Garis besar keamanan Pertahanan Microsoft untuk Identitas

Garis besar keamanan ini menerapkan panduan dari Azure Security Benchmark versi 2.0 ke Microsoft Defenderfor Identity. Azure Security Benchmark memberikan rekomendasi tentang cara Anda mengamankan solusi cloud Anda di Azure. Konten dikelompokkan berdasarkan kontrol keamanan yang ditentukan oleh Azure Security Benchmark dan panduan terkait yang berlaku untuk Microsoft Defenderfor Identity.

Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini, untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Azure Security Benchmark. Beberapa rekomendasi mungkin memerlukan paket Pertahanan Microsoft berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol tidak berlaku untuk Pertahanan Microsoft untuk Identitas, dan kontrol yang direkomendasikan oleh panduan global secara verbatim, telah dikecualikan. Untuk melihat bagaimana Pertahanan Microsoft untuk Identitas sepenuhnya memetakan ke Azure Security Benchmark, lihat file pemetaan garis besar keamanan Pertahanan Microsoft untuk Identitas lengkap.

Keamanan Jaringan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Jaringan.

NS-6: Menyederhanakan aturan keamanan jaringan

Panduan: Gunakan Tag Layanan Jaringan Virtual Azure untuk menentukan kontrol akses jaringan pada grup keamanan jaringan atau Azure Firewall yang dikonfigurasi untuk sumber daya Pertahanan untuk Identitas Anda. Anda dapat menggunakan tag layanan sebagai pengganti alamat IP tertentu saat membuat aturan keamanan. Dengan menentukan nama tag layanan (Misalnya: "AzureAdvancedThreatProtection") di bidang sumber atau tujuan yang sesuai dari aturan, Anda dapat mengizinkan atau menolak lalu lintas untuk layanan terkait. Microsoft mengelola awalan alamat yang dicakup oleh tag layanan dan secara otomatis memperbarui tag layanan saat alamat berubah.

Tanggung Jawab: Pelanggan

Manajemen Identitas

Untuk informasi lebih lanjut, lihat Azure Security Benchmark : Manajemen Identitas.

IM-1: Menstandarkan Microsoft Azure Active Directory sebagai pusat sistem identitas dan autentikasi

Panduan: Pertahanan untuk Identitas menggunakan Azure Active Directory (Microsoft Azure AD) sebagai layanan manajemen akses dan identitas default. Anda harus menstandardisasi Microsoft Azure AD untuk mengatur identitas organisasi dan manajemen akses di:

  • Sumber daya Microsoft Cloud, seperti portal Azure, Penyimpanan Azure, Azure Virtual Machine (Linux dan Windows), Azure Key Vault, PaaS, dan aplikasi SaaS.
  • Sumber daya organisasi Anda, seperti aplikasi di Azure atau sumber daya jaringan perusahaan Anda.

Mengamankan Microsoft Azure AD harus menjadi prioritas tinggi dalam praktik keamanan cloud organisasi Anda. Azure AD menyediakan skor aman identitas untuk membantu menilai postur keamanan identitas yang relatif terhadap rekomendasi praktik terbaik Microsoft. Gunakan skor untuk mengukur seberapa dekat konfigurasi Anda cocok dengan rekomendasi praktik terbaik, dan untuk melakukan peningkatan dalam postur keamanan Anda.

Catatan: Microsoft Azure Active Directory mendukung identitas eksternal yang memungkinkan pengguna tanpa akun Microsoft untuk rincian masuk ke aplikasi dan sumber daya mereka dengan identitas eksternal mereka.

Tanggung Jawab: Pelanggan

Akses dengan Hak Istimewa

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Akses dengan Hak istimewa.

PA-1: Melindungi dan membatasi pengguna dengan hak sangat istimewa

Panduan: Pertahanan untuk Identitas memiliki akun dengan hak istimewa tinggi berikut:

Administrator global

Administrator keamanan

Batasi jumlah akun atau peran dengan hak istimewa tinggi dan lindungi akun ini pada tingkat yang lebih tinggi karena pengguna dengan hak istimewa ini dapat secara langsung atau tidak langsung membaca dan memodifikasi setiap sumber daya di lingkungan Azure Anda.

