Garis besar keamanan Azure untuk Azure Virtual Desktop

Garis besar keamanan ini menerapkan panduan dari Azure Security Benchmark versi 2.0 ke Azure Virtual Desktop. Azure Security Benchmark memberikan rekomendasi tentang cara mengamankan solusi cloud di Azure. Konten dikelompokkan berdasarkan kontrol keamanan yang ditentukan oleh Azure Security Benchmark dan panduan terkait yang berlaku untuk
Azure Virtual Desktop.

Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini, untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Tolok Ukur Keamanan Azure. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol tidak berlaku untuk Azure Virtual Desktop, dan kontrol yang direkomendasikan oleh panduan global kata demi kata, telah dikecualikan. Untuk melihat cara Azure Virtual Desktop sepenuhnya memetakan ke Azure Security Benchmark, lihat file pemetaan garis besar keamanan Azure Virtual Desktop lengkap.

Keamanan Jaringan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Jaringan.

NS-1: Menerapkan keamanan untuk lalu lintas internal

Panduan: Anda harus membuat atau menggunakan jaringan virtual yang ada saat Anda menyebarkan mesin virtual untuk didaftarkan ke Azure Virtual Desktop. Pastikan bahwa semua jaringan virtual Azure mengikuti prinsip segmentasi perusahaan yang selaras dengan risiko bisnis. Sistem apa pun yang dapat menimbulkan risiko lebih tinggi bagi organisasi harus diisolasi dalam jaringan virtualnya sendiri dan cukup diamankan baik dengan grup keamanan jaringan atau Azure Firewall.

Gunakan fitur Adaptive Network Hardening di Microsoft Defender untuk Cloud guna merekomendasikan konfigurasi grup keamanan jaringan yang membatasi port dan IP sumber dengan mengacu pada aturan lalu lintas jaringan eksternal.

Berdasarkan aplikasi dan strategi segmentasi perusahaan Anda, batasi atau izinkan lalu lintas antara sumber daya internal berdasarkan aturan grup keamanan jaringan. Untuk aplikasi tertentu yang didefinisikan dengan baik (seperti aplikasi 3 tingkat), ini bisa menjadi pendekatan yang sangat aman "tolak secara default, izinkan dengan pengecualian". Mungkin tidak menskalakan dengan baik jika Anda memiliki banyak aplikasi dan titik akhir yang berinteraksi satu sama lain. Anda juga dapat menggunakan Azure Firewall dalam keadaan di mana manajemen pusat diperlukan atas sejumlah besar segmen atau spoke perusahaan (dalam topologi hub/spoke).

Untuk grup keamanan jaringan yang terkait dengan subnet mesin virtual Anda (yang merupakan bagian dari Azure Virtual Desktop), Anda harus mengizinkan lalu lintas keluar ke titik akhir tertentu.

• Cari tahu URL apa yang diperlukan untuk diizinkan mengakses Azure Virtual Desktop

• Penguatan Jaringan Adaptif di Microsoft Defender untuk Cloud

• Azure Firewall untuk Azure Virtual Desktop

Cara membuat kelompok keamanan jaringan dengan aturan keamanan: /azure/virtual-network/tutorial-filter-network-traffic

Cara menyebarkan dan mengonfigurasi Azure Firewall: /azure/firewall/tutorial-firewall-deploy-portal

Tanggung Jawab: Pelanggan

NS-2: Menyambungkan jaringan privat bersama-sama

Panduan: Gunakan Azure ExpressRoute atau jaringan privat virtual Azure untuk membuat koneksi pribadi antara pusat data Azure dan infrastruktur lokal di lingkungan kolokasi. Koneksi ExpressRoute tidak melalui internet publik, menawarkan lebih banyak keandalan, kecepatan yang lebih cepat dan keterlambatan yang lebih rendah daripada koneksi internet biasa.

Untuk jaringan pribadi virtual titik-ke-situs web dan situs-ke-situs, Anda dapat menghubungkan perangkat atau jaringan lokal ke jaringan virtual menggunakan kombinasi opsi jaringan privat Maya dan Azure ExpressRoute.

Gunakan rekanan jaringan virtual untuk menyambungkan dua jaringan virtual atau lebih bersama-sama di Azure. Lalu lintas jaringan antara jaringan virtual direkankan bersifat privat dan tetap berada di jaringan tulang punggung Azure.

• Apa itu model konektivitas Azure ExpressRoute

• Ringkasan VPN Azure

• Rekanan jaringan virtual

Tanggung Jawab: Pelanggan

NS-4: Melindungi aplikasi dan layanan dari serangan jaringan eksternal

Panduan: Gunakan Azure Firewall untuk melindungi aplikasi dan layanan dari lalu lintas yang berpotensi berbahaya dari internet dan lokasi eksternal lainnya. Lindungi sumber daya Azure Virtual Desktop Anda dari serangan dari jaringan eksternal, termasuk serangan penolakan layanan terdistribusi, serangan spesifik aplikasi, lalu lintas internet yang tidak diminta dan berpotensi berbahaya. Lindungi aset Anda dari serangan penolakan layanan terdistribusi dengan mengaktifkan perlindungan standar DDoS di Azure Virtual Networks Anda. Gunakan Microsoft Defender untuk Cloud guna mendeteksi risiko salah konfigurasi yang terkait dengan sumber daya terkait jaringan Anda.

Azure Virtual Desktop tidak dimaksudkan untuk menjalankan aplikasi web, dan tidak mengharuskan Anda untuk mengonfigurasi pengaturan tambahan atau menyebarkan layanan jaringan tambahan untuk melindunginya dari serangan jaringan eksternal yang menargetkan aplikasi web.

