Keamanan menyeluruh di Azure
Salah satu alasan terbaik dari penggunaan Azure untuk aplikasi dan layanan Anda adalah memanfaatkan berbagai alat dan kemampuan keamanannya. Alat dan kemampuan ini membantu untuk menciptakan solusi aman di platform Azure yang aman. Microsoft Azure harus menjaga kerahasiaan, integritas, dan ketersediaan data pelanggan, sekaligus memungkinkan akuntabilitas yang transparan.
Diagram dan dokumentasi berikut memperkenalkan Anda ke layanan keamanan di Azure. Layanan keamanan ini membantu Anda memenuhi kebutuhan keamanan bisnis Anda dan melindungi pengguna, perangkat, sumber daya, data, dan aplikasi Anda di cloud.
Peta layanan keamanan Microsoft
Peta layanan keamanan mengatur layanan berdasarkan sumber daya yang mereka lindungi (kolom). Diagram juga mengelompokkan layanan ke dalam kategori (baris) berikut:
- Aman dan lindungi - Layanan yang memungkinkan Anda menerapkan strategi mendalam pertahanan berlapis di seluruh identitas, host, jaringan, dan data. Koleksi layanan dan kemampuan keamanan ini menyediakan cara untuk memahami dan meningkatkan postur keamanan Anda di seluruh lingkungan Azure Anda.
- Mendeteksi ancaman - Layanan yang mengidentifikasi aktivitas mencurigakan dan memfasilitasi mitigasi ancaman.
- Selidiki dan tanggapi – Layanan yang menarik data pengelogan sehingga Anda dapat menilai aktivitas dan merespons yang mencurigakan.
Diagram mencakup program Azure Security Benchmark, kumpulan rekomendasi keamanan berdampak tinggi yang dapat Anda gunakan untuk membantu mengamankan layanan yang Anda gunakan di Azure.
Kontrol dan garis besar keamanan
Program Azure Security Benchmark menyertakan kumpulan rekomendasi keamanan yang dapat Anda gunakan untuk membantu mengamankan layanan yang Anda gunakan di Azure:
- Kontrol keamanan - Rekomendasi ini umumnya berlaku di seluruh penyewa Azure dan layanan Azure Anda. Setiap rekomendasi mengidentifikasi daftar pemangku kepentingan yang biasanya terlibat dalam perencanaan, persetujuan, atau implementasi tolok ukur.
- Dasar layanan - Ini menerapkan kontrol ke masing-masing layanan Azure untuk memberikan rekomendasi tentang konfigurasi keamanan layanan tersebut.
Mengamankan dan melindungi
| Layanan | Deskripsi |
|---|---|
| Microsoft Defender for Cloud | Sistem manajemen keamanan infrastruktur terpadu yang memperkuat struktur keamanan pusat data Anda, serta menyediakan perlindungan ancaman tingkat lanjut di seluruh beban kerja hibrid di cloud (baik jika beban kerja tersebut berada di Azure maupun tidak) serta di lokal. |
| Manajemen Identitas & Akses | |
| Azure Active Directory (AD) | Layanan pengelolaan akses dan identitas berbasis cloud Microsoft. |
| Akses Bersyarat adalah alat yang digunakan oleh Azure Active Directory untuk menyatukan sinyal, membuat keputusan, dan menerapkan kebijakan organisasi. | |
| Layanan Domain adalah alat yang digunakan oleh Azure Active Directory untuk menyediakan layanan domain terkelola seperti penggabungan domain, kebijakan grup, protokol akses direktori ringan (LDAP), dan otentikasi Kerberos/NTLM. | |
| Privileged Identity Management (PIM) adalah layanan Azure Active Directory yang memungkinkan Anda mengelola, mengontrol, dan memantau akses ke sumber daya penting di organisasi Anda. | |
| Autentikasi multifaktor adalah alat yang digunakan oleh Azure Active Directory untuk membantu melindungi akses ke data dan aplikasi dengan memerlukan bentuk autentikasi kedua. | |
