Pertimbangan keamanan Azure Stack HCI

Berlaku untuk: Azure Stack HCI, versi 21H2 dan 20H2; Windows Server 2022, Windows Server 2019

Topik ini memberikan pertimbangan dan rekomendasi keamanan terkait sistem operasi Azure Stack HCI:

  • Bagian 1 mencakup alat dan teknologi keamanan dasar untuk menguatkan sistem operasi, serta melindungi data dan identitas agar secara efisien membangun fondasi yang aman bagi organisasi Anda.
  • Bagian 2 mencakup sumber daya yang tersedia melalui Azure Security Center.
  • Bagian 3 mencakup pertimbangan keamanan yang lebih canggih untuk lebih memperkuat postur keamanan organisasi Anda di bidang ini.

Mengapa pertimbangan keamanan penting?

Keamanan memengaruhi semua orang di organisasi Anda mulai dari manajemen tingkat atas hingga pekerja informasi. Keamanan yang tidak memadai adalah risiko nyata bagi organisasi, karena pelanggaran keamanan berpotensi mengganggu semua bisnis normal dan membuat organisasi Anda terhenti. Semakin cepat Anda dapat mendeteksi potensi serangan, semakin cepat Anda dapat mengurangi bahaya pada keamanan.

Setelah meneliti titik lemah lingkungan yang akan dieksploitasi, dalam waktu 24 hingga 48 jam setelah serangan awal, penyerang biasanya dapat meningkatkan izin untuk mengendalikan sistem di jaringan. Langkah-langkah keamanan yang baik menguatkan sistem dalam lingkungan dengan memperpanjang waktu yang dibutuhkan penyerang untuk mengambil kendali dari jam ke minggu atau bahkan berbulan-bulan dengan memblokir gerakan penyerang. Menerapkan rekomendasi keamanan dalam topik ini memosisikan organisasi Anda untuk mendeteksi dan menanggapi serangan tersebut secepat mungkin.

Tahap 1: Bangun fondasi yang aman

Bagian berikut merekomendasikan alat dan teknologi keamanan untuk membangun fondasi yang aman bagi server yang menjalankan sistem operasi Azure Stack HCI di lingkungan Anda.

Menguatkan lingkungan

Bagian ini membahas cara melindungi layanan dan mesin virtual (VM) yang berjalan pada sistem operasi:

  • Perangkat keras bersertifikat Azure Stack HCI menyediakan pengaturan Secure Boot, UEFI, dan TPM yang konsisten dan unik. Menggabungkan keamanan berbasis virtualisasi dan perangkat keras bersertifikat membantu melindungi beban kerja yang sensitif terhadap keamanan. Anda juga dapat menghubungkan infrastruktur tepercaya ini ke Azure Security Center untuk mengaktifkan analitik perilaku dan pelaporan agar bisa memperhitungkan beban kerja dan ancaman yang berubah dengan cepat.

    • Secure boot adalah standar keamanan yang dikembangkan oleh industri PC untuk membantu memastikan bahwa perangkat hanya menggunakan perangkat lunak yang dipercaya oleh Original Equipment Manufacturer (OEM) saat proses booting. Untuk mempelajari selengkapnya, lihat Secure boot.
    • United Extensible Firmware Interface (UEFI) mengontrol proses booting server, lalu meneruskan kontrol ke Windows atau sistem operasi lain. Untuk mempelajari selengkapnya, lihat persyaratan firmware UEFI.
    • Teknologi Trusted Platform Module (TPM) menyediakan fungsi berbasis perangkat keras dan terkait keamanan. Chip TPM adalah prosesor kripto aman yang menghasilkan, menyimpan, dan membatasi penggunaan kunci kriptografi. Untuk mempelajari selengkapnya, lihat Gambaran Umum Teknologi Trusted Platform Module.

    Untuk mempelajari selengkapnya tentang penyedia perangkat keras bersertifikat Azure Stack HCI, lihat situs web solusi Azure Stack HCI.

  • Alat Keamanantersedia secara asli di Windows Admin Center untuk kluster server tunggal dan Azure Stack HCI untuk mempermudah manajemen dan kontrol keamanan. Alat ini memusatkan beberapa pengaturan keamanan utama untuk server dan kluster, termasuk kemampuan untuk melihat status sistem Secured-core.

    Untuk mempelajari selengkapnya, lihat Server Secured-core.

  • Device Guard dan Credential Guard. Device Guard melindungi pengguna dari malware tanpa tanda tangan yang diketahui, kode yang tidak ditandatangani, dan malware yang mendapatkan akses ke kernel untuk menangkap informasi sensitif atau merusak sistem. Windows Defender Credential Guard menggunakan keamanan berbasis virtualisasi untuk mengisolasi rahasia sehingga hanya perangkat lunak sistem dengan hak istimewa yang dapat mengaksesnya.

    Untuk mempelajari selengkapnya, lihat Mengelola Windows Defender Credential Guard dan mengunduh alat kesiapan perangkat keras Device Guard dan Credential Guard.

  • Pembaruan Windows dan firmware sangat penting pada kluster, server (termasuk VM tamu), dan PC untuk membantu memastikan bahwa sistem operasi dan perangkat keras sistem terlindungi dari penyerang. Anda dapat menggunakan alat Pembaruan Windows Admin Center untuk menerapkan pembaruan ke masing-masing sistem. Jika penyedia perangkat keras Anda menyertakan dukungan Windows Admin Center untuk mendapatkan pembaruan driver, firmware, dan solusi, Anda bisa mendapatkan pembaruan ini bersamaan dengan pembaruan Windows. Jika tidak, dapatkan langsung dari vendor Anda.

    Untuk mempelajari selengkapnya, lihat Memperbarui kluster.

    Untuk mengelola pembaruan pada beberapa kluster dan server sekaligus, pertimbangkan untuk berlangganan layanan opsional Azure Update Management, yang terintegrasi dengan Windows Admin Center. Untuk informasi selengkapnya, lihat Manajemen Pembaruan Azure menggunakan Windows Admin Center.

Melindungi data

Bagian ini membahas cara menggunakan Windows Admin Center untuk melindungi data dan beban kerja pada sistem operasi:

  • BitLocker untuk Storage Spaces melindungi data tidak aktif. Anda dapat menggunakan BitLocker untuk mengenkripsi konten volume data Storage Spaces pada sistem operasi. Menggunakan BitLocker untuk melindungi data dapat membantu organisasi tetap mematuhi standar pemerintah, regional, dan industri tertentu seperti FIPS 140-2, dan HIPAA.

    Untuk mempelajari selengkapnya tentang menggunakan BitLocker di Windows Admin Center, lihat Mengaktifkan enkripsi volume, deduplikasi, dan pemadatan

  • Enkripsi SMB untuk jaringan Windows melindungi data dalam perjalanan. Server Message Block (SMB) adalah protokol berbagi file jaringan yang memungkinkan aplikasi di komputer untuk membaca dan menulis ke file dan untuk meminta layanan dari program server pada jaringan komputer.

    Untuk mengaktifkan enkripsi SMB, lihat peningkatan keamanan SMB.

  • Antivirus Windows Defender di Windows Admin Center melindungi sistem operasi pada klien dan server terhadap virus, malware, spyware, dan ancaman lainnya. Untuk mempelajari selengkapnya, lihat Antivirus Microsoft Defender di Windows Server 2016 dan 2019.

Melindungi identitas

Bagian ini membahas cara menggunakan Windows Admin Center untuk melindungi identitas dengan hak istimewa:

  • Kontrol akses dapat meningkatkan keamanan lanskap manajemen Anda. Jika Anda menggunakan server Windows Admin Center (vs. operasi pada PC Windows 10), Anda dapat mengontrol dua tingkat akses ke Windows Admin Center itu sendiri: pengguna gateway dan administrator gateway. Opsi penyedia identitas administrator gateway meliputi:

    • Active Directory atau grup komputer lokal untuk menerapkan autentikasi kartu pintar.
    • Azure Active Directory untuk menegakkan akses bersyarat dan autentikasi multifaktor.

    Untuk mempelajari selengkapnya, lihat Opsi akses pengguna dengan Windows Admin Center dan Konfigurasikan Kontrol dan Izin Akses Pengguna.

  • Lalu lintas browser ke Windows Admin Center menggunakan HTTPS. Lalu lintas dari Windows Admin Center ke server yang dikelola menggunakan PowerShell dan Windows Management Instrumentation (WMI) standar selama Windows Remote Management (WinRM). Windows Admin Center mendukung Local Administrator Password Solution (LAPS), delegasi terbatas berbasis sumber daya, kontrol akses gateway menggunakan Active Directory (AD) atau Microsoft Azure Active Directory (Azure AD), dan kontrol akses berbasis peran (RBAC) untuk mengelola gateway Windows Admin Center.

    Windows Admin Center mendukung Microsoft Edge (Windows 10, versi 1709 atau lebih baru), Google Chrome, dan Microsoft Edge Insider di Windows 10. Anda dapat menginstal Windows Admin Center di PC Windows 10 atau server Windows.

    Jika Anda menginstal Windows Admin Center di server, ia berjalan sebagai gateway, tanpa UI di server host. Dalam skenario ini, administrator dapat masuk ke server melalui sesi HTTPS, yang diamankan oleh sertifikat keamanan yang ditandatangani sendiri pada host. Namun, pengguna lebih baik menggunakan sertifikat SSL yang sesuai dari otoritas sertifikat tepercaya untuk proses masuk, karena browser yang didukung menganggap koneksi yang ditandatangani sendiri tidak aman, bahkan jika koneksinya menuju alamat IP lokal melalui VPN tepercaya.

    Untuk mempelajari selengkapnya tentang opsi penginstalan untuk organisasi Anda, lihat Jenis penginstalan apa yang tepat untuk Anda?.

  • CredSSP adalah penyedia autentikasi yang digunakan oleh Windows Admin Center dalam beberapa kasus untuk meneruskan kredensial ke mesin di luar server tertentu yang Anda targetkan untuk dikelola. Windows Admin Center saat ini memerlukan CredSSP untuk:

    • Membuat kluster baru.
    • Mengakses alat Pembaruan dan menggunakan pengklusteran Failover atau fitur Pembaruan Cluster-Aware.
    • Mengelola penyimpanan SMB yang dipisahkan di VM.

    Untuk mempelajari selengkapnya, lihat Apakah Windows Admin Center menggunakan CredSSP?

  • Alat keamanan di Windows Admin Center yang dapat Anda gunakan untuk mengelola dan melindungi identitas, meliputi Active Directory, Sertifikat, Firewall, Pengguna dan Grup Lokal, dan banyak lagi.

    Untuk mempelajari selengkapnya, lihat Mengelola Server dengan Windows Admin Center.

Bagian 2: Gunakan Azure Security Center

Azure Security Center merupakan sistem manajemen keamanan infrastruktur terpadu yang memperkuat kondisi keamanan pusat data Anda, serta menyediakan perlindungan ancaman tingkat lanjut di seluruh beban kerja hibrida di cloud dan di tempat. Security Center memberi Anda alat untuk menilai status keamanan jaringan Anda, melindungi beban kerja, memunculkan peringatan keamanan, dan mengikuti rekomendasi khusus untuk memulihkan serangan dan mengatasi ancaman di masa mendatang. Security Center memberikan semua layanan ini dengan kecepatan tinggi di cloud tanpa overhead penyebaran melalui provisi otomatis dan perlindungan pada layanan Azure.

Security Center melindungi VM untuk server Windows dan server Linux dengan menginstal agen Analitik Log pada sumber daya ini. Azure menghubungkan peristiwa yang dikumpulkan agen menjadi rekomendasi (tugas penguatan) yang Anda lakukan untuk membuat beban kerja Anda aman. Tugas penguatan berdasarkan praktik terbaik keamanan termasuk mengelola dan menegakkan kebijakan keamanan. Anda kemudian dapat melacak hasil dan mengelola kepatuhan dan tata kelola dari waktu ke waktu melalui pemantauan Security Center sambil mengurangi permukaan serangan di semua sumber daya Anda.

Mengelola siapa yang dapat mengakses sumber daya dan langganan Azure Anda adalah bagian penting dari strategi tata kelola Azure Anda. Azure RBAC adalah metode utama untuk mengelola akses di Azure. Untuk mempelajari selengkapnya, lihat Mengelola akses ke lingkungan Azure Anda dengan kontrol akses berbasis peran.

Bekerja dengan Security Center melalui Windows Admin Center memerlukan langganan Azure. Untuk memulainya, lihat Mengintegrasikan Azure Security Center dengan Windows Admin Center.

Setelah mendaftar, akses Security Center di Windows Admin Center: Di halaman Semua Koneksi, pilih server atau VM, di bawah Alat, pilih Azure Security Center, lalu pilih Masuk ke Azure.

Untuk mempelajari selengkapnya, lihat Apa itu Azure Security Center?

Bagian 3: Tambahkan keamanan tingkat lanjut

Bagian berikut merekomendasikan alat dan teknologi keamanan canggih untuk lebih menguatkan server yang menjalankan sistem operasi Azure Stack HCI di lingkungan Anda.

Menguatkan lingkungan

  • Garis besar keamanan Microsoft didasarkan pada rekomendasi keamanan dari Microsoft yang diperoleh melalui kemitraan dengan organisasi komersial dan pemerintah AS, seperti Departemen Pertahanan. Garis besar keamanan mencakup pengaturan keamanan yang direkomendasikan untuk Windows Firewall, Windows Defender, dan banyak lainnya.

