Kontrol Keamanan: Identitas dan Access Control
Catatan
Tolok Ukur Keamanan Azure terbaru tersedia di sini.
Rekomendasi manajemen akses dan identitas berfokus pada penanganan masalah yang terkait dengan kontrol akses berbasis identitas, mengunci akses administratif, memberitahukan peristiwa terkait identitas, perilaku akun abnormal, dan kontrol akses berbasis peran.
3.1: Mempertahankan inventaris akun administratif
| Azure ID | ID CIS | Tanggung Jawab |
|---|---|---|
| 3.1 | 4.1 | Pelanggan |
Azure Active Directory memiliki peran bawaan yang harus ditetapkan secara eksplisit dan dapat dikueri. Gunakan modul Azure Active Directory PowerShell untuk melakukan kueri ad hoc guna menemukan akun yang merupakan anggota grup administratif.
Cara mendapatkan peran direktori di Azure AD dengan PowerShell
Cara mendapatkan anggota peran direktori di Azure Active Directory dengan PowerShell
3.2: Ubah kata sandi default jika berlaku
| Azure ID | ID CIS | Tanggung Jawab |
|---|---|---|
| 3.2 | 4.2 | Pelanggan |
Azure Active Directory tidak memiliki konsep kata sandi default. Sumber daya Azure lain yang memerlukan kata sandi memaksa kata sandi dibuat dengan persyaratan kompleksitas dan panjang kata sandi minimum, yang berbeda tergantung pada layanan. Anda bertanggung jawab atas aplikasi pihak ketiga dan layanan marketplace yang dapat menggunakan kata sandi default.
3.3: Gunakan akun administratif khusus
| Azure ID | ID CIS | Tanggung Jawab |
|---|---|---|
| 3.3 | 4.3 | Pelanggan |
Buat prosedur operasi standar seputar penggunaan akun administratif khusus. Gunakan rekomendasi di kontrol keamanan "Kelola akses dan izin" Azure Security Center untuk memantau jumlah akun administratif.
Anda juga dapat mengaktifkan Just-In-Time/Just-Enough-Access dengan menggunakan Peran Privileged Azure Active Directory Privileged Identity Management untuk Microsoft Services, dan Azure Resource Manager.
3.4: Gunakan akses menyeluruh (SSO) dengan Microsoft Azure Active Directory
| Azure ID | ID CIS | Tanggung Jawab |
|---|---|---|
| 3.4 | 4.4 | Pelanggan |
Sedapat mungkin, gunakan SSO Azure Active Directory (Azure AD) daripada mengonfigurasikan info masuk mandiri individu per layanan. Gunakan rekomendasi di kontrol keamanan "Kelola akses dan izin" Azure Security Center.
3.5: Gunakan autentikasi multifaktor untuk semua akses berbasis Microsoft Azure Active Directory
| Azure ID | ID CIS | Tanggung Jawab |
|---|---|---|
| 3.5 | 4.5, 11.5, 12.11, 16.3 | Pelanggan |
Aktifkan Azure Active Directory MFA dan ikuti rekomendasi Azure Security Center Identity and Access Management.
3.6: Gunakan komputer khusus (Stasiun Kerja Akses Istimewa) untuk semua tugas administratif
| Azure ID | ID CIS | Tanggung Jawab |
|---|---|---|
| 3.6 | 4.6, 11.6, 12.12 | Pelanggan |
Gunakan PAW (stasiun kerja akses istimewa) dengan MFA yang dikonfigurasikan untuk masuk dan mengonfigurasikan sumber daya Azure.
3.7: Catat dan beritahukan aktivitas mencurigakan dari akun administratif
| Azure ID | ID CIS | Tanggung Jawab |
|---|---|---|
| 3.7 | 4.8, 4.9 | Pelanggan |
Gunakan laporan keamanan Azure Active Directory untuk pembuatan log dan peringatan saat aktivitas mencurigakan atau tidak aman terjadi di lingkungan. Gunakan Azure Security Center untuk memantau identitas dan aktivitas akses.
Cara mengidentifikasi pengguna Azure Active Directory yang ditandai untuk aktivitas berisiko
Cara memantau aktivitas identitas pengguna dan akses di Azure Security Center
3.8: Mengelola sumber daya Azure hanya dari lokasi yang disetujui
| Azure ID | ID CIS | Tanggung Jawab |
|---|---|---|
| 3.8 | 11.7 | Pelanggan |
Gunakan Lokasi Bernama Akses Bersyarat luntuk memungkinkan akses hanya dari pengelompokan logis tertentu dari rentang alamat IP atau negara/wilayah.
3.9: Gunakan Azure Active Directory
| Azure ID | ID CIS | Tanggung Jawab |
|---|---|---|
| 3.9 | 16.1, 16.2, 16.4, 16.5, 16.6 | Pelanggan |
Gunakan Azure Active Directory sebagai autentikasi pusat dan sistem otorisasi. Azure Active Directory melindungi data dengan menggunakan enkripsi yang kuat untuk data tidak aktif dan dalam transit. Azure Active Directory juga melakukan salt, hash, dan menyimpan informasi masuk pengguna dengan aman.
3.10: Tinjau dan selaraskan akses pengguna secara teratur
| Azure ID | ID CIS | Tanggung Jawab |
|---|---|---|
| 3.10 | 16.9, 16.10 | Pelanggan |
Azure Active Directory menyediakan log untuk membantu menemukan akun kedaluwarsa. Selain itu, gunakan Tinjauan Akses Identitas Azure untuk mengelola keanggotaan grup, akses ke aplikasi perusahaan, dan penetapan peran secara efisien. Akses pengguna dapat ditinjau secara berkala untuk memastikan hanya Pengguna yang tepat yang memiliki akses berkelanjutan.
3.11: Memantau percobaan untuk mengakses info masuk yang dinonaktifkan
| Azure ID | ID CIS | Tanggung Jawab |
|---|---|---|
| 3.11 | 16.12 | Pelanggan |
Anda memiliki akses ke sumber log Aktivitas Masuk Azure Active Directory, Audit, dan Kejadian Risiko, yang memungkinkan Anda berintegrasi dengan alat SIEM/Pemantauan apa pun.
Anda dapat mempermudah proses ini dengan membuat pengaturan diagnostik untuk akun pengguna Azure Active Directory dan mengirim log audit dan log masuk ke ruang kerja Log Analytics. Anda dapat mengonfigurasikan Pemberitahuan yang diinginkan dalam Ruang Kerja Analitik Log.
3.12: Pemberitahuan tentang penyimpangan perilaku masuk akun
| Azure ID | ID CIS | Tanggung Jawab |
|---|---|---|
| 3.12 | 16.13 | Pelanggan |
Gunakan fitur Azure Active Directory Risk and Identity Protection untuk mengonfigurasi respons otomatis terhadap tindakan mencurigakan yang terdeteksi terkait identitas pengguna. Selain itu, Anda dapat menyerap data ke Azure Sentinel untuk melakukan penyelidikan lebih lanjut.
3.13: Memberi Microsoft akses ke data pelanggan yang relevan selama skenario dukungan
| Azure ID | ID CIS | Tanggung Jawab |
|---|---|---|
| 3.13 | 16 | Pelanggan |
Dalam skenario dukungan ketika Microsoft perlu mengakses data pelanggan, Customer Lockbox menyediakan antarmuka bagi Anda untuk meninjau, dan menyetujui atau menolak permintaan akses data pelanggan.
Langkah berikutnya
- Lihat Kontrol Keamanan berikutnya: Pemulihan Data