Area desain: Keamanan
Area desain ini menciptakan fondasi untuk keamanan di seluruh lingkungan Azure, hibrid, dan multicloud Anda. Anda dapat meningkatkan fondasi ini nanti dengan panduan keamanan yang diuraikan dalam Metodologi Aman dari Cloud Adoption Framework.
Peninjauan area desain
Peran atau fungsi yang terlibat: Area desain ini dipimpin oleh keamanan cloud, khususnya arsitek keamanan dalam tim tersebut. Platform cloud dan pusat keunggulan cloud diperlukan untuk meninjau keputusan jaringan dan identitas. Peran kolektif mungkin diperlukan untuk mendefinisikan dan menerapkan persyaratan teknis yang berasal dari latihan ini. Batasan keamanan tingkat lanjut mungkin juga memerlukan dukungan dari tata kelola cloud.
Cakupan: Tujuan latihan ini adalah untuk memahami persyaratan keamanan dan menerapkannya secara konsisten di semua beban kerja di platform cloud Anda. Cakupan utama dari latihan ini berfokus pada kontrol akses dan alat operasi keamanan. Cakupan ini mencakup Zero Trust dan keamanan jaringan tingkat lanjut.
Di luar cakupan: Latihan ini berfokus pada fondasi untuk pusat operasi keamanan modern di cloud. Untuk menyederhanakan diskusi, latihan ini tidak membahas beberapa disiplin dalam Metodologi aman CAF. Operasi keamanan, perlindungan aset, dan keamanan inovasi akan dibangun di atas penyebaran zona arahan Azure Anda. Namun, mereka berada di luar cakupan untuk diskusi area desain ini.
Ringkasan area desain
Keamanan adalah pertimbangan utama bagi semua pelanggan, di setiap lingkungan. Saat merancang dan menerapkan zona arahan Azure, keamanan harus menjadi pertimbangan selama proses berlangsung.
Area desain keamanan berfokus pada pertimbangan dan rekomendasi untuk keputusan zona arahan. Metodologi Aman Cloud Adoption Framework juga memberikan panduan mendalam lebih lanjut untuk proses dan alat keamanan holistik.
Lingkungan cloud baru (greenfield): Untuk memulai perjalanan cloud Anda dengan sekumpulan kecil langganan, lihat Membuat langganan Azure awal Anda. Selain itu, pertimbangkan untuk menggunakan templat penyebaran Bicep dalam membangun zona pendaratan Azure Anda. Untuk informasi selengkapnya, lihat Azure Landing Zones Bicep - Alur Penyebaran.
Lingkungan cloud yang ada (brownfield): Pertimbangkan untuk menggunakan layanan identitas dan akses Microsoft Entra berikut jika Anda tertarik untuk menerapkan prinsip-prinsip dari area desain keamanan ke lingkungan Azure yang ada:
- Manfaatkan 10 praktik terbaik keamanan Azure teratas Microsoft. Panduan ini merangkum panduan yang terbukti bidang dari arsitek solusi cloud (CSA) Microsoft serta Mitra Microsoft.
- Sebarkan sinkronisasi cloud Microsoft Entra Koneksi untuk menyediakan pengguna Active Directory Domain Services (AD DS) lokal Anda dengan akses menyeluruh (SSO) aman ke aplikasi yang didukung ID Microsoft Entra Anda. Manfaat tambahan untuk mengonfigurasi identitas hibrid adalah Anda dapat menerapkan autentikasi multifaktor Microsoft Entra (MFA) dan Perlindungan Kata Sandi Microsoft Entra untuk melindungi identitas ini lebih lanjut
- Pertimbangkan Microsoft Entra Conditional Access untuk menyediakan autentikasi aman ke aplikasi cloud dan sumber daya Azure Anda.
- Terapkan Microsoft Entra Privileged Identity Management untuk memastikan akses hak istimewa terkecil dan pelaporan mendalam di seluruh lingkungan Azure Anda. Teams harus mulai mengulangi tinjauan akses berulang untuk memastikan orang dan prinsip layanan yang tepat memiliki tingkat otorisasi saat ini dan yang benar.
- Manfaatkan kemampuan rekomendasi, peringatan, dan remediasi Microsoft Defender untuk Cloud. Tim keamanan Anda juga dapat mengintegrasikan Microsoft Defender untuk Cloud ke Microsoft Sentinel jika mereka membutuhkan solusi Manajemen Peristiwa Informasi Keamanan (SIEM)/Orkestrasi dan Respons Keamanan (SOAR) yang lebih kuat dan dikelola secara terpusat.
Repositori Azure Landing Zones Bicep - Deployment Flow berisi sejumlah templat penyebaran Bicep yang dapat mempercepat penyebaran zona pendaratan Azure greenfield dan brownfield Anda. Templat ini sudah memiliki panduan keamanan praktik terbukti Microsoft yang terintegrasi di dalamnya.
Untuk informasi selengkapnya tentang bekerja di lingkungan cloud Brownfield, lihat Pertimbangan lingkungan Brownfield.
Tolok ukur keamanan cloud Microsoft
Tolok ukur keamanan cloud Microsoft menyertakan rekomendasi keamanan berdampak tinggi untuk membantu Anda mengamankan sebagian besar layanan yang Anda gunakan di Azure. Anda dapat menganggap rekomendasi ini sebagai umum atau organisasi, karena dapat diterapkan ke sebagian besar layanan Azure. Rekomendasi tolok ukur keamanan cloud Microsoft kemudian disesuaikan untuk setiap layanan Azure. Panduan khusus ini terkandung dalam artikel rekomendasi layanan.
Dokumentasi tolok ukur keamanan cloud Microsoft menentukan kontrol keamanan dan rekomendasi layanan.
- Kontrol keamanan: Rekomendasi tolok ukur keamanan cloud Microsoft dikategorikan oleh kontrol keamanan. Kontrol keamanan mewakili persyaratan keamanan agnostik vendor tingkat tinggi, seperti keamanan jaringan dan perlindungan data. Setiap kontrol keamanan memiliki kumpulan rekomendasi keamanan dan instruksi yang membantu Anda menerapkan rekomendasi tersebut.
- Rekomendasi layanan: Jika tersedia, rekomendasi tolok ukur untuk layanan Azure akan menyertakan rekomendasi tolok ukur keamanan cloud Microsoft yang disesuaikan khusus untuk layanan tersebut.
Azure Attestation
Azure Attestation adalah alat yang dapat membantu Anda memastikan keamanan dan integritas platform dan biner Anda yang berjalan di dalamnya. Ini sangat berguna untuk bisnis yang membutuhkan sumber daya komputasi yang sangat dapat diskalakan dan kepercayaan tanpa kompromi dengan kemampuan pengesahan jarak jauh.
Pertimbangan desain keamanan
Sebuah organisasi harus memiliki visibilitas terhadap apa yang terjadi dalam cloud estate teknis mereka. Pemantauan keamanan dan pengelogan audit layanan platform Azure adalah komponen kunci dari kerangka kerja yang dapat diskalakan.
Pertimbangan desain operasi keamanan
| Cakupan | Konteks |
|---|---|
| Peringatan keamanan | - Tim mana yang memerlukan pemberitahuan untuk peringatan keamanan? - Apakah ada grup layanan yang peringatannya perlu dirutekan ke tim yang berbeda? - Persyaratan bisnis untuk pemantauan dan peringatan real time. - Informasi keamanan dan integrasi manajemen peristiwa dengan Microsoft Defender untuk Cloud dan Microsoft Sentinel. |
| Log keamanan | - Periode retensi data untuk data audit. Laporan Microsoft Entra ID P1 atau P2 memiliki periode retensi 30 hari. - Pengarsipan log jangka panjang seperti log aktivitas Azure, log mesin virtual (Mesin Virtual), dan log platform as a service (PaaS). |
| kontrol keamanan | - Konfigurasi keamanan garis besar melalui kebijakan Mesin Virtual tamu Azure. - Pertimbangkan keselarasan kontrol keamanan Anda dengan batasan tata kelola. |
| Pengelolaan kerentanan | - Patching darurat untuk kerentanan kritis. - Patching untuk Mesin Virtual yang offline dalam durasi yang lama. - Penilaian kerentanan Mesin Virtual. |
| Tanggung jawab bersama | - Di mana penyerahan tanggung jawab tim? Tanggung jawab ini perlu dipertimbangkan saat memantau atau menanggapi peristiwa keamanan. - Pertimbangkan panduan dalam Metodologi aman untuk operasi keamanan. |
| Enkripsi dan kunci | - Siapa yang membutuhkan akses ke kunci di lingkungan? - Siapa yang akan bertanggung jawab untuk mengelola kunci? - Jelajahi enkripsi dan kunci selengkapnya. |
| Pengesahan | - Apakah Anda akan menggunakan Peluncuran Tepercaya untuk VM Anda, dan apakah Anda memerlukan pengesahan integritas seluruh rantai boot VM Anda (UEFI, OS, sistem, dan driver)? - Apakah Anda ingin memanfaatkan enkripsi disk rahasia untuk VM rahasia Anda? - Apakah beban kerja Anda memerlukan pengesahan bahwa beban kerja berjalan di dalam lingkungan tepercaya? |
Rekomendasi desain operasi keamanan
Gunakan kemampuan pelaporan ID Microsoft Entra untuk menghasilkan laporan audit kontrol akses.
Ekspor log aktivitas Azure ke Azure Monitor Logs untuk retensi data jangka panjang. Ekspor ke Azure Storage untuk penyimpanan jangka panjang lebih dari dua tahun, jika perlu.
Aktifkan standar Defender untuk Cloud untuk semua langganan, dan gunakan Azure Policy untuk memastikan kepatuhan.
Pantau {i>drift patch
Gunakan kebijakan Azure untuk secara otomatis menyebarkan konfigurasi perangkat lunak melalui ekstensi Mesin Virtual dan menerapkan konfigurasi Mesin Virtual garis besar yang sesuai.
Pantau penyimpangan konfigurasi keamanan Mesin Virtual melalui Azure Policy.
Sambungkan konfigurasi sumber daya {i>default
Gunakan solusi berbasis Azure Event Grid untuk peringatan real time berorientasi log.
Gunakan Azure Attestation untuk pengesahan:
- Integritas seluruh rantai boot VM Anda. Untuk informasi selengkapnya, lihat Gambaran umum pemantauan integritas boot.
- Rilis aman kunci enkripsi disk rahasia untuk VM rahasia. Untuk informasi selengkapnya, lihat Enkripsi disk OS Rahasia.
- Berbagai jenis lingkungan eksekusi tepercaya beban kerja. Untuk informasi selengkapnya, lihat Kasus penggunaan.
Pertimbangan desain kontrol akses
Batas keamanan modern lebih kompleks daripada batas di pusat data tradisional. Empat dinding pusat data tidak lagi berisi aset Anda. Menjaga agar pengguna tetap berada di luar jaringan yang dilindungi tidak lagi cukup untuk mengontrol akses. Di cloud, perimeter Anda terdiri dari dua bagian: kontrol keamanan jaringan dan kontrol akses Zero Trust.
Keamanan jaringan tingkat lanjut
| Cakupan | Konteks |
|---|---|
| Rencana untuk konektivitas internet masuk dan keluar | Menjelaskan model konektivitas yang direkomendasikan untuk konektivitas masuk dan keluar ke dan dari internet publik. |
| Rencana segmentasi jaringan zona arahan | Menjelajahi rekomendasi utama untuk memberikan segmentasi jaringan internal yang sangat aman dalam zona arahan. Rekomendasi ini mendorong implementasi nol kepercayaan jaringan. |
| Menentukan persyaratan enkripsi jaringan | Jelajahi rekomendasi utama untuk mencapai enkripsi jaringan antara lokal dan Azure serta di seluruh wilayah Azure. |
| Rencana untuk inspeksi lalu lintas | Jelajahi pertimbangan utama dan pendekatan yang disarankan untuk mencerminkan atau melakukan tapping lalu lintas dalam Azure Virtual Network. |
Zero Trust
Untuk akses Zero Trust dengan identitas, Anda harus mempertimbangkan:
- Tim atau individu mana yang memerlukan akses ke layanan di dalam zona arahan? Apa peran yang mereka lakukan?
- Siapa yang harus mengotorisasi permintaan akses?
- Siapa yang harus menerima pemberitahuan saat peran istimewa diaktifkan?
- Siapa yang harus memiliki akses ke riwayat audit?
Untuk informasi selengkapnya, lihat Microsoft Entra Privileged Identity Management.
Menerapkan Zero Trust dapat melampaui hanya manajemen identitas dan akses. Anda harus mempertimbangkan apakah organisasi Anda perlu menerapkan praktik Zero Trust di beberapa pilar, seperti infrastruktur, data, dan jaringan. Untuk informasi selengkapnya, lihat Menggabungkan praktik Zero Trust di zona pendaratan Anda
Rekomendasi desain kontrol akses
Dalam konteks persyaratan dasar Anda, lakukan pemeriksaan gabungan untuk setiap layanan yang diperlukan. Jika Anda ingin membawa kunci sendiri, itu mungkin tidak didukung di semua layanan yang dipertimbangkan. Terapkan mitigasi yang relevan sehingga inkonsistensi tidak menghalangi hasil yang diinginkan. Pilih pasangan wilayah yang sesuai dan wilayah pemulihan bencana yang meminimalkan latensi.
Kembangkan rencana daftar keamanan yang diizinkan untuk menilai layanan seperti konfigurasi keamanan, pemantauan, dan peringatan. Kemudian buat rencana untuk mengintegrasikannya dengan sistem yang ada.
Tentukan rencana respons bencana untuk layanan Azure sebelum memindahkannya ke produksi.
Selaraskan persyaratan keamanan Anda dengan peta jalan platform Azure agar tetap sesuai dengan kontrol keamanan yang baru dirilis.
Terapkan pendekatan zero trust untuk akses ke platform Azure jika sesuai.
Keamanan di akselerator zona arahan Azure
Keamanan adalah inti dari akselerator zona arahan Azure. Sebagai bagian dari penerapan, banyak alat dan kontrol disebarkan untuk membantu organisasi mencapai garis besar keamanan dengan cepat.
Sebagai contoh, berikut ini mencakup:
Peralatan:
- Microsoft Defender untuk Cloud, tingkat standar atau gratis
- Microsoft Sentinel
- Azure DDoS Network Protection (opsional)
- Azure Firewall
- Web Application Firewall (WAF)
- Privileged Identity Management (PIM)
Kebijakan untuk zona arahan online dan yang terhubung dengan perusahaan:
- Menerapkan akses aman, seperti HTTPS, ke akun penyimpanan
- Menerapkan pengauditan untuk Azure SQL Database
- Menerapkan enkripsi untuk Azure SQL Database
- Mencegah penerusan IP
- Mencegah RDP masuk dari internet
- Memastikan subnet terkait dengan NSG
Langkah berikutnya
Pelajari cara mengamankan akses istimewa untuk penyebaran hibrid dan cloud di ID Microsoft Entra.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk