Memantau sumber daya Azure di Microsoft Defender untuk Cloud

Sebagian besar arsitektur cloud memiliki komponen komputasi, jaringan, data, dan identitas, dan masing-masing memerlukan mekanisme pemantauan yang berbeda. Bahkan layanan Azure memiliki kebutuhan pemantauan individual. Misalnya, untuk memantau Azure Functions, Anda ingin mengaktifkan Azure Application Insights.

Microsoft Defender untuk Cloud memiliki banyak rencana yang memantau postur keamanan mesin, jaringan, penyimpanan dan layanan data, dan aplikasi untuk menemukan potensi masalah keamanan. Masalah umum termasuk VM yang terhubung ke internet, atau pembaruan keamanan yang hilang, perlindungan atau enkripsi titik akhir yang hilang, penyimpangan dari konfigurasi keamanan garis besar, Web Application Firewall (WAF) yang hilang, dan banyak lagi.

Poin-poin penting

• Aktifkan Microsoft Defender untuk Cloud sebagai tindakan pertahanan mendalam. Gunakan fitur Defender untuk Cloud khusus sumber daya seperti Pertahanan Microsoft untuk server, Pertahanan Microsoft untuk Titik Akhir, Pertahanan Microsoft untuk Penyimpanan.
• Amati kebersihan kontainer melalui alat sadar kontainer dan pemindaian rutin.
• Tinjau semua log alur jaringan melalui pengamat jaringan. Lihat log diagnostik di Microsoft Defender untuk Cloud.
• Integrasikan semua log dalam solusi SIEM pusat untuk menganalisis dan mendeteksi perilaku yang mencurigakan.
• Pantau kejadian risiko terkait identitas di pelaporan Azure AD dan Azure Active Directory Identity Protection.

Praktik terbaik umum

Mengidentifikasi aktivitas keamanan umum akan secara signifikan mengurangi risiko keseluruhan.

• Memantau aktivitas mencurigakan dari akun administratif.
• Memantau lokasi dari tempat sumber daya Azure dikelola.
• Memantau upaya untuk mengakses info masuk yang dinonaktifkan.
• Menggunakan alat otomatis untuk memantau konfigurasi sumber daya jaringan dan mendeteksi perubahan.

Untuk informasi selengkapnya, lihat Garis besar keamanan Azure untuk Azure Monitor.

Keamanan IaaS dan PaaS

Dalam model IaaS, Anda dapat menghosting beban kerja pada infrastruktur Azure. Azure menyediakan jaminan keamanan yang mempertahankan isolasi dan pembaruan keamanan tepat waktu untuk infrastruktur. Untuk kontrol yang lebih besar, Anda menghosting seluruh solusi IaaS secara lokal atau di pusat data yang dihosting dan bertanggung jawab atas keamanan. Anda harus menerapkan keamanan pada host, mesin virtual, jaringan, dan penyimpanan. Misalnya, jika Anda memiliki VNet sendiri, pertimbangkan untuk mengaktifkan Azure Private Link melalui Azure Monitor sehingga Anda dapat mengakses ini melalui titik akhir pribadi.

Di PaaS, Anda telah berbagi tanggung jawab dengan Azure dalam melindungi data.

Komputer virtual

Jika Anda menjalankan mesin virtual Windows dan Linux Anda sendiri, gunakan Microsoft Defender untuk Cloud. Manfaatkan layanan gratis untuk memeriksa patch OS yang hilang, kesalahan konfigurasi keamanan, dan keamanan jaringan dasar. Mengaktifkan Microsoft Defender untuk Cloud sangat dianjurkan karena Anda mendapatkan fitur yang menyediakan kontrol aplikasi adaptif, pemantauan integritas file (FIM), dan lain-lain.

Misalnya, risiko umum adalah mesin virtual tidak memiliki solusi pemindaian kerentanan yang memeriksa ancaman. Microsoft Defender untuk Cloud melaporkan mesin-mesin tersebut. Anda dapat memulihkan Microsoft Defender untuk Cloud dengan menyebarkan solusi pemindaian. Anda dapat menggunakan pemindai kerentanan bawaan untuk mesin virtual. Anda tidak memerlukan lisensi. Sebagai gantinya, Anda dapat membawa lisensi Anda untuk solusi mitra yang didukung.

Catatan

Penilaian kerentanan juga tersedia untuk gambar kontainer, dan server SQL.

Penyerang terus-menerus memindai rentang IP cloud publik untuk port manajemen terbuka, yang dapat menyebabkan serangan seperti kata sandi umum dan kerentanan tanpa tambalan umum. Akses JIT (Just In Time) memungkinkan Anda mengunci lalu lintas masuk ke mesin virtual sambil menyediakan akses mudah untuk terhubung ke mesin saat dibutuhkan. Defender untuk Cloud mengidentifikasi mesin mana yang harus diterapkan JIT.

