Garis dasar keamanan Azure untuk Azure Firewall Manager

Garis besar keamanan ini menerapkan panduan dari Azure Security Benchmark versi 1.0 ke Azure Firewall Manager. Azure Security Benchmark memberikan rekomendasi tentang cara Anda mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh Azure Security Benchmark dan panduan terkait yang berlaku untuk Azure Firewall Manager.

Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Pertahanan Microsoft untuk Cloud. Azure Policy definisi akan tercantum di bagian Kepatuhan Terhadap Peraturan di dasbor Pertahanan Microsoft untuk Cloud.

Saat bagian memiliki Definisi Azure Policy yang relevan, bagian tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Azure Security Benchmark. Beberapa rekomendasi mungkin memerlukan paket Pertahanan Microsoft berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol yang tidak berlaku untuk Azure Firewall, atau yang tanggung jawabnya adalah Microsoft, telah dikecualikan. Untuk melihat bagaimana Azure Firewall Manager memetakan sepenuhnya ke Azure Security Benchmark, lihat file pemetaan dasar keamanan Azure Firewall Manager lengkap.

Keamanan Jaringan

Untuk informasi lebih lanjut, lihat Azure Security Benchmark: Keamanan Jaringan.

1.2: Memantau dan mencatat konfigurasi dan lalu lintas jaringan virtual, subnet, dan antarmuka jaringan

Panduan: Azure Firewall terintegrasi dengan Azure Monitor untuk pencatatan lalu lintas yang diproses oleh firewall.

Selain itu, gunakan Microsoft Defender untuk Cloud dan ikuti rekomendasi perlindungan jaringan untuk membantu mengamankan sumber daya jaringan Anda yang terkait dengan Azure Firewall.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan terkait kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Network:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Network Watcher harus diaktifkan Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan ujung ke ujung. Diperlukan untuk memiliki grup sumber daya pengawas jaringan untuk dibuat di setiap wilayah tempat jaringan virtual berada. Pemberitahuan diaktifkan jika grup sumber daya pengawas jaringan tidak tersedia di wilayah tertentu. AuditIfNotExists, Dinonaktifkan 3.0.0

1.4: Menolak komunikasi dengan alamat IP yang diketahui berbahaya

Panduan: Aktifkan pemfilteran berbasis intelijen ancaman untuk memperingatkan dan menolak lalu lintas dari/ke alamat IP dan domain berbahaya yang diketahui. Pemfilteran berbasis kecerdasan ancaman dapat diaktifkan agar firewall Anda memperingatkan dan menolak lalu lintas dari/atau ke alamat IP dan domain berbahaya yang diketahui.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Pemberitahuan terkait kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Network:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Semua lalu lintas Internet harus dirutekan melalui Azure Firewall yang Anda terapkan Microsoft Defender untuk Cloud telah mengidentifikasi bahwa beberapa subnet Anda tidak dilindungi dengan firewall generasi berikutnya. Lindungi subnet Anda dari potensi ancaman dengan membatasi akses ke mereka dengan Azure Firewall atau firewall generasi berikutnya yang didukung AuditIfNotExists, Dinonaktifkan 3.0.0-pratinjau
Standar Azure DDoS Protection harus diaktifkan Standar perlindungan DDoS harus diaktifkan untuk semua jaringan virtual dengan subnet yang merupakan bagian dari gateway aplikasi dengan IP publik. AuditIfNotExists, Dinonaktifkan 3.0.0

1.8: Memperkecil kompleksitas dan biaya tambahan administrasi pada aturan keamanan jaringan

Panduan: Dalam Azure Firewall, tag layanan mewakili sekelompok awalan alamat IP untuk membantu meminimalkan kompleksitas untuk pembuatan aturan keamanan.

Tag layanan Azure Firewall dapat digunakan di bidang tujuan aturan jaringan dan menentukan kontrol akses jaringan di Azure Firewall. Anda dapat menggunakan tag layanan sebagai pengganti alamat IP tertentu saat membuat aturan keamanan.

Selain itu, tag yang ditentukan pelanggan seperti grup IP juga didukung dan dapat digunakan dalam aturan jaringan atau aturan aplikasi. Tag FQDN dalam aturan aplikasi didukung untuk memungkinkan lalu lintas jaringan keluar yang diperlukan melalui firewall Anda.

