Garis besar keamanan Azure untuk Azure Stack Edge

Garis besar keamanan ini menerapkan panduan dari Azure Security Benchmark versi 2.0 ke Microsoft Azure Stack Edge. Azure Security Benchmark memberikan rekomendasi tentang cara Anda mengamankan solusi cloud Anda di Azure. Konten dikelompokkan berdasarkan kontrol keamanan yang ditentukan oleh Azure Security Benchmark dan panduan terkait yang berlaku untuk Azure Stack Edge.

Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini, untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Azure Security Benchmark. Beberapa rekomendasi mungkin memerlukan paket Pertahanan Microsoft berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol yang tidak berlaku untuk Azure Stack Edge, dan dengan pedoman global yang direkomendasikan secara verbatim, telah dikecualikan. Untuk melihat cara Azure Stack Edge melakukan pemetaan sepenuhnya ke Azure Security Benchmark, lihat file lengkap pemetaan garis besar keamanan Azure Stack Edge.

Keamanan Jaringan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Jaringan.

NS-1: Menerapkan keamanan untuk lalu lintas internal

Panduan: Pelanggan menyebarkan perangkat Azure Stack Edge fisik yang disediakan Microsoft ke jaringan privat mereka untuk akses internal dan memiliki opsi untuk mengamankannya lebih lanjut. Misalnya, perangkat Azure Stack Edge dapat diakses melalui jaringan internal pelanggan dan memerlukan IP yang dikonfigurasi pelanggan. Selain itu, kata sandi akses dipilih oleh pelanggan untuk mengakses antarmuka pengguna perangkat.

Lalu lintas internal selanjutnya diamankan dengan:

  • Keamanan Lapisan Transportasi (TLS) versi 1.2 diperlukan untuk portal Microsoft Azure dan manajemen SDK perangkat Azure Stack Edge.

  • Setiap akses komputer klien ke perangkat melalui antarmuka pengguna web lokal menggunakan TLS 1.2 standar sebagai protokol aman default.

  • Hanya perangkat Azure Stack Edge Pro resmi buatan pelanggan yang diizinkan untuk bergabung dengan layanan Azure Stack Edge di langganan Azure mereka.

Informasi tambahan tersedia di tautan yang direferensikan.

Tanggung Jawab: Pelanggan

NS-2: Menyambungkan jaringan privat bersama-sama

Panduan:Pelanggan dapat memilih jaringan titik ke situs privat maya (VPN) untuk menghubungkan perangkat Azure Stack Edge dari jaringan privat lokal mereka ke jaringan Azure. VPN menyediakan lapisan enkripsi kedua untuk keamanan lapisan data bergerak melalui transportasi dari perangkat pelanggan ke Azure.

Pelanggan dapat mengonfigurasi jaringan privat maya di perangkat Azure Stack Edge mereka melalui portal Microsoft Azure atau Azure PowerShell.

Tanggung Jawab: Pelanggan

NS-3: Membangun akses jaringan privat ke layanan Azure

Panduan:Pelanggan dapat memilih jaringan titik ke situs privat maya (VPN) untuk menghubungkan perangkat Azure Stack Edge dari jaringan privat lokal mereka ke jaringan Azure. VPN menyediakan lapisan enkripsi kedua untuk keamanan lapisan data bergerak melalui transportasi dari perangkat pelanggan ke Azure.

Tanggung Jawab: Pelanggan

NS-4: Melindungi aplikasi dan layanan dari serangan jaringan eksternal

Panduan:Perangkat Azure Stack Edge menggabungkan fitur perlindungan jaringan Windows Server standar, yang tidak dapat dikonfigurasi oleh pelanggan.

Pelanggan dapat memilih untuk mengamankan jaringan privat mereka yang terhubung dengan perangkat Azure Stack Edge dari serangan eksternal menggunakan appliance virtual jaringan, seperti firewall dengan perlindungan lanjutan penolakan layanan terdistribusi (DDoS).

Tanggung Jawab: Dibagikan

Manajemen Identitas

Untuk informasi lebih lanjut, lihat Azure Security Benchmark : Manajemen Identitas.

IM-1: Menstandarkan Microsoft Azure Active Directory sebagai pusat sistem identitas dan autentikasi

Panduan: Azure Active Directory (Azure AD) diperlukan untuk semua operasi manajemen yang dilakukan di perangkat Azure Stack Edge melalui portal Azure. Azure Stack Hub memerlukan Azure AD atau Active Directory Federation Services (ADFS), yang didukung oleh Azure AD, sebagai penyedia identitas.

Lakukan standardisasi pada Azure AD untuk mengatur identitas dan manajemen akses organisasi Anda di:

  • Sumber daya Microsoft Cloud, seperti portal Azure, Azure Storage, Azure Virtual Machine (Linux dan Windows), Azure Key Vault, aplikasi platform as a service (PaaS), dan perangkat lunak sebagai layanan (SaaS)

  • Sumber daya organisasi Anda, seperti aplikasi di Azure atau sumber daya jaringan perusahaan Anda

Perhatikan bahwa Azure AD hanya digunakan saat mengakses perangkat melalui portal Azure. Setiap operasi manajemen lokal ke perangkat Azure Stack Edge tidak akan memanfaatkan Azure AD.

Tanggung jawab: Microsoft

IM-2: Mengelola identitas aplikasi dengan aman dan otomatis

Panduan: Semua perangkat Azure Stack Edge secara otomatis memiliki identitas terkelola yang ditetapkan oleh sistem di Azure Active Directory (Azure AD). Saat ini, identitas terkelola digunakan untuk manajemen cloud komputer virtual yang dihosting di Azure Stack Edge.

Perangkat Azure Stack Edge di-boot ke status terkunci untuk akses lokal. Untuk akun administrator perangkat lokal, Anda harus terhubung ke perangkat Anda melalui antarmuka pengguna web lokal atau antarmuka PowerShell dan mengatur kata sandi yang kuat. Simpan dan kelola info masuk administrator perangkat Anda di lokasi yang aman seperti Azure Key Vault dan putar kata sandi admin sesuai dengan standar organisasi Anda.

Tanggung Jawab: Dibagikan

IM-3: Menggunakan akses menyeluruh (SSO) Microsoft Azure AD untuk akses aplikasi

Panduan: Akses menyeluruh tidak didukung untuk perangkat titik akhir Azure Stack Edge. Namun, Anda dapat memilih untuk mengaktifkan akses menyeluruh berbasis Azure Active Directory (Azure AD) standar untuk mengamankan akses ke sumber daya cloud Azure Anda.

Tanggung Jawab: Pelanggan

IM-7: Menghapus paparan informasi masuk yang tidak diinginkan

Panduan: Ikuti praktik terbaik untuk melindungi kredensial, seperti:

  • Kunci aktivasi digunakan untuk mengaktifkan perangkat dengan sumber daya Azure Stack Edge di Azure.
  • Kredensial masuk untuk mengakses perangkat Azure Stack Edge.
  • File kunci yang dapat memfasilitasi pemulihan perangkat Azure Stack Edge.
  • Kunci enkripsi saluran

Putar lalu sinkronkan kunci akun penyimpanan Anda secara teratur untuk membantu melindungi akun penyimpanan Anda dari pengguna yang tidak sah.

Tanggung Jawab: Pelanggan

Akses dengan Hak Istimewa

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Akses dengan Hak Istimewa.

PA-3: Tinjau dan rekonsiliasi akses pengguna secara teratur

Panduan: Azure Stack Edge memiliki pengguna bernama 'EdgeUser' yang dapat mengonfigurasi perangkat. Hal ini juga memiliki pengguna Azure Resource Manager 'EdgeArmUser' untuk fitur Azure Resource Manager lokal di perangkat.

Praktik terbaik harus diikuti untuk melindungi:

  • Kredensial yang digunakan untuk mengakses perangkat lokal

  • Kredensial berbagi SMB.

  • Akses ke sistem klien yang telah dikonfigurasi untuk menggunakan berbagi NFS.

  • Kunci akun penyimpanan lokal yang digunakan untuk mengakses akun penyimpanan lokal saat menggunakan REST API Blob.

Informasi tambahan tersedia di tautan yang direferensikan.

Tanggung Jawab: Pelanggan

PA-6: Menggunakan stasiun kerja akses dengan hak istimewa

Panduan: Stasiun kerja yang aman dan terisolasi sangat penting untuk keamanan peran sensitif seperti administrator, pengembang, dan operator layanan penting. Gunakan stasiun kerja pengguna yang sangat aman dengan Azure Bastion untuk tugas administratif. Gunakan Azure Active Directory (Azure AD), Microsoft Defender Advanced Threat Protection (ATP), dan Microsoft Intune untuk menyebarkan stasiun kerja pengguna yang aman dan terkelola untuk tugas administratif.

Stasiun kerja yang aman dapat dikelola secara terpusat untuk menerapkan konfigurasi aman termasuk autentikasi yang kuat, garis besar perangkat lunak dan perangkat keras, akses logis serta jaringan yang dibatasi.

Tanggung Jawab: Pelanggan

PA-7: Ikuti administrasi secukupnya (prinsip hak istimewa terkecil)

Panduan: Pengguna Azure Stack Edge memiliki akses Just Enough Administration (JEA) yang diperlukan untuk melakukan tugas mereka. Tidak perlu akses administrator Windows penuh.

Anda dapat terhubung dari jarak jauh ke antarmuka PowerShell dari perangkat Azure Stack Edge. Manajemen jarak jauh juga dikonfigurasi untuk menggunakan Just Enough Administration untuk membatasi apa yang dapat dilakukan pengguna. Anda kemudian dapat memberikan kata sandi perangkat untuk masuk ke perangkat.

Tanggung jawab: Microsoft

Perlindungan Data

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Perlindungan Data.

DP-2: Melindungi data sensitif

Panduan: Azure Stack Edge memperlakukan semua data yang berinteraksi sebagai sensitif dengan hanya pengguna yang berwenang yang memiliki akses ke data ini. Anda harus mengikuti praktik terbaik untuk melindungi kredensial yang digunakan untuk mengakses layanan Azure Stack Edge.

Tanggung Jawab: Dibagikan

DP-4: Mengenkripsi informasi sensitif saat transit

Panduan: Azure Stack Edge menggunakan saluran aman untuk data dalam flight. Ini adalah:

  • TLS 1.2 standar digunakan untuk data yang melakukan perjalanan antara perangkat dan cloud Azure. Tidak ada fallback ke TLS 1.1 dan yang lebih awal. Komunikasi agen akan diblokir jika TLS 1.2 tidak didukung. TLS 1.2 juga diperlukan untuk manajemen portal Azure dan kit pengembangan perangkat lunak (SDK).

  • Ketika klien mengakses perangkat Anda melalui antarmuka pengguna web lokal sebuah browser, TLS 1.2 standar digunakan sebagai protokol aman default

Praktik terbaik adalah mengonfigurasi browser Anda untuk menggunakan TLS 1.2. Gunakan SMB 3.0 dengan enkripsi untuk melindungi data saat Anda menyalinnya dari server data Anda.

Tanggung Jawab: Dibagikan

DP-5: Mengenkripsi data sensitif yang tidak aktif

Panduan: Semua data tidak aktif di perangkat Azure Stack Edge dienkripsi menggunakan enkripsi AES 256-bit. Akses ke data tidak aktif, seperti berbagi file, dibatasi untuk:

  • Klien SMB yang mengakses data berbagi memerlukan info masuk pengguna yang terkait dengan berbagi. Info masuk ini ditentukan saat berbagi dibuat.

  • Alamat IP klien NFS yang mengakses berbagi perlu ditambahkan saat berbagi dibuat.

  • Enkripsi BitLocker XTS-AES 256-bit digunakan untuk melindungi data lokal.

Tinjau informasi tambahan yang tersedia di tautan yang direferensikan.