Anda dapat mengaktifkan akses istimewa just-in-time (JIT) ke sumber daya Azure dan Azure Active Directory (Microsoft Azure AD) menggunakan Azure AD Privileged Identity Management (PIM). JIT memberikan izin sementara untuk melakukan tugas istimewa hanya ketika pengguna membutuhkannya. PIM juga dapat menghasilkan pemberitahuan keamanan ketika ada aktivitas yang mencurigakan atau tidak aman di organisasi Microsoft Azure AD Anda.

Tanggung Jawab: Pelanggan

PA-3: Tinjau dan rekonsiliasi akses pengguna secara teratur

Panduan: Pertahanan untuk Identitas menggunakan akun Azure Active Directory (Microsoft Azure AD) untuk mengelola sumber dayanya, meninjau akun pengguna, dan mengakses penetapan secara teratur untuk memastikan akun dan aksesnya valid. Anda dapat menggunakan tinjauan akses Azure Active Directory untuk meninjau keanggotaan grup, akses ke aplikasi perusahaan, dan penetapan peran. Pelaporan Azure Active Directory dapat menyediakan log untuk membantu menemukan akun yang kedaluwarsa. Anda juga dapat menggunakan Azure AD Privileged Identity Management untuk membuat alur kerja laporan tinjauan akses untuk memfasilitasi proses peninjauan.

Selain itu, Azure AD Privileged Identity Management juga dapat dikonfigurasi untuk memberitahukan jika jumlah akun admin yang berlebihan telah dibuat, dan untuk mengidentifikasi akun administrator yang kedaluwarsa atau dikonfigurasi dengan tidak benar.

Catatan: Beberapa layanan Azure mendukung pengguna dan peran lokal yang tidak dikelola melalui Microsoft Azure Active Directory. Anda harus mengelola pengguna ini secara terpisah.

Tanggung Jawab: Pelanggan

PA-6: Menggunakan stasiun kerja akses hak istimewa

Panduan: Stasiun kerja yang aman dan terisolasi sangat penting untuk keamanan peran sensitif seperti administrator, pengembang, dan operator layanan penting. Gunakan stasiun kerja pengguna yang sangat aman dan/atau Azure Bastion untuk tugas administratif. Gunakan Azure Active Directory, Pertahanan Microsoft untuk Titik Akhir, dan/atau Microsoft Intune untuk menyebarkan stasiun kerja pengguna yang aman dan terkelola untuk tugas administratif. Stasiun kerja yang aman dapat dikelola secara terpusat untuk menerapkan konfigurasi aman termasuk autentikasi yang kuat, garis besar perangkat lunak dan perangkat keras, akses logis serta jaringan yang dibatasi.

Tanggung Jawab: Pelanggan

Perlindungan Data

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Perlindungan Data.

DP-2: Melindungi data sensitif

Panduan: Pertahanan untuk Identitas melindungi data sensitif dengan membatasi akses menggunakan peran Azure Active Directory (Microsoft Azure AD).

Semua jenis kontrol akses harus diselaraskan dengan strategi segmentasi perusahaan Anda untuk memastikan kontrol akses yang konsisten. Strategi segmentasi perusahaan juga harus diinformasikan oleh lokasi data dan sistem yang sensitif atau kritis bisnis.

Untuk platform dasar yang dikelola oleh Microsoft, Microsoft memperlakukan semua konten pelanggan sebagai konten sensitif dan melindungi pelanggan dari kehilangan dan paparan data. Untuk memastikan data pelanggan dalam Azure tetap aman, Microsoft menerapkan kontrol dan kemampuan perlindungan data default.

Tanggung Jawab: Pelanggan

DP-4: Mengenkripsi informasi sensitif saat transit

Panduan: Untuk melengkapi kontrol akses, data dalam perjalanan harus dilindungi dari serangan 'out-of-band' (misalnya, pengambilan lalu lintas) menggunakan enkripsi untuk memastikan bahwa penyerang tidak dapat dengan mudah membaca atau mengubah data.

