Kontrol Keamanan: Keamanan jaringan
Keamanan Jaringan mencakup kontrol untuk mengamankan dan melindungi jaringan, termasuk mengamankan jaringan virtual, membangun koneksi privat, mencegah, dan mengurangi serangan eksternal, dan mengamankan DNS.
NS-1: Membangun batas segmentasi jaringan
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.12, 13.4, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Prinsip keamanan: Pastikan penyebaran jaringan virtual Anda selaras dengan strategi segmentasi perusahaan Yang ditentukan dalam kontrol keamanan GS-2. Beban kerja apa pun yang dapat menimbulkan risiko lebih tinggi bagi organisasi harus berada di jaringan virtual yang terisolasi.
Contoh beban kerja berisiko tinggi meliputi:
- Aplikasi yang menyimpan atau memproses data yang sangat sensitif.
- Aplikasi eksternal yang menghadap jaringan yang dapat diakses oleh publik atau pengguna di luar organisasi Anda.
- Aplikasi yang menggunakan arsitektur tidak aman atau mengandung kerentanan yang tidak dapat dengan mudah dipulihkan.
Untuk meningkatkan strategi segmentasi perusahaan Anda, batasi atau pantau lalu lintas antar sumber daya internal menggunakan kontrol jaringan. Untuk aplikasi spesifik yang terdefinisi dengan baik (seperti aplikasi tingkat 3), ini bisa menjadi pendekatan "tolak secara default, izin dengan pengecualian" yang sangat aman dengan membatasi port, protokol, sumber, dan IP tujuan lalu lintas jaringan. Jika Anda memiliki banyak aplikasi dan titik akhir yang berinteraksi satu sama lain, memblokir lalu lintas mungkin tidak menskalakan dengan baik, dan Anda mungkin hanya dapat memantau lalu lintas.
Panduan Azure: Buat jaringan virtual (VNet) sebagai pendekatan segmentasi mendasar di jaringan Azure Anda, sehingga sumber daya seperti VM dapat disebarkan ke VNet dalam batas jaringan. Untuk mengelompokkan jaringan lebih lanjut, Anda dapat membuat subnet di dalam VNet untuk sub-jaringan yang lebih kecil.
Gunakan kelompok keamanan jaringan (NSG) sebagai kontrol lapisan jaringan untuk membatasi atau memantau lalu lintas berdasarkan port, protokol, alamat IP sumber, atau alamat IP tujuan. Lihat NS-7: Menyederhanakan konfigurasi keamanan jaringan untuk menggunakan Hardening Jaringan Adaptif untuk merekomendasikan aturan penguatan NSG berdasarkan inteligensi ancaman dan hasil analisis lalu lintas.
Anda juga dapat menggunakan kelompok keamanan aplikasi (ASG) untuk membantu menyederhanakan konfigurasi keamanan yang kompleks. Alih-alih mendefinisikan kebijakan berdasarkan alamat IP eksplisit dalam kelompok keamanan jaringan, ASG memungkinkan Anda untuk mengonfigurasi keamanan jaringan sebagai ekstensi alami struktur aplikasi, memungkinkan Anda untuk mengelompokkan mesin virtual dan menentukan kebijakan keamanan jaringan berdasarkan grup tersebut.
Implementasi Azure dan konteks tambahan:
- Konsep dan praktik terbaik Azure Virtual Network
- Menambahkan, mengubah, atau menghapus subnet jaringan virtual
- Cara membuat kelompok keamanan jaringan dengan aturan keamanan
- Memahami dan menggunakan Kelompok Keamanan Aplikasi
Panduan AWS: Buat Virtual Private Cloud (VPC) sebagai pendekatan segmentasi mendasar di jaringan AWS Anda, sehingga sumber daya seperti instans EC2 dapat disebarkan ke VPC dalam batas jaringan. Untuk menyegmentasi jaringan lebih lanjut, Anda dapat membuat subnet di dalam VPC untuk sub-jaringan yang lebih kecil.
Untuk instans EC2, gunakan Grup Keamanan sebagai firewall stateful untuk membatasi lalu lintas berdasarkan port, protokol, alamat IP sumber, atau alamat IP tujuan. Pada tingkat subnet VPC, gunakan Network Access Control List (NACL) sebagai firewall stateless untuk memiliki aturan eksplisit untuk lalu lintas masuk dan keluar ke subnet.
Catatan: Untuk mengontrol lalu lintas VPC, Internet dan NAT Gateway harus dikonfigurasi untuk memastikan lalu lintas dari/ke internet dibatasi.
Implementasi AWS dan konteks tambahan:
- Mengontrol lalu lintas ke instans EC2 dengan grup keamanan
- Membandingkan grup keamanan dan ACL jaringan
- Internet Gateway
- NAT Gateway
Panduan GCP: Buat jaringan cloud privat virtual (VPC) sebagai pendekatan segmentasi mendasar di jaringan GCP Anda, sehingga sumber daya seperti instans komputer virtual (VM) mesin komputasi dapat disebarkan ke jaringan VPC dalam batas jaringan. Untuk menyegmentasi jaringan lebih lanjut, Anda dapat membuat subnet di dalam VPC untuk sub-jaringan yang lebih kecil.
Gunakan aturan firewall VPC sebagai kontrol lapisan jaringan terdistribusi untuk mengizinkan atau menolak koneksi ke atau dari instans yang ditargetkan di jaringan VPC, yang mencakup VM, kluster Google Kubernetes Engine (GKE), dan instans lingkungan fleksibel App Engine.
Anda juga dapat mengonfigurasi aturan firewall VPC untuk menargetkan semua instans di jaringan VPC, instans dengan tag jaringan yang cocok, atau instans yang menggunakan akun layanan tertentu, memungkinkan Anda mengelompokkan instans dan menentukan kebijakan keamanan jaringan berdasarkan grup tersebut.
Implementasi GCP dan konteks tambahan:
- Membuat dan mengelola jaringan VPC
- Subnet Google Cloud VPC
- Menggunakan aturan firewall VPC
- Menambahkan tag jaringan
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
NS-2: Mengamankan layanan cloud native dengan kontrol jaringan
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.12, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Prinsip keamanan: Mengamankan layanan cloud dengan membuat titik akses privat untuk sumber daya. Anda juga harus menonaktifkan atau membatasi akses dari jaringan publik jika memungkinkan.
Panduan Azure: Sebarkan titik akhir privat untuk semua sumber daya Azure yang mendukung fitur Private Link untuk membuat titik akses privat untuk sumber daya. Menggunakan Private Link akan mencegah perutean koneksi privat melalui jaringan publik.
Catatan: Layanan Azure tertentu juga dapat mengizinkan komunikasi privat melalui fitur titik akhir layanan, meskipun disarankan untuk menggunakan Azure Private Link untuk akses aman dan privat ke layanan yang dihosting di platform Azure.
Untuk layanan tertentu, Anda dapat memilih untuk menyebarkan integrasi VNet untuk layanan tempat Anda dapat membatasi VNET untuk membuat titik akses privat untuk layanan.
Anda juga memiliki opsi untuk mengonfigurasi aturan ACL jaringan asli layanan atau hanya menonaktifkan akses jaringan publik untuk memblokir akses dari jaringan publik.
Untuk Azure VM, kecuali ada kasus penggunaan yang kuat, Anda harus menghindari penetapan IP/subnet publik langsung ke antarmuka VM dan sebagai gantinya menggunakan gateway atau layanan load balancer sebagai front-end untuk akses oleh jaringan publik.
Implementasi Azure dan konteks tambahan:
- Memahami Azure Private Link
- Mengintegrasikan layanan Azure dengan jaringan virtual untuk isolasi jaringan
Panduan AWS: Sebarkan VPC PrivateLink untuk semua sumber daya AWS yang mendukung fitur PrivateLink, untuk memungkinkan koneksi privat ke layanan atau layanan AWS yang didukung yang dihosting oleh akun AWS lainnya (layanan titik akhir VPC). Menggunakan PrivateLink akan menjaga koneksi privat dari perutean melalui jaringan publik.
Untuk layanan tertentu, Anda dapat memilih untuk menyebarkan instans layanan ke VPC Anda sendiri untuk mengisolasi lalu lintas.
Anda juga memiliki opsi untuk mengonfigurasi aturan ACL asli layanan untuk memblokir akses dari jaringan publik. Misalnya, Amazon S3 memungkinkan Anda memblokir akses publik di tingkat wadah atau akun.
Saat menetapkan IP ke sumber daya layanan Anda di VPC Anda, kecuali ada kasus penggunaan yang kuat, Anda harus menghindari penetapan IP/subnet publik langsung ke sumber daya Anda dan sebagai gantinya menggunakan IP/subnet privat.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Menyebarkan implementasi VPC Private Google Access untuk semua sumber daya GCP yang mendukungnya untuk membuat titik akses privat untuk sumber daya. Opsi akses privat ini akan menjaga koneksi privat dari perutean melalui jaringan publik. Google Access Privat memiliki instans VM yang hanya memiliki alamat IP internal (tidak ada adress IP eksternal)
Untuk layanan tertentu, Anda dapat memilih untuk menyebarkan instans layanan ke VPC Anda sendiri untuk mengisolasi lalu lintas. Anda juga memiliki opsi untuk mengonfigurasi aturan ACL asli layanan untuk memblokir akses dari jaringan publik. Misalnya, firewall App Engine memungkinkan Anda mengontrol lalu lintas jaringan mana yang diizinkan atau ditolak saat berkomunikasi dengan sumber daya App Engine. Cloud Storage adalah sumber daya lain di mana Anda dapat menerapkan pencegahan akses publik pada wadah individual atau di tingkat organisasi.
Untuk VM Mesin Komputasi GCP, kecuali ada kasus penggunaan yang kuat, Anda harus menghindari penetapan IP/subnet publik langsung ke antarmuka VM dan sebagai gantinya menggunakan gateway atau layanan load balancer sebagai front-end untuk akses oleh jaringan publik.
Implementasi GCP dan konteks tambahan:
- Akses Google Privat
- Opsi akses privat untuk layanan
- Memahami firewall App Engine
- Cloud Storage - gunakan pencegahan akses publik
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
NS-3: Menyebarkan firewall pada tepi jaringan perusahaan
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8, 13.10 | AC-4, SC-7, CM-7 | 1.1, 1.2, 1.3 |
Prinsip keamanan: Sebarkan firewall untuk melakukan pemfilteran tingkat lanjut pada lalu lintas jaringan ke dan dari jaringan eksternal. Anda juga dapat menggunakan firewall antar segmen internal untuk mendukung strategi segmentasi. Jika diperlukan, gunakan rute kustom untuk subnet Anda untuk mengambil alih rute sistem saat Anda perlu memaksa lalu lintas jaringan melalui appliance jaringan untuk tujuan kontrol keamanan.
Minimal, blokir alamat IP buruk yang diketahui dan protokol berisiko tinggi, seperti manajemen jarak jauh (misalnya, RDP dan SSH) dan protokol intranet (misalnya, SMB dan Kerberos).
Panduan Azure: Gunakan Azure Firewall untuk memberikan pembatasan lalu lintas lapisan aplikasi yang sepenuhnya stateful (seperti pemfilteran URL) dan/atau manajemen pusat atas sejumlah besar segmen atau spoke perusahaan (dalam topologi hub/spoke).
Jika Anda memiliki topologi jaringan yang kompleks, seperti pengaturan hub/spoke, Anda mungkin perlu membuat rute yang ditentukan pengguna (UDR) untuk memastikan lalu lintas melewati rute yang diinginkan. Misalnya, Anda memiliki opsi untuk menggunakan UDR untuk mengalihkan lalu lintas internet keluar melalui Azure Firewall tertentu atau appliance virtual jaringan.
Implementasi Azure dan konteks tambahan:
Panduan AWS: Gunakan AWS Network Firewall untuk memberikan pembatasan lalu lintas lapisan aplikasi yang sepenuhnya stateful (seperti pemfilteran URL) dan/atau manajemen pusat melalui sejumlah besar segmen atau spoke perusahaan (dalam topologi hub/spoke).
Jika Anda memiliki topologi jaringan yang kompleks, seperti penyiapan hub/spoke, Anda mungkin perlu membuat tabel rute VPC kustom untuk memastikan lalu lintas melewati rute yang diinginkan. Misalnya, Anda memiliki opsi untuk menggunakan rute kustom untuk mengalihkan lalu lintas internet keluar melalui AWS Firewall tertentu atau appliance virtual jaringan.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Gunakan kebijakan keamanan Google Cloud Armor untuk menyediakan pemfilteran Lapisan 7 dan perlindungan serangan web umum. Selain itu, gunakan aturan firewall VPC untuk menyediakan pembatasan lalu lintas lapisan jaringan yang terdistribusi dan sepenuhnya stateful, dan kebijakan firewall untuk manajemen pusat melalui sejumlah besar segmen atau spoke perusahaan (dalam topologi hub/spoke).
Jika Anda memiliki topologi jaringan yang kompleks, seperti penyiapan hub/spoke, buat kebijakan firewall yang mengelompokkan aturan firewall dan menjadi hierarkis sehingga dapat diterapkan ke beberapa jaringan VPC.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
NS-4: Menyebarkan sistem deteksi intrusi/sistem pencegahan intrusi (IDS/IPS)
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 13.2, 13.3, 13.7, 13.8 | SC-7, SI-4 | 11,4 |
Prinsip keamanan: Gunakan sistem deteksi intrusi jaringan dan pencegahan intrusi (IDS/IPS) untuk memeriksa lalu lintas jaringan dan payload ke atau dari beban kerja Anda. Pastikan IDS/IPS selalu disetel untuk memberikan peringatan berkualitas tinggi ke solusi SIEM Anda.
Untuk kemampuan deteksi dan pencegahan tingkat host yang lebih mendalam, gunakan IDS/IPS berbasis host atau solusi respons dan deteksi titik akhir (EDR) berbasis host bersama dengan IDS/IPS jaringan.
Panduan Azure: Gunakan kemampuan IDPS Azure Firewall untuk melindungi jaringan virtual Anda untuk memperingatkan dan/atau memblokir lalu lintas ke dan dari alamat IP dan domain berbahaya yang diketahui.
