Garis besar keamanan Azure untuk Azure Advisor

Garis besar keamanan ini menerapkan panduan dari Azure Security Benchmark versi 2.0 ke Azure Advisor. Azure Security Benchmark memberikan rekomendasi tentang cara Anda mengamankan solusi cloud Anda di Azure. Kontennya dikelompokkan berdasarkan kontrol keamanan yang ditentukan oleh Azure Security Benchmark dan panduan terkait yang berlaku untuk Azure Advisor.

Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini, untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Tolok Ukur Keamanan Azure. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol yang tidak berlaku untuk Azure Advisor, dan kontrol dengan panduan global yang direkomendasikan secara verbatim, telah dikecualikan. Untuk melihat cara Azure Advisor melakukan pemetaan sepenuhnya ke Azure Security Benchmark, lihat file pemetaan garis besar keamanan Azure Advisor lengkap.

Manajemen Identitas

Untuk informasi lebih lanjut, lihat Azure Security Benchmark : Manajemen Identitas.

IM-1: Menstandarkan Microsoft Azure Active Directory sebagai pusat sistem identitas dan autentikasi

Panduan: Azure Advisor menggunakan Azure Active Directory (Microsoft Azure AD) sebagai layanan manajemen akses dan identitas default. Melakukan standardisasi pada Microsoft Azure AD untuk mengatur identitas dan manajemen akses organisasi Anda:

  • Sumber daya Microsoft Cloud, seperti portal Microsoft Azure, Azure Storage, Komputer Virtual Azure (Linux dan Windows), Azure Key Vault, PaaS, dan aplikasi SaaS
  • Sumber daya organisasi Anda, seperti aplikasi di Azure atau sumber daya jaringan perusahaan Anda

Mengamankan Azure Active Directory harus menjadi prioritas tinggi dalam praktik keamanan cloud organisasi Anda. Azure Active Directory menyediakan skor aman identitas untuk membantu menilai kondisi keamanan identitas relatif terhadap rekomendasi praktik terbaik Microsoft. Gunakan skor untuk mengukur seberapa dekat konfigurasi Anda cocok dengan rekomendasi praktik terbaik, dan untuk melakukan peningkatan dalam postur keamanan Anda.

Perhatikan bahwa Azure Active Directory mendukung identitas eksternal, yang memungkinkan pengguna tanpa akun Microsoft untuk masuk ke aplikasi dan sumber daya mereka dengan identitas eksternal mereka.

Tanggung Jawab: Pelanggan

IM-3: Menggunakan akses menyeluruh (SSO) Microsoft Azure AD untuk akses aplikasi

Panduan: Azure Advisor menggunakan Azure Active Directory (Microsoft Azure AD) untuk memberikan manajemen identitas dan akses ke sumber daya Azure, aplikasi cloud, dan aplikasi lokal. Ini termasuk identitas perusahaan seperti karyawan, serta identitas eksternal seperti mitra, vendor, dan pemasok.

Gunakan akses menyeluruh untuk mengelola dan mengamankan akses ke data dan sumber daya organisasi Anda secara lokal dan di cloud. Sambungkan semua pengguna, aplikasi, dan perangkat Anda ke Microsoft Azure Active Directory untuk akses yang mulus, aman, serta visibilitas dan kontrol yang lebih besar.

Tanggung Jawab: Pelanggan

Akses dengan Hak Istimewa

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Akses dengan Hak Istimewa.

PA-3: Tinjau dan rekonsiliasi akses pengguna secara teratur

Panduan: Azure Advisor menggunakan akun Azure Active Directory (Microsoft Azure AD) untuk mengelola sumber dayanya, meninjau akun pengguna, dan mengakses penetapan secara teratur untuk memastikan akun dan aksesnya valid. Terapkan tinjauan akses Azure Active Directory untuk meninjau keanggotaan grup, akses ke aplikasi perusahaan, dan penetapan peran. Pelaporan Microsoft Azure Active Directory dapat menyediakan log untuk membantu menemukan akun yang kedaluwarsa.

Anda juga dapat menggunakan Azure Active Directory Privileged Identity Management untuk membuat alur kerja laporan tinjauan akses untuk memfasilitasi proses peninjauan. Privileged Identity Management juga dapat dikonfigurasi untuk memberi pemberitahuan ketika jumlah akun administrator yang dibuat berlebihan dan untuk mengidentifikasi akun administrator yang kedaluwarsa atau tidak dikonfigurasi dengan benar.

Perhatikan bahwa beberapa layanan Azure mendukung pengguna dan peran lokal yang tidak dikelola melalui Azure Active Directory. Pelanggan harus mengelola pengguna ini secara terpisah.

