Garis besar keamanan Azure untuk Cost Management

Garis besar keamanan ini menerapkan panduan dari Azure Security Benchmark versi 2.0 ke Microsoft Azure Cost Management. Azure Security Benchmark memberikan rekomendasi tentang cara Anda mengamankan solusi cloud Anda di Azure. Konten dikelompokkan berdasarkan kontrol keamanan yang ditentukan oleh Azure Security Benchmark dan panduan terkait yang berlaku untuk Cost Management.

Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini, untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Tolok Ukur Keamanan Azure. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol yang tidak berlaku untuk Cost Management, dan kontrol dengan panduan global yang direkomendasikan secara verbatim, telah dikecualikan. Untuk melihat bagaimana Cost Management sepenuhnya memetakan ke Azure Security Benchmark, lihat file pemetaan garis besar keamanan Cost Management lengkap.

Manajemen Identitas

Untuk informasi lebih lanjut, lihat Azure Security Benchmark : Manajemen Identitas.

IM-1: Menstandarkan Microsoft Azure Active Directory sebagai pusat sistem identitas dan autentikasi

Panduan: Azure Cost Management terintegrasi dengan Azure Active Directory (Microsoft Azure AD) yang merupakan layanan manajemen akses dan identitas default Azure. Anda harus melakukan standardisasi di Microsoft Azure AD untuk mengatur manajemen akses dan identitas organisasi Anda di:

  • Sumber daya Microsoft Cloud, seperti portal Microsoft Azure, Penyimpanan Azure, Microsoft Azure Virtual Machines (Linux dan Windows), Azure Key Vault, PaaS, dan aplikasi SaaS.
  • Sumber daya organisasi Anda, seperti aplikasi di Azure atau sumber daya jaringan perusahaan Anda.

Mengamankan Microsoft Azure Active Directory harus menjadi prioritas tinggi dalam praktik keamanan cloud organisasi Anda. Microsoft Azure AD menyediakan skor aman identitas untuk membantu Anda menilai postur keamanan identitas relatif terhadap rekomendasi praktik terbaik Microsoft. Gunakan skor untuk mengukur seberapa dekat konfigurasi Anda cocok dengan rekomendasi praktik terbaik, dan untuk melakukan peningkatan dalam postur keamanan Anda.

Catatan: Microsoft Azure AD mendukung penyedia identitas eksternal, yang memungkinkan pengguna tanpa akun Microsoft untuk masuk ke aplikasi dan sumber daya mereka dengan identitas eksternal.

Tanggung Jawab: Pelanggan

IM-3: Menggunakan akses menyeluruh (SSO) Microsoft Azure AD untuk akses aplikasi

Panduan: Azure Cost Management menggunakan Azure Active Directory (Azure AD) untuk menyediakan manajemen akses dan identitas ke sumber daya Azure, aplikasi cloud, dan aplikasi lokal. Ini termasuk identitas perusahaan seperti karyawan, serta identitas eksternal seperti mitra, vendor, dan pemasok. Hal ini memungkinkan akses menyeluruh (SSO) untuk mengelola dan mengamankan akses ke data dan sumber daya organisasi Anda secara lokal dan di cloud. Hubungkan semua pengguna, aplikasi, dan perangkat Anda ke Azure AD untuk akses yang lancar, aman, serta visibilitas dan kontrol yang lebih besar.

Tanggung Jawab: Pelanggan

Akses dengan Hak Istimewa

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Akses dengan Hak istimewa.

PA-1: Melindungi dan membatasi pengguna dengan hak sangat istimewa

Panduan: Cost Management untuk Perjanjian Enterprise (EA) memiliki akun yang sangat istimewa di bawah ini.

  • Enterprise Administrator

Disarankan untuk secara rutin meninjau pengguna yang ditetapkan untuk peran dalam Perjanjian Enterprise (EA) Anda.

Hal ini juga dianjurkan sebagai aturan, untuk membatasi jumlah peran atau akun yang sangat istimewa dan melindungi akun ini pada tingkat yang lebih tinggi karena pengguna dengan hak istimewa ini dapat secara langsung atau tidak langsung membaca dan memodifikasi setiap sumber daya di lingkungan Azure Anda.