| Azure AD Identity Protection | Alat yang memungkinkan organisasi mengotomatiskan deteksi dan perbaikan risiko berbasis identitas, menyelidiki risiko menggunakan data di portal, dan mengekspor data deteksi risiko ke utilitas pihak ketiga untuk analisis lebih lanjut. |
| Infrastruktur & Jaringan | |
| VPN Gateway | Gateway jaringan virtual yang digunakan untuk mengirim lalu lintas terenkripsi antara jaringan virtual Azure dan lokasi lokal melalui internet publik dan untuk mengirim lalu lintas terenkripsi antara jaringan virtual Azure melalui jaringan Microsoft. |
| Standar Azure DDoS Protection | Menyediakan fitur mitigasi DDoS yang disempurnakan untuk bertahan dari serangan DDoS. Ini secara otomatis disetel untuk membantu melindungi sumber daya Azure spesifik Anda di jaringan virtual. |
| Azure Front Door | Titik masuk global yang dapat diskalakan, yang menggunakan jaringan sekitar global Microsoft untuk membuat aplikasi web yang cepat, aman, dan dapat diskalakan dengan luas. |
| Azure Firewall | Layanan keamanan firewall jaringan cloud-native dan cerdas yang memberikan perlindungan ancaman untuk beban kerja cloud Anda yang berjalan di Azure. Ini adalah layanan firewall stateful penuh yang dilengkapi dengan ketersediaan tinggi bawaan dan skalabilitas cloud tanpa batas. Azure Firewall ditawarkan dalam dua SKU: Standar dan Premium. |
| Azure Key Vault | Penyimpanan rahasia aman untuk token, kata sandi, sertifikat, kunci API, dan rahasia lainnya. Azure Key Vault memberi kemudahan dalam membuat dan mengontrol kunci enkripsi yang digunakan untuk mengenkripsi data Anda. |
| HSM Terkelola Kunci Vault | Layanan cloud yang sepenuhnya terkelola, sangat tersedia, penyewa tunggal, sesuai standar yang memungkinkan Anda melindungi kunci kriptografik untuk aplikasi cloud Anda, menggunakan HSM tervalidasi FIPS 140-2 Level 3. |
| Tautan Privat Azure | Memungkinkan Anda mengakses Layanan PaaS Azure (contoh, Azure Storage dan Azure SQL Database) dan layanan milik pelanggan/mitra yang di-hosting Azure melalui titik akhir privat di dalam jaringan virtual Anda. |
| Azure Application Gateway | Penyeimbang beban lalu lintas web yang memungkinkan Anda mengelola lalu lintas ke aplikasi web Anda. Azure Application Gateway dapat membuat keputusan perutean berdasarkan atribut tambahan dari permintaan HTTP, misalnya jalur URI atau header host. |
| Azure Service Bus | Perantara pesan perusahaan yang dikelola penuh dengan antrean pesan dan topik terbitkan-berlangganan. Azure Service Bus digunakan untuk memisahkan aplikasi dan layanan satu sama lain. |
| Web Application Firewall | Memberikan perlindungan terpusat pada aplikasi web Anda dari eksploitasi dan kerentanan umum. WAF dapat disebarkan dengan Azure Application Gateway dan Azure Front Door. |
| Kebijakan Azure | Azure Policy membantu memberlakukan standar organisasi dan menilai kepatuhan dalam skala besar. Melalui dasbor kepatuhannya, ia menyediakan tampilan agregat untuk mengevaluasi keadaan lingkungan secara menyeluruh, dengan kemampuan untuk menelusuri ke granularitas per sumber daya, per kebijakan dengan mendetail. Ini juga membantu untuk membawa sumber daya Anda ke kepatuhan melalui remediasi massal untuk sumber daya yang sudah ada dan remediasi otomatis untuk sumber daya baru. |
| Data & Aplikasi | |
