Garis besar keamanan Azure untuk Azure VMware Solution

Garis dasar keamanan ini menerapkan panduan dari Azure Security Benchmark versi 2.0 ke Azure VMware Solution. Azure Security Benchmark memberikan rekomendasi tentang cara Anda mengamankan solusi cloud Anda di Azure. Kontennya dikelompokkan berdasarkan kontrol keamanan yang ditentukan oleh Azure Security Benchmark dan panduan terkait yang berlaku untuk Azure VMware Solution.

Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini, untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Tolok Ukur Keamanan Azure. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol tidak berlaku untuk Azure VMware Solution, dan kontrol yang direkomendasikan oleh panduan global kata demi kata, telah dikecualikan. Untuk melihat cara Azure VMware Solution melakukan pemetaan sepenuhnya ke Azure Security Benchmark, lihat file lengkap pemetaan garis besar keamanan Azure VMware Solution.

Keamanan Jaringan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Jaringan.

NS-1: Menerapkan keamanan untuk lalu lintas internal

Panduan: Saat Anda menyebarkan sumber daya Azure VMware Solution, buat atau gunakan jaringan virtual yang ada. Pastikan semua jaringan virtual Azure mengikuti prinsip segmentasi perusahaan. Ini harus selaras dengan risiko bisnis. Pisahkan sistem apa pun yang dapat menimbulkan risiko yang lebih tinggi bagi organisasi dalam jaringan virtualnya sendiri. Amankan sistem secara memadai dengan kelompok keamanan jaringan (NSG) atau Azure Firewall.

Gunakan Jaringan Adaptif yang Diperketat Microsoft Defender untuk Cloud guna merekomendasikan konfigurasi NSG yang membatasi port dan IP sumber berdasarkan referensi ke aturan lalu lintas jaringan eksternal.

Berdasarkan aplikasi dan strategi segmentasi perusahaan Anda, batasi atau izinkan lalu lintas antara sumber daya internal berdasarkan aturan NSG. Untuk aplikasi spesifik yang terdefinisi dengan baik seperti aplikasi tiga tingkat, ini bisa menjadi penolakan oleh default yang sangat aman.

Azure VMware Solution memerlukan port berikut untuk mengaktifkan fungsionalitas tertentu:

Sumber Tujuan Protokol Port Deskripsi
Server Sistem Nama Domain (DNS) Cloud Pribadi Server DNS Lokal UDP 53 Klien DNS - Teruskan permintaan dari PC vCenter untuk setiap kueri DNS lokal (periksa bagian DNS di bawah)
Server DNS lokal Server DNS Cloud Pribadi UDP 53 Klien DNS - Meneruskan permintaan dari layanan lokal ke server DNS Cloud Pribadi (periksa bagian DNS di bawah)
Jaringan lokal Server Cloud vCenter Pribadi TCP(HTTP) 80 vCenter Server memerlukan port 80 untuk koneksi HTTP langsung. Port 80 mengalihkan permintaan ke Port HTTPS 443. Pengalihan ini membantu jika Anda menggunakan http://server alih-alih https://server. WS-Management juga mengharuskan Port 443 terbuka. Jika Anda menggunakan database Microsoft SQL kustom dan bukan database SQL Server 2008 yang dibundel di vCenter Server, Port 80 digunakan oleh SQL Reporting Services. Ketika Anda menginstal vCenter Server, penginstal meminta Anda untuk mengubah port HTTP untuk Server vCenter. Ubah port HTTP Server vCenter menjadi nilai kustom untuk memastikan instalasi berhasil. Microsoft Internet Information Services (IIS) juga menggunakan Port 80. Lihat Konflik Antara vCenter Server dan IIS untuk Port 80.
Jaringan manajemen Cloud Pribadi Direktori Aktif Lokal TCP 389 Port ini harus terbuka pada lokal dan semua instance jarak jauh vCenter Server. Port ini adalah nomor port LDAP untuk Layanan Direktori untuk grup vCenter Server. Sistem vCenter Server perlu mengikat Port 389, meskipun Anda tidak bergabung dengan instans vCenter Server ini ke grup Mode Tertaut. Jika layanan lain berjalan pada port ini, mungkin lebih baik untuk menghapusnya atau mengubah portnya ke port yang berbeda. Anda dapat menjalankan layanan LDAP pada port apa pun dari 1025 hingga 65535. Jika instans ini berfungsi sebagai Direktori Aktif Microsoft Windows, ubah nomor port dari 389 ke port yang tersedia dari 1025 hingga 65535. Port ini bersifat opsional untuk mengonfigurasi AD lokal sebagai sumber identitas di Private Cloud vCenter.
Jaringan lokal Server Cloud vCenter Pribadi TCP(HTTPS) 443 Port ini memungkinkan Anda untuk mengakses vCenter dari jaringan lokal. Port default yang digunakan sistem vCenter Server untuk mendengarkan koneksi dari Klien vSphere. Untuk mengaktifkan sistem vCenter Server guna menerima data dari vSphere Client, buka Port 443 di firewall. Sistem vCenter Server juga menggunakan Port 443 untuk memantau transfer data dari klien SDK. Port ini juga digunakan untuk layanan berikut: WS-Management (juga mengharuskan Port 80 terbuka). Akses vSphere Client ke Manajer Pembaruan vSphere. Koneksi klien manajemen jaringan pihak ketiga ke vCenter Server. Klien manajemen jaringan pihak ketiga mengakses host.
Browser Web Hybrid Cloud Manager TCP(HTTPS) 9443 Antarmuka Manajemen Peralatan Virtual Hybrid Cloud Manager untuk konfigurasi sistem Hybrid Cloud Manager.
Jaringan Admin Hybrid Cloud Manager SSH 22 Administrator SSH akses ke Hybrid Cloud Manager.
HCM Cloud Gateway TCP(HTTPS) 8123 Kirim instruksi layanan replikasi berbasis host ke Hybrid Cloud Gateway.
HCM Cloud Gateway HTTP TCP(HTTPS) 9443 Kirim instruksi manajemen ke Hybrid Cloud Gateway lokal menggunakan REST API.
Cloud Gateway L2C TCP(HTTPS) 443 Kirim instruksi manajemen dari Gateway Cloud ke L2C saat L2C menggunakan jalur yang sama dengan Hybrid Cloud Gateway.
Cloud Gateway ESXi Hosts TCP 80,902 Manajemen dan penyebaran OVF.
Cloud Gateway (lokal) Cloud Gateway (jarak jauh) UDP 4500 Diperlukan untuk pertukaran kunci Internet (IKEv2) IPSEC untuk merangkum beban kerja untuk terowongan dua arah. Network Address Translation-Traversal (NAT-T) juga didukung.
Cloud Gateway (lokal) Cloud Gateway (jarak jauh) UDP 500 Diperlukan untuk pertukaran kunci internet (ISAKMP) IPSEC untuk terowongan dua arah.
Jaringan vCenter di tempat Jaringan manajemen Cloud Pribadi TCP 8000 vMotion VM dari vCenter lokal ke Private Cloud vCenter

Tanggung Jawab: Pelanggan

NS-2: Menyambungkan jaringan privat bersama-sama

Panduan: Gunakan Azure ExpressRoute atau Jaringan pribadi Maya (VPN) Azure untuk membuat koneksi pribadi antara pusat data Azure dan infrastruktur lokal di lingkungan kolokasi.

Koneksi ExpressRoute tidak melalui internet publik, dan menawarkan lebih banyak keandalan, kecepatan lebih cepat, dan latensi lebih rendah daripada koneksi internet biasa. Untuk VPN titik ke situs dan situs ke situs, Anda dapat menyambungkan perangkat atau jaringan lokal ke jaringan virtual. Gunakan kombinasi apa pun dari opsi VPN ini dan Azure ExpressRoute.

Untuk menyambungkan dua jaringan virtual Azure atau lebih, gunakan peering jaringan virtual. Lalu lintas antara jaringan virtual yang di-peering bersifat privat dan tetap berada di jaringan backbone Azure.

Tanggung Jawab: Pelanggan

NS-3: Membangun akses jaringan privat ke layanan Azure

Panduan: Sumber daya Azure VMware Solution menggunakan injeksi jaringan virtual. Anda menyebarkannya langsung ke jaringan virtual. Layanan ini tidak mendukung penggunaan Private Link untuk membuat konektivitas jaringan pribadi.

Saat menyebarkan sumber daya Azure VMware Solution, Anda harus membuat atau menggunakan jaringan virtual yang ada. Pastikan bahwa jaringan virtual yang dipilih memiliki kelompok keamanan jaringan yang diterapkan pada subnet dan kontrol akses jaringan yang dikonfigurasi khusus untuk port dan sumber terpercaya aplikasi Anda. Jika sumber daya dikonfigurasi dengan jaringan virtual, sumber daya tidak dapat diatasi secara publik dan hanya dapat diakses dari dalam jaringan virtual.

Bergantung pada kebutuhan organisasi Anda, gunakan layanan Azure Firewall untuk membuat, memberlakukan, dan membuat log kebijakan konektivitas jaringan dan aplikasi secara terpusat di seluruh langganan dan jaringan virtual.

Tanggung Jawab: Pelanggan

NS-4: Melindungi aplikasi dan layanan dari serangan jaringan eksternal

Panduan: Melindungi sumber daya Azure VMware Solution Anda dari serangan dari jaringan eksternal. Serangan dapat mencakup:

  • Serangan penolakan layanan terdistribusi (DDoS)

  • Serangan khusus aplikasi

  • Lalu lintas internet yang tidak diminta dan berpotensi berbahaya

Gunakan Azure Firewall untuk melindungi aplikasi dan layanan dari lalu lintas yang berpotensi berbahaya dari internet dan lokasi eksternal lainnya. Lindungi aset dari serangan DDoS dengan mengaktifkan DDoS Protection Standar di jaringan virtual Azure. Gunakan Microsoft Defender untuk Cloud untuk mendeteksi risiko kesalahan konfigurasi dalam sumber daya terkait jaringan.

Gunakan kemampuan Web Application Firewall (WAF) di Azure Application Gateway, Azure Front Door, dan Azure Content Delivery Network (CDN) untuk melindungi aplikasi Anda yang berjalan di Azure VMware Solution dari serangan lapisan aplikasi.

Tanggung Jawab: Pelanggan

NS-6: Menyederhanakan aturan keamanan jaringan

Panduan: Gunakan Tag Layanan Azure Virtual Network untuk menentukan kontrol akses jaringan pada NSG atau Azure Firewall yang dikonfigurasi untuk sumber daya Azure VMware Solution Anda. Anda dapat menggunakan tag layanan sebagai pengganti alamat IP tertentu saat membuat aturan keamanan. Tentukan nama tag layanan di bidang sumber atau tujuan yang sesuai dari aturan untuk mengizinkan atau menolak lalu lintas untuk layanan. Microsoft mengelola awalan alamat yang dicakup tag layanan, dan secara otomatis memperbarui tag layanan saat alamat berubah.

Tidak ada tag layanan khusus yang disediakan untuk layanan Azure VMware Solution. Namun, Anda masih dapat menggunakan tag layanan untuk menyederhanakan aturan jaringan pada jaringan tempat Anda menerapkan sumber daya VMware Solution.

Tanggung Jawab: Pelanggan

NS-7: Layanan Nama Domain (DNS) yang Aman

Panduan: Ikuti praktik terbaik untuk keamanan DNS guna mengurangi terhadap serangan umum seperti:

  • DNS menggantung

  • Serangan amplifikasi DNS

  • Keracunan DNS

  • Spoofing

  • Dan seterusnya

Saat Anda menggunakan Azure DNS sebagai layanan DNS otoritatif Anda, pastikan zona dan catatan DNS dilindungi dari modifikasi yang tidak disengaja atau berbahaya menggunakan Kontrol Akses Berbasis Peran (RBAC) Azure dan kunci sumber daya.

Tanggung Jawab: Dibagikan

Manajemen Identitas

Untuk informasi lebih lanjut, lihat Azure Security Benchmark : Manajemen Identitas.

IM-1: Menstandarkan Microsoft Azure Active Directory sebagai pusat sistem identitas dan autentikasi

Panduan: Azure VMware Solution menggunakan Azure Active Directory (Azure AD) sebagai identitas default dan layanan manajemen akses. Melakukan standardisasi pada Azure AD untuk mengatur identitas dan manajemen akses organisasi Anda di:

  • Sumber daya Microsoft Cloud. Sumber daya meliputi:

    • Portal Microsoft Azure

    • Azure Storage

    • VM Linux dan Windows Azure

    • Azure Key Vault

    • Platform-as-a-service (PaaS)

    • Aplikasi software as a service (SaaS)

  • Sumber daya organisasi Anda, seperti aplikasi di Azure atau sumber daya jaringan perusahaan Anda.

Mengamankan Azure AD harus menjadi prioritas utama dalam praktik keamanan cloud organisasi Anda. Azure AD memberikan skor keamanan identitas untuk membantu Anda membandingkan postur keamanan identitas Anda dengan rekomendasi praktik terbaik Microsoft. Gunakan skor untuk mengukur seberapa dekat konfigurasi Anda cocok dengan rekomendasi praktik terbaik, dan untuk melakukan peningkatan dalam postur keamanan Anda.

Catatan: Azure AD mendukung identitas eksternal. Pengguna tanpa akun Microsoft dapat masuk ke aplikasi dan sumber daya mereka dengan identitas eksternal mereka.

Azure VMware Solution menyediakan grup CloudAdmin yang dapat Anda gunakan untuk menggabungkan layanan ke Azure Active Directory. Anda diberikan info masuk untuk pengguna cloudadmin di vCenter dan akses admin di pengelola NSX-T.

Tanggung Jawab: Pelanggan

IM-2: Mengelola identitas aplikasi dengan aman dan otomatis

Panduan: Azure VMware Solution tidak mendukung penetapan identitas yang dikelola Azure AD ke sumber dayanya. Cloud privat Azure VMware Solution menggunakan kontrol akses berbasis peran vSphere untuk keamanan yang ditingkatkan.

Dalam kasus saat Anda perlu mengonfigurasi izin aplikasi untuk Azure VMware Solution, gunakan Azure AD untuk membuat perwakilan layanan dengan izin terbatas di tingkat sumber daya untuk mengonfigurasi perwakilan layanan dengan info masuk sertifikat dan fallback ke rahasia klien. Skrip atau aplikasi yang berjalan di layanan dapat menggunakan perwakilan layanan ini untuk melakukan tindakan di Azure. Dalam kedua kasus tersebut, gunakan Azure Key Vault dengan identitas yang dikelola Azure AD, sehingga lingkungan runtime seperti fungsi Azure mengambil info masuk dari brankas kunci.

Tanggung Jawab: Pelanggan

IM-3: Menggunakan akses menyeluruh (SSO) Microsoft Azure AD untuk akses aplikasi

Panduan: Untuk aktivitas manajemen, Azure VMware Solution menggunakan Azure AD sebagai penyedia identitas untuk mengelola sumber daya Azure-nya.

Untuk akses internal, cloud privat Azure VMware Solution menggunakan kontrol akses berbasis peran vSphere untuk meningkatkan keamanan. Anda dapat mengintegrasikan kemampuan LDAP SSO vSphere dengan Azure AD. Setelah mengonfigurasi integrasi, integrasi tersebut memungkinkan akses menyeluruh (SSO) untuk mengelola dan mengamankan akses ke data dan sumber daya organisasi Anda secara lokal dan di cloud. Hubungkan semua pengguna, aplikasi, dan perangkat Anda ke Azure AD untuk akses yang lancar, aman, serta visibilitas dan kontrol yang lebih besar.

Tanggung Jawab: Pelanggan

IM-7: Menghapus paparan informasi masuk yang tidak diinginkan

Panduan: Azure VMware Solution memungkinkan pelanggan menyebarkan sumber dayanya melalui infrastruktur sebagai penyebaran kode yang mungkin berisi rahasia tertanam. Terapkan Pemindai Info Masuk untuk mengidentifikasi info masuk dalam templat infrastruktur apa pun untuk sumber daya Azure VMware Solution Anda. Pemindai Info Masuk juga akan mendorong Anda memindahkan info masuk yang ditemukan ke lokasi yang lebih aman seperti Azure Key Vault.

Untuk GitHub, gunakan fitur pemindaian rahasia asli untuk mengidentifikasi info masuk atau bentuk rahasia lain dalam kode.

Tanggung Jawab: Pelanggan

Akses dengan Hak Istimewa

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Akses dengan Hak istimewa.

PA-1: Melindungi dan membatasi pengguna dengan hak sangat istimewa

Panduan: Peran Azure AD bawaan yang paling penting adalah Administrator Global dan Administrator Peran Istimewa. Pengguna dengan dua peran ini dapat mendelegasikan peran administrator.

  • Administrator Global atau Administrator Perusahaan memiliki akses ke semua fitur administratif Azure AD, dan layanan yang menggunakan identitas Azure AD.

  • Administrator Peran Istimewa dapat mengelola penetapan peran di Azure AD dan Azure AD Privileged Identity Management (PIM). Peran ini dapat mengelola semua aspek PIM dan unit administrasi.

Di Azure VMware Solution, vCenter memiliki pengguna lokal bawaan yang disebut cloudadmin dan ditugaskan ke peran CloudAdmin. Pengguna cloudadmin lokal menyiapkan pengguna di AD. Peran CloudAdmin membuat dan mengelola beban kerja di cloud privat Anda. Namun, di Azure VMware Solution, peran CloudAdmin memiliki hak istimewa vCenter yang berbeda dari solusi cloud VMware lainnya.

Batasi jumlah akun atau peran yang sangat istimewa, dan lindungi akun ini pada tingkat yang lebih tinggi. Pengguna yang sangat istimewa dapat secara langsung atau tidak langsung membaca dan memodifikasi semua sumber daya Azure Anda.

Anda dapat mengaktifkan akses istimewa just-in-time (JIT) ke sumber daya Azure dan Azure AD menggunakan Azure AD PIM. JIT memberikan izin sementara untuk melakukan tugas istimewa hanya ketika pengguna membutuhkannya. PIM juga dapat membuat peringatan keamanan untuk aktivitas yang mencurigakan atau tidak aman di organisasi Azure AD Anda.

Tanggung Jawab: Pelanggan

PA-3: Tinjau dan rekonsiliasi akses pengguna secara teratur

Panduan: Azure VMware Solution menggunakan akun Azure AD untuk mengelola sumber dayanya. Tinjau akun pengguna dan akses penugasan secara teratur untuk memastikan akun dan aksesnya valid. Anda dapat menggunakan Azure AD dan tinjauan akses untuk mengulas keanggotaan grup, akses ke aplikasi perusahaan, dan penetapan peran. Pelaporan Microsoft Azure Active Directory dapat menyediakan log untuk membantu menemukan akun yang kedaluwarsa. Anda juga dapat membuat alur kerja laporan tinjauan akses di Azure AD Privileged Identity Management (PIM) untuk memudahkan proses peninjauan.

Anda dapat mengonfigurasi Azure AD PIM untuk memberi tahu Anda ketika ada terlalu banyak akun administrator. PIM dapat mengidentifikasi akun administrator yang kedaluwarsa atau dikonfigurasi dengan tidak benar.

Cloud pribadi Azure VMware Solution tersedia dengan vCenter Server dan NSX-T Manager. Anda menggunakan vCenter Server untuk mengelola beban kerja komputer virtual (VM) dan NSX-T Manager untuk mengelola dan memperluas cloud pribadi. Manajemen akses dan identitas menggunakan peran CloudAdmin untuk vCenter Server dan hak administrator terbatas untuk NSX-T Manager.

Tanggung Jawab: Pelanggan

PA-6: Menggunakan stasiun kerja akses dengan hak istimewa

Panduan: Stasiun kerja yang aman dan terisolasi sangat penting untuk keamanan peran sensitif seperti administrator, pengembang, dan operator layanan penting. Gunakan stasiun kerja pengguna yang sangat aman dan Azure Bastion untuk tugas administratif.

Gunakan Azure AD, Microsoft Defender ATP, atau Microsoft Intune untuk menyebarkan stasiun kerja pengguna yang aman dan terkelola untuk tugas administratif. Anda dapat mengelola stasiun kerja aman secara terpusat untuk menerapkan konfigurasi keamanan yang mencakup:

  • Autentikasi kuat

  • Garis besar perangkat lunak dan perangkat keras

  • Akses jaringan dan logis yang dibatasi

Untuk informasi selengkapnya, lihat referensi berikut ini:

Tanggung Jawab: Pelanggan

PA-7: Ikuti administrasi secukupnya (prinsip hak istimewa terkecil)

Panduan: Azure VMware Solution terintegrasi dengan Azure RBAC untuk mengelola sumber dayanya. Dengan RBAC, Anda mengelola akses sumber daya Azure melalui penetapan peran. Anda dapat menetapkan peran ke pengguna, grup, perwakilan layanan, dan identitas terkelola. Sumber daya tertentu memiliki peran bawaan yang telah ditentukan sebelumnya. Anda dapat menginventarisasi atau mengkueri peran ini melalui alat seperti Azure CLI, Azure PowerShell, atau portal Azure.

Batasi hak istimewa yang Anda tetapkan ke sumber daya melalui Azure RBAC sesuai kebutuhan peran. Praktik ini melengkapi pendekatan just-in-time (JIT) dari Azure AD PIM. Tinjau peran dan tugas secara berkala.

Gunakan peran bawaan untuk memberikan izin, dan hanya buat peran kustom jika diperlukan.

Cloud pribadi Azure VMware Solution tersedia dengan vCenter Server dan NSX-T Manager. Anda menggunakan vCenter untuk mengelola beban kerja VM dan NSX-T Manager untuk mengelola dan memperluas cloud pribadi. Manajemen akses dan identitas menggunakan peran CloudAdmin untuk vCenter Server dan hak administrator terbatas untuk NSX-T Manager.

Di Azure VMware Solution, vCenter memiliki pengguna lokal bawaan yang disebut cloudadmin dan ditugaskan ke peran CloudAdmin. Pengguna cloudadmin lokal digunakan untuk mengatur pengguna di Azure AD. Peran CloudAdmin membuat dan mengelola beban kerja di cloud privat Anda. Namun, di Azure VMware Solution, peran CloudAdmin memiliki hak istimewa vCenter yang berbeda dari solusi cloud VMware lainnya.

Azure VMware Solution juga mendukung penggunaan peran kustom dengan hak istimewa yang sama atau lebih rendah daripada peran CloudAdmin. Anda akan menggunakan peran CloudAdmin untuk membuat, mengubah, atau menghapus peran kustom dengan hak istimewa yang lebih rendah atau setara dengan peran mereka saat ini. Anda dapat membuat peran dengan hak istimewa lebih besar dari CloudAdmin. Anda tidak dapat menetapkan peran ke pengguna atau grup mana pun atau menghapus peran tersebut.

Tanggung Jawab: Pelanggan

PA-8: Memilih proses persetujuan untuk dukungan Microsoft

Panduan: Azure VMware Solution tidak mendukung kotak kunci pelanggan. Microsoft dapat bekerja dengan pelanggan melalui metode non-kotak kunci untuk persetujuan guna mengakses data pelanggan.

Tanggung jawab: Microsoft

Perlindungan Data

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Perlindungan Data.

DP-2: Melindungi data sensitif

Panduan: Melindungi data sensitif dengan membatasi akses dengan Azure RBAC, kontrol akses berbasis jaringan, dan kontrol khusus di layanan Azure. Misalnya, gunakan enkripsi dalam SQL dan database lainnya.

Untuk konsistensi, sejajarkan semua jenis kontrol akses dengan strategi segmentasi perusahaan Anda. Informasikan strategi segmentasi perusahaan Anda berdasarkan lokasi data dan sistem yang sensitif atau penting bagi bisnis.

Microsoft memperlakukan semua konten pelanggan di platform dasar yang dikelola Microsoft sebagai hal yang sensitif. Microsoft menjaga dari kehilangan dan paparan data pelanggan. Microsoft memiliki kontrol dan kemampuan perlindungan data default untuk memastikan bahwa data pelanggan Azure tetap aman.

Tanggung Jawab: Bersama

DP-4: Mengenkripsi informasi sensitif saat transit

Panduan: Untuk melengkapi kontrol akses, lindungi data saat transit dari serangan di luar jangkauan seperti pengambilan lalu lintas. Gunakan enkripsi untuk memastikan bahwa penyerang tidak dapat dengan mudah membaca atau mengubah data. Azure VMware Solution mendukung enkripsi data saat transit dengan TLS v1.2.

Persyaratan ini opsional untuk lalu lintas di jaringan privat, tetapi sangat penting untuk lalu lintas di jaringan eksternal dan publik. Untuk lalu lintas HTTP, pastikan setiap klien yang tersambung ke sumber daya Azure Anda dapat menggunakan TLS v1.2 atau yang lebih baru.

Untuk manajemen jarak jauh, gunakan TLS alih-alih protokol yang tidak terenkripsi. Versi SSL dan TLS usang atau cipher lemah harus dinonaktifkan.

Azure mengenkripsi data saat transit di antara pusat data Azure secara default.

Tanggung Jawab: Dibagikan

DP-5: Mengenkripsi data sensitif yang tidak aktif

Panduan: Untuk melengkapi kontrol akses, Azure VMware Solution mengenkripsi data tidak aktif untuk melindungi dari serangan di luar band, seperti mengakses penyimpanan yang mendasarinya, dengan menggunakan enkripsi. Enkripsi membantu memastikan bahwa penyerang tidak dapat dengan mudah membaca atau mengubah data.

Microsoft Azure menyediakan enkripsi untuk data yang tidak aktif secara default. Untuk data yang sangat sensitif, Anda memiliki opsi untuk menerapkan enkripsi tambahan saat tidak aktif ke semua sumber daya Azure jika tersedia. Azure mengelola kunci enkripsi Anda secara default untuk Azure VMware Solution. Ini tidak memberikan opsi bagi Anda untuk mengelola kunci yang dikelola pelanggan Anda sendiri.

Datastore vSAN menggunakan enkripsi data tidak aktif secara default menggunakan kunci yang disimpan di Azure Key Vault. Solusi enkripsi berbasis KMS dan mendukung operasi vCenter Server untuk pengelolaan kunci. Saat host dihapus dari kluster, data tentang SSD akan segera dihapus.

Tanggung Jawab: Pelanggan

Manajemen Aset

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Aset.

AM-1: Memastikan tim keamanan memiliki visibilitas terhadap risiko aset

Panduan: Pastikan untuk memberikan izin Pembaca Keamanan kepada tim keamanan di penyewa dan langganan Azure Anda, sehingga mereka dapat memantau risiko keamanan dengan menggunakan Microsoft Defender untuk Cloud.

Pemantauan untuk risiko keamanan dapat menjadi tanggung jawab tim keamanan pusat atau tim lokal, tergantung cara Anda menyusun tanggung jawab. Selalu agregasikan wawasan dan risiko keamanan secara terpusat dalam suatu organisasi.

Anda dapat menerapkan izin Security Reader secara luas ke seluruh Grup Manajemen Root penyewa, atau izin cakupan ke grup atau langganan manajemen tertentu.

Tanggung Jawab: Pelanggan

AM-2: Memastikan tim keamanan memiliki akses ke inventaris aset dan metadata

Panduan: Pastikan tim keamanan memiliki akses ke inventaris aset yang terus diperbarui di Azure, seperti Azure VMware Solution. Tim keamanan sering membutuhkan inventaris ini untuk mengevaluasi potensi paparan organisasi mereka terhadap risiko yang muncul, dan sebagai masukan untuk peningkatan keamanan yang berkelanjutan. Buat grup Azure AD untuk menampung tim keamanan resmi organisasi Anda. Berikan mereka akses baca ke semua sumber daya Azure VMware Solution. Anda dapat menyederhanakan proses dengan menggunakan satu penetapan peran tingkat tinggi dalam langganan Anda.

Menerapkan tag ke sumber daya Azure, grup sumber daya, dan langganan Anda untuk mengaturnya secara logis ke dalam taksonomi. Setiap tag terdiri dari nama dan pasangan nilai. Misalnya, Anda dapat menerapkan nama "Lingkungan" dan nilai "Produksi" ke semua sumber daya dalam produksi.

Gunakan Inventaris Azure VM untuk mengotomatiskan pengumpulan informasi tentang perangkat lunak pada VM. Nama Perangkat Lunak, Versi, Penerbit, dan Waktu Refresh tersedia dari portal Azure. Untuk mendapatkan akses ke tanggal penginstalan dan informasi lainnya, aktifkan diagnostik tingkat tamu dan bawa Log Peristiwa Windows ke ruang kerja Log Analytics.

Gunakan Kontrol Aplikasi Adaptif Microsoft Defender untuk Cloud guna menentukan jenis file mana yang berlaku atau tidak berlaku untuk aturan.

Tanggung Jawab: Pelanggan

AM-3: Hanya gunakan layanan Azure yang disetujui

Panduan: Gunakan Azure Policy untuk mengaudit dan membatasi layanan yang dapat disediakan pengguna di lingkungan Anda. Gunakan Azure Resource Graph untuk mengkueri dan menemukan sumber daya dalam langganan Anda. Anda juga dapat menggunakan Azure Monitor untuk membuat aturan guna memicu peringatan saat mereka mendeteksi layanan yang tidak disetujui.

Tanggung Jawab: Pelanggan

AM-6: Hanya gunakan aplikasi yang disetujui dalam sumber daya komputasi

Panduan: Gunakan inventaris Azure VM untuk mengotomatiskan pengumpulan informasi tentang semua perangkat lunak pada VM yang terkait dengan Azure VMware Solution. Nama perangkat lunak, versi, penerbit, dan waktu penyegaran tersedia dari portal Microsoft Azure. Untuk mendapatkan akses ke tanggal penginstalan dan informasi lainnya, aktifkan diagnostik tingkat tamu dan bawa Log Kejadian Windows ke ruang kerja Analitik Log.

Tanggung Jawab: Pelanggan

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pencatatan dan Deteksi Ancaman.

LT-1: Mengaktifkan deteksi ancaman untuk sumber daya Azure

Panduan: Meneruskan log apa pun dari Azure VMware Solution yang dapat digunakan untuk menyiapkan deteksi ancaman kustom ke SIEM Anda. Pastikan Anda memantau berbagai jenis aset Azure untuk potensi ancaman dan anomali. Fokus pada mendapatkan peringatan berkualitas tinggi untuk mengurangi positif palsu bagi analis untuk diurutkan. Anda dapat memperoleh peringatan dari data log, agen, atau data lainnya.

Tanggung Jawab: Pelanggan

LT-2: Mengaktifkan deteksi ancaman untuk identitas Azure dan manajemen akses

Panduan: Azure AD menyediakan log pengguna berikut. Anda dapat melihat log dalam pelaporan Azure AD. Anda dapat mengintegrasikan log dengan Azure Monitor, Microsoft Sentinel, atau SIEM lainnya dan alat pemantauan untuk kasus penggunaan pemantauan dan analitik yang lebih canggih.

  • Kredensial masuk - Informasi tentang penggunaan aplikasi terkelola dan aktivitas masuk pengguna.

  • Log audit - Keterlacakan melalui log untuk semua perubahan yang dibuat oleh berbagai fitur Azure AD. Log audit menyertakan perubahan yang dilakukan pada sumber daya apa pun dalam Azure AD. Perubahan tersebut termasuk menambahkan atau menghapus pengguna, aplikasi, grup, peran, dan kebijakan.

  • Proses masuk riskan - Indikator untuk upaya masuk oleh seseorang yang mungkin bukan pemilik akun pengguna yang sah.

  • Pengguna ditandai berisiko - Indikator untuk akun pengguna yang mungkin telah disusupi.

Microsoft Defender untuk Cloud juga dapat memberi tahu Anda tentang aktivitas mencurigakan tertentu seperti terlalu banyak upaya autentikasi yang gagal. Akun yang tidak digunakan lagi dalam langganan juga dapat memicu peringatan.

Microsoft Defender untuk Cloud juga dapat memperingatkan Anda tentang aktivitas mencurigakan seperti upaya autentikasi yang gagal dalam jumlah berlebihan, atau tentang akun yang tidak digunakan lagi.

Selain pemantauan kebersihan keamanan dasar, modul Perlindungan Ancaman Microsoft Defender untuk Cloud dapat mengumpulkan peringatan keamanan yang lebih mendalam dari:

  • Sumber daya komputasi Azure individual seperti mesin virtual, kontainer, dan layanan aplikasi.

  • Sumber daya data seperti Azure SQL Database dan Azure Storage.

  • Lapisan layanan Azure.

Kemampuan ini memberi Anda visibilitas pada anomali akun di masing-masing sumber daya.

Tanggung Jawab: Pelanggan

LT-3: Mengaktifkan pengelogan untuk aktivitas jaringan Azure

Panduan: Mengaktifkan dan mengumpulkan log sumber daya NSG, log aliran NSG, log Azure Firewall, dan log Web Application Firewall (WAF). Gunakan log untuk analisis keamanan untuk mendukung investigasi insiden, perburuan ancaman, dan pembuatan peringatan keamanan. Anda dapat mengirim log alur ke ruang kerja Log Analitik Azure Monitor dan kemudian menggunakan Analitik Lalu Lintas untuk memberikan wawasan.

Pastikan Anda mengumpulkan log kueri DNS untuk membantu menghubungkan data jaringan lainnya. Menerapkan solusi pihak ketiga dari Azure Marketplace untuk pencatatan DNS untuk memenuhi kebutuhan organisasi Anda.

Tanggung Jawab: Pelanggan

LT-4: Mengaktifkan pengelogan untuk sumber daya Azure

Panduan: Log aktivitas tersedia secara otomatis. Log berisi semua operasi PUT, POST, dan DELETE, tetapi bukan GET untuk sumber daya Azure VMware Solution Anda kecuali operasi baca (GET). Anda dapat menggunakan log aktivitas untuk menemukan kesalahan saat memecahkan masalah, atau untuk memantau bagaimana pengguna di organisasi Anda memodifikasi sumber daya.

Aktifkan log sumber daya Azure untuk Azure VMware Solution. Anda dapat menggunakan Pertahanan Microsoft untuk Cloud dan Azure Policy untuk mengaktifkan log sumber daya dan pengumpulan data log. Log ini bisa sangat penting untuk menyelidiki insiden keamanan dan melakukan latihan forensik.

Azure VMware Solution juga menghasilkan log audit keamanan untuk akun kelola lokal. Aktifkan log audit admin lokal ini.

Tanggung Jawab: Pelanggan

LT-5: Memusatkan manajemen dan analisis log keamanan

Panduan: Memusatkan penyimpanan pengelogan, dan analisis untuk mengaktifkan korelasi. Untuk setiap sumber log, pastikan Anda memiliki:

  • Pemilik data yang ditetapkan

  • Panduan akses

  • Lokasi penyimpanan

  • Alat yang Anda gunakan untuk memproses dan mengakses data

  • Persyaratan retensi data

Pastikan untuk mengintegrasikan log aktivitas Azure ke dalam pengelogan pusat Anda.

Serap log melalui Azure Monitor untuk menggabungkan data keamanan yang dihasilkan oleh perangkat titik akhir, sumber daya jaringan, dan sistem keamanan lainnya. Di Azure Monitor, gunakan ruang kerja Log Analytics untuk membuat kueri dan melakukan analitik.

Gunakan akun Azure Storage untuk penyimpanan arsip dan jangka panjang.

Untuk aplikasi yang berjalan di Azure VMware Solution, teruskan semua log terkait keamanan ke SIEM Anda untuk manajemen terpusat.

Banyak organisasi memilih untuk menggunakan Microsoft Sentinel untuk data "panas" yang sering digunakan dan Azure Storage untuk data "dingin" yang lebih jarang digunakan.

Tanggung Jawab: Pelanggan

LT-6: Mengonfigurasi retensi penyimpanan log

Panduan: Pastikan bahwa setiap akun penyimpanan atau ruang kerja Log Analytics yang Anda gunakan untuk menyimpan log Azure VMware Solution telah diatur periode retensi log. Jika Anda belum melakukannya, tetapkan periode retensi log sesuai dengan peraturan kepatuhan organisasi Anda.

Tanggung Jawab: Pelanggan

LT-7: Menggunakan sumber sinkronisasi waktu yang disetujui

Panduan: Microsoft mempertahankan sumber waktu untuk sebagian besar layanan PaaS dan SaaS platform Azure. Untuk VM Anda, gunakan server Network Time Protocol (NTP) default Microsoft untuk sinkronisasi waktu kecuali Anda memiliki persyaratan khusus. Jika Anda perlu mendirikan NTP server Anda sendiri, pastikan bahwa Anda mengamankan port layanan UDP 123. Semua log yang dihasilkan oleh sumber daya dalam Azure menyediakan stempel waktu dengan zona waktu yang ditentukan secara default.

Tanggung Jawab: Pelanggan

Manajemen Postur dan Kerentanan

Untuk mengetahui informasi selengkapnya, lihat Tolok Ukur Keamanan Azure: Manajemen Postur dan Kerentanan.

PV-1: Membuat konfigurasi aman untuk layanan Azure

Panduan: Gunakan Azure Blueprints untuk mengotomatiskan penyebaran dan konfigurasi layanan dan lingkungan aplikasi. Definisi cetak biru tunggal dapat menyertakan templat Azure Resource Manager, kontrol RBAC, dan kebijakan.

Tanggung Jawab: Pelanggan

PV-2: Membuat konfigurasi aman secara berkelanjutan untuk layanan Azure

Panduan: Menggunakan Microsoft Defender untuk Cloud untuk memantau garis besar konfigurasi Anda. Gunakan Azure Policy [tolak] dan [sebarkan jika tidak ada] untuk menerapkan konfigurasi aman di seluruh sumber daya komputasi Azure termasuk VM dan kontainer.

Tanggung Jawab: Pelanggan

PV-3: Menetapkan konfigurasi yang aman untuk sumber daya komputasi

Panduan: Gunakan Microsoft Defender untuk Cloud dan Azure Policy untuk membangun konfigurasi yang aman pada semua sumber daya komputasi termasuk mesin virtual, kontainer, dan lainnya.

Anda dapat menggunakan gambar sistem operasi kustom atau konfigurasi Azure Automation State untuk menetapkan konfigurasi keamanan sistem operasi yang diperlukan oleh organisasi Anda.

Tanggung Jawab: Pelanggan

PV-4: Mempertahankan konfigurasi yang aman untuk sumber daya komputasi

Panduan: Gunakan Microsoft Defender untuk Cloud dan Azure Policy untuk menilai dan memulihkan risiko konfigurasi secara berkala pada sumber daya komputasi Azure, termasuk VM dan kontainer. Anda juga dapat menggunakan templat Azure Resource Manager (ARM), gambar sistem operasi kustom, atau konfigurasi status Azure Automation untuk mempertahankan konfigurasi keamanan sistem operasi yang diperlukan organisasi Anda.

Templat Microsoft VM yang dikombinasikan dengan Konfigurasi Status Azure Automation dapat membantu memenuhi dan memelihara persyaratan keamanan.

Microsoft mengelola dan memelihara gambar VM yang mereka terbitkan di Azure Marketplace.

Microsoft Defender untuk Cloud dapat memindai kerentanan dalam gambar kontainer dan terus memantau konfigurasi kontainer Docker Anda terhadap Tolok Ukur CIS Docker. Anda dapat menggunakan halaman Rekomendasi Microsoft Defender untuk Cloud guna melihat rekomendasi dan memperbaiki masalah.

Tanggung Jawab: Dibagikan

PV-5: Menyimpan sistem operasi kustom dan gambar kontainer dengan aman

Panduan: Azure VMware Solution memungkinkan pelanggan mengelola gambar kontainer. Gunakan RBAC Azure untuk memastikan bahwa hanya pengguna yang berwenang yang dapat mengakses gambar kustom Anda. Gunakan Azure Shared Image Gallery untuk membagikan gambar Anda ke pengguna yang berbeda, perwakilan layanan, atau grup Azure AD di organisasi Anda. Simpan gambar kontainer di Azure Container Registry, dan gunakan RBAC untuk memastikan bahwa hanya pengguna yang berwenang yang memiliki akses.

Tanggung Jawab: Pelanggan

PV-6: Melakukan penilaian kerentanan perangkat lunak

Panduan: Azure VMware Solution sebagian terdiri dari VM pelanggan. Ikuti rekomendasi dari Microsoft Defender untuk Cloud guna melakukan penilaian kerentanan pada VM Azure Anda. Sebagaimana diperlukan, ekspor hasil pemindaian pada interval yang konsisten dan membandingkan hasil dengan pemindaian sebelumnya untuk memverifikasi bahwa kerentanan telah diremediasi. Saat menggunakan rekomendasi manajemen kerentanan yang disarankan oleh Microsoft Defender untuk Cloud, Anda dapat beralih ke portal solusi yang dipilih untuk melihat data pemindaian historis.

Azure VMware Solution dapat menggunakan solusi pihak ketiga untuk melakukan penilaian kerentanan pada perangkat jaringan dan aplikasi web. Saat melakukan pemindaian jarak jauh, jangan gunakan satu akun administratif yang abadi. Pertimbangkan untuk menerapkan metodologi provisi JIT untuk akun pemindaian. Kredensial untuk akun pemindaian harus dilindungi, dipantau, dan digunakan hanya untuk pemindaian kerentanan.

Sebagaimana diperlukan, ekspor hasil pemindaian pada interval yang konsisten dan membandingkan hasil dengan pemindaian sebelumnya untuk memverifikasi bahwa kerentanan telah diremediasi.

Tanggung Jawab: Pelanggan

PV-7: Memperbaiki kerentanan perangkat lunak dengan cepat dan otomatis

Panduan: Azure VMware Solution memungkinkan penyebaran layanan ke VM pelanggan. Terapkan pembaruan perangkat lunak dengan cepat untuk mengatasi kerentanan perangkat lunak dalam sistem operasi dan aplikasi.

Prioritaskan menggunakan program penilaian risiko umum seperti Common Vulnerability Scoring System atau peringkat risiko default yang disediakan oleh alat pemindaian pihak ketiga Anda. Sesuaikan lingkungan Anda menggunakan konteks aplikasi mana yang menghadirkan risiko keamanan tinggi dan mana yang memerlukan uptime tinggi.

Gunakan Azure Automation Update Management atau solusi pihak ketiga untuk memastikan bahwa pembaruan keamanan terbaru dipasang pada VM Windows dan Linux Anda. Untuk VM Windows, pastikan Anda telah mengaktifkan pembaruan Windows dan mengaturnya untuk memperbarui secara otomatis.

Tanggung Jawab: Pelanggan

PV-8: Melakukan simulasi serangan rutin

Panduan: Lakukan uji penetrasi atau aktivitas tim merah pada sumber daya Azure Anda sesuai kebutuhan, dan pastikan perbaikan semua temuan keamanan penting.

Ikuti Aturan Keterlibatan Uji Penetrasi Cloud Microsoft untuk memastikan uji penetrasi Anda tidak melanggar kebijakan Microsoft. Gunakan strategi dan eksekusi Red Teaming Microsoft. Lakukan uji penetrasi situs langsung terhadap infrastruktur, layanan, dan aplikasi cloud yang dikelola Microsoft.

Tanggung Jawab: Dibagikan

Keamanan titik akhir

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Titik Akhir.

ES-1: Menggunakan Deteksi dan Respons Titik Akhir (EDR)

Panduan: Mengaktifkan kemampuan Deteksi Titik Akhir dan Respons (EDR) untuk server dan klien. Integrasikan dengan SIEM dan proses operasi keamanan.

Perlindungan Ancaman Tingkat Lanjut Microsoft Defender menyediakan kemampuan EDR sebagai bagian dari platform keamanan titik akhir perusahaan untuk mencegah, mendeteksi, menyelidiki, dan merespons ancaman tingkat lanjut.

Tanggung Jawab: Pelanggan

ES-2: Menggunakan perangkat lunak anti-malware modern yang dikelola secara terpusat

Panduan: Lindungi Azure Machine Learning Anda dan sumber dayanya dengan perangkat lunak antimalware modern yang dikelola secara terpusat. Gunakan solusi antimalware titik akhir yang dikelola secara terpusat yang dapat melakukan pemindaian waktu nyata dan berkala.

  • Microsoft Antimalware untuk Azure Cloud Services adalah solusi antimalware default untuk VM Windows.

  • Untuk VM Linux, gunakan solusi antimalware pihak ketiga.

  • Gunakan Deteksi ancaman Microsoft Defender untuk Cloud layanan data guna mendeteksi malware yang diunggah ke akun Azure Storage.

  • Gunakan Microsoft Defender untuk Cloud guna secara otomatis:

    • Mengidentifikasi beberapa solusi antimalware populer untuk VM Anda

    • Melaporkan status perlindungan titik akhir yang sedang berjalan

    • Membuat rekomendasi

Untuk informasi selengkapnya, lihat referensi berikut ini:

Tanggung Jawab: Pelanggan

ES-3: Memastikan perangkat lunak anti-malware dan tanda tangan diperbarui

Panduan: Pastikan untuk memperbarui tanda tangan antimalware dengan cepat dan konsisten.

Ikuti rekomendasi di Microsoft Defender untuk Cloud "Aplikasi & Komputasi" untuk memastikan semua VM dan penampung diperbarui dengan tanda tangan terbaru.

Untuk Windows, Microsoft Antimalware secara otomatis memasang tanda tangan terbaru dan pembaruan mesin secara default. Jika Anda bekerja di lingkungan Linux, gunakan solusi antimalware pihak ketiga.

Untuk informasi selengkapnya, lihat referensi berikut ini:

Tanggung Jawab: Pelanggan

Microsoft Azure Backup dan Pemulihan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Microsoft Azure Backup dan Pemulihan.

BR-1: Pastikan pencadangan otomatis secara rutin

Panduan: Pastikan Anda mencadangkan sistem dan data untuk menjaga kelangsungan bisnis setelah peristiwa yang tidak terduga. Gunakan panduan untuk tujuan waktu pemulihan (RTO) dan tujuan titik pemulihan (RPO) apa pun.

Aktifkan Azure Backup. Konfigurasikan sumber cadangan, seperti Azure VM, SQL Server, database HANA, atau berbagi file. Konfigurasikan frekuensi dan periode retensi yang Anda inginkan.

Untuk redundansi yang lebih tinggi, aktifkan opsi penyimpanan geo-redundan untuk mereplikasi data cadangan ke wilayah sekunder dan memulihkan menggunakan pemulihan lintas wilayah.

Tanggung Jawab: Dibagikan

BR-2: Mengenkripsi data cadangan

Panduan: Pastikan untuk melindungi cadangan Anda terhadap serangan. Perlindungan cadangan harus mencakup enkripsi untuk melindungi dari hilangnya kerahasiaan.

Pencadangan lokal menggunakan Azure Backup menyediakan enkripsi saat tidak aktif menggunakan frase sandi yang Anda berikan. Cadangan layanan Azure reguler secara otomatis mengenkripsi data cadangan menggunakan kunci yang dikelola platform Azure. Anda dapat memilih untuk mengenkripsi cadangan menggunakan kunci yang dikelola pelanggan. Dalam hal ini, pastikan kunci yang dikelola pelanggan di brankas kunci ini juga berada dalam cakupan pencadangan.

Gunakan RBAC di Azure Backup, Azure Key Vault, dan sumber daya lainnya untuk melindungi cadangan dan kunci yang dikelola pelanggan. Anda juga dapat mengaktifkan fitur keamanan lanjutan untuk meminta MFA sebelum cadangan dapat diubah atau dihapus.

Tanggung Jawab: Dibagikan

BR-3: Memvalidasi semua cadangan termasuk kunci yang dikelola pelanggan

Panduan: Lakukan pemulihan data cadangan Anda secara berkala terkait dengan Azure VMware Solution.

Tanggung Jawab: Pelanggan

BR-4: Mengurangi risiko kehilangan kunci

Panduan: Memastikan Anda memiliki ukuran untuk mencegah dan memulihkan kehilangan kunci. Aktifkan perlindungan penghapusan sementara dan penghapusan menyeluruh di Azure Key Vault untuk melindungi kunci dari penghapusan yang tidak disengaja atau berbahaya.

Tanggung Jawab: Pelanggan

Langkah berikutnya