Untuk kemampuan deteksi dan pencegahan tingkat host yang lebih mendalam, sebarkan IDS/IPS berbasis host atau solusi respons dan deteksi titik akhir (EDR) berbasis host, seperti Pertahanan Microsoft untuk Titik Akhir, di tingkat mesin virtual bersama dengan IDS/IPS jaringan.
Implementasi Azure dan konteks tambahan:
Panduan AWS: Gunakan kemampuan IPS AWS Network Firewall untuk melindungi VPC Anda untuk memberi tahu dan/atau memblokir lalu lintas ke dan dari alamat IP dan domain berbahaya yang diketahui.
Untuk kemampuan deteksi dan pencegahan tingkat host yang lebih mendalam, sebarkan IDS/IPS berbasis host atau solusi deteksi dan respons titik akhir (EDR) berbasis host, seperti solusi pihak ketiga untuk IDS/IPS berbasis host, di tingkat VM bersama dengan IDS/IPS jaringan.
Catatan: Jika menggunakan IDS/IPS pihak ketiga dari marketplace, gunakan Gateway Transit dan Gateway Balancer untuk mengarahkan lalu lintas untuk inspeksi in-line.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Gunakan kemampuan GOOGLE Cloud IDS untuk menyediakan deteksi ancaman untuk gangguan, malware, spyware, dan serangan perintah dan kontrol di jaringan Anda. IDS Cloud bekerja dengan membuat jaringan serekan yang dikelola Google dengan instans komputer virtual (VM) cermin. Lalu lintas di jaringan yang di-peering dicerminkan dan kemudian diperiksa oleh teknologi perlindungan ancaman Palo Alto Networks yang disematkan untuk memberikan deteksi ancaman tingkat lanjut. Anda dapat mencerminkan semua lalu lintas masuk dan keluar berdasarkan protokol, atau rentang alamat IP.
Untuk kemampuan deteksi dan pencegahan tingkat host yang lebih mendalam, sebarkan titik akhir IDS sebagai sumber daya zona yang dapat memeriksa lalu lintas dari zona mana pun di wilayahnya. Setiap titik akhir IDS menerima lalu lintas cermin dan melakukan analisis deteksi ancaman.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
NS-5: Menyebarkan perlindungan DDOS
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 13.10 | SC-5, SC-7 | 1.1, 1.2, 1.3, 6.6 |
Prinsip keamanan: Sebarkan perlindungan penolakan layanan terdistribusi (DDoS) untuk melindungi jaringan dan aplikasi Anda dari serangan.
Panduan Azure: DDoS Protection Basic secara otomatis diaktifkan untuk melindungi infrastruktur platform dasar Azure (misalnya Azure DNS) dan tidak memerlukan konfigurasi dari pengguna.
Untuk tingkat perlindungan yang lebih tinggi dari serangan lapisan aplikasi Anda (Lapisan 7) seperti banjir HTTP dan banjir DNS, aktifkan rencana perlindungan standar DDoS di VNet Anda untuk melindungi sumber daya yang terekspos ke jaringan publik.
Implementasi Azure dan konteks tambahan:
Panduan AWS: AWS Shield Standard secara otomatis diaktifkan dengan mitigasi standar untuk melindungi beban kerja Anda dari jaringan umum dan lapisan transportasi (Lapisan 3 dan 4) serangan DDoS
Untuk tingkat perlindungan aplikasi Anda yang lebih tinggi terhadap serangan lapisan aplikasi (Lapisan 7) seperti banjir HTTPS dan banjir DNS, aktifkan perlindungan AWS Shield Advanced di Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator, dan Amazon Route 53.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Google Cloud Armor menawarkan opsi berikut untuk membantu melindungi sistem dari serangan DDoS:
- Perlindungan DDoS jaringan standar: perlindungan dasar selalu aktif untuk penyeimbang beban jaringan, penerusan protokol, atau VM dengan alamat IP publik.
- Perlindungan DDoS jaringan tingkat lanjut: perlindungan tambahan untuk pelanggan Managed Protection Plus yang menggunakan penyeimbang muatan jaringan, penerusan protokol, atau VM dengan alamat IP publik.
- Perlindungan DDoS jaringan standar selalu diaktifkan. Anda mengonfigurasi perlindungan DDoS jaringan tingkat lanjut berdasarkan per wilayah.
Implementasi GCP dan konteks tambahan:
- Mengonfigurasi perlindungan DDoS jaringan tingkat lanjut
- Gambaran umum Google Cloud Armor
- Gambaran umum kebijakan Keamanan Armor Google Cloud
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
NS-6: Menyebarkan firewall aplikasi web
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1, 1.2, 1.3 |
Prinsip keamanan: Sebarkan firewall aplikasi web (WAF) dan konfigurasikan aturan yang sesuai untuk melindungi aplikasi web dan API Anda dari serangan khusus aplikasi.