    Garis besar keamanan disediakan sebagai cadangan Objek Kebijakan Grup (GPO) yang dapat Anda impor ke Active Directory Domain Services (AD DS), lalu disebarkan ke server yang bergabung dengan domain untuk memperkuat lingkungan. Anda juga dapat menggunakan alat Skrip Lokal untuk konfigurasi server mandiri (tidak bergabung dengan domain) dengan garis besar keamanan. Untuk mulai menggunakan garis besar keamanan, unduh Microsoft Security Compliance Toolkit 1.0.

    Untuk mempelajari selengkapnya, lihat Garis Besar Keamanan Microsoft.

Melindungi data

  • Penguatan lingkungan Hyper-V membutuhkan penguatan Windows Server yang berjalan pada VM seperti saat Anda akan menguatkan sistem operasi yang berjalan pada server fisik. Karena lingkungan virtual biasanya memiliki beberapa VM yang berbagi host fisik yang sama, sangat penting untuk melindungi host fisik dan VM yang berjalan. Penyerang yang membahayakan host dapat memengaruhi beberapa VM dengan dampak yang lebih besar pada beban kerja dan layanan. Bagian ini membahas metode-metode berikut yang dapat Anda gunakan untuk menguatkan Server Windows di lingkungan Hyper-V:

    • Virtual Trusted Platform Module (vTPM) di Windows Server mendukung TPM untuk VM, yang memungkinkan Anda menggunakan teknologi keamanan canggih, seperti BitLocker di VM. Anda dapat mengaktifkan dukungan TPM pada VM Hyper-V Generasi 2 apa pun dengan menggunakan Hyper-V Manager atau Enable-VMTPM cmdlet Windows PowerShell.

      Untuk mempelajari selengkapnya, lihat Aktifkan-VMTPM.

    • Software Defined Networking (SDN) di Azure Stack HCI dan Windows Server secara terpusat melakukan konfigurasi dan mengelola perangkat jaringan virtual seperti penyeimbang beban perangkat lunak, firewall pusat data, gateway, dan sakelar virtual pada infrastruktur Anda. Elemen jaringan virtual, seperti Hyper-V Virtual Switch, Hyper-V Network Virtualization, dan RAS Gateway dirancang untuk menjadi elemen integral dari infrastruktur SDN Anda.

      Untuk mempelajari selengkapnya, lihat Software Defined Networking (SDN).

      Catatan

      VM terlindung tidak didukung di Azure Stack HCI.

Melindungi identitas

  • Local Administrator Password Solution (LAPS) adalah mekanisme ringan untuk sistem gabungan domain Active Directory yang secara berkala menetapkan kata sandi akun admin lokal masing-masing komputer menjadi nilai acak dan unik yang baru. Kata sandi disimpan dalam atribut rahasia yang aman pada objek komputer yang sesuai di Active Directory, dan di sini hanya pengguna yang berwenang khusus yang dapat mengambilnya. LAPS menggunakan akun lokal untuk manajemen komputer jarak jauh ditambah dengan beberapa keuntungan dibandingkan menggunakan akun domain. Untuk mempelajari selengkapnya, lihat Penggunaan Akun Lokal Jarak Jauh: LAPS Mengubah Segalanya.

    Untuk mulai menggunakan LAPS, unduh Solusi Kata Sandi Administrator Lokal (LAPS).

  • Microsoft Advanced Threat Analytics (ATA) adalah produk lokal yang dapat Anda gunakan untuk membantu mendeteksi penyerang yang mencoba membahayakan identitas dengan hak istimewa. ATA mengurai lalu lintas jaringan untuk autentikasi, otorisasi, dan protokol pengumpulan informasi, seperti Kerberos dan DNS. ATA menggunakan data untuk membangun profil perilaku pengguna dan entitas lain di jaringan untuk mendeteksi anomali dan pola serangan yang diketahui.

    Untuk mempelajari selengkapnya, lihat Apa itu Analitik Ancaman Tingkat Lanjut?.

  • Windows Defender Remote Credential Guard melindungi informasi masuk melalui koneksi Desktop Jauh dengan mengalihkan permintaan Kerberos kembali ke perangkat yang meminta koneksi. Ini juga menyediakan akses menyeluruh (SSO) untuk sesi Desktop Jauh. Selama sesi Desktop Jauh, jika perangkat target disusupi, informasi masuk Anda tidak akan diekspos karena informasi masuk dan turunan informasi masuk tidak pernah diteruskan melalui jaringan ke perangkat target.

    Untuk mempelajari selengkapnya, lihat Mengelola Windows Defender Credential Guard.

Langkah berikutnya

Untuk informasi selengkapnya tentang kepatuhan keamanan dan peraturan, lihat juga: