Garis besar keamanan Azure untuk VPN Gateway

Garis besar keamanan ini menerapkan panduan dari Azure Security Benchmark versi 2.0 ke VPN Gateway. Tolok Ukur Keamanan Azure memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud di Azure. Konten dikelompokkan berdasarkan kontrol keamanan yang ditentukan oleh Tolok Ukur Keamanan Azure dan panduan terkait yang berlaku untuk VPN Gateway.

Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Pertahanan Microsoft untuk Cloud. Azure Policy definisi akan tercantum di bagian Kepatuhan Terhadap Peraturan di dasbor Pertahanan Microsoft untuk Cloud.

Saat bagian memiliki Definisi Azure Policy yang relevan, bagian tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Azure Security Benchmark. Beberapa rekomendasi mungkin memerlukan paket Pertahanan Microsoft berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol tidak berlaku untuk VPN Gateway, dan kontrol yang direkomendasikan oleh panduan global secara verbatim, telah dikecualikan. Untuk melihat bagaimana VPN Gateway sepenuhnya memetakan ke Tolok Ukur Keamanan Azure, lihat file pemetaan garis besar keamanan VPN Gateway lengkap .

Keamanan Jaringan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Jaringan.

NS-1: Menerapkan keamanan untuk lalu lintas internal

Panduan: Buat atau gunakan jaringan virtual yang ada untuk menyebarkan sumber daya Azure VPN Gateway, Pastikan semua jaringan virtual Azure mengikuti prinsip segmentasi perusahaan yang selaras dengan risiko bisnis. Pisahkan sistem berisiko tinggi apa pun dalam jaringan virtualnya sendiri.

Amankan jaringan virtual dengan grup keamanan jaringan (NSG) dan/atau Azure Firewall. Merekomendasikan konfigurasi NSG berdasarkan aturan lalu lintas jaringan eksternal. Gunakan pengerasan jaringan adaptif Microsoft Defender untuk Cloud guna membatasi port dan IP sumber.

Gunakan aturan NSG untuk membatasi atau mengizinkan lalu lintas antara sumber daya internal. Dasarkan aturan pada aplikasi Anda dan strategi segmentasi perusahaan. Untuk aplikasi spesifik yang terdefinisi dengan baik seperti aplikasi tiga tingkat, aturan ini bisa menjadi penolakan yang sangat aman secara default.

Komunikasi infrastruktur Azure memerlukan port, yang tidak dipublikasikan. Sertifikat Azure melindungi dan mengunci port. Tanpa sertifikat yang tepat, entitas eksternal, termasuk pelanggan gateway, tidak dapat memengaruhi titik akhir tersebut.

Tanggung Jawab: Dibagikan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Peringatan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Network:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Semua lalu lintas Internet harus dirutekan melalui Azure Firewall yang Anda terapkan Microsoft Defender untuk Cloud telah mengidentifikasi bahwa beberapa subnet Anda tidak dilindungi dengan firewall generasi berikutnya. Lindungi subnet Anda dari potensi ancaman dengan membatasi akses ke mereka dengan Azure Firewall atau firewall generasi berikutnya yang didukung AuditIfNotExists, Dinonaktifkan 3.0.0-preview
Subnet harus dikaitkan dengan Kelompok Keamanan Jaringan Lindungi subnet Anda dari potensi ancaman dengan membatasi aksesnya dengan Network Security Group (NSG). NSG berisi daftar aturan Access Control List (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke subnet Anda. AuditIfNotExists, Dinonaktifkan 3.0.0

NS-2: Menyambungkan jaringan privat bersama-sama

Panduan: Gunakan Azure ExpressRoute atau Azure VPN untuk membuat koneksi privat antara pusat data Azure dan infrastruktur lokal di lingkungan kolokasi. Koneksi ExpressRoute tidak melalui internet publik. ExpressRoute menawarkan lebih banyak keandalan, kecepatan yang lebih cepat, dan latensi lebih rendah daripada koneksi internet biasa.

Untuk VPN titik-ke-situs dan situs-ke-situs, Anda dapat menyambungkan perangkat atau jaringan lokal ke jaringan virtual menggunakan kombinasi opsi VPN ini dan Azure ExpressRoute.

Untuk menyambungkan dua atau lebih jaringan virtual di Azure, gunakan peering jaringan virtual. Lalu lintas jaringan antara jaringan virtual direkankan bersifat privat dan tetap berada di jaringan tulang punggung Azure.

Tanggung Jawab: Dibagikan

NS-3: Membangun akses jaringan privat ke layanan Azure

Panduan: Azure VPN mendukung protokol IPsec/IKE standar:

  • Port UDP 500 dan 4500
  • Protokol ESP

VPN titik-ke-situs menggunakan port TCP 443 untuk koneksi berbasis TLS yang aman.

VPN Gateway tidak mengizinkan titik akhir pengelolaannya untuk mengamankan ke jaringan privat dengan Private Link.

VPN Gateway tidak dapat mengonfigurasi titik akhir layanan Azure Virtual Network.

Tanggung Jawab: Dibagikan

NS-4: Melindungi aplikasi dan layanan dari serangan jaringan eksternal

Panduan: Lindungi sumber daya VPN Gateway Anda terhadap serangan dari jaringan eksternal. Serangan eksternal dapat mencakup penolakan layanan terdistribusi (DDoS), serangan khusus aplikasi, dan lalu lintas internet yang tidak diminta dan berpotensi berbahaya.

Gunakan Azure Firewall untuk melindungi aplikasi dan layanan dari lalu lintas yang berpotensi berbahaya dari internet dan lokasi eksternal lainnya. Lindungi aset Anda dari serangan DDoS dengan mengaktifkan perlindungan Azure DDoS Standard di jaringan virtual Azure Anda. Gunakan Microsoft Defender untuk Cloud guna mendeteksi risiko kesalahan konfigurasi pada sumber daya jaringan Anda.

VPN Gateway tidak menjalankan aplikasi web, jadi Anda tidak perlu mengonfigurasi pengaturan apa pun atau menyebarkan layanan jaringan apa pun untuk melindungi dari serangan eksternal yang menargetkan aplikasi web.

Tanggung Jawab: Dibagikan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Peringatan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Network:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Semua lalu lintas Internet harus dirutekan melalui Azure Firewall yang Anda terapkan Microsoft Defender untuk Cloud telah mengidentifikasi bahwa beberapa subnet Anda tidak dilindungi dengan firewall generasi berikutnya. Lindungi subnet Anda dari potensi ancaman dengan membatasi akses ke mereka dengan Azure Firewall atau firewall generasi berikutnya yang didukung AuditIfNotExists, Dinonaktifkan 3.0.0-pratinjau
Standar Azure DDoS Protection harus diaktifkan Standar perlindungan DDoS harus diaktifkan untuk semua jaringan virtual dengan subnet yang merupakan bagian dari gateway aplikasi dengan IP publik. AuditIfNotExists, Dinonaktifkan 3.0.0
Subnet harus dikaitkan dengan Kelompok Keamanan Jaringan Lindungi subnet Anda dari potensi ancaman dengan membatasi aksesnya dengan Network Security Group (NSG). NSG berisi daftar aturan Access Control List (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke subnet Anda. AuditIfNotExists, Dinonaktifkan 3.0.0
Web Application Firewall (WAF) harus diaktifkan untuk Azure Application Gateway Menyebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. Audit, Tolak, Dinonaktifkan 1.0.1
Web Application Firewall (WAF) harus diaktifkan untuk layanan Azure Front Door Service Menyebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. Audit, Tolak, Dinonaktifkan 1.0.1

Manajemen Identitas

Untuk informasi lebih lanjut, lihat Azure Security Benchmark : Manajemen Identitas.

IM-1: Menstandarkan Microsoft Azure Active Directory sebagai pusat sistem identitas dan autentikasi

Panduan: Azure VPN menggunakan Azure Active Directory (Microsoft Azure AD) sebagai layanan manajemen akses dan identitas defaultnya. Standarisasi Microsoft Azure AD untuk mengatur identitas organisasi Anda dan manajemen akses di:

  • Sumber daya Microsoft Cloud. Sumber daya meliputi:

    • Portal Microsoft Azure

    • Azure Storage

    • Mesin virtual Windows dan Linux Azure

    • Azure Key Vault

    • Platform-as-a-service (PaaS)

    • Aplikasi software as a service (SaaS)

  • Sumber daya organisasi Anda, seperti aplikasi di Azure atau sumber daya jaringan perusahaan Anda.

Mengamankan Azure AD harus menjadi prioritas utama dalam praktik keamanan cloud organisasi Anda. Azure AD memberikan skor keamanan identitas untuk membantu Anda membandingkan postur keamanan identitas Anda dengan rekomendasi praktik terbaik Microsoft. Gunakan skor untuk mengukur seberapa dekat konfigurasi Anda cocok dengan rekomendasi praktik terbaik, dan untuk melakukan peningkatan dalam postur keamanan Anda.

Catatan: Microsoft Azure AD mendukung identitas eksternal yang memungkinkan pengguna tanpa akun Microsoft untuk masuk ke aplikasi dan sumber daya mereka.

VPN Azure Poin ke Situs (P2S) mendukung autentikasi Microsoft Azure AD. Pelanggan juga dapat mengonfigurasi VPN P2S untuk menggunakan autentikasi asli, autentikasi berbasis sertifikat, atau autentikasi berbasis RADIUS.

Tanggung Jawab: Pelanggan

IM-3: Menggunakan akses menyeluruh (SSO) Microsoft Azure AD untuk akses aplikasi

Panduan: VPN Gateway menggunakan Microsoft Azure AD untuk memberikan identitas dan manajemen akses ke sumber daya Azure, aplikasi cloud, dan aplikasi lokal. Microsoft Azure AD mengelola identitas perusahaan seperti karyawan, dan identitas eksternal seperti mitra, vendor, dan pemasok. Microsoft Azure AD memungkinkan akses menyeluruh (SSO) untuk mengelola dan mengamankan akses ke data dan sumber daya lokal dan cloud organisasi Anda.

Sambungkan semua pengguna, aplikasi, dan perangkat Anda ke Azure AD. Microsoft Azure AD menawarkan akses yang mulus dan aman, serta visibilitas dan kontrol yang lebih besar.

Tanggung Jawab: Pelanggan

Akses dengan Hak Istimewa

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Akses dengan Hak Istimewa.

PA-6: Menggunakan stasiun kerja akses dengan hak istimewa

Panduan: Stasiun kerja yang aman dan terisolasi sangat penting untuk keamanan peran sensitif seperti administrator, pengembang, dan operator layanan penting. Gunakan stasiun kerja pengguna yang sangat aman dan Azure Bastion untuk tugas administratif.

Gunakan Microsoft Azure AD, Perlindungan Ancaman Tingkat Lanjut Microsoft Defender (ATP), atau Microsoft Intune untuk menyebarkan stasiun kerja pengguna yang aman dan terkelola. Anda dapat mengelola stasiun kerja aman secara terpusat untuk menerapkan konfigurasi keamanan yang mencakup:

Tanggung Jawab: Pelanggan

PA-7: Ikuti prinsip hak istimewa terkecil untuk administrasi

Panduan: terintegrasi dengan Azure RBAC untuk mengelola sumber dayanya. Dengan RBAC, Anda mengelola akses sumber daya Azure melalui penetapan peran. Anda dapat menetapkan peran ke pengguna, grup, perwakilan layanan, dan identitas terkelola. Sumber daya tertentu memiliki peran bawaan yang telah ditentukan sebelumnya. Anda dapat menginventarisasi atau mengkueri peran ini melalui alat seperti Azure CLI, Azure PowerShell, atau portal Azure. Batasi hak istimewa yang Anda tetapkan ke sumber daya melalui Azure RBAC sesuai kebutuhan peran. Praktik ini melengkapi pendekatan just-in-time (JIT) dari Azure AD PIM. Tinjau peran dan tugas secara berkala.

Gunakan peran bawaan untuk mengalokasikan izin, dan hanya buat peran kustom jika diperlukan.

Tanggung Jawab: Pelanggan

Perlindungan Data

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Perlindungan Data.

DP-4: Mengenkripsi informasi sensitif saat transit

Panduan: VPN situs-ke-situs menggunakan IPsec/IKE. Protokol jalur datanya adalah Encapsulating Security Payload (ESP).

Gunakan enkripsi untuk melindungi data saat transit dari serangan out-of-band seperti pengambilan lalu lintas. Enkripsi memastikan bahwa penyerang tidak dapat dengan mudah membaca atau mengubah data. VPN Gateway mendukung enkripsi data saat transit dengan Keamanan Lapisan Transportasi (TLS) v1.2 atau yang lebih tinggi.

Persyaratan ini opsional untuk lalu lintas di jaringan privat, tetapi penting untuk lalu lintas di jaringan eksternal dan publik. Untuk lalu lintas HTTP, pastikan setiap klien yang tersambung ke sumber daya Azure Anda dapat menggunakan TLS v1.2 atau yang lebih baru.

Untuk manajemen jarak jauh, gunakan shell aman (SSH) untuk Linux atau protokol desktop jarak jauh (RDP) dan TLS untuk Windows. Jangan gunakan protokol yang tidak terenkripsi. Nonaktifkan cipher yang lemah serta versi dan protokol SSL, TLS, dan SSH yang kedaluwarsa.

Azure mengenkripsi data saat transit di antara pusat data Azure secara default.

Tanggung Jawab: Pelanggan

Manajemen Aset

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Aset.

AM-1: Pastikan tim keamanan memiliki visibilitas terhadap risiko aset

Panduan: Pastikan untuk memberikan izin kepada tim keamanan Security Reader di penyewa dan langganan Azure Anda, sehingga mereka dapat memantau risiko keamanan dengan menggunakan Microsoft Defender untuk Cloud.

Pemantauan untuk risiko keamanan dapat menjadi tanggung jawab tim keamanan pusat atau tim lokal, tergantung cara Anda menyusun tanggung jawab. Selalu agregasikan wawasan dan risiko keamanan secara terpusat dalam suatu organisasi.

Anda dapat menerapkan izin Security Reader secara luas ke seluruh Grup Manajemen Root penyewa, atau izin cakupan ke grup atau langganan manajemen tertentu.

Catatan: Visibilitas ke dalam beban kerja dan layanan mungkin memerlukan lebih banyak izin.

Tanggung Jawab: Pelanggan

AM-2: Pastikan tim keamanan dapat mengakses inventaris aset dan metadata

Panduan: Pastikan tim keamanan memiliki akses ke inventaris aset yang terus diperbarui di Azure, seperti VPN Gateway. Tim keamanan sering membutuhkan inventaris ini untuk mengevaluasi potensi paparan organisasi mereka terhadap risiko yang muncul, dan sebagai masukan untuk peningkatan keamanan berkelanjutan. Buat grup Microsoft Azure AD untuk menampung tim keamanan resmi organisasi Anda. dan tetapkan akses baca ke semua sumber daya VPN Gateway. Anda dapat menyederhanakan prosesnya dengan satu penetapan peran tingkat tinggi dalam langganan Anda.

Menerapkan tag ke sumber daya Azure, grup sumber daya, dan langganan Anda untuk mengaturnya secara logis ke dalam taksonomi. Setiap tag terdiri dari pasangan nilai dan nama. Misalnya, Anda dapat menerapkan nama "Lingkungan" dan nilai "Produksi" ke semua sumber daya dalam produksi.

Gunakan Inventaris Azure Virtual Machine untuk mengotomatiskan pengumpulan informasi tentang perangkat lunak pada mesin virtual (VM). Nama Perangkat Lunak, Versi, Penerbit, dan Waktu Refresh tersedia dari portal Azure. Untuk mengakses tanggal pemasangan dan informasi lainnya, aktifkan diagnostik tingkat tamu dan impor Log Peristiwa Windows ke ruang kerja Analitik Log.

Azure VPN tidak mengizinkan menjalankan aplikasi atau menginstal perangkat lunak pada sumber dayanya.

Tanggung Jawab: Pelanggan

AM-3: Hanya gunakan layanan Azure yang disetujui

Panduan: Gunakan Azure Policy untuk mengaudit dan membatasi layanan yang dapat disediakan pengguna di lingkungan Anda. Gunakan Azure Resource Graph untuk mengkueri dan menemukan sumber daya dalam langganan Anda. Anda juga dapat menggunakan Azure Monitor untuk membuat aturan yang memicu pemberitahuan saat layanan yang tidak disetujui terdeteksi.