Perhatikan bahwa Anda tidak dapat membuat tag layanan Anda sendiri, atau menentukan alamat IP mana yang disertakan dalam tag. Microsoft mengelola prefiks alamat yang dicakup oleh tag layanan serta otomatis memperbarui tag layanan saat alamat diubah.

Tanggung Jawab: Pelanggan

1.9: Mempertahankan konfigurasi keamanan standar untuk perangkat jaringan

Panduan: Kebijakan Azure belum sepenuhnya didukung untuk Azure Firewall. Azure Firewall Manager dapat digunakan untuk mencapai standarisasi konfigurasi keamanan.

Anda juga dapat menggunakan Azure Blueprints untuk menyederhanakan penyebaran Azure berskala besar dengan mengemas artefak lingkungan utama, seperti template Azure Resource Manager, kontrol Azure RBAC, dan kebijakan dalam satu definisi cetak biru. Anda dapat menerapkan cetak biru ke langganan baru, serta menyempurnakan kontrol dan manajemen melalui penerapan versi.

Tanggung Jawab: Pelanggan

1.11: Menggunakan alat otomatis untuk memantau konfigurasi sumber daya jaringan dan mendeteksi perubahan

Panduan: Gunakan Azure Activity Log untuk memantau konfigurasi sumber daya dan mendeteksi perubahan pada sumber daya Azure Firewall Anda. Buat pemberitahuan dalam Azure Monitor yang akan terpicu saat terjadi perubahan pada sumber daya penting.

Tanggung Jawab: Pelanggan

Pengelogan dan Pemantauan

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Pembuatan Log dan Pemantauan.

2.1: Menggunakan sumber sinkronisasi waktu yang disetujui

Panduan: Microsoft mempertahankan sumber waktu untuk sumber daya Azure untuk Azure Firewall. Pelanggan perlu membuat aturan jaringan untuk mengizinkan akses ini, atau untuk server waktu yang Anda gunakan di lingkungan mereka.

Tanggung Jawab: Bersama

2.2: Mengonfigurasi manajemen log keamanan pusat

Panduan: Anda dapat mengaktifkan dan melakukan onboard data log ke Microsoft Sentinel atau SIEM pihak ketiga untuk manajemen log keamanan pusat dari berbagai log.

Log aktivitas dapat digunakan untuk mengaudit operasi di Azure Firewall untuk dan memantau tindakan pada sumber daya. Log aktivitas memuat semua operasi penulisan (PUT, POST, DELETE) untuk sumber daya Anda kecuali operasi membaca (GET). Anda dapat menggunakan log aktivitas untuk menemukan kesalahan saat memecahkan masalah atau memantau bagaimana pengguna di organisasi Anda mengubah sumber daya.

Azure Firewall juga menyediakan log diagnostik berikut untuk memberikan informasi tentang aplikasi pelanggan dan aturan jaringan.

Log aturan aplikasi: Setiap koneksi baru yang cocok dengan salah satu aturan aplikasi anda yang dikonfigurasi menghasilkan log untuk koneksi yang diterima/ditolak.

Log aturan jaringan: Setiap koneksi baru yang cocok dengan salah satu aturan jaringan anda yang dikonfigurasi menghasilkan log untuk koneksi yang diterima/ditolak

Catatan: Kedua log dapat disimpan ke akun penyimpanan, dialirkan ke Event Hub dan/atau dikirim ke log Azure Monitor hanya jika diaktifkan untuk setiap Azure Firewall di lingkungan.

Daftar tindakan sumber daya dalam log aktivitas: Operasi Penyedia Sumber Daya Azure Resource Manager

Tanggung Jawab: Pelanggan

2.3: Mengaktifkan pengelogan audit untuk sumber daya Azure

Panduan: Log aktivitas dapat digunakan untuk mengaudit operasi di Azure Firewall dan memantau tindakan pada sumber daya. Log aktivitas berisi semua operasi penulisan (PUT, POST, DELETE) bagi sumber daya Anda (GET). Azure Firewall juga menyediakan log diagnostik berikut untuk memberikan informasi tentang aplikasi pelanggan dan aturan jaringan.

