser.
Implementasi dan konteks tambahan:
Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):
PA-7: Mengikuti prinsip administrasi yang cukup (prinsip hak istimewa paling rendah)
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Prinsip Keamanan: Mengikuti prinsip administrasi yang cukup (hak istimewa paling rendah) untuk mengelola izin pada tingkat paling detail. Gunakan fitur seperti kontrol akses berbasis peran (RBAC) untuk mengelola akses sumber daya melalui penetapan peran.
Panduan Azure: Menggunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk mengelola akses sumber daya Azure melalui penetapan peran. Melalui RBAC, Anda dapat menetapkan peran kepada pengguna, perwakilan layanan grup, dan identitas terkelola. Ada peran bawaan yang telah ditentukan sebelumnya untuk sumber daya tertentu, dan peran ini dapat diinventarisasi atau ditanyakan melalui alat seperti Azure CLI, Azure PowerShell, dan portal Microsoft Azure.
Hak istimewa yang Anda tetapkan ke sumber daya melalui Azure RBAC harus selalu dibatasi pada apa yang diperlukan oleh peran. Hak istimewa terbatas akan melengkapi pendekatan just in time (JIT) Microsoft Azure Active Directory Privileged Identity Management (PIM), dan hak istimewa tersebut harus ditinjau secara berkala. Jika diperlukan, Anda juga dapat menggunakan PIM untuk menentukan kondisi jangka waktu (time-bound-assignment) dalam penetapan peran di mana pengguna dapat mengaktifkan atau menggunakan peran hanya dalam tanggal mulai dan akhir.
Catatan: Gunakan peran bawaan Azure untuk mengalokasikan izin dan hanya membuat peran kustom jika diperlukan.
Implementasi dan konteks tambahan:
- Apa yang dimaksud dengan kontrol akses berbasis peran Azure (Azure RBAC)
- Cara mengonfigurasi RBAC di Azure
- Cara menggunakan identitas Azure Active Directory dan tinjauan akses
- Azure Active Directory Privileged Identity Management - Tugas terikat waktu
Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):
- Keamanan aplikasi dan DevSecOps
- Manajemen Kepatuhan Keamanan
- Manajemen postur
- Identitas dan manajemen kunci
PA-8 Menentukan proses akses untuk dukungan penyedia cloud
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4, AC-2, AC-3 | T/A |
Prinsip Keamanan: Membangun proses persetujuan dan jalur akses untuk meminta dan menyetujui permintaan dukungan vendor dan akses sementara ke data Anda melalui saluran yang aman.
Panduan Azure: Dalam skenario dukungan di mana Microsoft perlu mengakses data Anda, gunakan Customer Lockbox untuk meninjau dan menyetujui atau menolak setiap permintaan akses data Microsoft.
Implementasi dan konteks tambahan:
Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):