Anda dapat mengaktifkan akses istimewa just-in-time (JIT) ke sumber daya Azure dan Azure Active Directory (Microsoft Azure AD) menggunakan Azure AD Privileged Identity Management (PIM). JIT memberikan izin sementara untuk melakukan tugas istimewa hanya ketika pengguna membutuhkannya. PIM juga dapat menghasilkan pemberitahuan keamanan ketika ada aktivitas yang mencurigakan atau tidak aman di organisasi Microsoft Azure AD Anda.

Tanggung Jawab: Pelanggan

PA-3: Tinjau dan rekonsiliasi akses pengguna secara teratur

Panduan: Azure Cost Management bergantung pada akses yang sesuai untuk menampilkan dan mengelola data biaya organisasi. Akses dikontrol dengan kontrol akses berbasis peran (RBAC Azure) Azure di tingkat langganan dan melalui peran administratif dengan Perjanjian Enterprise (EA) atau Perjanjian Pelanggan Microsoft (MCA) untuk cakupan penagihan. Audit dan tinjau akses yang diberikan secara teratur untuk memastikan bahwa pengguna atau grup memiliki akses yang diperlukan.

Tanggung Jawab: Pelanggan

PA-7: Ikuti administrasi secukupnya (prinsip hak istimewa terkecil)

Panduan: Azure Cost Management terintegrasi dengan kontrol akses berbasis peran (RBAC) Azure untuk mengelola sumber daya (misalnya anggaran, laporan tersimpan, dll.). Azure RBAC memungkinkan Anda mengelola akses sumber daya Azure melalui penetapan peran. Anda dapat menetapkan peran ini kepada pengguna, grup, dan perwakilan layanan. Ada peran bawaan yang telah ditentukan sebelumnya untuk sumber daya tertentu, dan peran tersebut dapat disimpan di inventaris atau dikueri melalui alat seperti Azure CLI, Azure PowerShell, atau portal Microsoft Azure. Hak istimewa yang Anda tetapkan ke sumber daya melalui RBAC Azure harus selalu dibatasi pada apa yang diperlukan oleh peran. Hal ini melengkapi pendekatan just-in-time (JIT) Azure Active Directory (Azure AD) Privileged Identity Management (PIM) dan harus ditinjau secara berkala.

Jika memungkinkan, gunakan peran bawaan untuk mengalokasikan izin dan hanya buat peran kustom saat diperlukan.

Azure Cost Management menawarkan peran, pembaca, dan kontributor bawaan.

Tanggung Jawab: Pelanggan

Perlindungan Data

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Perlindungan Data.

DP-1: Menemukan, mengklasifikasikan dan memberi label pada data sensitif

Panduan: Direkomendasikan untuk menemukan, mengklasifikasi, dan memberi label data sensitif Anda sehingga dapat mendesain kontrol yang sesuai guna memastikan informasi sensitif disimpan, diproses, dan ditransmisikan dengan aman oleh sistem teknologi organisasi.

Gunakan Microsoft Azure Information Protection (dan alat pemindaian terkait) untuk informasi sensitif dalam dokumen Office di Microsoft Azure, lokal, Office 365, dan lokasi lain.

Anda dapat menggunakan Microsoft Azure Information Protection Azure SQL untuk membantu klasifikasi dan pelabelan informasi yang disimpan di Azure SQL Database.

Tanggung Jawab: Pelanggan

DP-2: Melindungi data sensitif

Panduan: Direkomendasikan untuk melindungi data sensitif dengan membatasi akses menggunakan Kontrol Akses Berbasis Peran (RBAC Azure) Azure, kontrol akses berbasis jaringan, dan kontrol spesifik dalam layanan Azure (seperti enkripsi di SQL dan database lainnya).

Semua jenis kontrol akses harus diselaraskan dengan strategi segmentasi perusahaan Anda untuk memastikan kontrol akses yang konsisten. Strategi segmentasi perusahaan juga harus diinformasikan oleh lokasi data dan sistem penting sensitif atau bisnis.