Panduan Azure: Gunakan kemampuan firewall aplikasi web (WAF) di Azure Application Gateway, Azure Front Door, dan Azure Content Delivery Network (CDN) untuk melindungi aplikasi, layanan, dan API Anda dari serangan lapisan aplikasi di tepi jaringan Anda.
Atur WAF Anda dalam "deteksi" atau "mode pencegahan", tergantung pada kebutuhan dan lanskap ancaman Anda.
Pilih set aturan bawaan, seperti kerentanan OWASP Top 10, dan sesuaikan dengan kebutuhan aplikasi Anda.
Implementasi Azure dan konteks tambahan:
Panduan AWS: Gunakan AWS Web Application Firewall (WAF) dalam distribusi Amazon CloudFront, Amazon API Gateway, Application Load Balancer, atau AWS AppSync untuk melindungi aplikasi, layanan, dan API Anda dari serangan lapisan aplikasi di tepi jaringan Anda.
Gunakan ATURAN Terkelola AWS untuk WAF untuk menyebarkan grup garis besar bawaan dan menyesuaikannya dengan kebutuhan aplikasi Andauntuk grup aturan kasus pengguna.
Untuk menyederhanakan penyebaran aturan WAF, Anda juga dapat menggunakan solusi AWS WAF Security Automations untuk secara otomatis menyebarkan aturan AWS WAF yang telah ditentukan sebelumnya yang memfilter serangan berbasis web di ACL web Anda.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Gunakan Google Cloud Armor untuk membantu melindungi aplikasi dan situs Anda dari penolakan serangan layanan dan web.
Gunakan aturan Google Cloud Armor out-of-the-box berdasarkan standar industri untuk mengurangi kerentanan aplikasi web umum dan membantu memberikan perlindungan dari OWASP Top 10.
Siapkan aturan WAF yang telah dikonfigurasi sebelumnya, masing-masing terdiri dari beberapa tanda tangan yang bersumber dari ModSecurity Core Rules (CRS). Setiap tanda tangan sesuai dengan aturan deteksi serangan di set aturan.
Cloud Armor bekerja bersama dengan penyeimbang beban eksternal dan melindungi dari penolakan layanan terdistribusi (DDoS) dan serangan berbasis web lainnya, apakah aplikasi disebarkan di Google Cloud, dalam penyebaran hibrid, atau dalam arsitektur multi-cloud. Kebijakan keamanan dapat dikonfigurasi secara manual, dengan kondisi kecocokan yang dapat dikonfigurasi, dan tindakan dalam kebijakan keamanan. Cloud Armor juga menampilkan kebijakan keamanan yang telah dikonfigurasi sebelumnya, yang mencakup berbagai kasus penggunaan.
Perlindungan Adaptif di Cloud Armor membantu Anda mencegah, mendeteksi, dan melindungi aplikasi dan layanan Anda dari serangan terdistribusi L7 dengan menganalisis pola lalu lintas ke layanan backend Anda, mendeteksi dan memperingatkan serangan yang dicurigai, dan menghasilkan aturan WAF yang disarankan untuk mengurangi serangan tersebut. Aturan ini dapat disempurnakan untuk memenuhi kebutuhan Anda.
Implementasi GCP dan konteks tambahan:
- Google Cloud Armor
- Dokumentasi Apigee
- Mengintegrasikan Google Cloud Armor dengan produk Google lainnya
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
NS-7: Menyederhanakan konfigurasi keamanan jaringan
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Prinsip keamanan: Saat mengelola lingkungan jaringan yang kompleks, gunakan alat untuk menyederhanakan, mempusatkan, dan meningkatkan manajemen keamanan jaringan.
Panduan Azure: Gunakan fitur berikut untuk menyederhanakan implementasi dan manajemen jaringan virtual, aturan NSG, dan aturan Azure Firewall:
- Gunakan Azure Virtual Network Manager untuk mengelompokkan, mengonfigurasi, menyebarkan, dan mengelola jaringan virtual dan aturan NSG di seluruh wilayah dan langganan.
- Gunakan Penguatan Jaringan Adaptif Microsoft Defender untuk Cloud untuk merekomendasikan aturan penguatan NSG yang membatasi lebih lanjut port, protokol, dan IP sumber berdasarkan inteligensi ancaman dan hasil analisis lalu lintas.
- Gunakan Azure Firewall Manager untuk memusatkan kebijakan firewall dan manajemen rute jaringan virtual. Untuk menyederhanakan aturan firewall dan implementasi grup keamanan jaringan, Anda juga dapat menggunakan templat Azure Firewall Manager Azure Resource Manager(ARM).