Dengan Microsoft Defender untuk Cloud, Anda juga mendapatkan Pertahanan Microsoft untuk Titik Akhir. Ini menyediakan alat investigasi Deteksi dan Respons Titik Akhir (EDR) yang membantu dalam deteksi dan analisis ancaman.

Microsoft Defender untuk server juga mengawasi jaringan ke dan dari mesin virtual. Jika Anda menggunakan kelompok keamanan jaringan untuk mengontrol akses ke mesin virtual dan aturannya terlalu mahal, Defender untuk Cloud akan menandainya. Penguatan jaringan adaptif memberikan rekomendasi untuk lebih menguatkan aturan NSG.

Untuk daftar lengkap fitur, lihat Cakupan fitur untuk mesin.

Menghapus konektivitas internet langsung

Pastikan kebijakan dan proses memerlukan pembatasan dan pemantauan konektivitas internet langsung oleh mesin virtual.

Untuk Azure, Anda dapat menerapkan kebijakan dengan:

• Pencegahan di seluruh perusahaan: Mencegah pencahayaan yang tidak disengaja dengan mengikuti izin dan peran yang dijelaskan dalam model referensi.

  • Memastikan bahwa lalu lintas jaringan dialihkan melalui titik egress yang disetujui secara default.

  • Pengecualian (seperti menambahkan alamat IP publik ke sumber daya) harus melalui grup terpusat yang mengevaluasi permintaan pengecualian dan memastikan kontrol yang sesuai diterapkan.

• Identifikasi dan perbaiki mesin virtual yang terbuka dengan menggunakan visualisasi jaringan Microsoft Defender untuk Cloud untuk mengidentifikasi sumber daya yang terpapar internet dengan cepat.

• Batasi port manajemen (RDP, SSH) menggunakan akses Just in Time di Microsoft Defender untuk Cloud.

Salah satu cara mengelola VM di jaringan virtual adalah dengan menggunakan Azure Bastion. Layanan ini memungkinkan Anda masuk ke VM di jaringan virtual melalui SSH atau remote desktop protocol (RDP) tanpa mengekspos VM langsung ke internet. Untuk melihat arsitektur referensi yang menggunakan Bastion, lihat DMZ jaringan antara Azure dan pusat data lokal.

Kontainer

Beban kerja kontainer memiliki lapisan abstraksi dan orkestrasi ekstra. Kompleksitas itu membutuhkan langkah-langkah keamanan khusus yang melindungi terhadap serangan kontainer umum seperti serangan rantai pasokan.

• Gunakan registri kontainer yang divalidasi untuk keamanan. Gambar di registri publik mungkin berisi malware atau aplikasi yang tidak diinginkan yang diaktifkan saat kontainer berjalan. Buat proses bagi pengembang untuk meminta dan dengan cepat mendapatkan validasi keamanan kontainer dan gambar baru. Proses ini harus memvalidasi terhadap standar keamanan Anda. Ini termasuk menerapkan pembaruan keamanan, memindai kode yang tidak diinginkan seperti backdoor dan penambang koin kripto ilegal, pemindaian untuk kerentanan keamanan, dan penerapan praktik pengembangan yang aman.

  Pola proses yang populer adalah pola karantina. Pola ini memungkinkan Anda mendapatkan gambar Anda pada registri kontainer khusus dan tunduk pada pengawasan keamanan atau kepatuhan yang berlaku untuk organisasi Anda. Setelah divalidasi, kemudian dapat dibebaskan dari karantina dan dipromosikan menjadi tersedia.

  Microsoft Defender untuk Cloud mengidentifikasi kontainer tidak terkelola yang dihosting di IaaS Linux VM, atau mesin Linux lain yang menjalankan kontainer Docker.

• Pastikan Anda menggunakan gambar dari registri resmi. Anda dapat menerapkan pembatasan ini melalui Azure Policy. Misalnya, untuk kluster Azure Kubernetes Service (AKS), memiliki kebijakan yang membatasi kluster untuk hanya menarik gambar dari Azure Container Registry (ACR) yang disebarkan sebagai bagian dari arsitektur.

  Tip

  Berikut adalah sumber daya untuk contoh sebelumnya:

  GitHub: Penerapan Referensi Garis Besar Aman Azure Kubernetes Service (AKS).

  Pertimbangan desain dijelaskan dalam Arsitektur garis besar untuk kluster AKS.

• Secara teratur memindai kontainer untuk risiko yang diketahui dalam registri kontainer, sebelum digunakan, dan selama penggunaan.

• Gunakan alat pemantauan keamanan yang sadar kontainer untuk memantau perilaku anomali dan memungkinkan penyelidikan insiden.

  Microsoft Defender untuk registri kontainer dirancang untuk melindungi kluster AKS, host kontainer (mesin virtual yang menjalankan Docker), dan registri ACR. Ketika diaktifkan, gambar yang ditarik atau didorong ke registri tunduk pada pemindaian kerentanan.

Untuk informasi selengkapnya, lihat artikel berikut ini:

• Keamanan kontainer di Defender untuk Cloud

Jaringan

Bagaimana Anda memantau dan mendiagnosis kondisi jaringan?

---

Sebagai langkah awal, aktifkan dan tinjau semua log (termasuk lalu lintas mentah) dari perangkat jaringan Anda.

• Log kelompok keamanan – log aliran dan log diagnostik
• Azure Network Watcher

Manfaatkan fitur pengambilan paket untuk mengatur peringatan dan mendapatkan akses ke informasi performa real time pada tingkat paket.

Pengambilan paket melacak lalu lintas masuk dan keluar dari mesin virtual. Ini memberi Anda kemampuan untuk menjalankan tangkapan proaktif berdasarkan anomali jaringan yang ditentukan termasuk informasi tentang intrusi jaringan.

Misalnya, lihat Skenario: Mendapatkan peringatan saat VM mengirimi Anda lebih banyak segmen TCP daripada biasanya.

Kemudian, fokus pada observabilitas layanan tertentu dengan meninjau log diagnostik. Misalnya, untuk Azure Application Gateway dengan WAF terintegrasi, lihat Log firewall aplikasi Web. Microsoft Defender untuk Cloud menganalisis log diagnostik pada jaringan virtual, gateway, kelompok keamanan jaringan, dan menentukan apakah kontrol cukup aman. Contohnya:

• Apakah mesin virtual Anda terkena internet publik. Jika demikian, apakah Anda memiliki aturan ketat tentang kelompok keamanan jaringan untuk melindungi mesin?
• Apakah kelompok keamanan jaringan (NSG) dan aturan yang mengontrol akses ke mesin virtual terlalu permisif?
• Apakah akun penyimpanan menerima lalu lintas melalui koneksi yang aman?

Ikuti rekomendasi yang diberikan oleh Defender untuk Cloud. Untuk informasi selengkapnya, lihat Rekomendasi jaringan. Gunakan log dan metrik Azure Firewall untuk observabilitas ke dalam log operasional dan audit.

Integrasikan semua log ke dalam layanan informasi keamanan dan manajemen peristiwa (SIEM), seperti Microsoft Sentinel. Solusi SIEM mendukung penyerapan sejumlah besar informasi dan dapat menganalisis himpunan data besar dengan cepat. Berdasarkan wawasan tersebut, Anda dapat:

• Tetapkan peringatan atau blokir batas segmentasi penyeberangan lalu lintas.
• Identifikasi anomali.
• Sesuaikan intake untuk secara signifikan mengurangi peringatan positif palsu.

Identitas

Pantau peristiwa risiko terkait identitas menggunakan algoritme pembelajaran mesin adaptif, heuristik dengan cepat sebelum penyerang dapat memperoleh akses yang lebih dalam ke dalam sistem.

Meninjau risiko identitas

Sebagian besar insiden keamanan terjadi setelah penyerang awalnya mendapatkan akses menggunakan identitas yang dicuri. Meskipun identitas memiliki hak istimewa yang rendah, penyerang dapat menggunakannya untuk melintasi lateral dan mendapatkan akses ke identitas yang lebih istimewa. Dengan cara ini penyerang dapat mengontrol akses ke data atau sistem target.

Apakah organisasi secara aktif memantau kejadian risiko terkait identitas yang terkait dengan identitas yang berpotensi disusupi?

---

Pantau kejadian risiko terkait identitas pada identitas yang berpotensi disusupi dan perbaiki risiko tersebut. Tinjau kejadian risiko yang dilaporkan dengan cara ini:

• Pelaporan Azure AD. Untuk informasi, lihat laporan keamanan berisiko pengguna dan laporan keamanan proses masuk riskan.
• Gunakan kemampuan pelaporan Azure Active Directory Identity Protection.
• Gunakan API kejadian risiko Perlindungan Identitas untuk mendapatkan akses terprogram ke deteksi keamanan dengan menggunakan Microsoft Graph. Lihat API riskDetection dan riskyUser.

Azure AD menggunakan algoritme pembelajaran mesin adaptif, heuristik, dan info masuk yang disusupi yang diketahui (pasangan nama pengguna/kata sandi) untuk mendeteksi tindakan mencurigakan yang terkait dengan akun pengguna Anda. Pasangan nama pengguna/kata sandi ini berasal dari pemantauan web publik dan gelap dan dengan bekerja sama dengan peneliti keamanan, penegak hukum, tim keamanan di Microsoft, dan lainnya.

Perbaiki risiko dengan menangani setiap akun yang dilaporkan secara manual atau dengan menyiapkan kebijakan keamanan risiko pengguna untuk memerlukan perubahan kata sandi untuk peristiwa berisiko tinggi.

Meninjau akses penting secara teratur

Secara teratur meninjau peran yang diberi hak istimewa dengan dampak bisnis-kritis.

Siapkan pola peninjauan berulang untuk memastikan bahwa akun dihapus dari izin saat peran berubah. Anda dapat melakukan peninjauan secara manual atau melalui proses otomatis dengan menggunakan alat seperti Tinjauan akses Azure AD.

Temukan & mengganti protokol yang tidak aman

Temukan dan nonaktifkan penggunaan protokol tidak aman lama SMBv1, LM/NTLMv1, wDigest, Unsigned LDAP Binds, dan cipher Weak di Kerberos.

Aplikasi harus menggunakan keluarga algoritme hash SHA-2 (SHA-256, SHA-384, SHA-512). Penggunaan algoritme yang lebih lemah, seperti SHA-1 dan MD5, harus dihindari.

Protokol autentikasi adalah dasar penting dari hampir semua jaminan keamanan. Versi lama ini dapat dieksploitasi oleh penyerang dengan akses ke jaringan Anda dan sering digunakan secara luas pada sistem warisan pada Infrastruktur sebagai Layanan (IaaS).

Berikut adalah cara untuk mengurangi risiko Anda:

• Temukan penggunaan protokol dengan meninjau log dengan Dasbor Protokol Tidak Aman Microsoft Sentinel atau alat pihak ketiga.

• Batasi atau Nonaktifkan penggunaan protokol ini dengan mengikuti panduan untuk SMB, NTLM, WDigest.

• Gunakan hanya algoritme hash yang aman (keluarga SHA-2).

Sebaiknya terapkan perubahan menggunakan pilot atau metode pengujian lainnya untuk mengurangi risiko gangguan operasional.

Pelajari lebih lanjut

Untuk informasi selengkapnya tentang algoritme hash, lihat Hash dan Signature Algorithm.

Penyewa yang terhubung

Apakah tim keamanan Anda memiliki visibilitas ke semua langganan dan lingkungan cloud yang ada? Bagaimana mereka menemukan yang baru?

---

Pastikan tim keamanan mengetahui semua pendaftaran dan langganan terkait yang terhubung ke lingkungan Anda yang ada melalui ExpressRoute atau VPN Situs-Situs. Pantau sebagai bagian dari keseluruhan perusahaan.

Nilai apakah kebijakan organisasi dan persyaratan peraturan yang berlaku diikuti untuk penyewa yang terhubung. Ini berlaku untuk semua lingkungan Azure yang terhubung ke jaringan lingkungan produksi Anda.

Infrastruktur cloud organisasi harus didokumentasikan dengan baik, dengan akses tim keamanan ke semua sumber daya yang diperlukan untuk pemantauan dan wawasan. Lakukan pemindaian berkala untuk aset yang terhubung ke cloud untuk memastikan tidak ada langganan tambahan atau penyewa yang ditambahkan di luar kontrol organisasi. Tinjau panduan Microsoft secara teratur untuk memastikan praktik terbaik akses tim keamanan dikonsultasikan dan diikuti.

Tindakan yang disarankan

Pastikan semua lingkungan Azure yang terhubung ke lingkungan produksi dan jaringan Anda menerapkan kebijakan organisasi Anda, dan kontrol tata kelola TI untuk keamanan.

Anda dapat menemukan penyewa terhubung yang ada menggunakan alat yang disediakan oleh Microsoft. Panduan tentang izin yang dapat Anda tetapkan ke keamanan ada di bagian Tetapkan hak istimewa untuk mengelola lingkungan.

Alur CI/CD

Praktik DevOps adalah untuk mengubah manajemen beban kerja melalui integrasi berkelanjutan, pengiriman berkelanjutan (CI/CD). Pastikan Anda menambahkan validasi keamanan di alur. Ikuti panduan yang dijelaskan di Pelajari cara menambahkan validasi keamanan berkelanjutan ke alur CI/CD Anda.

Langkah berikutnya

Melihat log dan peringatan