Untuk platform dasar, yang dikelola oleh Microsoft, Microsoft memperlakukan semua konten pelanggan sebagai hal yang sensitif dan menjaga dari kehilangan dan paparan data pelanggan. Untuk memastikan data pelanggan di dalam Azure tetap aman, Microsoft telah menerapkan beberapa kontrol dan kemampuan perlindungan data default.

Tanggung Jawab: Pelanggan

DP-3: Memantau transfer data sensitif yang tidak sah

Panduan: Pantau transfer data yang tidak sah ke lokasi di luar visibilitas dan kontrol perusahaan. Ini biasanya melibatkan pemantauan untuk aktivitas anomali (transfer besar atau tidak biasa) yang dapat menunjukkan eksfiltrasi data yang tidak sah.

Azure Storage Advanced Threat Protection (ATP) dan Azure SQL ATP dapat memberitahukan transfer informasi yang tidak wajar yang mungkin mengindikasikan transfer informasi sensitif yang tidak sah.

Perlindungan Informasi Azure (AIP) menyediakan kemampuan pemantauan untuk informasi yang telah diklasifikasikan dan diberi label.

Jika diperlukan untuk kepatuhan pencegahan kehilangan data (DLP), Anda dapat menggunakan solusi DLP berbasis host untuk menegakkan kontrol detektif dan/atau pencegahan untuk mencegah penyelundupan data.

Tanggung Jawab: Pelanggan

DP-4: Mengenkripsi informasi sensitif saat transit

Panduan: Untuk melengkapi kontrol akses, data yang transit harus dilindungi dari serangan 'out of band' (misalnya penangkapan lalu lintas) menggunakan enkripsi untuk memastikan bahwa penyerang tidak dapat dengan mudah membaca atau memodifikasi data. Azure Cost Management mendukung enkripsi data saat transit dengan TLS v1.2 atau yang lebih tinggi. Meskipun ini opsional untuk lalu lintas di jaringan privat, ini sangat penting untuk lalu lintas di jaringan eksternal dan publik. Untuk lalu lintas HTTP, pastikan setiap klien yang terhubung ke sumber daya Azure Anda dapat menegosiasikan TLS v1.2 atau yang lebih besar. Untuk manajemen jarak jauh, gunakan SSH (untuk Linux) atau RDP/TLS (untuk Windows) alih-alih protokol yang tidak terenkripsi. Versi dan protokol SSL, TLS, dan SSH yang sudah usang, dan cipher yang lemah harus dinonaktifkan. Secara default, Azure menyediakan enkripsi untuk data saat

Tanggung jawab: Microsoft

DP-5: Mengenkripsi data sensitif yang tidak aktif

Panduan: Untuk melengkapi kontrol akses, fitur Ekspor Azure Cost Management mendukung enkripsi data tidak aktif Azure Storage guna melindungi dari serangan 'out of band' (seperti mengakses penyimpanan yang mendasarinya) menggunakan enkripsi kunci yang dikelola Microsoft. Pengaturan default ini membantu memastikan bahwa penyerang tidak dapat dengan mudah membaca atau mengubah data.

Untuk informasi selengkapnya, lihat:

Tanggung Jawab: Pelanggan

Manajemen Aset

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Aset.

AM-1: Memastikan tim keamanan memiliki visibilitas terhadap risiko aset

Panduan: Pastikan tim keamanan diberikan izin Pembaca Keamanan di penyewa dan langganan Azure Anda sehingga mereka dapat memantau risiko keamanan menggunakan Microsoft Defender untuk Cloud.

Tergantung pada susunan tanggung jawab tim keamanan, pemantauan untuk risiko keamanan bisa menjadi tanggung jawab tim keamanan pusat atau tim lokal. Meskipun demikian, wawasan dan risiko keamanan harus selalu dikumpulkan secara terpusat dalam organisasi.

Izin Pembaca Keamanan dapat diterapkan secara luas ke seluruh penyewa (Root Management Group) atau dicakup ke grup manajemen atau langganan tertentu.

Catatan: Izin tambahan mungkin diperlukan untuk mendapatkan visibilitas ke dalam beban kerja dan layanan.

Tanggung Jawab: Pelanggan

Pengelogan dan Deteksi Ancaman

Untuk mengetahui informasi selengkapnya, lihat Tolok ukur Keamanan Azure: Pengelogan dan Deteksi Ancaman.

LT-2: Mengaktifkan deteksi ancaman untuk identitas Azure dan manajemen akses

Panduan: Azure Active Directory (Azure AD) menyediakan log pengguna berikut yang dapat dilihat dalam laporan Azure AD atau terintegrasi dengan Azure Monitor, Microsoft Sentinel, atau alat pemantauan/SIEM lainnya untuk kasus penggunaan dalam pemantauan dan analitik yang lebih canggih :

  • Masuk - Laporan masuk memberikan informasi tentang penggunaan aplikasi terkelola dan aktivitas masuk pengguna.
  • Log audit - Memberikan ketertelusuran melalui log untuk semua perubahan yang dilakukan oleh berbagai fitur dalam Azure Active Directory. Contoh log audit mencakup perubahan yang dibuat pada sumber daya apa pun dalam Microsoft Azure Active Directory seperti menambahkan atau menghapus pengguna, aplikasi, grup, peran, dan kebijakan.
  • Proses masuk riskan - Proses masuk riskan adalah indikator dari upaya rincian masuk yang mungkin telah dilakukan oleh seseorang yang bukan pemilik akun pengguna yang sah.
  • Pengguna yang ditandai berisiko - Pengguna berisiko adalah indikator untuk akun pengguna yang mungkin telah disusupi.

Microsoft Defender untuk Cloud juga dapat memperingatkan tentang aktivitas mencurigakan tertentu seperti jumlah upaya autentikasi yang gagal yang berlebihan, akun yang tidak digunakan lagi dalam langganan. Selain pemantauan kebersihan keamanan dasar, modul Perlindungan Ancaman Microsoft Defender untuk Cloud juga dapat mengumpulkan peringatan keamanan yang lebih mendalam dari sumber daya komputasi Azure individual (mesin virtual, kontainer, layanan aplikasi), sumber daya data (SQL DB dan penyimpanan), dan lapisan layanan Azure. Kemampuan ini memungkinkan Anda untuk memiliki visibilitas pada anomali akun di dalam masing-masing sumber daya.

Direkomendasikan juga untuk secara rutin meninjau pengguna yang ditugaskan untuk peran dalam Perjanjian Enterprise (EA) Anda.

Tanggung Jawab: Pelanggan

Manajemen Postur dan Kerentanan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Postur dan Kerentanan.

PV-7: Memperbaiki kerentanan perangkat lunak dengan cepat dan otomatis

Panduan: Dengan cepat sebarkan pembaruan perangkat lunak untuk memulihkan kerentanan perangkat lunak dalam sistem operasi dan aplikasi. Prioritaskan untuk menggunakan program penilaian risiko umum (misalnya, Sistem Penilaian Kerentanan Umum) atau peringkat risiko default yang disediakan oleh alat pemindaian pihak ketiga Anda dan sesuaikan dengan lingkungan Anda menggunakan konteks aplikasi mana yang memberikan risiko keamanan tinggi dan mana yang memerlukan waktu aktif tinggi.

Tanggung Jawab: Pelanggan

PV-8: Melakukan simulasi serangan rutin

Panduan: Sebagaimana diperlukan, lakukan uji penetrasi atau aktivitas read team pada sumber daya Azure Anda dan pastikan remediasi pada semua temuan keamanan penting. Ikuti Aturan Keterlibatan Uji Penetrasi Microsoft Cloud untuk memastikan bahwa uji penetrasi Anda tidak melanggar kebijakan Microsoft. Gunakan strategi Microsoft dan eksekusi Red Team, serta uji penetrasi langsung terhadap infrastruktur, layanan, dan aplikasi cloud yang dikelola Microsoft.

Tanggung Jawab: Bersama

Langkah berikutnya