Pemetaan kontrol keamanan dengan zona pendaratan Azure

Banyak organisasi diharuskan untuk mematuhi peraturan industri/regional tertentu sebelum mengadopsi dan onboarding layanan cloud Azure. Peraturan kepatuhan ini masing-masing diidentifikasi oleh domain kepatuhan dan kontrol. Misalnya, CMMC L3 AC 1.001 di mana AC adalah domain Kontrol Akses dan 1.001 adalah ID kontrol dalam kerangka kerja Sertifikasi Model Kematangan Keamanan Cyber (CMMC). Rekomendasi praktik terbaik adalah memetakan kontrol kepatuhan yang diperlukan ke tolok ukur keamanan cloud Microsoft (MCSB) dan mengidentifikasi kumpulan kontrol kustom yang tidak dicakup oleh MCSB.

Selain itu, MCSB juga menyediakan daftar guid kebijakan bawaan dan inisiatif Kebijakan untuk mengatasi kontrol yang diperlukan. Untuk kontrol yang tidak tercakup dalam MCSB, panduan pemetaan kontrol mencakup proses langkah demi langkah tentang cara membangun kebijakan dan inisiatif.

Memetakan kontrol yang diperlukan ke tolok ukur keamanan cloud Microsoft dapat sangat mempercepat pengalaman orientasi Azure yang aman. Tolok ukur keamanan cloud Microsoft menyediakan serangkaian kontrol keamanan teknis yang bersentrik cloud secara kanonis berdasarkan kerangka kerja kontrol kepatuhan yang banyak digunakan seperti NIST, CIS, PCI. Ada inisiatif kepatuhan peraturan bawaan yang sudah tersedia. Jika Anda tertarik dengan domain kepatuhan tertentu, lihat Inisiatif bawaan kepatuhan peraturan.

Catatan

Pemetaan kontrol antara tolok ukur keamanan cloud Microsoft dan tolok ukur industri, seperti CIS, NIST, dan PCI, hanya menunjukkan bahwa fitur Azure tertentu dapat digunakan untuk sepenuhnya atau sebagian mengatasi persyaratan kontrol yang ditentukan dalam tolok ukur industri ini. Anda harus menyadari bahwa implementasi tersebut tidak selalu diterjemahkan ke kepatuhan penuh kontrol yang sesuai dalam tolok ukur industri ini.

Diagram berikut menunjukkan alur proses pemetaan kontrol:

Mengontrol langkah-langkah pemetaan

1. Identifikasi kontrol yang diperlukan.
2. Petakan kontrol yang diperlukan ke tolok ukur keamanan cloud Microsoft.
3. Identifikasi kontrol yang tidak dipetakan dengan tolok ukur keamanan cloud Microsoft dan kebijakan masing-masing.
4. Lakukan penilaian tingkat platform dan layanan.
5. Terapkan pagar pembatas dengan inisiatif kebijakan menggunakan alat zona pendaratan Azure, alat asli, atau alat pihak ketiga.

Tip

Anda harus meninjau panduan tentang cara menyesuaikan arsitektur zona pendaratan Azure untuk mendukung persyaratan pemetaan kontrol Anda.

1. Identifikasi kontrol yang diperlukan

Kumpulkan semua daftar kontrol kepatuhan yang ada dan diperlukan dari tim Keamanan. Jika daftar tidak ada, ambil persyaratan kontrol di lembar bentang Excel. Silakan gunakan format di bawah ini sebagai panduan untuk membuat daftar. Daftar akan terdiri dari kontrol dari satu atau banyak kerangka kerja kepatuhan. Gunakan templat pemetaan kontrol Keamanan untuk mengambil kontrol yang diperlukan dan kerangka kerja terkait.

Sampel daftar kontrol formal.

2. Petakan kontrol ke tolok ukur keamanan cloud Microsoft dan buat serangkaian kontrol kustom

Untuk setiap kontrol yang telah Anda ambil, gunakan judul kontrol, kategori domain, dan panduan/deskripsi yang sesuai untuk mengidentifikasi kontrol terkait. Sejajarkan niat setiap kontrol sedekat mungkin dan catat penyimpangan atau kesenjangan di spreadsheet.

Anda juga dapat menggunakan kerangka kerja umum yang dipetakan ke tolok ukur keamanan cloud organisasi dan Microsoft Anda di tempatnya berada. Misalnya, jika kontrol tolok ukur keamanan cloud Anda dan Microsoft sudah dipetakan ke NIST 800-53 r4 atau CIS 7.1, Anda dapat menggabungkan himpunan data bersama-sama pada pivot tersebut. Kerangka kerja umum menengah dapat ditemukan di bagian sumber daya

Contoh pemetaan kontrol tunggal: Tujuan kontrol organisasi Anda

Tabel di atas memperlihatkan salah satu tujuan kontrol unik dengan kata kunci yang disorot.