Pertahanan untuk Identitas mendukung enkripsi data saat transit dengan TLS v1.2 atau yang lebih baru.

Meskipun bersifat opsional untuk lalu lintas pada jaringan privat, ini sangat penting untuk lalu lintas di jaringan eksternal dan publik. Untuk lalu lintas HTTP, pastikan setiap klien yang terhubung ke sumber daya Azure Anda dapat menegosiasikan TLS v1.2 atau yang lebih besar. Untuk manajemen jarak jauh, gunakan SSH (untuk Linux) atau RDP/TLS (untuk Windows) alih-alih protokol yang tidak terenkripsi. Versi dan protokol SSL, TLS, dan SSH yang kadaluarsa, dan sandi yang lemah harus dinonaktifkan.

Secara default, Microsoft Azure menyediakan enkripsi untuk data saat transit di antara pusat data Microsoft Azure.

Tanggung jawab: Microsoft

DP-5: Mengenkripsi data sensitif yang tidak aktif

Panduan: Untuk melengkapi kontrol akses, Pertahanan untuk Identitas mengenkripsi data yang tidak aktif untuk melindungi dari serangan 'out-of-band' (seperti mengakses penyimpanan yang mendasarinya) menggunakan enkripsi. Perlindungan ini membantu memastikan bahwa penyerang tidak dapat dengan mudah membaca atau merubah data.

Tanggung jawab: Microsoft

Manajemen Aset

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Aset.

AM-1: Memastikan tim keamanan memiliki visibilitas terhadap risiko aset

Panduan: Pastikan tim keamanan diberikan izin Pembaca Keamanan di penyewa dan langganan Azure Anda sehingga mereka dapat memantau risiko keamanan menggunakan Microsoft Defender untuk Cloud.

Tergantung pada susunan tanggung jawab tim keamanan, pemantauan untuk risiko keamanan bisa menjadi tanggung jawab tim keamanan pusat atau tim lokal. Meskipun demikian, wawasan dan risiko keamanan harus selalu dikumpulkan secara terpusat dalam organisasi.

Izin Pembaca Keamanan dapat diterapkan secara luas ke seluruh penyewa (Root Management Group) atau dicakup ke grup manajemen atau langganan tertentu.

Catatan: Izin tambahan mungkin diperlukan untuk mendapatkan visibilitas ke dalam beban kerja dan layanan.

Tanggung Jawab: Pelanggan

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pencatatan dan Deteksi Ancaman.

LT-1: Mengaktifkan deteksi ancaman untuk sumber daya Azure

Panduan: Pertahanan untuk Identitas dapat memberi tahu Anda saat mendeteksi aktivitas mencurigakan, dengan mengirimkan peringatan keamanan dan kesehatan ke server Syslog Anda melalui sensor yang ditentukan. Teruskan log apa pun dari Pertahanan untuk Identitas ke SIEM Anda yang dapat digunakan untuk menyiapkan deteksi ancaman khusus. Pastikan Anda memantau berbagai jenis aset Azure untuk potensi ancaman dan anomali. Fokus pada mendapatkan peringatan berkualitas tinggi untuk mengurangi positif palsu bagi analis untuk diurutkan. Peringatan dapat bersumber dari data log, agen, atau data lainnya.

Tanggung Jawab: Pelanggan

LT-2: Mengaktifkan deteksi ancaman untuk identitas Azure dan manajemen akses

Panduan: Azure Active Directory (Microsoft Azure AD) menyediakan log pengguna berikut yang dapat dilihat dalam pelaporan Microsoft Azure AD atau terintegrasi dengan Azure Monitor, Microsoft Sentinel, atau alat pemantauan/SIEM lainnya untuk kasus pemantauan dan penggunaan analitik yang lebih canggih:

  • Rincian masuk - Laporan rincian masuk memberikan informasi tentang penggunaan aplikasi terkelola dan aktivitas masuk pengguna.

  • Log audit - Menyediakan keterlacakan melalui log untuk semua perubahan yang dilakukan oleh berbagai fitur dalam Azure AD. Contoh log audit mencakup perubahan yang dibuat pada sumber daya apa pun dalam AAD seperti menambahkan atau menghapus pengguna, aplikasi, grup, peran, dan kebijakan.

  • Proses masuk riskan - Proses masuk riskan adalah indikator dari upaya rincian masuk yang mungkin telah dilakukan oleh seseorang yang bukan pemilik akun pengguna yang sah.

  • Pengguna yang ditandai berisiko - Pengguna berisiko adalah indikator untuk akun pengguna yang mungkin telah disusupi.

Microsoft Defender untuk Cloud juga dapat memperingatkan aktivitas mencurigakan tertentu seperti upaya autentikasi yang gagal dalam jumlah berlebihan, akun yang tidak digunakan lagi dalam langganan. Selain pemantauan kebersihan keamanan dasar, modul Perlindungan Ancaman Microsoft Defender untuk Cloud juga dapat mengumpulkan peringatan keamanan yang lebih mendalam dari sumber daya komputasi Azure individu (mesin virtual, kontainer, layanan aplikasi), sumber daya data (SQL DB dan penyimpanan), serta Lapisan layanan Azure. Kemampuan ini memungkinkan Anda melihat anomali akun di dalam masing-masing sumber daya.

Tanggung Jawab: Pelanggan

LT-5: Memusatkan manajemen dan analisis log keamanan

Panduan: Pastikan Anda mengintegrasikan log aktivitas Azure ke pengelogan pusat Anda. Menyerap log melalui Azure Monitor untuk mengagregasi data keamanan yang dihasilkan oleh perangkat titik akhir, sumber daya jaringan, dan sistem keamanan lainnya. Di Azure Monitor, gunakan ruang kerja Analitik Log untuk mengkueri dan melakukan analitik, serta menggunakan akun Azure Storage untuk penyimpanan dan arsip jangka panjang.

Selain itu, aktifkan dan masukkan data ke Microsoft Sentinel atau SIEM pihak ketiga.

Banyak organisasi memilih untuk menggunakan Microsoft Sentinel untuk data "panas" yang sering digunakan dan Azure Storage untuk data "dingin" yang lebih jarang digunakan.

Pertahanan untuk Identitas menawarkan untuk meneruskan semua log terkait keamanan ke SIEM Anda untuk manajemen terpusat.

Tanggung Jawab: Pelanggan

LT-7: Menggunakan sumber sinkronisasi waktu yang disetujui

Panduan: Tidak berlaku; Pertahanan untuk Identitas tidak mendukung konfigurasi sumber daya sinkronisasi waktu Anda sendiri. Pertahanan untuk Identitas bergantung pada sumber sinkronisasi waktu Microsoft dan tidak diekspos ke pelanggan untuk konfigurasi.

Tanggung jawab: Microsoft

Manajemen Postur dan Kerentanan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Postur dan Kerentanan.

PV-6: Melakukan penilaian kerentanan perangkat lunak

Panduan: Microsoft melakukan pengelolaan kerentanan pada sistem dasar yang mendukung Pertahanan untuk Identitas.

Tanggung jawab: Microsoft

PV-8: Melakukan simulasi serangan rutin

Panduan: Sebagaimana diperlukan, lakukan uji penetrasi atau aktivitas read team pada sumber daya Azure Anda dan pastikan remediasi pada semua temuan keamanan penting. Ikuti Aturan Keterlibatan Uji Penetrasi Microsoft Cloud untuk memastikan bahwa uji penetrasi Anda tidak melanggar kebijakan Microsoft. Gunakan strategi Microsoft dan eksekusi Red Team, serta uji penetrasi langsung terhadap infrastruktur, layanan, dan aplikasi cloud yang dikelola Microsoft.

Tanggung Jawab: Bersama

Langkah berikutnya