Garis besar keamanan Azure untuk Microsoft Defender for IoT

Garis besar keamanan ini menerapkan panduan dari Azure Security Benchmark versi 2.0 ke Microsoft Defender untuk IoT. Azure Security Benchmark memberikan rekomendasi tentang cara Anda mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh Azure Security Benchmark dan panduan terkait yang berlaku untuk Microsoft Defender untuk IoT.

Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini, untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Tolok Ukur Keamanan Azure. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol yang tidak berlaku untuk Microsoft Defender untuk IoT, dan kontrol yang direkomendasikan oleh panduan global secara verbatim, telah dikecualikan. Untuk melihat bagaimana Microsoft Defender untuk IoT sepenuhnya dipetakan ke Azure Security Benchmark, lihat file pemetaan garis besar keamanan Microsoft Defender untuk IoT lengkap.

Manajemen Identitas

Untuk informasi lebih lanjut, lihat Azure Security Benchmark : Manajemen Identitas.

IM-1: Menstandarkan Microsoft Azure Active Directory sebagai pusat sistem identitas dan autentikasi

Panduan: Microsoft Defender untuk IoT terintegrasi dengan Azure Active Directory (Microsoft Azure AD), identitas default dan layanan manajemen akses Azure. Melakukan standardisasi pada Microsoft Azure Active Directory untuk mengatur identitas dan manajemen akses organisasi Anda:

  • Sumber daya Microsoft Cloud, seperti portal Azure, Penyimpanan Azure, Azure Virtual Machine (Linux dan Windows), Azure Key Vault, PaaS, dan aplikasi SaaS.
  • Sumber daya organisasi Anda, seperti aplikasi di Azure atau sumber daya jaringan perusahaan Anda.

Mengamankan Microsoft Azure Active Directory harus menjadi prioritas tinggi dalam praktik keamanan cloud organisasi Anda. Azure AD menyediakan skor aman identitas untuk membantu menilai postur keamanan identitas relatif terhadap rekomendasi praktik terbaik Microsoft. Gunakan skor tersebut untuk mengukur seberapa sesuai konfigurasi Anda dengan rekomendasi praktik terbaik, dan untuk melakukan peningkatan dalam postur keamanan Anda.

Azure AD mendukung identitas eksternal yang memungkinkan pengguna tanpa akun Microsoft untuk masuk ke aplikasi dan sumber daya mereka dengan identitas eksternalnya.

Tanggung Jawab: Pelanggan

IM-3: Menggunakan akses menyeluruh (SSO) Microsoft Azure AD untuk akses aplikasi

Panduan: Microsoft Defender untuk IoT menggunakan Azure Active Directory (Microsoft Azure AD) untuk memberikan manajemen identitas dan akses ke sumber daya Azure, aplikasi cloud, dan aplikasi lokal. Ini termasuk identitas perusahaan seperti karyawan, serta identitas eksternal seperti mitra, vendor, dan pemasok. Hal ini memungkinkan akses menyeluruh (SSO) untuk mengelola dan mengamankan akses ke data dan sumber daya organisasi Anda secara lokal dan di cloud. Hubungkan semua pengguna, aplikasi, dan perangkat Anda ke Azure AD untuk akses yang lancar, aman, serta visibilitas dan kontrol yang lebih besar.

Tanggung Jawab: Pelanggan

Akses dengan Hak Istimewa

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Akses dengan Hak Istimewa.

PA-7: Ikuti administrasi secukupnya (prinsip hak istimewa terkecil)

Panduan: Microsoft Defender untuk IoT terintegrasi dengan kontrol akses berbasis peran (RBAC) Azure untuk mengelola sumber dayanya. Azure RBAC memungkinkan Anda mengelola akses sumber daya Azure melalui penetapan peran. Anda dapat menetapkan peran ini kepada pengguna, mengelompokkan perwakilan layanan, dan identitas terkelola. Ada peran bawaan yang telah ditentukan sebelumnya untuk sumber daya tertentu, dan peran tersebut dapat disimpan di inventaris atau dikueri melalui alat seperti Azure CLI, Azure PowerShell, atau portal Microsoft Azure. Hak istimewa yang Anda tetapkan ke sumber daya melalui RBAC Azure harus selalu dibatasi pada apa yang diperlukan oleh peran. Hal ini melengkapi pendekatan just-in-time (JIT) Azure Active Directory (Azure AD) Privileged Identity Management (PIM) dan harus ditinjau secara berkala.

Jika memungkinkan, gunakan peran bawaan untuk mengalokasikan izin dan hanya buat peran kustom saat diperlukan.

Tanggung Jawab: Pelanggan

Perlindungan Data

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Perlindungan Data.

DP-1: Menemukan, mengklasifikasikan dan memberi label pada data sensitif

Panduan: Temukan, klasifikasi, dan beri label data sensitif Anda sehingga Anda dapat mendesain kontrol yang sesuai untuk memastikan informasi sensitif disimpan, diproses, dan ditransmisikan dengan aman oleh sistem teknologi organisasi. Gunakan Microsoft Azure Information Protection (dan alat pemindaian terkait) untuk informasi sensitif dalam dokumen Office di Microsoft Azure, lokal, Office 365, dan lokasi lain.