Implementasi Azure dan konteks tambahan:
- Jaringan Adaptif yang Diperketat di Microsoft Defender untuk Cloud
- Azure Firewall Manager
- Membuat kebijakan firewall dan Azure Firewall - templat ARM
Panduan AWS: Gunakan AWS Firewall Manager untuk memusatkan manajemen kebijakan perlindungan jaringan di seluruh layanan berikut:
- Kebijakan AWS WAF
- Kebijakan AWS Shield Tingkat Lanjut
- Kebijakan grup keamanan VPC
- Kebijakan Firewall Jaringan
AWS Firewall Manager dapat secara otomatis menganalisis kebijakan terkait firewall Anda dan membuat temuan untuk sumber daya yang tidak patuh dan untuk serangan yang terdeteksi dan mengirimkannya ke AWS Security Hub untuk penyelidikan.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Gunakan fitur berikut untuk menyederhanakan implementasi dan manajemen jaringan cloud privat maya (VPC), aturan firewall, dan aturan WAF:
- Gunakan Jaringan VPC untuk mengelola dan mengonfigurasi jaringan VPC individual dan aturan firewall VPC.
- Gunakan kebijakan Firewall Hierarkis untuk mengelompokkan aturan firewall dan menerapkan aturan kebijakan secara hierarkis pada skala global atau regional.
- Gunakan Google Cloud Armor untuk menerapkan kebijakan keamanan kustom, aturan WAF yang telah dikonfigurasi sebelumnya, dan perlindungan DDoS.
Anda juga dapat pusat kecerdasan jaringan untuk menganalisis jaringan Anda dan mendapatkan wawasan tentang topologi jaringan virtual Anda, aturan firewall dan status konektivitas jaringan untuk meningkatkan efisiensi manajemen.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
NS-8: Mendeteksi dan menonaktifkan layanan dan protokol yang tidak aman
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8 | CM-2, CM-6, CM-7 | 4.1, A2.1, A2.2, A2.3 |
Prinsip keamanan: Mendeteksi dan menonaktifkan layanan dan protokol yang tidak aman di lapisan paket OS, aplikasi, atau perangkat lunak. Sebarkan kontrol kompensasi jika menonaktifkan layanan dan protokol yang tidak aman tidak memungkinkan.
Panduan Azure: Gunakan Buku Kerja Protokol Tidak Aman bawaan Microsoft Sentinel untuk menemukan penggunaan layanan dan protokol yang tidak aman seperti SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, cipher lemah di Kerberos, dan Ikatan LDAP Yang Tidak Ditandatangani. Nonaktifkan layanan dan protokol tidak aman yang tidak memenuhi standar keamanan yang sesuai.
Catatan: Jika tidak memungkinkan untuk menonaktifkan layanan atau protokol yang tidak aman, gunakan kontrol kompensasi seperti memblokir akses ke sumber daya melalui kelompok keamanan jaringan, Azure Firewall, atau Azure Web Application Firewall guna mengurangi serangan permukaan.
Implementasi Azure dan konteks tambahan:
Panduan AWS: Aktifkan Log Alur VPC dan gunakan GuardDuty untuk menganalisis Log Alur VPC untuk mengidentifikasi kemungkinan layanan dan protokol yang tidak aman yang tidak memenuhi standar keamanan yang sesuai.
Jika log di lingkungan AWS dapat diteruskan ke Microsoft Sentinel, Anda juga dapat menggunakan Buku Kerja Protokol Tidak Aman bawaan Microsoft Sentinel untuk menemukan penggunaan layanan dan protokol yang tidak aman
Catatan: Jika menonaktifkan layanan atau protokol yang tidak aman tidak dimungkinkan, gunakan kontrol kompensasi seperti memblokir akses ke sumber daya melalui grup keamanan, AWS Network Firewall, AWS Web Application Firewall untuk mengurangi permukaan serangan.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Aktifkan Log Alur VPC dan gunakan BigQuery atau Security Command Center untuk menganalisis Log Alur VPC untuk mengidentifikasi kemungkinan layanan dan protokol yang tidak aman yang tidak memenuhi standar keamanan yang sesuai.
Jika log di lingkungan GCP dapat diteruskan ke Microsoft Sentinel, Anda juga dapat menggunakan Buku Kerja Protokol Tidak Aman bawaan Microsoft Sentinel untuk menemukan penggunaan layanan dan protokol yang tidak aman. Selain itu, Anda dapat meneruskan log ke Google Cloud Chronicle SIEM dan SOAR dan membuat aturan kustom untuk tujuan yang sama.
Catatan: Jika menonaktifkan layanan atau protokol yang tidak aman tidak dimungkinkan, gunakan kontrol kompensasi seperti memblokir akses ke sumber daya melalui aturan dan kebijakan VPC Firewall, atau Cloud Armor untuk mengurangi permukaan serangan.
Implementasi GCP dan konteks tambahan:
- Menggunakan Log Alur VPC
- Analitik log keamanan di Google Cloud
- Gambaran umum - BigQueryGambaran umum Security Command Center
- Microsoft Azure Sentinel untuk beban kerja GCP
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
NS-9: Menyambungkan jaringan lokal atau cloud secara privat
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 12.7 | CA-3, AC-17, AC-4 | T/A |
Prinsip keamanan: Gunakan koneksi privat untuk komunikasi yang aman antara jaringan yang berbeda, seperti pusat data penyedia layanan cloud dan infrastruktur lokal di lingkungan kolokasi.
Panduan Azure: Untuk konektivitas situs-ke-situs atau titik-ke-situs yang ringan, gunakan jaringan privat virtual (VPN) Azure untuk membuat koneksi yang aman antara situs lokal atau perangkat pengguna akhir dan jaringan virtual Azure.
Untuk koneksi performa tinggi tingkat perusahaan, gunakan Azure ExpressRoute (atau Virtual WAN) untuk menyambungkan pusat data Azure dan infrastruktur lokal di lingkungan lokasi bersama.
Untuk menyambungkan dua atau lebih jaringan virtual Azure bersama-sama, gunakan serekanan jaringan virtual. Lalu lintas jaringan antara jaringan virtual yang diserekankan bersifat privat dan disimpan di jaringan backbone Azure.
Implementasi Azure dan konteks tambahan:
Panduan AWS: Untuk konektivitas situs-ke-situs atau titik-ke-situs, gunakan AWS VPN untuk membuat koneksi yang aman (ketika overhead IPsec tidak menjadi perhatian) antara situs lokal atau perangkat pengguna akhir Anda ke jaringan AWS.
Untuk koneksi performa tinggi tingkat perusahaan, gunakan AWS Direct Connect untuk menghubungkan AWS VPC dan sumber daya dengan infrastruktur lokal Anda di lingkungan lokasi bersama.
Anda memiliki opsi untuk menggunakan VPC Peering atau Transit Gateway untuk membangun konektivitas antara dua VPC atau lebih di dalam atau di seluruh wilayah. Lalu lintas jaringan antara VPC yang di-peering bersifat pribadi dan disimpan di jaringan backbone AWS. Ketika Anda perlu menggabungkan beberapa VPC untuk membuat subnet datar besar, Anda juga memiliki opsi untuk menggunakan Berbagi VPC.
Implementasi AWS dan konteks tambahan:
- Pengantar AWS Direct Connect
- Pengantar AWS VPN
- Transit Gateway
- Membuat dan menerima koneksi peering VPC
- Berbagi VPC
Panduan GCP: Untuk konektivitas situs-ke-situs atau titik-ke-situs yang ringan, gunakan Google Cloud VPN.
Untuk koneksi performa tinggi tingkat perusahaan, gunakan Interkoneksi Google Cloud atau Interkoneksi Mitra, untuk terhubung ke VPC Google Cloud dan sumber daya dengan infrastruktur lokal Anda di lingkungan kolokasi.
Anda memiliki opsi untuk menggunakan VPC Network Peering atau Network Connectivity Center untuk membangun konektivitas antara dua VPC atau lebih di dalam atau di seluruh wilayah. Lalu lintas jaringan antara VPC yang di-peering bersifat pribadi dan disimpan di jaringan backbone GCP. Ketika Anda perlu menggabungkan beberapa VPC untuk membuat subnet datar besar, Anda juga memiliki opsi untuk menggunakan VPC Bersama
Implementasi GCP dan konteks tambahan:
- Gambaran umum VPN Cloud
- Interkoneksi Cloud, Interkoneksi Khusus, dan Interkoneksi Mitra
- Gambaran umum Pusat Konektivitas Jaringan
- Private Service Connect
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
NS-10: Memastikan keamanan Sistem Nama Domain (DNS)
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.9, 9.2 | SC-20, SC-21 | T/A |
Prinsip keamanan: Pastikan konfigurasi keamanan Domain Name System (DNS) melindungi dari risiko yang diketahui:
- Gunakan layanan DNS otoritatif dan rekursif tepercaya di seluruh lingkungan cloud Anda untuk memastikan klien (seperti sistem operasi dan aplikasi) menerima hasil resolusi yang benar.
- Pisahkan resolusi DNS privat dan publik sehingga proses resolusi DNS untuk jaringan privat dapat diisolasi dari jaringan publik.
- Pastikan strategi keamanan DNS Anda juga menyertakan mitigasi terhadap serangan umum, seperti DNS yang menggantung, serangan amplifikasi DNS, peracunan dan spoofing DNS, dan sebagainya.
Panduan Azure: Gunakan DNS rekursif Azure (biasanya ditetapkan ke VM Anda melalui DHCP atau yang telah dikonfigurasi sebelumnya dalam layanan) atau server DNS eksternal tepercaya dalam penyiapan DNS rekursif beban kerja Anda, seperti di sistem operasi VM atau di aplikasi.
Gunakan Dns Privat Azure untuk penyiapan zona DNS privat di mana proses resolusi DNS tidak meninggalkan jaringan virtual. Gunakan DNS kustom untuk membatasi resolusi DNS untuk hanya mengizinkan resolusi tepercaya kepada klien Anda.
Gunakan Microsoft Defender untuk DNS untuk perlindungan tingkat lanjut terhadap ancaman keamanan berikut terhadap beban kerja Anda atau layanan DNS Anda:
- Penyelundupan data dari sumber daya Azure Anda menggunakan penerowongan DNS
- Malware berkomunikasi dengan server perintah dan kontrol
- Komunikasi dengan domain berbahaya, seperti phishing dan penambangan kripto
- Serangan DNS yang berhubungan dengan pemecah masalah DNS berbahaya
Anda juga bisa menggunakan Microsoft Defender untuk App Service mendeteksi rekaman DNS yang menggoreng jika Anda menonaktifkan situs web App Service tanpa menghapus domain kustomnya dari pencatat DNS Anda.
Implementasi Azure dan konteks tambahan:
- Gambaran umum Azure DNS
- Panduan Penyebaran Sistem Nama Domain Aman (DNS):
- DNS Privat Azure
- Azure Defender untuk DNS
- Cegah entri DNS yang menjuntai dan hindari pengamanan subdomain:
Panduan AWS: Gunakan Server Amazon DNS (dengan kata lain, server Pemecah Masalah Amazon Route 53 yang biasanya ditetapkan untuk Anda melalui DHCP atau yang telah dikonfigurasi sebelumnya dalam layanan) atau server pemecah masalah DNS tepercaya terpusat di penyiapan DNS rekursif beban kerja Anda, seperti di sistem operasi VM atau dalam aplikasi.
Gunakan Amazon Route 53 untuk membuat penyiapan zona privat yang dihosting di mana proses resolusi DNS tidak meninggalkan VPC yang ditunjuk. Gunakan firewall Amazon Route 53 untuk mengatur dan memfilter lalu lintas DNS/UDP keluar di VPC Anda untuk kasus penggunaan berikut:
- Mencegah serangan seperti penyelundupan DNS di VPC Anda
- Menyiapkan daftar izinkan atau tolak untuk domain yang dapat dikueri aplikasi Anda
Konfigurasikan fitur Ekstensi Keamanan Sistem Nama Domain (DNSSEC) di Amazon Route 53 untuk mengamankan lalu lintas DNS untuk melindungi domain Anda dari spoofing DNS atau serangan man-in-the-middle.
Amazon Route 53 juga menyediakan layanan pendaftaran DNS di mana Route 53 dapat digunakan sebagai server nama otoritatif untuk domain Anda. Praktik terbaik berikut harus diikuti untuk memastikan keamanan nama domain Anda:
- Nama domain harus diperpanjang secara otomatis oleh layanan Amazon Route 53.
- Nama domain harus mengaktifkan fitur Kunci Transfer agar tetap aman.
- Kerangka Kerja Kebijakan Pengirim (SPF) harus digunakan untuk menghentikan spammer dari spoofing domain Anda.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Gunakan server DNS GCP (yaitu server metadata yang biasanya ditetapkan ke VM Anda melalui DHCP atau yang telah dikonfigurasi sebelumnya dalam layanan) atau server pemecah masalah DNS tepercaya terpusat (seperti Google DNS Publik) dalam penyiapan DNS rekursif beban kerja Anda, seperti di sistem operasi VM atau di aplikasi.
Gunakan DNS Cloud GCP untuk membuat zona DNS privat di mana proses resolusi DNS tidak meninggalkan VPC yang didesginasi. Mengatur dan memfilter lalu lintas DNS/UDP keluar di VPC Anda kasus penggunaan:
- Mencegah serangan seperti penyelundupan DNS di VPC Anda
- Menyiapkan daftar izinkan atau tolak untuk domain yang dikueri aplikasi Anda
Konfigurasikan fitur Ekstensi Keamanan Sistem Nama Domain (DNSSEC) di DNS Cloud untuk mengamankan lalu lintas DNS untuk melindungi domain Anda dari spoofing DNS atau serangan man-in-the-middle.
Google Cloud Domains menyediakan layanan pendaftaran domain. GCP Cloud DNS dapat digunakan sebagai server nama otoritatif untuk domain Anda. Praktik terbaik berikut harus diikuti untuk memastikan keamanan nama domain Anda:
- Nama domain harus diperpanjang secara otomatis oleh Google Cloud Domains.
- Nama domain harus mengaktifkan fitur Kunci Transfer agar tetap aman
- Kerangka Kerja Kebijakan Pengirim (SPF) harus digunakan untuk menghentikan spammer dari spoofing domain Anda.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):