Dalam contoh ini, kita dapat melihat kategorisasi yang ada dari kontrol tertentu 'Keamanan Aplikasi' untuk mengidentifikasinya sebagai kontrol terkait aplikasi. Konten di bidang persyaratan adalah menerapkan firewall aplikasi dan untuk mengeraskan dan menambal aplikasi mereka. Melihat kontrol dan panduan tolok ukur keamanan cloud Microsoft untuk kecocokan yang tepat, kita dapat melihat bahwa ada banyak kontrol yang mungkin berlaku dan dipetakan dengan tepat.

Untuk mencari versi tolok ukur keamanan cloud Microsoft dengan cepat, kami menyediakan file unduhan Excel untuk setiap rilis yang dapat dengan cepat dicari dengan ID kontrol atau bagian dari verbiage deskripsi. Dalam langkah ini, proses mengidentifikasi dan memetakan kontrol yang tercakup dalam tolok ukur keamanan cloud Microsoft.

3. Identifikasi kontrol yang tidak dipetakan dengan tolok ukur keamanan cloud Microsoft dan kebijakan masing-masing

Setiap kontrol yang diidentifikasi yang mungkin tidak memetakan secara langsung harus ditandai sebagai memerlukan mitigasi otomatisasi, dan kebijakan kustom atau skrip otomatisasi harus dikembangkan dalam proses implementasi pagar pembatas.

Tip

AzAdvertizer adalah alat berbasis komunitas yang didukung oleh Cloud Adoption Framework. Ini dapat membantu Anda menemukan kebijakan bawaan, dari zona pendaratan Azure atau dari komunitas repositori Azure Policy di satu tempat.

4. Lakukan penilaian tingkat platform dan layanan

Setelah Anda memiliki kontrol dan tujuan yang dipetakan dengan jelas ke tolok ukur keamanan cloud Microsoft dan telah mengumpulkan informasi pendukung tentang tanggung jawab, panduan, dan pemantauan, kantor keamanan TI atau organisasi pendukung harus meninjau semua informasi yang disediakan dalam penilaian platform resmi.

Penilaian platform ini akan menentukan apakah tolok ukur keamanan cloud Microsoft memenuhi ambang minimum untuk penggunaan dan apakah dapat memenuhi semua persyaratan keamanan dan kepatuhan yang diberlakukan oleh peraturan.

Jika ada celah yang diidentifikasi, Anda masih dapat menggunakan tolok ukur keamanan cloud Microsoft tetapi mungkin perlu mengembangkan kontrol mitigasi hingga kesenjangan ini ditutup dan tolok ukur dapat merilis pembaruan untuk mengatasinya. Selain itu, Anda dapat memetakan kontrol kustom dengan membuat definisi kebijakan dan secara opsional menambahkan ke definisi inisiatif.

Daftar periksa untuk disetujui

1. Tim keamanan telah menyetujui platform Azure untuk penggunaan.

2. Anda harus menggabungkan garis besar layanan tolok ukur keamanan cloud Microsoft individual Excel ke pemetaan kontrol tingkat platform yang telah selesai sebelumnya.

   • Tambahkan dalam kolom untuk mengakomodasi penilaian seperti: cakupan, penegakan, efek yang diizinkan.

3. Lakukan analisis baris demi baris dari templat penilaian garis besar layanan yang dihasilkan:

   • Untuk setiap tujuan kontrol, tunjukkan:

     • Jika dapat dipenuhi oleh layanan atau risiko.
     • Nilai risiko, jika ada.
     • Status peninjauan untuk item baris tersebut.
     • Diperlukan kontrol mitigasi, jika ada.
     • Apa yang dapat diterapkan/dipantau oleh Azure Policy.

   • Di mana ada celah dalam pemantauan atau penegakan untuk layanan dan kontrol:

     • Laporkan ke tim tolok ukur keamanan cloud Microsoft untuk menutup celah dalam konten, pemantauan, atau penerapan.

   • Untuk area apa pun yang tidak memenuhi persyaratan Anda, perhatikan risiko yang terlibat jika Anda memilih untuk mengecualikan persyaratan tersebut, dampaknya, dan jika dapat diterima atau jika Anda diblokir karena kesenjangan.