Anda dapat menggunakan Microsoft Azure Information Protection Azure SQL untuk membantu klasifikasi dan pelabelan informasi yang disimpan di Azure SQL Database.

Tanggung Jawab: Pelanggan

DP-2: Melindungi data sensitif

Panduan: Lindungi data sensitif dengan membatasi akses menggunakan Azure Role Based Access Control (Azure RBAC), kontrol akses berbasis jaringan, dan kontrol spesifik dalam layanan Azure (seperti enkripsi di SQL dan database lainnya). Semua jenis kontrol akses harus diselaraskan dengan strategi segmentasi perusahaan Anda untuk memastikan kontrol akses yang konsisten. Strategi segmentasi perusahaan juga harus diinformasikan oleh lokasi data dan sistem penting sensitif atau bisnis.

Untuk platform dasar, yang dikelola oleh Microsoft, Microsoft memperlakukan semua konten pelanggan sebagai hal yang sensitif dan menjaga dari kehilangan dan paparan data pelanggan. Untuk memastikan data pelanggan di dalam Azure tetap aman, Microsoft telah menerapkan beberapa kontrol dan kemampuan perlindungan data default.

Tanggung Jawab: Pelanggan

DP-4: Mengenkripsi informasi sensitif saat transit

Panduan: Untuk melengkapi kontrol akses, data saat transit harus dilindungi dari serangan 'out-of-band' (misalnya, pengambilan lalu lintas) menggunakan enkripsi untuk memastikan bahwa penyerang tidak dapat dengan mudah membaca atau memodifikasi data. Meskipun bersifat opsional untuk lalu lintas pada jaringan privat, ini sangat penting untuk lalu lintas di jaringan eksternal dan publik. Untuk lalu lintas HTTP, pastikan setiap klien yang terhubung ke sumber daya Azure Anda dapat menegosiasikan TLS v1.2 atau yang lebih besar. Untuk manajemen jarak jauh, gunakan SSH (untuk Linux) atau RDP/TLS (untuk Windows) alih-alih protokol yang tidak terenkripsi. Versi dan protokol SSL, TLS, dan SSH yang kedaluwarsa, dan sandi yang lemah harus dinonaktifkan.

Secara default, Microsoft Azure menyediakan enkripsi untuk data saat transit di antara pusat data Microsoft Azure.

Tanggung Jawab: Pelanggan

Manajemen Aset

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Aset.

AM-1: Memastikan tim keamanan memiliki visibilitas terhadap risiko aset

Panduan: Pastikan tim keamanan diberikan izin Pembaca Keamanan di penyewa dan langganan Azure Anda sehingga mereka dapat memantau risiko keamanan menggunakan Microsoft Defender untuk Cloud.

Tergantung pada susunan tanggung jawab tim keamanan, pemantauan untuk risiko keamanan bisa menjadi tanggung jawab tim keamanan pusat atau tim lokal. Meskipun demikian, wawasan dan risiko keamanan harus selalu dikumpulkan secara terpusat dalam organisasi.

Izin Pembaca Keamanan dapat diterapkan secara luas ke seluruh penyewa (Root Management Group) atau dicakup ke grup manajemen atau langganan tertentu.

Izin tambahan mungkin diperlukan untuk mendapatkan visibilitas ke dalam beban kerja dan layanan.

Tanggung Jawab: Pelanggan

AM-3: Hanya gunakan layanan Azure yang disetujui

Panduan: Gunakan Azure Policy untuk mengaudit dan membatasi layanan yang dapat disediakan pengguna di lingkungan Anda. Gunakan Azure Resource Graph untuk mengkueri dan menemukan sumber daya dalam langganan pengguna. Anda juga dapat menggunakan Azure Monitor untuk membuat aturan sebagi pemicu peringatan saat layanan yang tidak disetujui terdeteksi.

Tanggung Jawab: Pelanggan

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pencatatan dan Deteksi Ancaman.

LT-7: Menggunakan sumber sinkronisasi waktu yang disetujui

Panduan: Microsoft Defender untuk IoT tidak mendukung konfigurasi sumber sinkronisasi waktu Anda sendiri. Layanan Microsoft Defender untuk IoT bergantung pada sumber sinkronisasi waktu Microsoft, dan tidak diekspos ke pelanggan untuk konfigurasi.

Tanggung jawab: Microsoft

Manajemen Postur dan Kerentanan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Postur dan Kerentanan.

PV-6: Melakukan penilaian kerentanan perangkat lunak

Panduan: Tidak berlaku; Microsoft melakukan manajemen kerentanan pada sistem dasar yang mendukung Microsoft Defender untuk IoT.

Tanggung jawab: Microsoft

PV-8: Melakukan simulasi serangan rutin

Panduan: Sebagaimana diperlukan, lakukan uji penetrasi atau aktivitas read team pada sumber daya Azure Anda dan pastikan remediasi pada semua temuan keamanan penting. Ikuti Aturan Keterlibatan Uji Penetrasi Microsoft Cloud untuk memastikan bahwa uji penetrasi Anda tidak melanggar kebijakan Microsoft. Gunakan strategi Microsoft dan eksekusi Red Team, serta uji penetrasi langsung terhadap infrastruktur, layanan, dan aplikasi cloud yang dikelola Microsoft.

Tanggung Jawab: Bersama

Langkah berikutnya