| Pencadangan Azure | Memberikan solusi sederhana, aman, dan hemat biaya untuk mencadangkan data Anda dan memulihkannya dari cloud Microsoft Azure. |
| Enkripsi Layanan Azure Storage | Otomatis mengenkripsi data sebelum disimpan dan secara otomatis mendekripsi data saat Anda mengambilnya. |
| Perlindungan Informasi Azure | Solusi berbasis cloud yang memungkinkan organisasi menemukan, mengklasifikasikan, dan melindungi dokumen dan surel dengan menerapkan label ke konten. |
| API Management | Cara untuk membuat gateway API yang konsisten dan modern untuk layanan ujung-belakang yang sudah ada. |
| Komputasi rahasia Azure | Memungkinkan Anda mengisolasi data sensitif saat sedang diproses pada cloud. |
| Azure DevOps | Proyek pengembangan Anda mendapat manfaat dari berbagai lapisan teknologi keamanan dan tata kelola, praktik operasional, dan kebijakan kepatuhan saat disimpan di Azure DevOps. |
| Akses Pelanggan | |
| Azure AD External Identities | Dengan External Identities di Azure Active Directory, Anda dapat mengizinkan orang di luar organisasi untuk mengakses aplikasi dan sumber daya Anda, sekaligus mengizinkan mereka masuk menggunakan identitas apa pun yang mereka sukai. |
| Anda dapat berbagi aplikasi dan sumber daya dengan pengguna eksternal melalui kolaborasi Azure Active Directory B2B. | |
| Azure Active Directory B2C memungkinkan Anda mendukung jutaan pengguna dan miliaran autentikasi per hari, memantau, dan secara otomatis menangani ancaman seperti penolakan layanan, semprotan kata sandi, atau serangan brute force. |
Mendeteksi ancaman
| Layanan | Deskripsi |
|---|---|
| Microsoft Defender for Cloud | Menghadirkan sumber daya dan beban kerja Azure dan hibrid anda yang canggih, cerdas, dan bermuatan kerja. Dasbor perlindungan beban kerja di Pertahanan Microsoft untuk Cloud memberikan visibilitas dan kontrol fitur perlindungan beban kerja cloud untuk lingkungan Anda. |
| Microsoft Sentinel | Manajemen peristiwa informasi keamanan (SIEM) yang dapat diskalakan, asli cloud dan solusi respons otomatis orkestrasi keamanan (SOAR). Azure Sentinel menghadirkan analitik keamanan cerdas dan inteligensi ancaman di seluruh perusahaan, menyediakan solusi tunggal untuk deteksi pemberitahuan, visibilitas ancaman, perburuan proaktif, dan respons ancaman. |
| Manajemen Identitas & Akses | |
| Pertahanan Microsoft 365 | Rangkaian pertahanan perusahaan pra- dan pasca-pelanggaran terpadu yang secara asli mengoordinasikan deteksi, pencegahan, penyelidikan, dan respons di seluruh titik akhir, identitas, email, dan aplikasi untuk memberikan perlindungan terintegrasi terhadap serangan canggih. |
| Pertahanan Microsoft untuk Titik Akhir adalah platform keamanan titik akhir perusahaan yang dirancang untuk membantu jaringan perusahaan mencegah, mendeteksi, menyelidiki, dan menanggapi ancaman tingkat lanjut. | |
| Pertahanan Microsoft untuk Identitas adalah solusi keamanan berbasis cloud yang memanfaatkan sinyal Active Directory lokal Anda untuk mengidentifikasi, mendeteksi, dan menyelidiki ancaman lanjutan, identitas yang disusupi, dan tindakan orang dalam berbahaya yang ditujukan kepada organisasi Anda. | |
| Azure AD Identity Protection | Mengirim dua jenis email notifikasi otomatis untuk membantu Anda mengelola risiko pengguna dan deteksi risiko: Pengguna berisiko terdeteksi email dan email pencernaan mingguan. |
| Infrastruktur & Jaringan | |