• Dokumentasi Azure Firewall

• Mengelola Standar Azure DDoS Protection menggunakan portal Microsoft Azure

• Rekomendasi Pertahanan Microsoft untuk Cloud

Tanggung Jawab: Pelanggan

NS-6: Menyederhanakan aturan keamanan jaringan

Panduan: Gunakan tag layanan Microsoft Azure Virtual Network untuk menentukan kontrol akses jaringan pada grup keamanan jaringan atau Azure Firewall yang dikonfigurasi untuk sumber daya Azure Virtual Desktop Anda. Anda dapat menggunakan tag layanan sebagai pengganti alamat IP tertentu saat membuat aturan keamanan. Dengan menentukan nama tag layanan (Misalnya: WindowsVirtualDesktop) di bidang sumber atau tujuan yang sesuai dari suatu aturan, Anda dapat mengizinkan atau menolak lalu lintas untuk layanan yang sesuai. Microsoft mengelola awalan alamat yang dicakup oleh tag layanan dan secara otomatis memperbarui tag layanan saat alamat berubah.

• Pahami dan gunakan Tag Layanan

• Pelajari selengkapnya tentang apa yang dicakup oleh Azure Virtual Desktop Service Tag di sini

Tanggung Jawab: Pelanggan

Manajemen Identitas

Untuk informasi lebih lanjut, lihat Azure Security Benchmark : Manajemen Identitas.

IM-1: Menstandarkan Microsoft Azure Active Directory sebagai pusat sistem identitas dan autentikasi

Panduan: Azure Virtual Desktop menggunakan Azure Active Directory (Azure AD) sebagai identitas default dan layanan manajemen akses. Melakukan standardisasi pada Microsoft Azure Active Directory untuk mengatur identitas dan manajemen akses organisasi Anda:

• Sumber daya Microsoft Cloud, seperti portal Azure, Penyimpanan Azure, Azure Virtual Machine (Linux dan Windows), Azure Key Vault, PaaS, dan aplikasi SaaS.

• Sumber daya organisasi Anda, seperti aplikasi di Azure atau sumber daya jaringan perusahaan Anda.

Mengamankan Microsoft Azure Active Directory harus menjadi prioritas tinggi dalam praktik keamanan cloud organisasi Anda. Azure AD menyediakan skor aman identitas untuk membantu menilai postur keamanan identitas relatif terhadap rekomendasi praktik terbaik Microsoft. Gunakan skor untuk mengukur seberapa dekat konfigurasi Anda cocok dengan rekomendasi praktik terbaik, dan untuk melakukan peningkatan dalam postur keamanan Anda.

Microsoft Azure Active Directory mendukung identitas eksternal yang memungkinkan pengguna tanpa akun Microsoft untuk masuk ke aplikasi dan sumber daya mereka dengan identitas eksternal mereka.

• Penyewaan di Microsoft Azure Active Directory

• Gunakan penyedia identitas eksternal untuk aplikasi

• Apa skor aman identitas di Microsoft Azure Active Directory

• Peran spesifik yang Anda butuhkan untuk mengoperasikan Azure Virtual Desktop

Tanggung Jawab: Pelanggan

IM-2: Mengelola identitas aplikasi dengan aman dan otomatis

Panduan: Azure Virtual Desktop mendukung identitas terkelola Azure untuk akun non-manusia seperti layanan atau otomatisasi. Disarankan untuk menggunakan fitur identitas terkelola Azure alih-alih membuat akun manusia yang lebih kuat untuk mengakses atau menjalankan sumber daya Anda.

Azure Virtual Desktop merekomendasikan penggunaan Azure Active Directory (Azure AD) untuk membuat perwakilan layanan dengan izin terbatas di tingkat sumber daya untuk mengonfigurasi perwakilan layanan dengan mandat sertifikat dan kembali ke rahasia klien. Dalam kedua kasus, Azure Key Vault dapat digunakan bersama dengan identitas terkelola Azure, sehingga lingkungan runtime (seperti, Fungsi Azure) dapat mengambil mandat dari brankas kunci.

• Layanan yang mendukung identitas terkelola untuk sumber daya Azure

• Perwakilan layanan Azure

• Membuat perwakilan layanan dengan sertifikat

• Menggunakan Azure Key Vault untuk pendaftaran perwakilan keamanan

Tanggung Jawab: Pelanggan

IM-3: Menggunakan akses menyeluruh (SSO) Microsoft Azure AD untuk akses aplikasi

Panduan: Azure Virtual Desktop menggunakan Azure Active Directory (Azure AD) untuk menyediakan manajemen identitas dan akses ke sumber daya Azure, aplikasi cloud, dan aplikasi lokal. Ini termasuk identitas perusahaan seperti karyawan, serta identitas eksternal seperti mitra, vendor, dan pemasok. Hal ini memungkinkan akses menyeluruh (SSO) untuk mengelola dan mengamankan akses ke data dan sumber daya organisasi Anda secara lokal dan di cloud. Hubungkan semua pengguna, aplikasi, dan perangkat Anda ke Microsoft Azure Active Directory untuk akses aman yang mulus dengan visibilitas dan kontrol yang lebih besar.

• Memahami Aplikasi SSO dengan Microsoft Azure Active Directory

Tanggung Jawab: Pelanggan

Akses dengan Hak Istimewa

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Akses dengan Hak Istimewa.

PA-3: Tinjau dan rekonsiliasi akses pengguna secara teratur

Panduan: Azure Virtual Desktop menggunakan akun Azure Active Directory (Azure AD) untuk mengelola sumber dayanya, meninjau akun pengguna, dan mengakses penetapan secara teratur untuk memastikan akun dan aksesnya valid.

Gunakan ulasan akses Microsoft Azure Active Directory untuk meninjau keanggotaan grup, akses ke aplikasi perusahaan, dan penetapan peran. Pelaporan Microsoft Azure Active Directory dapat menyediakan log untuk membantu menemukan akun yang kedaluwarsa.

Selain itu, Azure AD Privileged Identity Management juga dapat dikonfigurasi untuk memberitahukan jika jumlah akun admin yang berlebihan telah dibuat, dan untuk mengidentifikasi akun administrator yang kedaluwarsa atau dikonfigurasi dengan tidak benar.

Beberapa layanan Azure mendukung pengguna dan peran lokal yang tidak dikelola melalui Microsoft Azure Active Directory. Anda harus mengelola pengguna ini secara terpisah.

• Peran bawaan untuk Azure Virtual Desktop

• Membuat tinjauan akses peran sumber daya Azure di Privileged Identity Management (PIM)

• Cara menggunakan identitas Azure Active Directory dan mengakses ulasan

Tanggung Jawab: Pelanggan

PA-6: Menggunakan stasiun kerja akses dengan hak istimewa

Panduan: Stasiun kerja yang aman dan terisolasi sangat penting untuk keamanan peran sensitif, seperti, admin, pengembang, dan operator layanan penting. Gunakan stasiun kerja pengguna yang sangat aman dan/atau Azure Bastion untuk tugas administratif.

Gunakan Azure Active Directory (Azure AD), Microsoft Defender Advanced Threat Protection (ATP), atau Microsoft Intune untuk menerapkan tempat kerja pengguna yang aman dan terkelola untuk tugas administratif. Stasiun kerja yang aman dapat dikelola secara terpusat untuk menegakkan konfigurasi aman termasuk autentikasi yang kuat, perangkat lunak dan garis dasar perangkat keras, akses logis dan jaringan yang dibatasi.

• Mempelajari stasiun kerja akses dengan hak istimewa

• Menyebarkan stasiun kerja akses dengan hak istimewa

Tanggung Jawab: Pelanggan

PA-7: Ikuti administrasi secukupnya (prinsip hak istimewa terkecil)

Panduan: Azure Virtual Desktop terintegrasi dengan kontrol akses berbasis peran Azure (Azure RBAC) untuk mengelola sumber dayanya. Azure RBAC memungkinkan Anda mengelola akses sumber daya Azure melalui penetapan peran. Anda dapat menetapkan peran ini kepada pengguna, mengelompokkan perwakilan layanan, dan identitas terkelola. Ada peran bawaan yang telah ditentukan sebelumnya untuk beberapa sumber daya dan peran ini dapat disimpan di inventaris atau dilakukan kueri melalui alat seperti Azure CLI, Azure PowerShell, atau portal Microsoft Azure.

Hak istimewa yang Anda tetapkan untuk sumber daya dengan Azure RBAC harus selalu dibatasi untuk yang diperlukan oleh peran. Ini melengkapi pendekatan Just in Time (JIT) Privileged Identity Management (PIM), dengan Azure Active Directory (Azure AD), dan harus ditinjau secara berkala.

Selain itu, gunakan peran bawaan untuk mengalokasikan izin dan hanya membuat peran kustom saat diperlukan.

• Apa yang dimaksud dengan kontrol akses berbasis peran Azure (Azure RBAC)

• Cara mengonfigurasi RBAC di Azure

• Cara menggunakan identitas Azure Active Directory dan tinjauan akses

• Peran bawaan untuk Azure Virtual Desktop

Tanggung Jawab: Pelanggan

PA-8: Memilih proses persetujuan untuk dukungan Microsoft

Panduan: Dalam skenario dukungan di mana Microsoft perlu mengakses data pelanggan, Azure Virtual Desktop mendukung Customer Lockbox untuk menyediakan antarmuka bagi Anda untuk meninjau dan menyetujui atau menolak permintaan akses data pelanggan.

• Memahami Customer Lockbox

Tanggung Jawab: Dibagikan

Perlindungan Data

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Perlindungan Data.

DP-1: Menemukan, mengklasifikasikan dan memberi label pada data sensitif

Panduan: Temukan, klasifikasi, dan beri label data sensitif Anda sehingga Anda dapat mendesain kontrol yang sesuai. Hal ini untuk memastikan informasi sensitif disimpan, diproses, dan ditransmisikan dengan aman oleh sistem teknologi organisasi.

Gunakan Perlindungan Informasi Azure (dan alat pemindaian terkait) untuk informasi sensitif dalam dokumen Office di Azure, lokal, Office 365, dan lokasi lainnya.

Anda dapat menggunakan Perlindungan Informasi Azure SQL untuk membantu dalam klasifikasi dan pelabelan informasi yang disimpan di Database Azure SQL.

• Memberi tag informasi sensitif menggunakan Microsoft Azure Information Protection

• Cara menerapkan Penemuan Data Azure SQL

Tanggung Jawab: Pelanggan

DP-2: Melindungi data sensitif

Panduan: Lindungi data sensitif dengan membatasi akses menggunakan Azure Role Based Access Control (Azure RBAC), kontrol akses berbasis jaringan, dan kontrol spesifik dalam layanan Azure (seperti enkripsi di SQL dan database lainnya).

Semua jenis kontrol akses harus diselaraskan dengan strategi segmentasi perusahaan Anda untuk memastikan kontrol akses yang konsisten. Strategi segmentasi perusahaan juga harus diinformasikan oleh lokasi data dan sistem penting sensitif atau bisnis.

Microsoft memperlakukan semua konten pelanggan sebagai sensitif dan menjaga terhadap kehilangan dan paparan data pelanggan. Untuk memastikan keamanan data pelanggan dalam Azure, Microsoft telah menerapkan dan memelihara serangkaian kontrol dan kemampuan perlindungan data yang kuat.

• Azure Role Based Access Control (RBAC)

• Memahami perlindungan data pelanggan di Azure

Tanggung Jawab: Pelanggan

DP-3: Memantau transfer data sensitif yang tidak sah

Panduan: Pantau transfer data yang tidak sah ke lokasi di luar visibilitas dan kontrol perusahaan. Ini biasanya melibatkan pemantauan untuk aktivitas anomali (transfer besar atau tidak biasa) yang dapat menunjukkan eksfiltrasi data yang tidak sah.

Fitur Perlindungan Ancaman Lanjutan (ATP, Advanced Threat Protection) dengan Azure Storage dan Azure SQL ATP dapat memperingatkan transfer informasi yang anomali, menunjukkan apa yang mungkin merupakan transfer informasi sensitif yang tidak sah.

Perlindungan Informasi Azure (AIP, Azure Information protection) menyediakan kemampuan pemantauan untuk informasi yang telah diklasifikasikan dan diberi label.

Gunakan solusi pencegahan kehilangan data, seperti solusi berbasis host, untuk menerapkan kontrol detektif dan/atau pencegahan untuk mencegah eksfiltrasi data.

• Aktifkan Azure SQL ATP

• Aktifkan ATP Microsoft Azure Storage

Tanggung Jawab: Pelanggan

DP-4: Mengenkripsi informasi sensitif saat transit

Panduan: Untuk melengkapi kontrol akses, data saat transit harus dilindungi dari serangan 'di luar band' (misalnya, pengambilan lalu lintas) menggunakan enkripsi untuk memastikan bahwa penyerang tidak dapat dengan mudah membaca atau memodifikasi data.

Windows Virtual Desktop mendukung enkripsi data dalam transit dengan keamanan lapisan transportasi (TLS) v1.2 atau lebih besar. Meskipun bersifat opsional pada jaringan privat, fitur ini sangat penting untuk lalu lintas di jaringan eksternal dan publik. Untuk lalu lintas HTTP, pastikan setiap klien yang terhubung ke sumber daya Azure Anda dapat menegosiasikan TLS v1.2 atau yang lebih besar. Setiap manajemen jarak jauh, tugas harus dilakukan melalui shell aman (SSH) untuk Linux atau dengan Remote Desktop Protocol (RDP) melalui TLS (untuk Windows) bukan protokol yang tidak terenkripsi.

Versi dan protokol SSL, TLS, dan SSH yang kadaluarsa, dan sandi yang lemah harus dinonaktifkan. Secara default, Microsoft Azure menyediakan enkripsi untuk data saat transit di antara pusat data Microsoft Azure.

• Memahami enkripsi saat transit dengan Microsoft Azure

• Informasi tentang Keamanan TLS

• Enkripsi ganda untuk data Microsoft Azure saat transit

Tanggung jawab: Microsoft

DP-5: Mengenkripsi data sensitif yang tidak aktif

Panduan: Untuk melengkapi kontrol akses, Windows Virtual Desktop mengenkripsi data tidak aktif untuk melindungi dari serangan 'di luar band', seperti mengakses penyimpanan yang mendasarinya. Perlindungan ini membantu memastikan bahwa penyerang tidak dapat dengan mudah membaca atau merubah data.

• Memahami enkripsi saat tidak aktif di Microsoft Azure

• Enkripsi ganda data tidak aktif di Microsoft Azure

Tanggung jawab: Microsoft

Manajemen Aset

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Aset.

AM-1: Memastikan tim keamanan memiliki visibilitas terhadap risiko aset

Panduan: Pastikan tim keamanan diberikan izin Pembaca Keamanan di penyewa dan langganan Azure Anda sehingga mereka dapat memantau risiko keamanan menggunakan Microsoft Defender untuk Cloud.

Tergantung pada susunan tanggung jawab tim keamanan, pemantauan untuk risiko keamanan bisa menjadi tanggung jawab tim keamanan pusat atau tim lokal. Meskipun demikian, wawasan dan risiko keamanan harus selalu dikumpulkan secara terpusat dalam organisasi.

Izin Pembaca Keamanan dapat diterapkan secara luas ke seluruh penyewa (Grup Pengelola Root) atau mencakup ke grup manajemen atau langganan tertentu.

Izin tambahan mungkin diperlukan untuk visibilitas ke dalam beban kerja dan layanan.

• Gambaran Umum Peran Pembaca Keamanan

• Gambaran Umum Grup Manajemen Azure

Tanggung Jawab: Pelanggan

AM-2: Memastikan tim keamanan memiliki akses ke inventaris aset dan metadata

Panduan: Menerapkan tag ke sumber daya Azure, grup sumber daya, dan langganan Anda untuk mengaturnya secara logis ke dalam taksonomi. Setiap tag terdiri dari nama dan pasangan nilai. Misalnya, Anda dapat menerapkan nama "Lingkungan" dan "Produksi" nilai ke semua sumber daya dalam produksi.

Gunakan Azure Virtual Machine Inventory untuk mengotomatiskan pengumpulan informasi tentang perangkat lunak di Mesin Virtual. Nama perangkat lunak, versi, penerbit, dan waktu penyegaran tersedia dari portal Microsoft Azure. Untuk mendapatkan akses ke tanggal penginstalan dan informasi lainnya, aktifkan diagnostik tingkat tamu dan bawa Log Kejadian Windows ke ruang kerja Analitik Log.

• Cara membuat kueri dengan Azure Resource Graph Explorer

• Manajemen inventaris aset Microsoft Defender untuk Cloud

• Panduan keputusan penamaan dan pemberian tag sumber daya

• Cara mengaktifkan Inventaris komputer virtual Azure

Tanggung Jawab: Pelanggan

AM-3: Hanya gunakan layanan Azure yang disetujui

Panduan: Gunakan Azure Policy untuk mengaudit dan membatasi layanan yang dapat disediakan pengguna di lingkungan Anda. Gunakan Azure Resource Graph untuk mengkueri dan menemukan sumber daya dalam langganan pengguna. Anda juga dapat menggunakan Azure Monitor untuk membuat aturan sebagi pemicu pemberitahuan saat terdeteksi adanya layanan yang tidak disetujui.

• Cara mengonfigurasi dan mengelola Azure Policy

• Cara menolak jenis sumber daya tertentu dengan Azure Policy

• Cara membuat kueri dengan Azure Resource Graph Explorer

Tanggung Jawab: Pelanggan

AM-6: Hanya gunakan aplikasi yang disetujui dalam sumber daya komputasi

Panduan: Gunakan Inventaris mesin virtual Azure untuk mengotomatiskan pengumpulan informasi tentang semua perangkat lunak pada mesin virtual. Nama perangkat lunak, versi, penerbit, dan waktu penyegaran tersedia dari portal Microsoft Azure. Untuk mendapatkan akses ke tanggal penginstalan dan informasi lainnya, aktifkan diagnostik tingkat tamu dan bawa Log Kejadian Windows ke ruang kerja Analitik Log.

• Cara mengaktifkan Inventaris komputer virtual Azure

Tanggung Jawab: Pelanggan

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pencatatan dan Deteksi Ancaman.

LT-1: Mengaktifkan deteksi ancaman untuk sumber daya Azure

Panduan: Menggunakan kemampuan deteksi ancaman bawaan Microsoft Defender untuk Cloud dan mengaktifkan Microsoft Defender (Secara Resmi Azure Advanced Threat Protection) untuk sumber daya Azure Virtual Desktop Anda. Microsoft Defender untuk Azure Virtual Desktop menyediakan lapisan tambahan kecerdasan keamanan yang mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi sumber daya Azure Virtual Desktop Anda.

Teruskan log apa pun dari Azure Virtual Desktop ke solusi manajemen kejadian informasi keamanan (SIEM) Anda yang dapat digunakan untuk menyetel deteksi ancaman kustom. Pastikan Anda memantau berbagai jenis aset Azure untuk potensi ancaman dan anomali. Fokus pada mendapatkan peringatan berkualitas tinggi untuk mengurangi positif palsu bagi analis untuk diurutkan. Peringatan dapat bersumber dari data log, agen, atau data lainnya.

• Perlindungan ancaman di Microsoft Defender untuk Cloud

• Panduan referensi peringatan keamanan Microsoft Defender untuk Cloud

• Membuat aturan analitik kustom untuk mendeteksi ancaman

• Inteligensi ancaman cyber menggunakan Microsoft Sentinel

Tanggung Jawab: Pelanggan

LT-2: Mengaktifkan deteksi ancaman untuk identitas Azure dan manajemen akses

Panduan: Azure Active Directory (Azure AD) menyediakan log pengguna berikut yang dapat dilihat di pelaporan Azure AD atau terintegrasi dengan Azure Monitor, Microsoft Sentinel, atau informasi keamanan dan manajemen peristiwa (SIEM) lainnya, atau alat pemantauan untuk pemantauan dan analisis kasus penggunaan yang lebih canggih:

• Masuk - Laporan masuk menyediakan informasi tentang penggunaan aplikasi terkelola dan aktivitas masuk pengguna.

• Log audit - Menyediakan keterlacakan melalui log untuk semua perubahan yang dilakukan oleh berbagai fitur dalam Microsoft Azure Active Directory. Contoh log audit mencakup perubahan yang dibuat pada sumber daya apa pun dalam Microsoft Azure Active Directory seperti menambahkan atau menghapus pengguna, aplikasi, grup, peran, dan kebijakan.

• Masuk berisiko - Masuk berisiko adalah indikator untuk upaya masuk yang mungkin telah dilakukan oleh seseorang yang bukan pemilik akun pengguna yang sah.

• Pengguna yang ditandai berisiko - Pengguna berisiko adalah indikator untuk akun pengguna yang mungkin telah disusupi.

Microsoft Defender untuk Cloud juga dapat memperingatkan aktivitas mencurigakan tertentu seperti jumlah upaya autentikasi yang gagal dalam jumlah berlebihan, dan akun yang tidak digunakan lagi dalam langganan. Selain pemantauan kebersihan keamanan dasar, modul Perlindungan Ancaman di Microsoft Defender untuk Cloud juga dapat mengumpulkan peringatan keamanan yang lebih mendalam dari sumber daya komputasi Azure individual (mesin virtual, kontainer, layanan aplikasi), sumber daya data (SQL DB dan penyimpanan), dan lapisan layanan Azure. Kemampuan ini memungkinkan Anda untuk memiliki visibilitas pada anomali akun di dalam masing-masing sumber daya.

• Laporan aktivitas audit di Azure Active Directory

• Mengaktifkan Perlindungan Identitas Azure

• Perlindungan ancaman di Microsoft Defender untuk Cloud

Tanggung Jawab: Pelanggan

LT-3: Mengaktifkan pengelogan untuk aktivitas jaringan Azure

Panduan: Azure Virtual Desktop tidak menghasilkan atau memproses log kueri layanan nama domain (DNS). Namun sumber daya yang terdaftar ke layanan dapat menghasilkan log aliran.

Aktifkan dan kumpulkan sumber daya grup keamanan jaringan dan log alur, log Azure Firewall dan log Web Application Firewall (WAF) untuk analisis keamanan untuk mendukung penyelidikan insiden, perburuan ancaman, dan pembuatan peringatan keamanan. Anda dapat mengirim log alur ke ruang kerja Log Analitik Azure Monitor dan kemudian menggunakan Analitik Lalu Lintas untuk memberikan wawasan.

• Cara mengaktifkan log alur kelompok keamanan jaringan

• Log dan metrik Azure Firewall

• Cara mengaktifkan dan menggunakan Analitik Lalu Lintas

• Solusi pemantauan jaringan Azure di Azure Monitor

Tanggung Jawab: Pelanggan

LT-4: Mengaktifkan pengelogan untuk sumber daya Azure

Panduan: Log aktivitas, yang diaktifkan secara otomatis, berisi semua operasi penulisan (PUT, POST, DELETE) untuk sumber daya Azure Virtual Desktop Anda kecuali operasi baca (GET). Log aktivitas dapat digunakan untuk menemukan kesalahan saat sedang memecahkan masalah atau untuk memantau cara pengguna di organisasi Anda mengubah sumber daya.

• Cara mengumpulkan log dan metrik platform dengan Azure Monitor

• Memahami pengelogan dan jenis log yang berbeda di Azure

Tanggung Jawab: Dibagikan

LT-5: Memusatkan manajemen dan analisis log keamanan

Panduan: Memusatkan penyimpanan pengelogan, dan analisis untuk mengaktifkan korelasi. Untuk setiap sumber log, pastikan Anda telah menetapkan pemilik data, panduan akses, lokasi penyimpanan, alat yang digunakan untuk memproses dan mengakses data, dan persyaratan retensi data.

Pastikan Anda mengintegrasikan log aktivitas Azure ke dalam pengelogan pusat Anda. Menyerap log melalui Azure Monitor untuk mengagregasi data keamanan yang dihasilkan oleh perangkat titik akhir, sumber daya jaringan, dan sistem keamanan lainnya. Di Azure Monitor, gunakan ruang kerja Analitik Log untuk mengkueri dan melakukan analitik, serta menggunakan akun Azure Storage untuk penyimpanan dan arsip jangka panjang.

Selain itu, aktifkan dan onboard data ke Microsoft Sentinel atau manajemen peristiwa informasi keamanan pihak ketiga (SIEM). Banyak organisasi memilih untuk menggunakan Microsoft Sentinel untuk data "panas" yang sering digunakan dan Azure Storage untuk data "dingin" yang lebih jarang digunakan.

• Cara mengumpulkan log dan metrik platform dengan Azure Monitor

• Cara melakukan onboard Microsoft Sentinel

Tanggung Jawab: Pelanggan

Manajemen Postur dan Kerentanan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Postur dan Kerentanan.

PV-3: Menetapkan konfigurasi yang aman untuk sumber daya komputasi

Panduan: Gunakan Microsoft Defender untuk Cloud dan Azure Policy untuk membangun konfigurasi yang aman pada semua sumber daya komputasi termasuk mesin virtual, kontainer, dan lainnya.

Anda dapat menggunakan gambar sistem operasi kustom atau konfigurasi Azure Automation State untuk menetapkan konfigurasi keamanan sistem operasi yang diperlukan oleh organisasi Anda.

• Cara memantau rekomendasi Microsoft Defender untuk Cloud

• Gambaran Umum Konfigurasi Status Azure Automation

• Lingkungan Azure Virtual Desktop

Tanggung Jawab: Pelanggan

PV-4: Mempertahankan konfigurasi yang aman untuk sumber daya komputasi

Panduan: Menggunakan Microsoft Defender untuk Cloud dan Azure Policy untuk menilai dan memulihkan risiko konfigurasi secara teratur pada sumber daya komputasi Azure Anda termasuk komputer virtual, kontainer, dan lainnya. Selain itu, Anda dapat menggunakan templat Azure Resource Manager, citra sistem operasi kustom, atau konfigurasi Azure Automation State untuk mempertahankan konfigurasi keamanan sistem operasi yang diperlukan oleh organisasi Anda. Templat komputer virtual Microsoft yang dikombinasikan dengan Konfigurasi Status Azure Automation dapat membantu memenuhi dan memelihara persyaratan keamanan.

Azure Marketplace Virtual Machine Images yang diterbitkan oleh Microsoft diurus dan dikelola oleh Microsoft.

Microsoft Defender untuk Cloud juga dapat memindai kerentanan dalam gambar kontainer dan melakukan pemantauan berkelanjutan konfigurasi Docker Anda dalam kontainer terhadap tolok ukur Docker Center Internet Security. Anda dapat menggunakan halaman Rekomendasi Microsoft Defender untuk Cloud guna melihat rekomendasi dan memperbaiki masalah.

• Cara menerapkan rekomendasi penilaian kerentanan Microsoft Defender untuk Cloud

• Cara membuat Azure Virtual Machine dari templat ARM

• Gambaran Umum Konfigurasi Status Azure Automation

• Keamanan kontainer di Pertahanan Microsoft untuk Cloud

Tanggung Jawab: Pelanggan

PV-5: Menyimpan sistem operasi kustom dan gambar kontainer dengan aman

Panduan: Azure Virtual Desktop memungkinkan pelanggan untuk mengelola citra sistem operasi. Gunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk memastikan bahwa hanya pengguna yang berwenang yang dapat mengakses gambar kustom Anda. Gunakan Azure Shared Image Gallery, Anda dapat membagikan gambar Anda ke pengguna, prinsipal layanan, atau grup Direktori Aktif yang berbeda dalam organisasi Anda. Simpan gambar kontainer di Azure Container Registry dan gunakan RBAC untuk memastikan bahwa hanya pengguna yang berwenang yang memiliki akses.

• Pahami Azure RBAC

• Cara mengonfigurasi Azure RBAC

• Ringkasan Shared Image Gallery

Tanggung Jawab: Pelanggan

PV-6: Melakukan penilaian kerentanan perangkat lunak

Panduan: Azure Virtual Desktop memungkinkan Anda untuk menyebarkan mesin virtual Anda sendiri dan mendaftarkannya ke layanan serta memiliki database SQL yang berjalan di lingkungan.

Azure Virtual Desktop dapat menggunakan solusi pihak ketiga untuk melakukan penilaian kerentanan pada perangkat jaringan dan aplikasi web. Saat melakukan pemindaian jarak jauh, jangan gunakan satu akun administratif tunggal yang digunakan secara terus-menerus. Pertimbangkan untuk menerapkan metodologi provisi JIT untuk akun pemindaian. Kredensial untuk akun pemindaian harus dilindungi, dipantau, dan digunakan hanya untuk pemindaian kerentanan.

Ikuti rekomendasi dari Microsoft Defender untuk Cloud guna melakukan penilaian kerentanan pada mesin virtual Azure (dan server SQL). Microsoft Defender untuk Cloud memiliki pemindai kerentanan bawaan untuk mesin virtual, gambar kontainer, dan database SQL.

Sebagaimana diperlukan, ekspor hasil pemindaian pada interval yang konsisten dan membandingkan hasil dengan pemindaian sebelumnya untuk memverifikasi bahwa kerentanan telah diremediasi. Saat menggunakan rekomendasi manajemen kerentanan yang disarankan oleh Microsoft Defender untuk Cloud, Anda dapat beralih ke portal solusi yang dipilih untuk melihat data pemindaian historis.

• Cara menerapkan rekomendasi penilaian kerentanan Microsoft Defender untuk Cloud

• Pemindai kerentanan terpadu untuk komputer virtual

• Penilaian Kerentanan SQL

Tanggung Jawab: Pelanggan

PV-7: Memperbaiki kerentanan perangkat lunak dengan cepat dan otomatis

Panduan: Azure Virtual Desktop tidak menggunakan atau memerlukan perangkat lunak pihak ketiga. Namun, Azure Virtual Desktop memungkinkan Anda untuk menyebarkan komputer virtual Anda sendiri dan mendaftarkannya ke layanan.

Gunakan Manajemen Pembaruan Azure Automation atau solusi pihak ketiga untuk memastikan bahwa pembaruan keamanan terbaru dipasang pada komputer virtual Windows Server Anda. Untuk mesin virtual Windows, pastikan Windows Update telah difungsikan dan disetel untuk memperbarui secara otomatis.

Gunakan solusi manajemen patch pihak ketiga untuk perangkat lunak pihak ketiga atau Penerbit Pembaruan Pusat Sistem untuk Microsoft Endpoint Configuration Manager.

• Cara mengonfigurasi Pengelolaan Pembaruan untuk komputer virtual di Azure

• Mengelola pembaruan dan patch untuk Azure VM Anda

• Mengonfigurasi Microsoft Endpoint Configuration Manager untuk Azure Virtual Desktop

Tanggung Jawab: Pelanggan

PV-8: Melakukan simulasi serangan rutin

Panduan: Sebagaimana diperlukan, lakukan uji penetrasi atau aktivitas read team pada sumber daya Azure Anda dan pastikan remediasi pada semua temuan keamanan penting. Ikuti Aturan Keterlibatan Uji Penetrasi Microsoft Cloud untuk memastikan bahwa uji penetrasi Anda tidak melanggar kebijakan Microsoft. Gunakan strategi Microsoft dan eksekusi Red Team, serta uji penetrasi langsung terhadap infrastruktur, layanan, dan aplikasi cloud yang dikelola Microsoft.

• Uji penetrasi di Azure

• Aturan Keterlibatan Uji Penetrasi

• Pembentukan Red Team Microsoft Cloud

Tanggung Jawab: Dibagikan

Keamanan titik akhir

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Titik Akhir.

ES-1: Menggunakan Deteksi dan Respons Titik Akhir (EDR)

Panduan: Azure Virtual Desktop tidak menyediakan kemampuan khusus untuk proses deteksi dan respons titik akhir (EDR). Namun sumber daya yang terdaftar pada layanan dapat memperoleh manfaat dari deteksi titik akhir dan kemampuan respons.

Aktifkan kemampuan deteksi dan respons titik akhir untuk server dan klien dan integrasikan dengan solusi informasi keamanan dan manajemen peristiwa (SIEM) dan proses Operasi Keamanan.

Perlindungan Ancaman Tingkat Lanjut dari Microsoft Defender menyediakan kemampuan Deteksi dan Respons Titik akhir, sebagai bagian dari platform keamanan titik akhir perusahaan untuk mencegah, mendeteksi, menyelidiki, dan menanggapi ancaman lanjutan.

• Ikhtisar Perlindungan Ancaman Tingkat Lanjut Microsoft Defender

• Layanan ATP Pertahanan Microsoft untuk server Windows

• Layanan ATP Pertahanan Microsoft untuk server non-Windows

• Microsoft Defender ATP untuk infrastruktur desktop virtual non-persisten

Tanggung Jawab: Pelanggan

ES-2: Menggunakan perangkat lunak anti-malware modern yang dikelola secara terpusat

Panduan: Lindungi sumber daya Azure Virtual Desktop Anda dengan solusi anti-malware titik akhir yang dikelola secara terpusat dan modern yang mampu pemindaian real-time dan berkala.

Microsoft Defender untuk Cloud dapat secara otomatis mengidentifikasi penggunaan sejumlah solusi antimalware populer untuk mesin virtual Anda dan melaporkan status operasi perlindungan titik akhir dan membuat rekomendasi.

Microsoft Antimalware untuk Azure Cloud Services adalah anti-malware default untuk komputer virtual (VM) Windows. Selain itu, Anda dapat menggunakan deteksi Ancaman dengan Microsoft Defender untuk Cloud untuk layanan data untuk mendeteksi malware yang diunggah ke akun Azure Storage.

• Cara mengonfigurasi Microsoft Antimalware untuk Cloud Services dan Virtual Machines

• Solusi perlindungan titik akhir yang didukung

Tanggung Jawab: Pelanggan

ES-3: Memastikan perangkat lunak anti-malware dan tanda tangan diperbarui

Panduan: Pastikan tanda tangan anti-malware diperbarui dengan cepat dan konsisten.

Ikuti rekomendasi di Microsoft Defender untuk Cloud: "Aplikasi & Komputasi" untuk memastikan semua mesin virtual dan/atau kontainer diperbarui dengan tanda tangan terbaru.

Microsoft Antimalware akan otomatis memasang tanda tangan terbaru dan pembaruan mesin secara default.

• Cara menyebarkan Microsoft Antimalware untuk Azure Cloud Services dan Virtual Machines

• Penilaian dan rekomendasi perlindungan titik akhir di Microsoft Defender untuk Cloud

Tanggung Jawab: Pelanggan

Microsoft Azure Backup dan Pemulihan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Microsoft Azure Backup dan Pemulihan.

BR-1: Pastikan pencadangan otomatis secara rutin

Panduan: Pastikan Anda mencadangkan sistem dan data untuk menjaga kelangsungan bisnis setelah peristiwa yang tidak terduga. Ini harus menjadi panduan oleh tujuan apa pun untuk Tujuan Titik Pemulihan (RPO) dan Tujuan Waktu Pemulihan (RTO).

Aktifkan Azure Backup dan konfigurasikan sumber cadangan (misalnya Azure VMs, SQL Server, database HANA, atau Berbagi File), serta frekuensi dan periode penyimpanan yang diinginkan.

Untuk tingkat berlebihan yang lebih tinggi, Anda dapat mengaktifkan opsi penyimpanan geo-berlebihan untuk mereplikasi data cadangan ke wilayah sekunder dan memulihkan menggunakan pemulihan lintas wilayah.

• Menyiapkan rencana keberlangsungan bisnis dan pemulihan bencana

• Cara mengaktifkan Microsoft Azure Backup

• Cara mengaktifkan pemulihan lintas wilayah

• Cara mengatur rencana kelangsungan bisnis dan pemulihan bencana di Azure Virtual Desktop

Tanggung Jawab: Pelanggan

BR-2: Mengenkripsi data cadangan

Panduan: Pastikan cadangan Anda melindungi dari serangan. Enkripsi cadangan diperlukan untuk melindungi dari hilangnya kerahasiaan.

Untuk pencadangan layanan Azure reguler, data cadangan secara otomatis dienkripsi menggunakan kunci yang dikelola platform Azure. Anda dapat memilih untuk mengenkripsi cadangan menggunakan kunci yang dikelola pelanggan. Dalam hal ini, pastikan kunci yang dikelola pelanggan ini di brankas utama juga berada dalam lingkup cadangan.

Gunakan kontrol akses berbasis peran di Azure Backup, Azure Key Vault, atau sumber daya lainnya untuk melindungi cadangan dan kunci yang dikelola pelanggan. Selain itu, Anda dapat mengaktifkan fitur keamanan tingkat lanjut untuk memerlukan autentikasi multifaktor sebelum cadangan dapat diubah atau dihapus.

Gambaran umum fitur keamanan di Azure Backup /azure/backup/security-overview

• Enkripsi data pencadangan menggunakan kunci yang dikelola pelanggan

• Cara mencadangkan kunci Key Vault di Azure

• Fitur keamanan untuk membantu melindungi pencadangan hibrid dari serangan

Tanggung Jawab: Pelanggan

BR-3: Memvalidasi semua cadangan termasuk kunci yang dikelola pelanggan

Panduan: Disarankan untuk memvalidasi integritas data pada media cadangan secara teratur dengan melakukan proses pemulihan data untuk memastikan bahwa cadangan berfungsi dengan baik.

• Cara memulihkan file dari cadangan Azure Virtual Machine

• Implementasi keamanan

Tanggung Jawab: Pelanggan

Langkah berikutnya

• Lihat Gambaran umum Azure Security Benchmark V2
• Pelajari selengkapnya tentang Garis besar keamanan Azure