Kontrol Keamanan v3: Keamanan jaringan
Keamanan Jaringan mencakup kontrol untuk mengamankan dan melindungi jaringan Azure, termasuk mengamankan jaringan virtual, membangun koneksi privat, mencegah dan mengurangi serangan eksternal, serta mengamankan DNS.
NS-1: Membangun batas segmentasi jaringan
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.12, 13.4, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Prinsip Keamanan: Pastikan penyebaran jaringan virtual Anda selaras dengan strategi segmentasi perusahaan Anda yang ditentukan dalam kontrol keamanan GS-2. Beban kerja apa pun yang dapat menimbulkan risiko lebih tinggi bagi organisasi harus berada di jaringan virtual yang terisolasi. Contoh beban kerja berisiko tinggi meliputi:
- Aplikasi yang menyimpan atau memproses data yang sangat sensitif.
- Aplikasi eksternal yang menghadap jaringan yang dapat diakses oleh publik atau pengguna di luar organisasi Anda.
- Aplikasi yang menggunakan arsitektur tidak aman atau mengandung kerentanan yang tidak dapat dengan mudah dipulihkan.
Untuk meningkatkan strategi segmentasi perusahaan Anda, batasi atau pantau lalu lintas antar sumber daya internal menggunakan kontrol jaringan. Untuk aplikasi spesifik yang terdefinisi dengan baik (seperti aplikasi tingkat 3), ini bisa menjadi pendekatan "tolak secara default, izin dengan pengecualian" yang sangat aman dengan membatasi port, protokol, sumber, dan IP tujuan lalu lintas jaringan. Jika Anda memiliki banyak aplikasi dan titik akhir yang berinteraksi satu sama lain, memblokir lalu lintas mungkin tidak menskalakan dengan baik, dan Anda mungkin hanya dapat memantau lalu lintas.
Panduan Azure: Buat jaringan virtual (VNet) sebagai pendekatan segmentasi mendasar di jaringan Azure Anda, sehingga sumber daya seperti mesin virtual dapat disebarkan ke VNet dalam batas jaringan. Untuk mengelompokkan jaringan lebih lanjut, Anda dapat membuat subnet di dalam VNet untuk sub-jaringan yang lebih kecil.
Gunakan kelompok keamanan jaringan (NSG) sebagai kontrol lapisan jaringan untuk membatasi atau memantau lalu lintas berdasarkan port, protokol, alamat IP sumber, atau alamat IP tujuan.
Anda juga dapat menggunakan kelompok keamanan aplikasi (ASG) untuk membantu menyederhanakan konfigurasi keamanan yang kompleks. Alih-alih mendefinisikan kebijakan berdasarkan alamat IP eksplisit dalam kelompok keamanan jaringan, ASG memungkinkan Anda untuk mengonfigurasi keamanan jaringan sebagai ekstensi alami struktur aplikasi, memungkinkan Anda untuk mengelompokkan mesin virtual dan menentukan kebijakan keamanan jaringan berdasarkan grup tersebut.
Implementasi dan konteks tambahan:
- Konsep dan praktik terbaik Azure Virtual Network
- Menambahkan, mengubah, atau menghapus subnet jaringan virtual
- Cara membuat kelompok keamanan jaringan dengan aturan keamanan
- Memahami dan menggunakan Kelompok Keamanan Aplikasi
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
NS-2: Mengamankan layanan cloud dengan kontrol jaringan
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.12, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Prinsip Keamanan: Amankan layanan cloud dengan menetapkan titik akses privat untuk sumber daya. Anda juga harus menonaktifkan atau membatasi akses dari jaringan publik jika memungkinkan.
Panduan Azure: Sebarkan titik akhir privat untuk semua sumber daya Azure yang mendukung fitur Private Link, guna membangun titik akses privat untuk sumber daya. Anda juga harus menonaktifkan atau membatasi akses jaringan publik ke layanan jika memungkinkan.
Untuk layanan tertentu, Anda juga memiliki opsi untuk menyebarkan integrasi VNet untuk layanan tempat Anda dapat membatasi VNET guna membangun titik akses privat untuk layanan.
Implementasi dan konteks tambahan:
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
NS-3: Menyebarkan firewall pada tepi jaringan perusahaan
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8, 13.10 | AC-4, SC-7, CM-7 | 1.1, 1.2, 1.3 |
Prinsip Keamanan: Sebarkan firewall untuk melakukan pemfilteran lanjutan pada lalu lintas jaringan ke dan dari jaringan eksternal. Anda juga dapat menggunakan firewall antar segmen internal untuk mendukung strategi segmentasi. Jika diperlukan, gunakan rute kustom untuk subnet Anda guna mengambil alih rute sistem saat Anda perlu memaksa lalu lintas jaringan untuk melalui appliance jaringan untuk tujuan kontrol keamanan.
Minimal, blokir alamat IP buruk yang diketahui dan protokol berisiko tinggi, seperti manajemen jarak jauh (misalnya, RDP dan SSH) dan protokol intranet (misalnya, SMB dan Kerberos).
Panduan Azure: Gunakan Azure Firewall untuk menyediakan pembatasan lalu lintas lapisan aplikasi yang sepenuhnya stateful (seperti pemfilteran URL) dan/atau manajemen pusat atas sejumlah besar spoke atau segmen perusahaan (dalam topologi hub/spoke).
Jika Anda memiliki topologi jaringan yang kompleks, seperti pengaturan hub/spoke, Anda mungkin perlu membuat rute yang ditentukan pengguna (UDR) untuk memastikan lalu lintas melewati rute yang diinginkan. Misalnya, Anda memiliki opsi untuk menggunakan UDR guna mengalihkan lalu lintas internet keluar melalui Azure Firewall tertentu atau appliance virtual jaringan.
Implementasi dan konteks tambahan:
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
NS-4: Menyebarkan sistem deteksi intrusi/sistem pencegahan intrusi (IDS/IPS)
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 13.2, 13.3, 13.7, 13.8 | SC-7, SI-4 | 11,4 |
Prinsip Keamanan: Gunakan sistem deteksi intrusi dan sistem pencegahan intrusi (IDS/IPS) jaringan untuk memeriksa lalu lintas jaringan dan payload ke atau dari beban kerja Anda. Pastikan IDS/IPS selalu disetel untuk memberikan peringatan berkualitas tinggi ke solusi SIEM Anda.
Untuk kemampuan deteksi dan pencegahan tingkat host yang lebih mendalam, gunakan IDS/IPS berbasis host atau solusi respons dan deteksi titik akhir (EDR) berbasis host bersama dengan IDS/IPS jaringan.
Panduan: Gunakan kemampuan IDP Azure Firewall pada jaringan Anda untuk memberikan peringatan dan/atau memblokir lalu lintas ke dan dari alamat IP serta domain berbahaya yang diketahui.
Untuk kemampuan deteksi dan pencegahan tingkat host yang lebih mendalam, sebarkan IDS/IPS berbasis host atau solusi respons dan deteksi titik akhir (EDR) berbasis host, seperti Pertahanan Microsoft untuk Titik Akhir, di tingkat mesin virtual bersama dengan IDS/IPS jaringan.
Implementasi dan konteks tambahan:
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
NS-5: Menyebarkan perlindungan DDOS
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 13.10 | SC-5, SC-7 | 1.1, 1.2, 1.3, 6.6 |
Prinsip Keamanan: Sebarkan perlindungan penolakan layanan terdistribusi (DDoS) untuk melindungi jaringan dan aplikasi Anda dari serangan.
Panduan Azure: Aktifkan paket perlindungan standar DDoS di VNet Anda untuk melindungi sumber daya yang terekspos ke jaringan publik.
Implementasi dan konteks tambahan:
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
NS-6: Menyebarkan firewall aplikasi web
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1, 1.2, 1.3 |
Prinsip Keamanan: Sebarkan firewall aplikasi web (WAF) dan konfigurasikan aturan yang sesuai untuk melindungi aplikasi web dan API Anda dari serangan khusus aplikasi.
Panduan Azure: Gunakan kemampuan firewall aplikasi web (WAF) di Azure Application Gateway, Azure Front Door, dan Microsoft Azure Content Delivery Network (CDN) untuk melindungi aplikasi, layanan, dan API Anda dari serangan lapisan aplikasi di tepi jaringan Anda. Atur WAF Anda dalam "deteksi" atau "mode pencegahan", tergantung pada kebutuhan dan lanskap ancaman Anda. Pilih ruleset bawaan, seperti 10 kerentanan teratas OWASP, dan sesuaikan dengan aplikasi Anda.
Implementasi dan konteks tambahan:
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
NS-7: Menyederhanakan konfigurasi keamanan jaringan
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Prinsip Keamanan: Saat mengelola lingkungan jaringan yang kompleks, gunakan alat untuk menyederhanakan, memusatkan, dan meningkatkan manajemen keamanan jaringan.
Panduan Azure: Gunakan fitur berikut untuk menyederhanakan implementasi dan manajemen aturan NSG dan Azure Firewall:
- Gunakan Penguatan Jaringan Adaptif Microsoft Defender untuk Cloud untuk merekomendasikan aturan penguatan NSG yang membatasi lebih lanjut port, protokol, dan IP sumber berdasarkan inteligensi ancaman dan hasil analisis lalu lintas.
- Gunakan Azure Firewall Manager untuk memusatkan kebijakan firewall dan manajemen rute jaringan virtual. Untuk menyederhanakan implementasi kelompok keamanan jaringan dan aturan firewall, Anda juga dapat menggunakan templat ARM (Azure Resource Manager) Azure Firewall Manager.
Implementasi dan konteks tambahan:
- Penguatan Jaringan Adaptif di Microsoft Defender untuk Cloud
- Azure Firewall Manager
- Membuat kebijakan firewall dan Azure Firewall - templat ARM
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
NS-8: Mendeteksi dan menonaktifkan layanan dan protokol yang tidak aman
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 4.8 | CM-2, CM-6, CM-7 | 4.1, A2.1, A2.2, A2.3 |
Prinsip Keamanan: Deteksi dan nonaktifkan layanan serta protokol yang tidak aman di OS, aplikasi, atau lapisan paket perangkat lunak. Sebarkan kontrol kompensasi jika menonaktifkan layanan dan protokol yang tidak aman tidak memungkinkan.
Panduan Azure: Gunakan Buku Kerja Protokol Tidak Aman bawaan Azure Sentinel untuk menemukan penggunaan layanan dan protokol yang tidak aman seperti SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, Ikatan LDAP Tidak Bertanda, dan cipher lemah di Kerberos. Nonaktifkan layanan dan protokol tidak aman yang tidak memenuhi standar keamanan yang sesuai.
Catatan: Jika tidak memungkinkan untuk menonaktifkan layanan atau protokol yang tidak aman, gunakan kontrol kompensasi seperti memblokir akses ke sumber daya melalui kelompok keamanan jaringan, Azure Firewall, atau Azure Web Application Firewall guna mengurangi serangan permukaan.
Implementasi dan konteks tambahan:
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
NS-9: Menyambungkan jaringan lokal atau cloud secara privat
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 12.7 | CA-3, AC-17, AC-4 | T/A |
Prinsip Keamanan: Gunakan koneksi privat untuk komunikasi yang aman antara jaringan yang berbeda, seperti pusat data penyedia layanan cloud dan infrastruktur lokal di lingkungan colocation.
Panduan Azure: Gunakan koneksi privat untuk komunikasi yang aman antara jaringan yang berbeda, seperti pusat data penyedia layanan cloud dan infrastruktur lokal di lingkungan kolokasi.
Untuk konektivitas ringan antara situs-ke-situs atau titik-ke-situs, gunakan Jaringan Privat Maya (VPN) Azure untuk membuat koneksi yang aman antara situs lokal atau perangkat pengguna akhir ke jaringan virtual Azure.
Untuk koneksi dengan performa tinggi tingkat perusahaan, gunakan Azure ExpressRoute (atau Virtual WAN) untuk menghubungkan pusat data Azure dan infrastruktur lokal di lingkungan lokasi bersama.
Untuk menyambungkan dua atau lebih jaringan virtual Azure bersama-sama, gunakan serekanan jaringan virtual. Lalu lintas jaringan antara jaringan virtual yang diserekankan bersifat privat dan disimpan di jaringan backbone Azure.
Implementasi dan konteks tambahan:
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
NS-10: Memastikan keamanan Sistem Nama Domain (DNS)
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 4.9, 9.2 | SC-20, SC-21 | T/A |
Prinsip Keamanan: Pastikan konfigurasi keamanan Sistem Nama Domain (DNS) melindungi terhadap risiko yang diketahui:
- Gunakan layanan DNS berulang dan otoritatif tepercaya di seluruh lingkungan cloud Anda untuk memastikan klien (seperti sistem operasi dan aplikasi) menerima hasil resolusi yang benar.
- Pisahkan resolusi DNS privat dan publik sehingga proses resolusi DNS untuk jaringan privat dapat diisolasi dari jaringan publik.
- Pastikan strategi keamanan DNS Anda juga menyertakan mitigasi terhadap serangan umum, seperti DNS yang menggantung, serangan amplifikasi DNS, peracunan dan spoofing DNS, dan sebagainya.
Panduan Azure: Gunakan DNS berulang Azure atau server DNS eksternal tepercaya dalam penyiapan DNS berulang beban kerja Anda, seperti pada sistem operasi mesin virtual atau pada aplikasi.
Gunakan DNS Privat Azure untuk penyiapan zona DNS privat tempat proses resolusi DNS tidak meninggalkan jaringan virtual. Gunakan DNS kustom untuk membatasi resolusi DNS yang hanya memungkinkan resolusi tepercaya untuk klien Anda.
Gunakan Azure Defender untuk DNS guna perlindungan lanjutan terhadap ancaman keamanan berikut ke beban kerja atau layanan DNS Anda:
- Penyelundupan data dari sumber daya Azure Anda menggunakan penerowongan DNS
- Malware yang berkomunikasi dengan server kontrol-dan-perintah
- Komunikasi dengan domain berbahaya sebagai phishing dan penambangan kripto
- Serangan DNS yang berhubungan dengan pemecah masalah DNS berbahaya
Anda juga dapat menggunakan Azure Defender untuk App Service guna mendeteksi rekaman DNS yang menggantung jika Anda menonaktifkan situs web App Service tanpa menghapus domain kustomnya dari registrar DNS Anda.
Implementasi dan konteks tambahan:
- Gambaran umum Azure DNS
- Panduan Penyebaran Sistem Nama Domain Aman (DNS):
- DNS Privat Azure
- Azure Defender untuk DNS
- Cegah entri DNS yang menjuntai dan hindari pengamanan subdomain:
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):