| Azure Firewall | Azure Firewall Premium menyediakan IDPS berbasis tanda tangan untuk memungkinkan deteksi serangan yang cepat dengan mencari pola tertentu, seperti urutan byte dalam lalu lintas jaringan, atau urutan instruksi berbahaya yang diketahui digunakan oleh malware. |
| Microsoft Defender for IoT | Solusi keamanan terpadu untuk mengidentifikasi perangkat, kerentanan, dan ancaman IoT/OT. Solusi ini memungkinkan Anda mengamankan seluruh lingkungan IoT/OT Anda, apakah Anda perlu melindungi perangkat IoT/OT yang ada atau membangun keamanan ke dalam inovasi IoT baru. |
| Azure Network Watcher | Menyediakan alat untuk memantau, mendiagnosis, melihat metrik, dan mengaktifkan atau menonaktifkan log untuk sumber daya di jaringan virtual Azure. Network Watcher dirancang untuk memantau dan memperbaiki kesehatan jaringan produk infrastruktur sebagai layanan, yang meliputi komputer virtual, jaringan virtual, gateway aplikasi, penyeimbang beban, dll. |
| Kebijakan Azure | Azure Policy membantu memberlakukan standar organisasi dan menilai kepatuhan dalam skala besar. Azure Policy menggunakan log aktivitas, yang diaktifkan secara otomatis, untuk menyertakan sumber peristiwa, tanggal, pengguna, stempel waktu, alamat sumber, alamat tujuan, dan elemen lainnya yang berguna. |
| Data & Aplikasi | |
| Microsoft Defender untuk registri kontainer | Mencakup pemindai kerentanan untuk memindai gambar di registri Azure Container Registry berbasis Azure Resource Manager dan memberikan visibilitas yang lebih dalam pada kerentanan gambar Anda. |
| Microsoft Defender untuk Kubernetes | Memberikan perlindungan ancaman tingkat kluster dengan memantau layanan yang dikelola AKS melalui log yang diambil oleh Azure Kubernetes Service (AKS). |
| Microsoft Defender for Cloud Apps | Cloud Access Security Broker (CASB) yang beroperasi di beberapa cloud. Ini memberikan visibilitas yang kaya, kontrol atas perjalanan data, dan analitik canggih untuk mengidentifikasi dan memerangi ancaman siber di semua layanan cloud Anda. |
Menyelidiki dan merespons
| Layanan | Deskripsi |
|---|---|
| Microsoft Sentinel | Alat pencarian dan kueri canggih untuk mencari ancaman keamanan di seluruh sumber data organisasi Anda. |
| Log dan metrik Azure Monitor | Memberikan solusi komprehensif untuk mengumpulkan, menganalisis, dan bertindak berdasarkan telemetri dari lingkungan cloud dan lokal Anda. Azure Monitor mengumpulkan dan menggabungkan data dari berbagai sumber ke dalam platform data umum tempat data tersebut dapat digunakan untuk analisis, visualisasi, dan pemberitahuan. |
| Manajemen Identitas & Akses | |
| Laporan Azure Active Directory dan pemantauan | Laporan Azure Active Directory memberikan tampilan aktivitas yang komprehensif di lingkungan Anda. |
| Pemantauan Azure Active Directory memungkinkan Anda merutekan log aktivitas Azure Active Directory ke titik akhir yang berbeda. | |
| Riwayat audit PIM Azure Active Directory | Menampilkan semua penetapan peran dan aktivasi dalam 30 hari terakhir untuk semua peran istimewa. |
| Data & Aplikasi | |
| Microsoft Defender for Cloud Apps | Menyediakan alat untuk mendapatkan pemahaman yang lebih mendalam tentang apa yang terjadi di lingkungan cloud Anda. |
Langkah berikutnya
Memahami tanggung jawab bersama di cloud.
Memahami pilihan isolasi di cloud Azure terhadap pengguna berbahaya dan tidak berbahaya.