Garis besar keamanan Azure untuk Azure Resource Graph

Garis besar keamanan ini menerapkan panduan dari Azure Security Benchmark versi 2.0 ke Azure Resource Graph. Azure Security Benchmark memberikan rekomendasi tentang cara Anda mengamankan solusi cloud Anda di Azure. Konten dikelompokkan berdasarkan kontrol keamanan yang ditentukan oleh Azure Security Benchmark dan panduan terkait yang berlaku untuk Azure Resource Graph.

Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini, untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Azure Security Benchmark. Beberapa rekomendasi mungkin memerlukan paket Pertahanan Microsoft berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol yang tidak berlaku untuk Azure Resource Graph, dan kontrol yang direkomendasikan oleh panduan global kata demi kata, telah dikecualikan. Untuk melihat bagaimana Azure Resource Graph dipetakan sepenuhnya ke Azure Security Benchmark, lihat file pemetaan garis besar keamanan Azure Resource Graph lengkap.

Manajemen Identitas

Untuk informasi lebih lanjut, lihat Azure Security Benchmark : Manajemen Identitas.

IM-1: Menstandarkan Microsoft Azure Active Directory sebagai pusat sistem identitas dan autentikasi

Panduan: Azure Resource Graph menggunakan Azure Active Directory (Azure AD) sebagai layanan manajemen akses dan identitas default. Lakukan standardisasi pada Azure Active Directory untuk mengatur identitas dan manajemen akses organisasi Anda:

  • Sumber daya Microsoft Cloud. Sumber daya meliputi:

    • Portal Microsoft Azure

    • Azure Storage

    • Mesin virtual Windows dan Linux Azure

    • Azure Key Vault

    • Platform-as-a-service (PaaS)

    • Aplikasi software as a service (SaaS)

  • Sumber daya organisasi Anda, seperti aplikasi di Azure atau sumber daya jaringan perusahaan Anda.

Mengamankan Azure AD harus menjadi prioritas utama dalam praktik keamanan cloud organisasi Anda. Azure AD memberikan skor keamanan identitas untuk membantu Anda membandingkan postur keamanan identitas Anda dengan rekomendasi praktik terbaik Microsoft. Gunakan skor untuk mengukur seberapa dekat konfigurasi Anda cocok dengan rekomendasi praktik terbaik, dan untuk melakukan peningkatan dalam postur keamanan Anda.

Catatan: Azure AD mendukung identitas eksternal yang memungkinkan pengguna tanpa akun Microsoft untuk masuk ke aplikasi dan sumber daya mereka.

Pelanggan berkomunikasi dengan Azure Resource Graph melalui Azure Resource Manager. Pelanggan harus menyediakan token Azure AD yang valid untuk semua komunikasi mereka.

Tanggung Jawab: Pelanggan

IM-3: Menggunakan akses menyeluruh (SSO) Microsoft Azure AD untuk akses aplikasi

Panduan: Menyambungkan pengguna, aplikasi, dan perangkat Anda ke Azure AD. Azure AD menawarkan akses yang mulus, aman, serta visibilitas dan kontrol yang lebih besar. Azure Resource Graph menggunakan Azure AD untuk menyediakan manajemen identitas dan akses untuk sumber daya Azure, aplikasi cloud, dan aplikasi lokal. Identitas termasuk identitas perusahaan seperti karyawan, dan identitas eksternal seperti mitra, vendor, dan pemasok. Manajemen identitas dan akses Azure AD menyediakan akses menyeluruh (SSO) untuk mengelola dan mengamankan akses ke data dan sumber daya lokal dan cloud organisasi Anda.

Tanggung Jawab: Pelanggan

Akses dengan Hak Istimewa

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Akses dengan Hak Istimewa.

PA-7: Mengikuti prinsip hak istimewa paling sedikit dari administrasi yang cukup

Panduan: Azure Resource Graph terintegrasi dengan Azure RBAC untuk mengelola sumber dayanya. Dengan RBAC, Anda mengelola akses sumber daya Azure melalui penetapan peran. Anda dapat menetapkan peran ke pengguna, grup, perwakilan layanan, dan identitas terkelola. Sumber daya tertentu memiliki peran bawaan yang telah ditentukan sebelumnya. Anda dapat menginventarisasi atau mengkueri peran ini melalui alat seperti Azure CLI, Azure PowerShell, atau portal Azure. Batasi hak istimewa yang Anda tetapkan ke sumber daya melalui Azure RBAC sesuai kebutuhan peran. Praktik ini melengkapi pendekatan just-in-time (JIT) dari Azure AD PIM. Tinjau peran dan tugas secara berkala.

Gunakan peran bawaan untuk mengalokasikan izin dan hanya buat peran kustom jika diperlukan.

Tanggung Jawab: Pelanggan

PA-8: Memilih proses persetujuan untuk dukungan Microsoft

Panduan: Tidak berlaku. Azure Resource Graph tidak mendukung akun administrasi berbasis peran apa pun.

Azure Resource Graph tidak menyimpan data yang dapat diakses pelanggan. Microsoft dapat mengakses metadata sumber daya platform selama kasus dukungan terbuka tanpa menggunakan alat lain.

Tanggung Jawab: Pelanggan

Manajemen Aset

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Aset.

AM-1: Memastikan tim keamanan memiliki visibilitas terhadap risiko untuk aset

Panduan: Pastikan tim keamanan diberikan izin Pembaca Keamanan di penyewa dan langganan Azure Anda, sehingga mereka dapat memantau risiko keamanan menggunakan Microsoft Defender untuk Cloud.

Pemantauan untuk risiko keamanan dapat menjadi tanggung jawab tim keamanan pusat atau tim lokal, tergantung cara Anda menyusun tanggung jawab. Selalu agregasikan wawasan dan risiko keamanan secara terpusat dalam suatu organisasi.

Anda dapat menerapkan izin Security Reader secara luas ke seluruh Grup Manajemen Root penyewa, atau izin cakupan ke grup atau langganan manajemen tertentu.

Catatan: Mendapatkan visibilitas ke dalam beban kerja dan layanan mungkin memerlukan lebih banyak izin.

Tanggung Jawab: Pelanggan

AM-2: Memastikan tim keamanan memiliki akses ke inventaris aset dan metadata

Panduan: Pastikan tim keamanan memiliki akses ke inventaris aset yang terus diperbarui di Azure, seperti Azure Resource Graph. Tim keamanan sering membutuhkan inventaris ini untuk mengevaluasi potensi paparan organisasi mereka terhadap risiko yang timbul, dan sebagai input untuk terus meningkatkan keamanan. Buat grup Azure AD untuk mencakup tim keamanan resmi organisasi Anda. dan tetapkan akses baca ke semua sumber daya Azure Resource Graph. Anda dapat menyederhanakan proses dengan satu penetapan peran tingkat tinggi dalam langganan Anda.

Menerapkan tag ke sumber daya Azure, grup sumber daya, dan langganan Anda untuk mengaturnya secara logis ke dalam taksonomi. Setiap tag terdiri dari pasangan nilai dan nama. Misalnya, Anda dapat menerapkan nama "Lingkungan" dan nilai "Produksi" ke semua sumber daya dalam produksi.

Gunakan Inventaris Azure Virtual Machine untuk mengotomatiskan pengumpulan informasi tentang perangkat lunak pada mesin virtual (VM). Nama Perangkat Lunak, Versi, Penerbit, dan Waktu Refresh tersedia dari portal Azure. Untuk mengakses tanggal penginstalan dan informasi lainnya, aktifkan diagnostik tingkat tamu dan impor Log Peristiwa Windows ke ruang kerja Log Analytics.

Azure Resource Graph tidak mengizinkan untuk menjalankan aplikasi atau menginstal perangkat lunak pada sumber dayanya.

Tanggung Jawab: Pelanggan

AM-3: Hanya gunakan layanan Azure yang disetujui

Panduan: Gunakan Azure Policy untuk mengaudit dan membatasi layanan yang dapat disediakan pengguna di lingkungan Anda. Gunakan Azure Resource Graph untuk mengkueri dan menemukan sumber daya dalam langganan Anda. Anda juga dapat menggunakan Azure Monitor untuk membuat aturan yang memicu pemberitahuan saat layanan yang tidak disetujui terdeteksi.

Tanggung Jawab: Pelanggan

Pengelogan dan Deteksi Ancaman

Untuk mengetahui informasi selengkapnya, lihat Tolok ukur Keamanan Azure: Pengelogan dan Deteksi Ancaman.

LT-2: Mengaktifkan deteksi ancaman untuk identitas Azure dan manajemen akses

Panduan: Azure AD menyediakan log pengguna berikut. Anda dapat melihat log dalam pelaporan Azure AD. Anda dapat berintegrasi dengan Azure Monitor, Microsoft Sentinel, atau SIEM dan alat pemantauan lainnya untuk kasus penggunaan pemantauan dan analitik yang canggih.

  • Kredensial masuk - Memberikan informasi tentang penggunaan aplikasi terkelola dan aktivitas masuk pengguna.

  • Log audit - Menyediakan keterlacakan melalui log untuk semua perubahan yang dibuat oleh berbagai fitur Azure AD. Log audit menyertakan perubahan yang dilakukan pada sumber daya apa pun dalam Azure AD. Perubahan tersebut termasuk menambahkan atau menghapus pengguna, aplikasi, grup, peran, dan kebijakan.

  • Proses masuk riskan - Indikator untuk upaya masuk oleh seseorang yang mungkin bukan pemilik akun pengguna yang sah.

  • Pengguna ditandai untuk risiko - Indikator untuk akun pengguna yang mungkin telah disusupi.

Microsoft Defender untuk Cloud juga dapat memberi tahu Anda tentang aktivitas mencurigakan tertentu seperti terlalu banyak upaya autentikasi yang gagal. Akun yang tidak digunakan lagi dalam langganan juga dapat memicu peringatan. Microsoft Defender untuk Cloud juga dapat memperingatkan Anda tentang aktivitas mencurigakan seperti upaya autentikasi yang gagal dalam jumlah berlebihan, atau tentang akun yang tidak digunakan lagi.

Selain pemantauan kebersihan keamanan dasar, modul Perlindungan Ancaman Microsoft Defender untuk Cloud dapat mengumpulkan peringatan keamanan yang lebih mendalam dari:

  • Sumber daya komputasi Azure individual seperti VM, kontainer, dan layanan aplikasi

  • Sumber daya data seperti Azure SQL Database dan Azure Storage

  • Lapisan layanan Azure

Kemampuan ini memberi Anda visibilitas pada anomali akun di masing-masing sumber daya.

Tanggung Jawab: Pelanggan

Manajemen Postur dan Kerentanan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Postur dan Kerentanan.

PV-3: Menetapkan konfigurasi yang aman untuk sumber daya komputasi

Panduan: Gunakan Microsoft Defender untuk Cloud dan Azure Policy untuk membuat konfigurasi yang aman di semua sumber daya komputasi, termasuk VM dan kontainer.

Tanggung Jawab: Pelanggan

Langkah berikutnya