Tanggung jawab: Microsoft

Manajemen Aset

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Aset.

AM-1: Memastikan tim keamanan memiliki visibilitas terhadap risiko aset

Panduan: Pastikan tim keamanan diberikan izin Pembaca Keamanan di penyewa dan langganan Azure Anda sehingga mereka dapat memantau risiko keamanan menggunakan Microsoft Defender untuk Cloud.

Tergantung pada susunan tanggung jawab tim keamanan, pemantauan untuk risiko keamanan bisa menjadi tanggung jawab tim keamanan pusat atau tim lokal. Meskipun demikian, wawasan dan risiko keamanan harus selalu dikumpulkan secara terpusat dalam organisasi.

Izin Pembaca Keamanan dapat diterapkan secara luas ke seluruh penyewa (Grup Pengelola Root) atau mencakup ke grup manajemen atau langganan tertentu.

Perhatikan bahwa izin tambahan mungkin diperlukan untuk mendapatkan visibilitas ke dalam beban kerja dan layanan.

Tanggung Jawab: Pelanggan

AM-6: Hanya gunakan aplikasi yang disetujui dalam sumber daya komputasi

Panduan:Anda dapat memakai aplikasi Anda sendiri untuk dijalankan pada komputer virtual yang dibuat secara lokal. Gunakan skrip PowerShell untuk membuat komputer virtual komputasi lokal di perangkat Stack Edge Anda. Kami sangat menyarankan agar Anda hanya memakai aplikasi terpercaya untuk dijalankan pada komputer virtual lokal.

Tanggung Jawab: Pelanggan

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pencatatan dan Deteksi Ancaman.

LT-1: Mengaktifkan deteksi ancaman untuk sumber daya Azure

Panduan: Azure Stack Edge tidak menawarkan kemampuan deteksi ancaman. Namun, pelanggan dapat mengumpulkan log audit dalam paket dukungan untuk deteksi dan analisis ancaman offline.

Tanggung Jawab: Pelanggan

LT-3: Mengaktifkan pengelogan untuk aktivitas jaringan Azure

Panduan: Azure Stack Edge memiliki log audit jaringan yang diaktifkan sebagai bagian dari paket dukungan yang dapat diunduh. Log ini dapat dipilah untuk mengimplementasikan pemantauan semi real time untuk perangkat Azure Stack Edge Anda.

Tanggung Jawab: Pelanggan

LT-4: Mengaktifkan pengelogan untuk sumber daya Azure

Panduan: Pemantauan real time dengan log saat ini tidak didukung untuk Azure Stack Edge. Kemampuan untuk mengumpulkan paket dukungan memungkinkan Anda menganalisis berbagai log yang disertakan di dalamnya, seperti firewall, perangkat lunak, intrusi perangkat keras, dan log kejadian sistem untuk perangkat Azure Stack Edge Pro Anda. Perhatikan bahwa intrusi perangkat lunak atau log firewall default dikumpulkan untuk lalu lintas masuk dan keluar.

Tanggung Jawab: Pelanggan

LT-5: Memusatkan manajemen dan analisis log keamanan

Panduan: Pemantauan real time dengan log saat ini tidak didukung untuk Azure Stack Edge. Namun, Anda dapat mengumpulkan paket dukungan yang memungkinkan Anda menganalisis berbagai log yang disertakan di dalamnya. Paket dukungan dikompresi dan diunduh ke jalur pilihan Anda. Unzip paket dan tampilkan file log sistem yang terdapat di dalamnya. Anda juga dapat mengirim log ini ke alat manajemen kejadian informasi keamanan atau lokasi penyimpanan pusat lainnya untuk analisis.

Tanggung Jawab: Pelanggan

LT-6: Mengonfigurasi retensi penyimpanan log

Panduan: Periode retensi penyimpanan log tidak dapat diubah di perangkat Azure Stack Edge. Log yang lebih lama dihapus sesuai kebutuhan. Anda dapat mengumpulkan paket dukungan dari perangkat secara berkala untuk keperluan mempertahankan log untuk jangka waktu yang lebih lama.

Tanggung Jawab: Pelanggan

LT-7: Menggunakan sumber sinkronisasi waktu yang disetujui

Panduan:Azure Stack Edge menggunakan time.windows.com, server penyedia waktu jaringan oleh Microsoft. Azure Stack Edge juga memungkinkan pelanggan untuk mengonfigurasi server protokol waktu jaringan yang mereka pilih.

Tanggung Jawab: Pelanggan

Manajemen Postur dan Kerentanan

Untuk mengetahui informasi selengkapnya, lihat Tolok Ukur Keamanan Azure: Manajemen Postur dan Kerentanan.

PV-1: Membuat konfigurasi aman untuk layanan Azure

Panduan: Microsoft menetapkan konfigurasi aman untuk perangkat Azure Stack Edge dan mempertahankan pengaturan tersebut selama masa pakai perangkat.

Tanggung jawab: Microsoft

PV-2: Membuat konfigurasi aman secara berkelanjutan untuk layanan Azure

Panduan: Konfigurasi keamanan yang ditentukan pengguna dibatasi di perangkat Azure Edge Stack. Sebagian besar pengaturan keamanan perangkat tidak dapat dikonfigurasi dan tetap terbaru dengan penginstalan pembaruan terbaru.

Tanggung jawab: Microsoft

PV-3: Menetapkan konfigurasi yang aman untuk sumber daya komputasi

Panduan:Azure Stack Edge menawarkan dukungan untuk membuat konfigurasi yang aman untuk komputer virtual lokal yang dibuat oleh pelanggan. Sangat disarankan untuk menggunakan panduan yang disediakan Microsoft untuk membuat garis besar keamanan saat membuat komputer virtual lokal,

Tanggung Jawab: Pelanggan

PV-4: Mempertahankan konfigurasi yang aman untuk sumber daya komputasi

Panduan:Azure Stack Edge tidak menawarkan dukungan apa pun untuk mempertahankan konfigurasi yang aman untuk komputer virtual lokal yang dibuat oleh pelanggan. Sangat disarankan agar pelanggan menggunakan toolkit kepatuhan Keamanan (SCT) untuk membantu mempertahankan konfigurasi aman untuk sumber daya komputasi mereka.

Sistem operasi host dan komputer virtual yang dikelola oleh Azure Stack Edge mempertahankan konfigurasi keamanan mereka.

Tanggung Jawab: Dibagikan

PV-5: Menyimpan sistem operasi kustom dan gambar kontainer dengan aman

Panduan:Sistem operasi host dan komputer virtual yang dikelola oleh Azure Stack Edge disimpan dengan aman.

Pelanggan dapat menggunakan komputer virtual dan gambar kontainer mereka sendiri dan bertanggung jawab atas manajemen keamanan mereka.

Tanggung Jawab: Pelanggan

PV-6: Melakukan penilaian kerentanan perangkat lunak

Panduan: Penilaian kerentanan perangkat lunak dilakukan terhadap semua rilis Azure Stack Edge termasuk ulasan siklus hidup pengembangan perangkat lunak yang dilakukan untuknya. Setiap masalah yang ditemukan diperbaiki berdasarkan tingkat keparahan dan prioritasnya.

Tanggung jawab: Microsoft

PV-7: Memperbaiki kerentanan perangkat lunak dengan cepat dan otomatis

Panduan:Azure Stack Edge menyediakan pembaruan patch secara rutin dan memperingatkan pelanggan ketika pembaruan tersebut tersedia untuk memperbaiki kerentanan. Pelanggan bertanggung jawab untuk memastikan perangkat dan mesin virtual mereka (yang dibuat oleh mereka) mempunyai patch terbaru.

Tanggung Jawab: Pelanggan

PV-8: Melakukan simulasi serangan rutin

Panduan: Sebagaimana diperlukan, lakukan uji penetrasi atau aktivitas read team pada sumber daya Azure Anda dan pastikan remediasi pada semua temuan keamanan penting. Ikuti Aturan Keterlibatan Uji Penetrasi Microsoft Cloud untuk memastikan bahwa uji penetrasi Anda tidak melanggar kebijakan Microsoft. Gunakan strategi Microsoft dan eksekusi Red Team, serta uji penetrasi langsung terhadap infrastruktur, layanan, dan aplikasi cloud yang dikelola Microsoft.

Tanggung Jawab: Dibagikan

Keamanan titik akhir

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Titik Akhir.

ES-1: Menggunakan Deteksi dan Respons Titik Akhir (EDR)

Panduan: Azure Stack Edge tidak mendukung deteksi dan respons titik akhir (EDR) secara langsung. Namun, Anda dapat mengumpulkan paket dukungan dan mengambil log audit. Log ini kemudian dapat dianalisis untuk memeriksa aktivitas anomali.

Tanggung Jawab: Pelanggan

ES-2: Menggunakan perangkat lunak anti-malware modern yang dikelola secara terpusat

Panduan: Azure Stack Edge menggunakan Windows Defender Application Control (WDAC) dengan Kebijakan integritas kode (CI) yang ketat yang memungkinkan hanya aplikasi dan skrip yang telah ditentukan yang dijalankan. Anti-malware Windows Defender Real Time Protection (RTP) juga diaktifkan. Pelanggan dapat memilih untuk menjalankan anti-malware dalam komputer virtual komputasi yang mereka buat untuk berjalan secara lokal di perangkat Azure Stack Edge.

Tanggung Jawab: Pelanggan

ES-3: Memastikan perangkat lunak anti-malware dan tanda tangan diperbarui

Panduan: Azure Stack Edge terus memperbarui Kebijakan integritas kode (CI) serta memperbarui file tanda tangan Pertahanan Windows.

Tanggung jawab: Microsoft

Microsoft Azure Backup dan Pemulihan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Microsoft Azure Backup dan Pemulihan.

BR-1: Pastikan pencadangan otomatis secara rutin

Panduan: Pencadangan berkala perangkat Azure Stack Edge Anda disarankan dan dapat dilakukan dengan Azure Backup dan solusi perlindungan data pihak ketiga lainnya untuk melindungi data yang terkandung dalam komputer virtual yang disebarkan pada perangkat. Solusi perlindungan data pihak ketiga seperti Cohesity, Commvault dan Veritas juga dapat memberikan solusi pencadangan untuk data di berbagi SMB atau NFS lokal.

Informasi tambahan tersedia di tautan yang direferensikan.

Tanggung Jawab: Pelanggan

BR-2: Mengenkripsi data cadangan

Panduan: Pastikan cadangan Anda terlindungi dari serangan. Enkripsi cadangan diperlukan untuk melindungi dari hilangnya kerahasiaan. Untuk informasi lebih lanjut, lihat solusi pilihan cadangan Anda untuk detailnya.

Tanggung Jawab: Pelanggan

BR-3: Memvalidasi semua cadangan termasuk kunci yang dikelola pelanggan

Panduan: Melakukan pemulihan data cadangan Anda secara berkala.

Tanggung Jawab: Pelanggan

BR-4: Mengurangi risiko kehilangan kunci

Panduan: Pastikan semua cadangan Azure Stack Edge termasuk kunci yang dikelola pelanggan dilindungi sesuai dengan praktik terbaik organisasi. Perangkat Azure Stack Edge Anda dikaitkan dengan akun Azure Storage, yang digunakan sebagai repositori tujuan untuk data Anda di Azure.

Akses ke akun Azure Storage dikontrol oleh langganan Azure dan dua kunci akses penyimpanan 512-bit yang terkait dengan akun penyimpanan tersebut. Salah satu kunci akses digunakan untuk autentikasi saat perangkat Azure Stack Edge mengakses akun penyimpanan. Kunci lainnya disimpan untuk rotasi kunci berkala. Pastikan praktik terbaik keamanan digunakan untuk rotasi kunci.

Tanggung Jawab: Pelanggan

Langkah berikutnya