Garis besar keamanan Azure untuk Customer Lockbox for Microsoft Azure

Garis besar keamanan ini menerapkan panduan dari Azure Security Benchmark versi 1.0 ke Customer Lockbox. Tolok Ukur Keamanan Azure memberikan rekomendasi tentang cara mengamankan solusi cloud Anda di Azure. Konten dikelompokkan berdasarkan kontrol keamanan yang ditentukan oleh Tolok Ukur Keamanan Azure dan panduan terkait yang berlaku untuk Customer Lockbox.

Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini, untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Tolok Ukur Keamanan Azure. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol yang tidak berlaku untuk Customer Lockbox untuk Microsoft Azure, atau yang menjadi tanggung jawab Microsoft, telah dikecualikan. Untuk melihat bagaimana Customer Lockbox untuk Microsoft Azure memetakan sepenuhnya ke Azure Security Benchmark, lihat file pemetaan garis besar keamanan Customer Lockbox untuk Microsoft Azure secara lengkap.

Pengelogan dan Pemantauan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pengelogan dan Pemantauan.

2.2: Konfigurasikan manajemen log keamanan pusat

Panduan: Log audit untuk Customer Lockbox secara otomatis diaktifkan dan dikelola dalam Log Aktivitas Azure. Anda dapat melihat data ini dengan mengalirkannya dari log Aktivitas Azure ke ruang kerja Analitik Log tempat Anda kemudian dapat melakukan penelitian dan analitik.

Onboard log aktivitas yang dihasilkan oleh Customer Lockbox ke Microsoft Sentinel atau SIEM lain untuk mengaktifkan agregasi dan manajemen log pusat.

Tanggung Jawab: Pelanggan

2.3: Mengaktifkan pengelogan audit untuk sumber daya Azure

Panduan: Log audit untuk Customer Lockbox secara otomatis diaktifkan dan dikelola dalam Log Aktivitas Azure. Anda dapat melihat data ini dengan mengalirkannya dari log Aktivitas Azure ke ruang kerja Analitik Log tempat Anda kemudian dapat melakukan penelitian dan analitik.

Tanggung Jawab: Pelanggan

2.5: Konfigurasikan retensi penyimpanan log keamanan

Panduan: Di Azure Monitor, atur periode retensi log untuk ruang kerja Analitik Log yang terkait dengan Customer Lockbox Anda sesuai dengan peraturan kepatuhan organisasi Anda.

Tanggung Jawab: Pelanggan

2.6: Memantau dan mengulas log

Panduan: Log audit untuk Customer Lockbox secara otomatis diaktifkan dan dikelola dalam Log Aktivitas Azure. Anda dapat melihat data ini dengan mengalirkannya dari log Aktivitas Azure ke ruang kerja Analitik Log tempat Anda kemudian dapat melakukan penelitian dan analitik. Analisis dan pantau log dari permintaan Customer Lockbox Anda untuk melihat perilaku anomali. Gunakan bagian "Log" di ruang kerja Microsoft Sentinel Anda untuk melakukan kueri atau membuat peringatan berdasarkan log Customer Lockbox Anda.

Tanggung Jawab: Pelanggan

2.7: Mengaktifkan pemberitahuan untuk aktivitas anomali

Panduan: Log audit untuk Customer Lockbox secara otomatis diaktifkan dan dikelola dalam Log Aktivitas Azure. Anda dapat melihat data ini dengan mengalirkannya dari log Aktivitas Azure ke ruang kerja Analitik Log tempat Anda kemudian dapat melakukan penelitian dan analitik. Analisis dan pantau log dari permintaan Customer Lockbox Anda untuk melihat perilaku anomali. Gunakan bagian "Log" di ruang kerja Microsoft Sentinel Anda untuk melakukan kueri atau membuat peringatan berdasarkan log Customer Lockbox Anda.

Tanggung Jawab: Pelanggan

Identitas dan Layanan Kontrol Akses

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Identitas dan Kontrol Akses.

3.1: Memelihara inventaris akun administratif

Panduan: Memelihara inventaris akun pengguna yang memiliki akses administratif ke Customer Lockbox Anda. Anda dapat menggunakan panel Identitas dan Kontrol Akses (IAM) di portal Azure bagi langganan Anda untuk mengonfigurasikan kontrol akses berbasis peran Azure (Azure RBAC). Peran diterapkan pada pengguna, grup, perwakilan layanan, dan identitas terkelola di Azure Active Directory (Azure AD).

Di organisasi pelanggan, pengguna yang memiliki peran Pemilik untuk langganan Azure menerima email dari Microsoft, untuk memberitahu mereka tentang permintaan akses yang tertunda. Untuk permintaan Customer Lockbox, orang ini adalah yang ditunjuk sebagai pemberi persetujuan.

Tanggung Jawab: Pelanggan

3.2: Ubah kata sandi default jika berlaku

Panduan: Azure Active Directory (Azure AD) tidak memiliki konsep kata sandi default. Sumber daya Azure lainnya yang memerlukan kata sandi mengharuskan kata sandi dibuat dengan persyaratan kompleksitas dan panjang kata sandi minimum, yang berbeda bergantung pada layanan. Anda bertanggung jawab atas aplikasi pihak ketiga dan layanan marketplace yang dapat menggunakan kata sandi default.

Tanggung Jawab: Pelanggan

3.3: Menggunakan akun administratif khusus

Panduan: Buat prosedur operasi standar seputar penggunaan akun administratif khusus. Gunakan Manajemen Akses dan Identitas Microsoft Defender untuk Cloud untuk memantau jumlah akun administratif.

Selain itu, untuk membantu Anda melacak akun administratif khusus, Anda dapat menggunakan rekomendasi dari Microsoft Defender untuk Cloud atau Kebijakan Azure bawaan, seperti:

Tanggung Jawab: Pelanggan

3.4: Menggunakan akses menyeluruh (SSO) Azure Active Directory

Panduan: Tidak berlaku; akses ke Customer Lockbox adalah melalui portal Azure dan dicadangkan untuk akun dengan peran penyewa Pemilik. Akses menyeluruh tidak didukung.

Tanggung Jawab: Pelanggan

3.5: Menggunakan autentikasi multifaktor untuk semua akses berbasis Azure Active Directory

Panduan: Mengaktifkan Autentikasi Multifaktor Microsoft Azure AD dan mengikuti rekomendasi Manajemen Identitas dan Akses Microsoft Defender untuk Cloud.

Tanggung Jawab: Pelanggan

3.6: Menggunakan stasiun kerja yang aman dan dikelola Azure untuk tugas-tugas administratif

Panduan: Gunakan Stasiun Kerja Akses Hak Istimewa (PAW) dengan Autentikasi Multi-Faktor Azure AD yang diaktifkan untuk masuk dan mengonfigurasi permintaan Customer Lockbox Anda.

Tanggung Jawab: Pelanggan

3.7: Mencatat dan memberitahu aktivitas mencurigakan dari akun administratif

Panduan: Gunakan Azure Active Directory (Azure AD) Privileged Identity Management (PIM) untuk membuat log dan pemberitahuan ketika kegiatan yang mencurigakan atau tidak aman terjadi dalam lingkungan.

Selain itu, gunakan deteksi risiko Azure AD untuk menampilkan pemberitahuan dan laporan tentang perilaku pengguna yang berisiko.

Tanggung Jawab: Pelanggan

3.8: Mengelola sumber daya Azure hanya dari lokasi yang disetujui

Panduan: Gunakan lokasi bernama Akses Bersyarat untuk mengizinkan akses ke portal Azure hanya dari pengelompokan logis tertentu dari rentang alamat IP atau negara/wilayah.

Tanggung Jawab: Pelanggan

3.9: Menggunakan Azure Active Directory

Panduan: Gunakan Azure Active Directory (Azure AD) sebagai sistem autentikasi dan otorisasi pusat jika berlaku. Azure AD melindungi data menggunakan enkripsi yang kuat untuk data tidak aktif dan dalam transit. Azure Active Directory juga melakukan salt, hash, dan menyimpan informasi masuk pengguna dengan aman.

Tanggung Jawab: Pelanggan

3.10: Tinjau dan selaraskan akses pengguna secara teratur

Panduan: Azure Active Directory (Azure AD) menyediakan log untuk membantu Anda menemukan akun kedaluwarsa. Selain itu, gunakan ulasan akses Azure AD untuk secara efisien mengelola keanggotaan grup, akses ke aplikasi perusahaan, dan penetapan peran. Akses pengguna dapat diulas secara rutin untuk memastikan hanya pengguna yang tepat yang memiliki akses berkelanjutan.

Tanggung Jawab: Pelanggan

3.11: Memantau percobaan untuk mengakses info masuk yang dinonaktifkan

Panduan: Gunakan Azure Active Directory (Azure AD) sebagai sistem autentikasi dan otorisasi pusat jika berlaku. Azure AD melindungi data menggunakan enkripsi yang kuat untuk data tidak aktif dan dalam transit. Azure Active Directory juga menyembunyikan, menyamarkan, dan menyimpan informasi masuk pengguna dengan aman.

Anda memiliki akses ke aktivitas masuk, audit, dan sumber log peristiwa risiko Azure AD, yang memungkinkan Anda berintegrasi dengan Microsoft Sentinel atau SIEM pihak ketiga.

Anda dapat mempermudah proses ini dengan membuat pengaturan diagnostik untuk akun pengguna Azure AD dan mengirim log audit dan log rincian masuk ke ruang kerja Log Analytics. Anda dapat mengonfigurasikan pemberitahuan log yang diinginkan dalam Analitik Log.

Tanggung Jawab: Pelanggan

3.12: Beritahukan tentang penyimpangan perilaku masuk akun

Panduan: Untuk penyimpangan perilaku masuk akun pada sarana kontrol (misalnya portal Azure), gunakan fitur perlindungan identitas dan deteksi risiko Azure Active Directory (Azure AD) untuk mengonfigurasikan respons otomatis terhadap tindakan mencurigakan yang terdeteksi terkait dengan identitas pengguna. Anda juga dapat menyerap data ke Microsoft Sentinel untuk penyelidikan lebih lanjut.

Tanggung Jawab: Pelanggan

Perlindungan Data

Untuk informasi selengkapnya, lihat Tolok Ukur Keamanan Azure: Perlindungan Data.

4.6: Gunakan kontrol akses berbasis peran untuk mengontrol akses ke sumber daya

Panduan: Persetujuan permintaan Customer Lockbox diberikan kepada pengguna yang memegang peran Pemilik di tingkat penyewa.

Tanggung Jawab: Pelanggan

4.9: Catat dan beritahukan tentang perubahan pada sumber daya Azure yang penting

Panduan: Log audit untuk Customer Lockbox secara otomatis diaktifkan dan dikelola dalam Log Aktivitas Azure. Gunakan Log Aktivitas Azure untuk memantau dan mendeteksi perubahan pada sumber daya Azure Customer Lockbox. Buat pemberitahuan dalam Azure Monitor yang akan terpicu saat terjadi perubahan pada sumber daya penting.

Tanggung Jawab: Pelanggan

Manajemen Inventaris dan Aset

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Inventaris dan Aset.

6.1: Menggunakan solusi penemuan aset otomatis

Panduan: Gunakan Azure Resource Graph untuk membuat kueri/menemukan semua sumber daya (seperti komputasi, penyimpanan, jaringan, port, dan protokol, dll.) dalam langganan Anda. Pastikan Anda memiliki izin (baca) yang sesuai di penyewa dan hitung semua langganan Azure serta sumber daya dalam langganan Anda.

Meskipun sumber daya Azure klasik dapat ditemukan melalui Azure Resource Graph, Anda direkomendasikan untuk membuat dan menggunakan sumber daya Azure Resource Manager.

Tanggung Jawab: Pelanggan

6.3: Menghapus sumber daya Azure yang tidak sah

Panduan: Gunakan pemberian tag, grup manajemen, dan langganan terpisah, jika sesuai, untuk menata dan melacak sumber daya Azure. Sesuaikan inventaris secara teratur dan pastikan sumber daya yang tidak sah dihapus dari langganan secara tepat waktu.

Selain itu, gunakan Azure Policy untuk memberlakukan batasan pada jenis sumber daya yang dapat dibuat dalam langganan pelanggan menggunakan definisi kebijakan bawaan berikut ini:

  • Jenis sumber daya yang tidak diizinkan
  • Jenis sumber daya yang diizinkan

Untuk informasi selengkapnya, lihat referensi berikut ini:

Tanggung Jawab: Pelanggan

6.5: Memantau sumber daya Azure yang tidak disetujui

Panduan: Menggunakan Azure Policy untuk memberlakukan batasan pada jenis sumber daya yang dapat dibuat di langganan Anda.

Menggunakan Azure Resource Graph untuk melakukan kueri/menemukan sumber daya dalam langganan mereka. Pastikan bahwa semua sumber daya Azure yang berada di lingkungan disetujui.

Tanggung Jawab: Pelanggan

6.9: Hanya gunakan layanan Azure yang disetujui

Panduan: Gunakan Azure Policy untuk memberikan batasan pada jenis sumber daya yang dapat dibuat dalam langganan menggunakan definisi kebijakan bawaan berikut:

  • Jenis sumber daya yang tidak diizinkan
  • Jenis sumber daya yang diizinkan

Untuk informasi selengkapnya, lihat referensi berikut ini:

Tanggung Jawab: Pelanggan

6.11: Membatasi kemampuan pengguna untuk berinteraksi dengan Azure Resource Manager

Panduan: Konfigurasikan Akses Bersyarat Azure untuk membatasi kemampuan pengguna untuk berinteraksi dengan Azure Resource Manager dengan mengonfigurasi "Blokir akses" untuk Aplikasi "Microsoft Azure Management".

Tanggung Jawab: Pelanggan

Konfigurasi Aman

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Konfigurasi Aman.

7.13: Menghapus paparan informasi masuk yang tidak diinginkan

Panduan: Terapkan Pemindai Informasi masuk untuk mengidentifikasi informasi masuk dalam kode. Pemindai informasi masuk juga akan mendorong pemindahan informasi masuk yang ditemukan ke lokasi yang lebih aman seperti Azure Key Vault.

Tanggung Jawab: Pelanggan

Pertahanan Malware

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pertahanan Malware.

8.2: Lakukan prapemindaian pada file yang akan diunggah ke sumber daya Azure non-komputasi

Panduan: Anti-malware Microsoft diaktifkan pada host yang mendasarinya yang mendukung layanan Azure seperti Customer Lockbox.

Anda bertanggung jawab untuk melakukan pra-pemindaian konten apa pun yang diunggah ke sumber daya Azure non-komputasi. Microsoft tidak dapat mengakses data pelanggan, dan karenanya tidak dapat melakukan pemindaian anti-malware konten pelanggan atas nama Anda.

Tanggung Jawab: Pelanggan

Respons Insiden

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Respons Insiden.

10.1: Membuat panduan tanggap insiden

Panduan: Buat panduan respons insiden untuk organisasi Anda. Pastikan terdapat rencana respons insiden tertulis yang menentukan semua peran personel serta fase penanganan/manajemen insiden dari deteksi hingga ulasan pasca-insiden.

Tanggung Jawab: Pelanggan

10.2: Membuat prosedur penilaian dan prioritas insiden

Panduan: Microsoft Defender untuk Cloud menetapkan tingkat keparahan untuk setiap pemberitahuan guna membantu Anda memprioritaskan pemberitahuan yang harus diselidiki terlebih dahulu. Tingkat keparahan didasarkan pada seberapa yakin Microsoft Defender untuk Cloud dalam temuan atau metrik yang digunakan untuk mengeluarkan peringatan sekaligus tingkat keyakinan bahwa terdapat niat jahat di balik aktivitas yang mengarah pada peringatan.

Selain itu, tandai langganan dengan jelas (misalnya, produksi, non-produksi) dan buat sistem penamaan untuk mengidentifikasi dan mengategorikan sumber daya Azure dengan jelas.

Tanggung Jawab: Pelanggan

10.3: Menguji prosedur respons keamanan

Panduan: Lakukan latihan untuk menguji kemampuan respons insiden sistem Anda dalam interval reguler. Identifikasi titik lemah dan celah, lalu revisi rencana sesuai kebutuhan.

Tanggung Jawab: Pelanggan

10.4: Memberikan detail kontak insiden keamanan dan konfigurasi notifikasi peringatan untuk insiden keamanan

Panduan: Informasi kontak insiden keamanan akan digunakan oleh Microsoft untuk menghubungi Anda jika Microsoft Security Response Center (MSRC) mendapati bahwa data pelanggan telah diakses oleh pihak yang melanggar hukum atau tidak berwenang. Tinjau insiden setelah fakta untuk memastikan bahwa masalah terselesaikan.

Tanggung Jawab: Pelanggan

10.5: Menggabungkan pemberitahuan keamanan ke dalam sistem respons insiden Anda

Panduan: Mengekspor pemberitahuan dan rekomendasi Microsoft Defender untuk Cloud Anda menggunakan fitur Ekspor Berkelanjutan. Ekspor Berkelanjutan memungkinkan Anda untuk mengekspor pemberitahuan dan rekomendasi baik secara manual maupun berkelanjutan. Anda dapat menggunakan konektor data Microsoft Defender untuk Cloud guna mengalirkan peringatan ke Microsoft Sentinel.

Tanggung Jawab: Pelanggan

10.6: Mengotomatiskan respons terhadap pemberitahuan keamanan

Panduan: Menggunakan fitur Automasi Alur Kerja di Microsoft Defender untuk Cloud guna memicu respons secara otomatis melalui "Logic Apps" terhadap pemberitahuan dan rekomendasi keamanan.

Tanggung Jawab: Pelanggan

Uji Penetrasi dan Latihan Red Team

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Uji Penetrasi dan Latihan Red Team.

11.1: Melakukan uji penetrasi rutin sumber daya Azure Anda dan memastikan remediasi semua temuan keamanan yang penting

Panduan: Ikuti Aturan Keterlibatan Uji Penetrasi Microsoft Cloud untuk memastikan bahwa uji penetrasi Anda tidak melanggar kebijakan Microsoft. Gunakan strategi Microsoft dan eksekusi Red Team, serta uji penetrasi langsung terhadap infrastruktur, layanan, dan aplikasi cloud yang dikelola Microsoft.

Tanggung Jawab: Bersama

Langkah berikutnya