Garis besar keamanan Azure untuk Cloud Shell

Garis besar keamanan ini menerapkan panduan dari Azure Security Benchmark versi 2.0 ke Cloud Shell. Azure Security Benchmark memberikan rekomendasi tentang cara Anda mengamankan solusi cloud Anda di Azure. Konten dikelompokkan berdasarkan kontrol keamanan yang ditentukan oleh Kontrol Keamanan Azure dan panduan terkait yang berlaku untuk Cloud Services.

Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini, untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Azure Security Benchmark. Beberapa rekomendasi mungkin memerlukan paket Pertahanan Microsoft berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol tidak berlaku untuk Cloud Shell, dan kontrol yang direkomendasikan oleh panduan global kata demi kata, telah dikecualikan. Untuk melihat cara Cloud Shell memetakan sepenuhnya ke Azure Security Benchmark, lihat file pemetaan garis besar keamanan Cloud Shell lengkap.

Keamanan Jaringan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Jaringan.

NS-1: Menerapkan keamanan untuk lalu lintas internal

Panduan: Saat Anda menyebarkan sumber daya Cloud Shell, buat atau gunakan jaringan virtual yang ada. Pastikan bahwa semua jaringan virtual Azure mengikuti prinsip segmentasi perusahaan yang selaras dengan risiko bisnis. Isolasi sistem apa pun yang mungkin menimbulkan risiko lebih tinggi bagi organisasi dalam jaringan virtualnya sendiri. Amankan jaringan virtual secukupnya dengan kelompok keamanan jaringan (NSG) dan/atau Azure Firewall.

Gunakan jaringan adaptif yang diperketat Microsoft Defender untuk Cloud guna merekomendasikan konfigurasi NSG yang membatasi port dan IP sumber berdasarkan lalu lintas jaringan eksternal.

Tanggung Jawab: Pelanggan

NS-4: Melindungi aplikasi dan layanan dari serangan jaringan eksternal

Panduan: Lindungi sumber daya Cloud Shell Anda dari serangan dari jaringan eksternal. Serangan eksternal dapat mencakup serangan distributed denial of service (DDoS), serangan khusus aplikasi, dan lalu lintas internet yang tidak diminta dan berpotensi berbahaya.

Gunakan Azure Firewall untuk melindungi aplikasi dan layanan dari lalu lintas yang berpotensi berbahaya dari internet dan lokasi eksternal lainnya.

Lindungi aset Anda dari serangan DDoS dengan mengaktifkan Standar Perlindungan DDoS di jaringan virtual Azure Anda. Gunakan Microsoft Defender untuk Cloud guna mendeteksi risiko salah konfigurasi ke sumber daya terkait jaringan Anda.

Cloud Shell dalam jaringan virtual Azure adalah pengalaman opsional dan tidak diatur secara default. Untuk informasi selengkapnya, lihat Dokumentasi Cloud Shell.

Cloud Shell tidak menjalankan aplikasi web. Anda tidak perlu mengonfigurasi pengaturan apa pun atau menyebarkan layanan jaringan apa pun untuk melindungi dari serangan jaringan eksternal yang menargetkan aplikasi web.

Tanggung Jawab: Pelanggan

Manajemen Identitas

Untuk informasi lebih lanjut, lihat Azure Security Benchmark : Manajemen Identitas.

IM-1: Menstandarkan Microsoft Azure Active Directory sebagai pusat sistem identitas dan autentikasi

Panduan: Cloud Shell menggunakan Azure Active Directory (Azure AD) sebagai layanan manajemen identitas dan akses defaultnya. Melakukan standardisasi pada Azure AD untuk mengatur identitas dan manajemen akses organisasi Anda di:

  • Sumber daya Microsoft Cloud. Sumber daya meliputi:

    • Portal Microsoft Azure

    • Azure Storage

    • Mesin virtual Windows dan Linux Azure

    • Azure Key Vault

    • Platform-as-a-service (PaaS)

    • Aplikasi software as a service (SaaS)

  • Sumber daya organisasi Anda, seperti aplikasi di Azure atau sumber daya jaringan perusahaan Anda.