Log aturan aplikasi: Setiap koneksi baru yang cocok dengan salah satu aturan aplikasi anda yang dikonfigurasi menghasilkan log untuk koneksi yang diterima/ditolak.

Log aturan jaringan: Setiap koneksi baru yang cocok dengan salah satu aturan jaringan anda yang dikonfigurasi menghasilkan log untuk koneksi yang diterima/ditolak

Catatan: Kedua log dapat disimpan ke akun penyimpanan, dialirkan ke Hub peristiwa dan/atau dikirim ke log Azure Monitor hanya jika diaktifkan untuk setiap Azure Firewall di lingkungan.

Tanggung Jawab: Pelanggan

2.5: mengkonfigurasikan retensi penyimpanan log keamanan

Panduan: Dalam Azure Monitor, tetapkan periode retensi Ruang Kerja Analitik Log sesuai dengan peraturan kepatuhan organisasi Anda. Retensi data dapat dikonfigurasi dari 30 hingga 730 hari (2 tahun) untuk semua ruang kerja tergantung pada tingkat harga yang dipilih.

Ada 3 opsi untuk menyimpan retensi penyimpanan log:

  • Akun penyimpanan paling baik digunakan untuk log ketika log disimpan untuk durasi yang lebih lama dan ditinjau ketika diperlukan.

  • Event hubs adalah opsi yang bagus untuk mengintegrasikan dengan alat informasi keamanan dan manajemen acara (SEIM) lainnya untuk mendapatkan peringatan tentang sumber daya Anda.

  • Log Azure Monitor paling baik digunakan untuk pemantauan aplikasi Anda secara real-time secara umum atau melihat tren.

Untuk informasi lebih lanjut, lihat tautan referensi di bawah ini.

Tanggung Jawab: Pelanggan

2.6: Memantau dan meninjau log

Panduan:Azure Firewall terintegrasi dengan Azure Monitor untuk melihat dan menganalisis log firewall. Log dapat dikirim ke Analitik Log, Microsoft Azure Storage, atau Event Hubs. Mereka dapat dianalisis di Analitik Log atau dengan alat yang berbeda seperti Excel dan Power BI. Ada beberapa tipe log Azure Firewall yang berbeda.

Log aktivitas dapat digunakan untuk mengaudit operasi di Azure Firewall untuk dan memantau tindakan pada sumber daya. Log aktivitas berisi semua operasi penulisan (PUT, POST, DELETE) bagi sumber daya Anda (GET). Anda dapat menggunakan log aktivitas untuk menemukan kesalahan saat memecahkan masalah atau memantau bagaimana pengguna di organisasi Anda mengubah sumber daya.

Azure Firewall juga menyediakan log diagnostik berikut untuk memberikan informasi tentang aplikasi pelanggan dan aturan jaringan.

Log aturan aplikasi: Setiap koneksi baru yang cocok dengan salah satu aturan aplikasi anda yang dikonfigurasi menghasilkan log untuk koneksi yang diterima/ditolak.

Log aturan jaringan dibuat ketika setiap sambungan baru yang cocok dengan salah satu aturan jaringan anda yang dikonfigurasi menghasilkan log untuk sambungan yang diterima/ditolak

Catatan: Kedua log dapat disimpan ke akun penyimpanan, dialirkan ke Hub peristiwa dan/atau dikirim ke log Azure Monitor hanya jika diaktifkan untuk setiap Azure Firewall di lingkungan.

Log Azure Monitor paling baik digunakan untuk pemantauan aplikasi Anda secara real-time secara umum atau melihat tren.

Tanggung Jawab: Pelanggan

2.7: Mengaktifkan pemberitahuan untuk aktivitas anomali

Panduan: Gunakan Microsoft Defender untuk Cloud dengan Ruang Kerja Log Analytics untuk memantau dan memperingatkan aktivitas anomali yang ditemukan di log dan peristiwa keamanan.

Atau, Anda dapat mengaktifkan dan melakukan onboard data ke Microsoft Sentinel.

Tanggung Jawab: Pelanggan

Identitas dan Layanan Kontrol Akses

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Identitas dan Kontrol Akses.

3.1: Memelihara inventaris akun administratif

Panduan: Azure Active Directory (Azure AD) memiliki peran bawaan yang harus ditetapkan secara eksplisit dan dapat dikueri. Gunakan modul Azure Active Directory PowerShell untuk melakukan kueri ad hoc untuk menemukan akun yang merupakan anggota grup administratif.

Tanggung Jawab: Pelanggan

3.3: Menggunakan akun administratif khusus

Panduan: Buat prosedur operasi standar seputar penggunaan akun administratif khusus. Gunakan Manajemen Akses dan Identitas Microsoft Defender untuk Cloud untuk memantau jumlah akun administratif.

Aktifkan Just-In-Time / Just-Enough-Access dengan menggunakan Peran Istimewa Privileged Identity Management Azure Active Directory (Azure AD) untuk Microsoft Services dan Azure Resource Manager.

Tanggung Jawab: Pelanggan

3.4: Menggunakan akses menyeluruh (SSO) Azure Active Directory

Panduan: Sedapat mungkin, gunakan SSO Azure Active Directory (Azure AD) daripada mengonfigurasi kredensial mandiri individu per layanan. Gunakan rekomendasi Manajemen Identitas dan Akses Microsoft Defender untuk Cloud.

Tanggung Jawab: Pelanggan

3.5: Menggunakan autentikasi multifaktor untuk semua akses berbasis Azure Active Directory

Panduan: Mengaktifkan autentikasi multifaktor Azure Active Directory (Azure AD) dan ikuti rekomendasi Manajemen Akses dan Identitas Microsoft Defender untuk Cloud.

Tanggung Jawab: Pelanggan

3.6: Gunakan komputer khusus (Stasiun Kerja Akses Istimewa) untuk semua tugas administratif

Panduan: Gunakan PAW (workstation dengan akses istimewa) dengan autentikasi multifaktor yang dikonfigurasi untuk masuk dan mengkonfigurasi Azure Firewall dan sumber daya terkait.

Tanggung Jawab: Pelanggan

3.7: Catat dan beri tahu aktivitas mencurigakan dari akun administratif

Panduan: Gunakan laporan keamanan Microsoft Azure Active Directory (Azure AD) untuk pembuatan log dan pemberitahuan saat aktivitas mencurigakan atau tidak aman terjadi di lingkungan. Gunakan Microsoft Defender untuk Cloud untuk memantau aktivitas identitas dan akses.

Tanggung Jawab: Pelanggan

3.8: Mengelola sumber daya Azure hanya dari lokasi yang disetujui

Panduan: Gunakan Akses Bersyarat untuk memungkinkan akses hanya dari pengelompokan logis tertentu dari rentang alamat IP atau negara/wilayah.

Tanggung Jawab: Pelanggan

3.9: Menggunakan Azure Active Directory

Panduan: Gunakan Azure Active Directory (Azure AD) sebagai sistem autentikasi dan otorisasi pusat. Azure Active Directory melindungi data dengan menggunakan enkripsi yang kuat untuk data tidak aktif dan dalam transit. Azure Active Directory juga melakukan salt, hash, dan menyimpan informasi masuk pengguna dengan aman.

Tanggung Jawab: Pelanggan

3.10: Meninjau dan selaraskan akses pengguna secara teratur

Panduan: Azure Active Directory (Azure AD) menyediakan log untuk membantu menemukan akun yang telah kadaluwarsa. Selain itu, gunakan Tinjauan Akses Identitas Azure untuk secara efisien mengelola keanggotaan grup, akses ke aplikasi perusahaan, dan penetapan peran. Akses pengguna dapat ditinjau secara berkala untuk memastikan hanya Pengguna yang tepat yang memiliki akses berkelanjutan.

Tanggung Jawab: Pelanggan

3.11: Memantau percobaan untuk mengakses info masuk yang dinonaktifkan

Panduan: Anda memiliki akses ke sumber log Aktivitas Masuk Azure Active Directory (Azure AD), Audit, dan Peristiwa Risiko, yang memungkinkan Anda untuk berintegrasi dengan SIEM/alat pemantauan apa pun.

Anda dapat menyederhanakan proses ini dengan membuat pengaturan diagnostik untuk akun pengguna Microsoft Azure AD serta mengirim log audit dan log masuk ke ruang kerja Analitik Log. Anda dapat mengonfigurasi pemberitahuan yang diinginkan dalam ruang kerja Analitik Log.

Tanggung Jawab: Pelanggan

3.12: Pemberitahuan pada penyimpangan perilaku masuk akun

Panduan: Gunakan fitur Perlindungan Risiko dan Identitas Azure Active Directory (Azure AD) untuk mengonfigurasi respons otomatis terhadap tindakan mencurigakan yang terdeteksi terkait dengan identitas pengguna. Anda juga dapat menyerap data ke Microsoft Sentinel untuk penyelidikan lebih lanjut.

Tanggung Jawab: Pelanggan

Perlindungan Data

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Perlindungan Data.

4.1: Mempertahankan inventaris Informasi yang sensitif

Panduan: Gunakan tag untuk membantu melacak Azure Firewall dan sumber daya terkait yang menyimpan atau memproses informasi sensitif.

Tanggung Jawab: Pelanggan

4.2: Memisahkan sistem yang menyimpan atau memproses informasi sensitif

Panduan: Menerapkan isolasi menggunakan langganan terpisah dan grup pengelolaan untuk domain keamanan individu seperti jenis lingkungan dan tingkat sensitivitas data. Anda dapat membatasi tingkat akses ke sumber daya Azure Firewall yang diminati aplikasi dan lingkungan perusahaan Anda. Anda dapat mengontrol akses ke sumber daya Azure melalui kontrol akses berbasis peran Azure (Azure RBAC).

Tanggung Jawab: Pelanggan

4.3: Memantau dan memblokir transfer informasi sensitif yang tidak sah

Panduan: Gunakan solusi pihak ketiga dari Marketplace Azure di perimeter jaringan yang memantau transfer informasi sensitif yang tidak sah dan memblokir transfer tersebut sambil memberi tahu profesional keamanan informasi.

Untuk platform dasar yang dikelola oleh Microsoft, Microsoft memperlakukan semua konten pelanggan sebagai konten sensitif dan melindungi dari kehilangan dan paparan data pelanggan. Untuk memastikan data pelanggan dalam Azure tetap aman, Microsoft telah menerapkan dan memelihara rangkaian kontrol dan kemampuan perlindungan data yang kuat.

Tanggung Jawab: Bersama

4.4: Mengenkripsi semua informasi sensitif saat transit

Panduan: Mengenkripsi semua informasi yang bersifat sensitif saat transit. Pastikan bahwa setiap klien yang tersambung ke Azure Firewall Anda dan sumber daya terkait dapat menegosiasikan TLS 1.2 atau yang lebih baru.

Ikuti rekomendasi Microsoft Defender untuk Cloud untuk enkripsi saat tidak aktif dan enkripsi saat transit, jika berlaku.

Tanggung Jawab: Bersama

4.5: Menggunakan alat penemuan aktif untuk mengidentifikasi data sensitif

Panduan: Gunakan alat penemuan aktif pihak ketiga untuk mengidentifikasi semua informasi sensitif yang disimpan di sumber daya Azure menggunakan Azure Firewall dan sumber daya terkait serta memperbarui inventaris informasi sensitif organisasi.

Tanggung Jawab: Bersama

4.6: Menggunakan Azure RBAC untuk mengontrol akses ke sumber daya

Panduan: Gunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk mengontrol akses ke Azure Firewall dan sumber daya terkait.

Tanggung Jawab: Pelanggan

4.8: Mengeknripsi informasi sensitif yang tidak aktif

Panduan: Gunakan enkripsi saat semua sumber daya Azure menggunakan Azure Firewall dan sumber daya terkait. Microsoft merekomendasikan agar Azure dapat mengelola kunci enkripsi Anda, namun ada opsi untuk mengelola kunci Anda sendiri dalam beberapa kasus.

Tanggung Jawab: Pelanggan

4.9: Mencatat dan beritahukan tentang perubahan pada sumber daya Azure yang penting

Panduan: Gunakan Azure Monitor dengan Azure Activity Log untuk membuat peringatan ketika perubahan terjadi di Azure Firewall.

Tanggung Jawab: Pelanggan

Manajemen Inventaris dan Aset

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Inventaris dan Aset.

6.2: Memelihara metadata aset

Panduan: Menerapkan tag ke Azure Firewall dan sumber daya terkait yang memberikan metadata untuk secara logis mengaturnya ke dalam taksonomi.

Tanggung Jawab: Pelanggan

6.3: Menghapus sumber daya Azure yang tidak sah

Panduan: Gunakan penandaan, grup pengelolaan, dan langganan terpisah, jika sesuai, untuk mengatur dan melacak Azure Firewall dan sumber daya terkait. Selaraskan inventaris secara teratur dan pastikan sumber daya yang tidak sah dihapus dari langganan secara tepat waktu.

Tanggung Jawab: Pelanggan

6.4: Menentukan dan mempertahankan inventaris sumber daya Azure yang disetujui

Panduan: Buat inventaris sumber daya Azure Firewall yang disetujui termasuk konfigurasi sesuai kebutuhan organisasi Anda.

Tanggung Jawab: Pelanggan

6.5: Memantau sumber daya Azure yang tidak disetujui

Panduan: Menggunakan Azure Policy untuk memberlakukan batasan pada jenis sumber daya yang dapat dibuat di langganan Anda.

Gunakan Azure Resource Graph untuk mengkueri/menemukan sumber daya Azure Firewall dalam langganan mereka. Pastikan bahwa semua Azure Firewall dan sumber daya terkait yang ada di lingkungan disetujui.

Tanggung Jawab: Pelanggan

6.7: Menghapus sumber daya dan aplikasi perangkat lunak Azure yang tidak disetujui

Panduan: Terapkan proses Anda sendiri untuk menghapus Azure Firewall yang tidak sah dan sumber daya terkait. Anda juga dapat menggunakan solusi pihak ketiga untuk mengidentifikasi Azure Firewall yang tidak disetujui dan sumber daya terkait

Tanggung Jawab: Pelanggan

6.9: Hanya gunakan layanan Azure yang disetujui

Panduan: Gunakan Azure Policy untuk membatasi layanan yang dapat Anda provisikan di lingkungan Anda.

Tanggung Jawab: Pelanggan

6.11: Membatasi kemampuan pengguna untuk berinteraksi dengan Azure Resource Manager

Panduan: Menggunakan Akses Bersyarat Azure untuk membatasi kemampuan pengguna untuk berinteraksi dengan Azure Resource Manager dengan cara mengonfigurasi "Blokir akses" untuk Aplikasi "Microsoft Azure Management".

Tanggung Jawab: Pelanggan

6.13: Mengumpulkan aplikasi berisiko tinggi secara fisik atau logis

Panduan: Aplikasi yang mungkin diperlukan untuk operasi bisnis, atau lingkungan dengan profil risiko yang berbeda untuk organisasi, harus diisolasi dan dipisahkan dengan instans Azure Firewall terpisah.

Tanggung Jawab: Pelanggan

Konfigurasi Aman

Untuk mengetahui informasi lebih lanjut, lihat Azure Security Benchmark: Konfigurasi Aman.

7.1: Menetapkan konfigurasi aman untuk semua sumber daya Azure

Panduan: Azure Resource Manager memiliki kemampuan untuk mengekspor template di JavaScript Object Notation (JSON), yang harus ditinjau untuk memastikan bahwa konfigurasi memenuhi/melampaui persyaratan keamanan untuk organisasi Anda.

Anda juga dapat menggunakan rekomendasi dari Microsoft Defender untuk Cloud sebagai garis besar konfigurasi yang aman untuk sumber daya Azure Anda.

Kebijakan Azure saat ini tidak sepenuhnya didukung untuk Azure Firewall.

Tanggung Jawab: Pelanggan

7.3: Mempertahankan konfigurasi sumber daya Azure yang aman

Panduan: Gunakan kebijakan Azure [tolak] dan [terapkan jika tidak ada] untuk menerapkan setelan aman di Azure Firewall Anda dan sumber daya terkait. Selain itu, Anda dapat menggunakan template Azure Resource Manager untuk mempertahankan konfigurasi keamanan Azure Firewall Anda dan sumber daya terkait yang diperlukan oleh organisasi Anda.

Tanggung Jawab: Pelanggan

7.5: Menyimpan konfigurasi sumber daya Azure dengan aman

Panduan: Gunakan Azure DevOps untuk menyimpan dan mengelola kode Anda dengan aman seperti kebijakan Azure Policy kustom, dan template Azure Resource Manager. Untuk mengakses sumber daya yang Anda kelola di Azure DevOps, Anda dapat memberikan atau menolak izin untuk pengguna tertentu, grup keamanan bawaan, atau grup yang ditentukan di Azure Active Directory (Microsoft Azure AD) jika terintegrasi dengan Azure DevOps, atau Azure Active Directory jika terintegrasi dengan TFS.

Tanggung Jawab: Pelanggan

7.7: Menyebarkan alat manajemen konfigurasi untuk sumber daya Azure

Panduan: Tentukan dan terapkan konfigurasi keamanan standar untuk Azure Firewall dan sumber daya terkait menggunakan Azure Policy. Gunakan alias Azure Policy untuk membuat kebijakan kustom untuk mengaudit atau menerapkan konfigurasi jaringan sumber daya Azure Firewall Anda. Anda juga dapat menggunakan definisi kebijakan bawaan yang terkait dengan sumber daya spesifik Anda.

Tanggung Jawab: Pelanggan

7.12: Mengelola identitas dengan aman dan otomatis

Panduan: Gunakan Identitas Terkelola untuk memberikan layanan Azure dengan identitas terkelola secara otomatis di Azure Active Directory (Azure AD). Identitas Terkelola memungkinkan Anda mengautentikasi ke layanan apa pun yang mendukung autentikasi Microsoft Azure Active Directory ke Azure Resource Manager dan dapat digunakan dengan API/Azure Portal/CLI/PowerShell.

Tanggung Jawab: Pelanggan

7.13: Menghilangkan paparan info masuk yang tidak diinginkan

Panduan: Terapkan Pemindai Informasi masuk untuk mengidentifikasi informasi masuk dalam kode. Pemindai informasi masuk juga akan mendorong pemindahan informasi masuk yang ditemukan ke lokasi yang lebih aman seperti Azure Key Vault.

Tanggung Jawab: Pelanggan

Pemulihan Data

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pemulihan Data.

9.1: Memastikan pencadangan otomatis secara teratur

Panduan: Gunakan Azure Resource Manager untuk mengekspor Azure Firewall dan sumber daya terkait dalam template JavaScript Object Notation (JSON) yang dapat digunakan sebagai cadangan untuk Azure Firewall dan konfigurasi terkait. Anda juga dapat mengekspor konfigurasi kebijakan firewall menggunakan fitur template ekspor Azure Firewall dari portal Microsoft Azure. Gunakan Azure Automation untuk menjalankan skrip cadangan secara otomatis.

Tanggung Jawab: Pelanggan

9.2: Melakukan pencadangan sistem lengkap dan cadangkan kunci yang dikelola pelanggan

Panduan: Gunakan Azure Resource Manager untuk mengekspor Azure Firewall dan sumber daya terkait dalam template JavaScript Object Notation (JSON) yang dapat digunakan sebagai cadangan untuk Azure Firewall dan konfigurasi terkait. Anda juga dapat mengekspor konfigurasi kebijakan firewall menggunakan fitur template ekspor Azure Firewall dari portal Microsoft Azure.

Tanggung Jawab: Pelanggan

9.3: Memvalidasi semua cadangan termasuk kunci yang dikelola pelanggan

Panduan: Pastikan kemampuan untuk melakukan pemulihan secara berkala menggunakan file yang didukung template Azure Resource Manager.

Tanggung Jawab: Pelanggan

9.4: Memastikan adanya perlindungan cadangan dan kunci yang dikelola pelanggan

Panduan: Gunakan Azure DevOps untuk menyimpan dan mengelola kode Anda dengan aman seperti Azure Policy kustom dan template Azure Resource Manager. Untuk melindungi sumber daya yang Anda kelola di Azure DevOps, Anda bisa memberikan atau menolak izin untuk pengguna tertentu, grup keamanan bawaan, atau grup yang ditentukan di Azure Active Directory (Microsoft Azure Active Directory) jika terintegrasi dengan Azure DevOps, atau Active Directory jika terintegrasi dengan TFS.

Tanggung Jawab: Pelanggan

Respons Insiden

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Respons Insiden.

10.1: Membuat panduan tanggap insiden

Panduan: Buat panduan respons insiden untuk organisasi Anda. Pastikan terdapat rencana respons insiden tertulis yang menentukan semua peran personel serta fase penanganan/manajemen insiden dari deteksi hingga ulasan pasca-insiden.

Tanggung Jawab: Pelanggan

10.2: Membuat prosedur penilaian dan prioritas insiden

Panduan: Microsoft Defender untuk Cloud menetapkan tingkat keparahan untuk setiap pemberitahuan guna membantu Anda memprioritaskan pemberitahuan yang harus diselidiki terlebih dahulu. Tingkat keparahan didasarkan pada seberapa yakin Microsoft Defender untuk Cloud dalam temuan atau analitik yang digunakan untuk menerbitkan peringatan sekaligus tingkat keyakinan bahwa terdapat niat jahat di balik aktivitas yang mengarah pada peringatan tersebut.

Selain itu, tandai langganan dengan jelas (misalnya, produksi, non-produksi) menggunakan tag dan buat sistem penamaan untuk mengidentifikasi dan mengategorikan sumber daya Azure dengan jelas, terutama data sensitif pemrosesan. Anda bertanggung jawab untuk memprioritaskan remediasi pemberitahuan berdasarkan tingkat kepentingan sumber daya dan lingkungan Azure tempat insiden terjadi.

Tanggung Jawab: Pelanggan

10.3: Menguji prosedur respons keamanan

Panduan: Lakukan latihan untuk menguji kemampuan respons insiden sistem Anda secara rutin untuk membantu melindungi sumber daya Azure Anda. Identifikasi titik lemah dan celah, lalu revisi rencana sesuai kebutuhan.

Tanggung Jawab: Pelanggan

10.4: Memberikan detail kontak insiden keamanan dan konfigurasi notifikasi peringatan untuk insiden keamanan

Panduan: Informasi kontak insiden keamanan akan digunakan oleh Microsoft untuk menghubungi Anda jika Microsoft Security Response Center (MSRC) menemukan bahwa data Anda telah diakses oleh pihak yang tidak sah atau tidak berwenang. Tinjau insiden setelah fakta untuk memastikan bahwa masalah terselesaikan.

Tanggung Jawab: Pelanggan

10.5: Menggabungkan pemberitahuan keamanan ke dalam sistem respons insiden Anda

Panduan: Mengekspor peringatan dan rekomendasi Microsoft Defender untuk Cloud Anda menggunakan fitur Ekspor Berkelanjutan guna membantu mengidentifikasi risiko terhadap sumber daya Azure.

Ekspor Berkelanjutan memungkinkan Anda untuk mengekspor pemberitahuan dan rekomendasi baik secara manual maupun berkelanjutan. Anda dapat menggunakan konektor data Microsoft Defender untuk Cloud guna mengalirkan peringatan ke Microsoft Sentinel.

Tanggung Jawab: Pelanggan

10.6: Mengotomatiskan respons terhadap pemberitahuan keamanan

Panduan: Menggunakan fitur Azure Automation Alur Kerja di Microsoft Defender untuk Cloud guna secara otomatis memicu respons melalui "Logic Apps" pada peringatan dan rekomendasi keamanan untuk melindungi sumber daya Azure Anda.

Tanggung Jawab: Pelanggan

Uji Penetrasi dan Latihan Red Team

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Uji Penetrasi dan Latihan Red Team.

11.1: Melakukan uji penetrasi sumber daya Azure secara rutin dan memastikan remediasi semua temuan keamanan yang penting

Panduan: Ikuti Aturan Keterlibatan Microsoft untuk memastikan Uji Penetrasi Anda tidak melanggar kebijakan Microsoft. Gunakan strategi Microsoft dan pelaksanaan Red Team, serta uji penetrasi situs langsung terhadap prasarana, layanan, dan aplikasi cloud yang dikelola Microsoft.

Tanggung Jawab: Bersama

Langkah berikutnya