4. Status layanan ditentukan:

   • Baik layanan memenuhi semua persyaratan, atau bahwa risikonya dapat diterima dan ditempatkan pada daftar yang diizinkan untuk digunakan setelah pagar pembatas diberlakukan.
   • ATAU, kesenjangan layanan terlalu besar / risiko terlalu besar dan layanan ditempatkan pada daftar blokir. Ini tidak dapat digunakan sampai celah ditutup oleh Microsoft.

Input - tingkat platform

• Templat penilaian layanan (Excel)
• Mengontrol tujuan pemetaan tolok ukur keamanan cloud Microsoft
• Layanan target

Output - tingkat platform

• Penilaian layanan selesai (Excel)
• Mitigasi kontrol
• Kesenjangan
• Persetujuan/non-persetujuan untuk penggunaan layanan

Setelah persetujuan dari tim keamanan/audit internal Anda bahwa platform dan layanan inti memenuhi kebutuhan mereka, Anda perlu menerapkan pemantauan dan pagar pembatas yang sesuai yang disepakati. Selama proses pemetaan dan penilaian, jika ada kontrol mitigasi yang melampaui tolok ukur keamanan cloud Microsoft, kontrol bawaan atau Azure Policy perlu diimplementasikan menggunakan definisi kebijakan dan secara opsional menambahkan ke definisi inisiatif.

Daftar periksa - tingkat layanan

1. Ringkas kebijakan yang diidentifikasi sebagaimana diperlukan sebagai output penilaian platform dan penilaian layanan.
2. Kembangkan definisi kebijakan kustom yang diperlukan untuk mendukung mitigasi kontrol/kesenjangan.
3. Buat inisiatif kebijakan kustom.
4. Tetapkan inisiatif kebijakan dengan alat zona pendaratan Azure, alat asli, atau alat pihak ketiga.

Input - tingkat layanan

• Penilaian layanan selesai (Excel)

Output - tingkat layanan

• Inisiatif kebijakan kustom

5. Menerapkan pagar pembatas menggunakan zona pendaratan Azure atau alat asli

Bagian berikut menjelaskan proses mengidentifikasi, memetakan, dan menerapkan kontrol terkait kepatuhan peraturan sebagai bagian dari penyebaran zona pendaratan Azure. Penyebaran mencakup kebijakan yang selaras dengan tolok ukur keamanan cloud Microsoft untuk kontrol keamanan tingkat platform.

Tip

Sebagai bagian dari akselerator zona pendaratan Azure (Portal, Bicep & Terraform), kami menetapkan inisiatif kebijakan tolok ukur keamanan cloud Microsoft ke Grup Manajemen Akar Menengah secara default.

Anda dapat mempelajari tentang kebijakan yang ditetapkan sebagai bagian dari penyebaran Akselerator zona pendaratan Azure.

Panduan kebijakan implementasi

Bergantung pada tujuan kontrol Anda, Anda mungkin perlu membuat definisi kebijakan kustom, definisi inisiatif kebijakan, dan penetapan kebijakan.

Lihat panduan berikut untuk setiap opsi implementasi akselerator.

Portal akselerator zona pendaratan Azure

Saat menggunakan pengalaman berbasis portal zona pendaratan Azure:

• Membuat kebijakan keamanan kustom di Microsoft Defender untuk Cloud
• Tutorial: Membuat definisi kebijakan kustom
• Menetapkan Azure Policy atau inisiatif kebijakan

Azure Resource Manager dengan AzOps

Saat menggunakan templat Resource Manager dengan AzOps Accelerator, lihat artikel penyebaran untuk mempelajari cara mengoperasikan platform Azure menggunakan infrastruktur sebagai kode.

• Menambahkan definisi dan inisiatif Azure Policy Kustom
• Menetapkan Azure Policy

Modul Terraform

Saat menggunakan modul Terraform zona pendaratan Azure, lihat wiki repositori untuk panduan tentang cara mengelola definisi dan penugasan kebijakan tambahan.

• Menambahkan definisi dan penugasan Azure Policy Kustom
• Menetapkan Azure Policy bawaan
• Memperluas definisi arketipe bawaan

Bicep

Saat menggunakan implementasi Bicep zona pendaratan Azure, pelajari cara membuat definisi dan penugasan kebijakan Anda sendiri.

• Menambahkan definisi dan inisiatif Azure Policy Kustom
• Menetapkan Kebijakan Azure

Menerapkan kebijakan kustom saat tidak menggunakan implementasi zona pendaratan Azure

Portal Azure

Saat menggunakan portal Azure, lihat artikel berikut.