Mengamankan Azure AD harus menjadi prioritas utama dalam praktik keamanan cloud organisasi Anda. Azure AD memberikan skor keamanan identitas untuk membantu Anda membandingkan postur keamanan identitas Anda dengan rekomendasi praktik terbaik Microsoft. Gunakan skor untuk mengukur seberapa dekat konfigurasi Anda cocok dengan rekomendasi praktik terbaik, dan untuk melakukan peningkatan dalam postur keamanan Anda.

Catatan: Azure AD mendukung identitas eksternal yang memungkinkan pengguna tanpa akun Microsoft untuk masuk ke aplikasi dan sumber daya mereka.

Tanggung Jawab: Pelanggan

IM-7: Menghapus paparan informasi masuk yang tidak diinginkan

Panduan: Cloud Shell memungkinkan pelanggan menjalankan kode, menyebarkan konfigurasi, atau menyimpan data yang berpotensi berisi identitas atau rahasia. Gunakan Pemindai Info Masuk untuk mengidentifikasi info masuk ini. Pemindai Info Masuk mendorong pemindahan info masuk yang ditemukan ke lokasi yang aman seperti Azure Key Vault.

Untuk GitHub, Anda dapat menggunakan fitur pemindaian rahasia asli untuk mengidentifikasi info masuk atau rahasia lain dalam kode.

Tanggung Jawab: Pelanggan

Akses dengan Hak Istimewa

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Akses dengan Hak Istimewa.

PA-6: Menggunakan stasiun kerja akses dengan hak istimewa

Panduan: Stasiun kerja yang aman dan terisolasi sangat penting untuk keamanan peran sensitif seperti administrator, pengembang, dan operator layanan penting. Gunakan stasiun kerja pengguna yang sangat aman dan Azure Bastion untuk tugas administratif.

Gunakan Azure AD, Perlindungan Ancaman Tingkat Lanjut (ATP) Microsoft Defender, atau Microsoft Intune untuk menyebarkan stasiun kerja pengguna yang aman dan terkelola untuk tugas administratif. Anda dapat mengelola stasiun kerja yang aman secara terpusat untuk menegakkan konfigurasi keamanan yang mencakup:

  • Autentikasi kuat

  • Garis besar perangkat lunak dan perangkat keras

  • Akses jaringan dan logis yang dibatasi

Untuk informasi selengkapnya, lihat referensi berikut ini:

Tanggung Jawab: Pelanggan

Perlindungan Data

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Perlindungan Data.

DP-3: Memantau transfer data sensitif yang tidak sah

Panduan: Tidak berlaku. Cloud Shell mendukung transfer data pelanggan, tetapi tidak mendukung pemantauan secara native untuk transfer data sensitif yang tidak diotorisasi.

Tanggung Jawab: Pelanggan

Manajemen Aset

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Aset.

AM-1: Memastikan tim keamanan memiliki visibilitas terhadap risiko aset

Panduan: Pastikan untuk memberikan izin kepada tim keamanan Security Reader di penyewa dan langganan Azure Anda, sehingga dapat memantau risiko keamanan dengan menggunakan Microsoft Defender untuk Cloud.

Pemantauan untuk risiko keamanan dapat menjadi tanggung jawab tim keamanan pusat atau tim lokal, tergantung cara Anda menyusun tanggung jawab. Selalu agregasikan wawasan dan risiko keamanan secara terpusat dalam suatu organisasi.

Anda dapat menerapkan izin Security Reader secara luas ke seluruh Grup Manajemen Root penyewa, atau izin cakupan ke grup atau langganan manajemen tertentu.

Catatan: Visibilitas ke dalam beban kerja dan layanan mungkin memerlukan lebih banyak izin.

Tanggung Jawab: Pelanggan

AM-2: Memastikan tim keamanan memiliki akses ke inventaris aset dan metadata

Panduan: Tag metadata secara logis mengatur sumber daya dalam taksonomi. Cloud Shell tidak menggunakan tag atau membiarkan pelanggan menerapkan atau menggunakan tag.

Cloud Shell tidak mendukung penyebaran atau penemuan sumber daya berbasis Azure Resource Manager dengan Azure Resource Graph.

Anda dapat menggunakan kontrol aplikasi adaptif Microsoft Defender untuk Cloud guna menentukan jenis file mana yang diterapkan aturan.

Tanggung Jawab: Pelanggan

AM-6: Hanya gunakan aplikasi yang disetujui dalam sumber daya komputasi

Panduan: Menggunakan Azure Virtual Machine Inventory untuk mengotomatiskan pengumpulan informasi tentang perangkat lunak pada mesin virtual (VM). Anda bisa mendapatkan Nama Perangkat Lunak, Versi, Publisher, dan Refresh Time dari portal Azure. Untuk mengakses tanggal pemasangan dan informasi lainnya, aktifkan diagnostik tingkat tamu dan impor Log Peristiwa Windows ke ruang kerja Log Analytics.

Tanggung Jawab: Pelanggan

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pencatatan dan Deteksi Ancaman.

LT-3: Mengaktifkan pengelogan untuk aktivitas jaringan Azure

Panduan: Meskipun Anda dapat menyebarkan sumber daya Cloud Shell ke jaringan virtual, Anda tidak dapat menerapkan lalu lintas jaringan dengan, atau melewati lalu lintas, kelompok keamanan jaringan. Anda harus menonaktifkan kebijakan jaringan di subnet agar Cloud Shell berfungsi dengan benar. Untuk alasan ini, Anda tidak dapat mengonfigurasi log alur kelompok keamanan jaringan untuk Cloud Shell.

Cloud Shell tidak menghasilkan atau memproses log kueri Sistem Nama Domain (DNS).

Tanggung Jawab: Pelanggan

Manajemen Postur dan Kerentanan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Postur dan Kerentanan.

PV-6: Melakukan penilaian kerentanan perangkat lunak

Panduan: Cloud Shell dapat menggunakan solusi pihak ketiga untuk melakukan penilaian kerentanan pada perangkat jaringan dan aplikasi web. Saat melakukan pemindaian jarak jauh, jangan gunakan satu akun administratif secara terus-menerus. Pertimbangkan untuk menerapkan metodologi provisi just-in-time (JIT) untuk akun pemindaian. Lindungi dan pantau info masuk untuk akun pemindaian, dan gunakan hanya untuk pemindaian kerentanan.

Sesuai kebutuhan, ekspor hasil pemindaian pada interval yang konsisten. Bandingkan hasilnya dengan pemindaian sebelumnya untuk memverifikasi bahwa kerentanan diperbaiki.

Tanggung Jawab: Pelanggan

PV-7: Memperbaiki kerentanan perangkat lunak dengan cepat dan otomatis

Panduan: Untuk perangkat lunak pihak ketiga, gunakan solusi manajemen patch pihak ketiga atau Pembaruan Pusat Sistem Publisher untuk Configuration Manager.

Untuk daftar lengkap fitur dan alat, lihat: Fitur Cloud Shell:/azure/cloud-shell/features

Tanggung Jawab: Pelanggan

PV-8: Melakukan simulasi serangan rutin

Panduan: Lakukan uji penetrasi atau aktivitas tim merah pada sumber daya Azure Anda sesuai kebutuhan, dan pastikan perbaikan semua temuan keamanan penting.

Ikuti Aturan Keterlibatan Uji Penetrasi Cloud Microsoft untuk memastikan uji penetrasi Anda tidak melanggar kebijakan Microsoft. Gunakan strategi dan eksekusi Red Teaming Microsoft. Lakukan uji penetrasi situs langsung terhadap infrastruktur, layanan, dan aplikasi cloud yang dikelola Microsoft.

Tanggung Jawab: Pelanggan

Langkah berikutnya