Tanggung Jawab: Pelanggan

PA-6: Menggunakan stasiun kerja akses hak istimewa

Panduan: Stasiun kerja yang aman dan terisolasi sangat penting untuk keamanan peran sensitif seperti administrator, pengembang, dan operator layanan penting.

Gunakan stasiun kerja pengguna yang sangat aman dan/atau Azure Bastion untuk tugas administratif. Pilih Azure Active Directory (Microsoft Azure AD), Microsoft Defender Advanced Threat Protection (ATP), termasuk Microsoft Intune untuk menyebarkan stasiun pengguna yang aman dan terkelola untuk tugas administratif.

Mengelola stasiun kerja yang diamankan secara terpusat untuk menegakkan konfigurasi yang diamankan termasuk autentikasi yang kuat, garis besar perangkat lunak dan perangkat keras, akses logis dan jaringan terbatas.

Tanggung Jawab: Pelanggan

PA-7: Ikuti administrasi secukupnya (prinsip hak istimewa terkecil)

Panduan: Azure Advisor terintegrasi dengan kontrol akses berbasis peran Azure (Azure RBAC) untuk mengelola sumber dayanya. Gunakan Azure RBAC untuk mengelola akses sumber daya Azure melalui penetapan peran.

Tetapkan peran ini kepada pengguna, perwakilan layanan grup dan identitas terkelola. Ada peran bawaan yang telah ditentukan sebelumnya untuk sumber daya tertentu, dan peran tersebut dapat disimpan di inventaris atau dikueri melalui alat seperti Azure CLI, Azure PowerShell, atau portal Microsoft Azure. Hak istimewa yang ditetapkan ke sumber daya melalui Azure RBAC harus selalu dibatasi pada apa yang diperlukan oleh peran. Hal ini melengkapi pendekatan just-in-time (JIT) Azure Active Directory (Azure AD) Privileged Identity Management (PIM) dan harus ditinjau secara berkala.

Jika memungkinkan, gunakan peran bawaan untuk mengalokasikan izin dan hanya buat peran kustom saat diperlukan.

Apa itu kontrol akses berbasis peran Azure (Azure RBAC) /azure/role-based-access-control/overview

Tanggung Jawab: Pelanggan

Manajemen Aset

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Aset.

AM-1: Memastikan tim keamanan memiliki visibilitas terhadap risiko aset

Panduan: Pastikan tim keamanan diberikan izin Pembaca Keamanan di penyewa dan langganan Azure Anda sehingga mereka dapat memantau risiko keamanan menggunakan Microsoft Defender untuk Cloud.

Tergantung pada susunan tanggung jawab tim keamanan, pemantauan untuk risiko keamanan bisa menjadi tanggung jawab tim keamanan pusat atau tim lokal. Meskipun demikian, wawasan dan risiko keamanan harus selalu dikumpulkan secara terpusat dalam organisasi.

Izin Pembaca Keamanan dapat diterapkan secara luas ke seluruh penyewa (Root Management Group) atau dicakup ke grup manajemen atau langganan tertentu.

Catatan: Izin tambahan mungkin diperlukan untuk mendapatkan visibilitas ke dalam beban kerja dan layanan.

Tanggung Jawab: Pelanggan

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pencatatan dan Deteksi Ancaman.

LT-4: Mengaktifkan pengelogan untuk sumber daya Azure

Panduan: Log aktivitas tersedia secara otomatis dan berisi semua operasi tulis (PUT, POST, DELETE) untuk sumber daya Azure Advisor Anda kecuali operasi baca (GET).

Anda dapat menggunakan log aktivitas untuk menemukan kesalahan saat memecahkan masalah atau memantau bagaimana pengguna di organisasi Anda mengubah sumber daya.

Tanggung Jawab: Pelanggan

LT-5: Memusatkan manajemen dan analisis log keamanan

Panduan: Memusatkan penyimpanan pengelogan, dan analisis untuk mengaktifkan korelasi. Untuk setiap sumber log, pastikan Anda telah menetapkan pemilik data, panduan akses, lokasi penyimpanan, alat yang digunakan untuk memproses dan mengakses data, dan persyaratan retensi data.

Pastikan Anda mengintegrasikan log aktivitas Azure ke dalam pengelogan pusat Anda. Menyerap log melalui Azure Monitor untuk mengagregasi data keamanan yang dihasilkan oleh perangkat titik akhir, sumber daya jaringan, dan sistem keamanan lainnya. Di Azure Monitor, gunakan ruang kerja Analitik Log untuk mengkueri dan melakukan analitik, serta menggunakan akun Azure Storage untuk penyimpanan dan arsip jangka panjang.

Selain itu, aktifkan dan lakukan onboard data ke Microsoft Sentinel atau SIEM pihak ketiga. Banyak organisasi memilih untuk menggunakan Microsoft Sentinel untuk data "panas" yang sering digunakan dan Azure Storage untuk data "dingin" yang lebih jarang digunakan.

Tanggung Jawab: Pelanggan

LT-6: Mengonfigurasi retensi penyimpanan log

Panduan: Pastikan bahwa setiap akun penyimpanan atau ruang kerja Analisis Log yang digunakan untuk menyimpan log Azure Advisor memiliki periode penyimpanan log yang ditetapkan sesuai dengan peraturan kepatuhan organisasi Anda. Di Azure Monitor, Anda dapat mengatur periode retensi ruang kerja Analitik Log sesuai dengan peraturan kepatuhan organisasi Anda. Gunakan akun ruang kerja Azure Storage, Data Lake, atau Analitik Log untuk penyimpanan jangka panjang dan arsip.

Tanggung Jawab: Pelanggan

LT-7: Menggunakan sumber sinkronisasi waktu yang disetujui

Panduan: Azure Advisor tidak mendukung konfigurasi sumber sinkronisasi waktu Anda sendiri. Layanan Azure Advisor bergantung pada sumber sinkronisasi waktu Microsoft, dan tidak diekspos kepada pelanggan untuk konfigurasi.

Tanggung jawab: Microsoft

Manajemen Postur dan Kerentanan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Postur dan Kerentanan.

PV-6: Melakukan penilaian kerentanan perangkat lunak

Panduan: Azure Advisor tidak mengekspos infrastruktur layanan yang mendasarinya kepada pelanggan, dan pelanggan tidak dapat menggunakan solusi penilaian kerentanan mereka sendiri dengan layanan ini. Microsoft melakukan manajemen kerentanan pada sistem dasar yang mendukung Azure Advisor.

Tanggung jawab: Microsoft

PV-7: Memperbaiki kerentanan perangkat lunak dengan cepat dan otomatis

Panduan: Azure Advisor tidak mengekspos infrastruktur layanan yang mendasarinya kepada pelanggan, dan pelanggan tidak dapat menggunakan solusi penilaian kerentanan mereka sendiri dengan layanan ini. Microsoft melakukan manajemen kerentanan pada sistem dasar yang mendukung Azure Advisor.

Tanggung jawab: Microsoft

PV-8: Melakukan simulasi serangan rutin

Panduan: Sebagaimana diperlukan, lakukan uji penetrasi atau aktivitas read team pada sumber daya Azure Anda dan pastikan remediasi pada semua temuan keamanan penting. Ikuti Aturan Keterlibatan Uji Penetrasi Microsoft Cloud untuk memastikan bahwa uji penetrasi Anda tidak melanggar kebijakan Microsoft. Gunakan strategi Microsoft dan eksekusi Red Team, serta uji penetrasi langsung terhadap infrastruktur, layanan, dan aplikasi cloud yang dikelola Microsoft.

Tanggung Jawab: Dibagikan

Keamanan titik akhir

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Titik Akhir.

ES-1: Menggunakan Deteksi dan Respons Titik Akhir (EDR)

Panduan: Azure Advisor tidak mengekspos mesin atau kontainer virtual apa pun, yang memerlukan perlindungan Deteksi dan Respons Titik Akhir (EDR). Namun, penasihat dasar infrastruktur ditangani oleh Microsoft, yang mencakup penanganan antimalware dan Deteksi dan Respons Titik Akhir.

Tanggung jawab: Microsoft

ES-2: Menggunakan perangkat lunak anti-malware modern yang dikelola secara terpusat

Panduan: Microsoft Antimalware untuk Azure Cloud Services adalah antimalware default untuk Windows Virtual Machines. Untuk Linux Virtual Machines, gunakan solusi antimalware pihak ketiga.

Gunakan deteksi Ancaman Microsoft Defender untuk Cloud bagi layanan data guna mendeteksi malware yang diunggah ke akun Azure Storage.

Tanggung jawab: Microsoft

ES-3: Memastikan perangkat lunak anti-malware dan tanda tangan diperbarui

Panduan: Microsoft Antimalware untuk Azure Cloud Services adalah antimalware default untuk mesin virtual (VM) Windows. Untuk VM Linux, gunakan solusi antimalware pihak ketiga. Selain itu, Anda dapat menggunakan deteksi Ancaman Microsoft Defender untuk Cloud untuk layanan data guna mendeteksi malware yang diunggah ke akun Azure Storage.

Infrastruktur yang mendasari di bawah Advisor ditangani oleh Microsoft, yang mencakup perangkat lunak antimalware yang sering diperbarui.

Tanggung jawab: Microsoft

Langkah berikutnya