• Membuat kebijakan keamanan kustom di Microsoft Defender untuk Cloud
• Membuat definisi kebijakan kustom
• Membuat dan mengelola kebijakan untuk menerapkan kepatuhan
• Menetapkan inisiatif kebijakan

Templat Azure Resource Manager

Saat menggunakan templat Resource Manager, lihat artikel berikut ini.

• Membuat definisi kebijakan kustom
• Menetapkan inisiatif kebijakan
• Buat penetapan kebijakan untuk mengidentifikasi sumber daya yang tidak sesuai dengan menggunakan templat ARM
• Referensi templat definisi kebijakan Bicep dan Resource Manager
• Referensi templat set Bicep dan Resource Manager (inisiatif)
• Referensi templat penetapan kebijakan Bicep dan Resource Manager

Terraform

Saat menggunakan Terraform, lihat artikel berikut.

• Menambahkan definisi dan inisiatif kebijakan Azure kustom
• Menambahkan Definisi set Azure Policy
• Menetapkan kebijakan grup manajemen
• Menetapkan Azure Policy atau inisiatif kebijakan

Bicep

Saat menggunakan templat Bicep, lihat artikel berikut ini.

• Mulai cepat: Membuat penetapan kebijakan untuk mengidentifikasi sumber daya yang tidak sesuai dengan menggunakan file Bicep
• Referensi templat definisi kebijakan Bicep dan Resource Manager
• Referensi templat kumpulan kebijakan Bicep dan Resource Manager (inisiatif)
• Referensi templat penetapan kebijakan Bicep dan Resource Manager

Panduan untuk menggunakan Microsoft Defender untuk Cloud

Microsoft Defender untuk Cloud terus membandingkan konfigurasi sumber daya Anda dengan persyaratan dalam standar industri, peraturan, dan tolok ukur. Dasbor kepatuhan peraturan memberikan wawasan tentang postur kepatuhan Anda. Pelajari selengkapnya tentang meningkatkan kepatuhan terhadap peraturan Anda.

Pertanyaan yang Sering Ditanyakan

Kami menggunakan kerangka kerja yang tidak dipetakan ke tolok ukur keamanan cloud Microsoft, bagaimana saya masih dapat menyetorkan tujuan kontrol kami?

Kami menyediakan pemetaan tolok ukur keamanan cloud Microsoft ke banyak kerangka kerja industri yang paling diminati. Namun, untuk kontrol yang saat ini tidak tercakup, diperlukan latihan pemetaan manual. Dalam kasus ini, lihat langkah-langkah kami untuk melakukan pemetaan kontrol manual.

[Contoh] Kita perlu memenuhi kepatuhan Kanada Federal Protected B (PBMM), dan tolok ukur keamanan cloud Microsoft belum memiliki pemetaan ke PBMM. Untuk menjembatani pemetaan ini, Anda dapat menemukan pemetaan kerangka kerja bersama seperti NIST SP 800-53 R4 yang tersedia dan dipetakan ke PBMM dan MCSB v2. Dengan menggunakan kerangka kerja umum ini, Anda dapat memahami rekomendasi dan panduan apa yang harus Anda ikuti di Azure untuk memenuhi kerangka kerja yang Anda inginkan.

Tujuan kontrol kami tidak tercakup oleh kontrol tolok ukur keamanan cloud Microsoft, bagaimana cara membuka blokirnya dari onboarding?

Tolok ukur keamanan cloud Microsoft difokuskan pada kontrol teknis Azure. Area tujuan di sekitar item non-teknis seperti pelatihan, atau untuk item yang tidak mengarahkan keamanan teknis, seperti keamanan pusat data, dihilangkan berdasarkan desain. Item ini dapat ditandai sebagai tanggung jawab Microsoft, dan bukti kepatuhan dapat disediakan dari konten tolok ukur keamanan cloud Microsoft atau laporan audit Microsoft. Jika Anda menemukan bahwa tujuan benar-benar adalah kontrol teknis, buat kontrol mitigasi selain basis untuk pelacakan, dan kirim permintaan untuk MCSBteam@microsoft.com mengatasi kontrol yang hilang dalam rilis mendatang.

Sumber daya

Portal Kepercayaan Layanan

Aliansi Keamanan Cloud

Gambaran Umum Keamanan Pusat Data

Gambaran Umum Layanan Keuangan

Gambaran Umum Penilaian Risiko Lembaga Keuangan

Perjanjian tingkat layanan