Tanggung Jawab: Pelanggan

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pencatatan dan Deteksi Ancaman.

LT-1: Mengaktifkan deteksi ancaman untuk sumber daya Azure

Panduan: VPN Gateway tidak menyediakan kemampuan asli untuk memantau ancaman keamanan yang terkait dengan sumber dayanya.

Teruskan log VPN Gateway ke sistem informasi keamanan dan manajemen acara (SIEM) Anda. Anda dapat menggunakan SIEM untuk menyiapkan deteksi ancaman kustom.

Pastikan Anda memantau berbagai jenis aset Azure untuk potensi ancaman dan anomali. Berfokuslah pada mendapatkan peringatan berkualitas tinggi guna mengurangi positif palsu yang akan dipilah oleh analis. Anda dapat memperoleh peringatan dari data log, agen, atau data lainnya.

Tanggung Jawab: Pelanggan

LT-2: Mengaktifkan deteksi ancaman untuk identitas Azure dan manajemen akses

Panduan: Azure AD menyediakan log pengguna berikut. Anda dapat melihat log dalam pelaporan Azure AD. Anda dapat berintegrasi dengan Azure Monitor, Microsoft Sentinel, atau SIEM dan alat pemantauan lainnya untuk kasus penggunaan pemantauan dan analitik yang canggih.

  • Kredensial masuk - Memberikan informasi tentang penggunaan aplikasi terkelola dan aktivitas masuk pengguna.

  • Log audit - Menyediakan keterlacakan melalui log untuk semua perubahan yang dibuat oleh berbagai fitur Azure AD. Log audit menyertakan perubahan yang dilakukan pada sumber daya apa pun dalam Azure AD. Perubahan tersebut termasuk menambahkan atau menghapus pengguna, aplikasi, grup, peran, dan kebijakan.

  • Proses masuk riskan - Indikator untuk upaya masuk oleh seseorang yang mungkin bukan pemilik akun pengguna yang sah.

  • Pengguna ditandai untuk risiko - Indikator untuk akun pengguna yang mungkin telah disusupi.

Microsoft Defender untuk Cloud juga dapat memperingatkan Anda tentang aktivitas mencurigakan tertentu, seperti upaya autentikasi yang gagal dalam jumlah berlebihan. Akun yang tidak digunakan lagi dalam langganan juga dapat memicu peringatan.

Selain pemantauan kebersihan keamanan dasar, modul Perlindungan Ancaman Microsoft Defender untuk Cloud dapat mengumpulkan peringatan keamanan yang lebih mendalam dari:

  • Sumber daya komputasi Azure individual seperti VM, kontainer, dan layanan aplikasi

  • Sumber daya data seperti Azure SQL Database dan Azure Storage

  • Lapisan layanan Azure

Kemampuan ini memberi Anda visibilitas pada anomali akun di masing-masing sumber daya.

Tanggung Jawab: Pelanggan

LT-3: Mengaktifkan pengelogan untuk aktivitas jaringan Azure

Panduan: Mengaktifkan dan mengumpulkan log sumber daya grup keamanan jaringan (NSG), log aliran NSG, log Azure Firewall, dan log Web Application Firewall (WAF) untuk analisis keamanan. Log mendukung investigasi insiden, perburuan ancaman, dan pembuatan peringatan keamanan. Anda dapat mengirim log alur ke ruang kerja Analitik Log Azure Monitor dan menggunakan Analitik Lalu Lintas untuk memberikan wawasan.

VPN Gateway mencatat semua lalu lintas jaringan yang diproses untuk akses pelanggan. Aktifkan kemampuan log aliran NSG di gateway VPN yang Anda terapkan.

VPN Gateway tidak menghasilkan atau memproses log kueri DNS.

Tanggung Jawab: Pelanggan

Pemantauan Microsoft Defender untuk Cloud: Tolok Ukur Keamanan Azure adalah inisiatif kebijakan default untuk Microsoft Defender untuk Cloud dan merupakan dasar untuk rekomendasi Microsoft Defender untuk Cloud. Definisi Azure Policy yang terkait dengan kontrol ini diaktifkan secara otomatis oleh Microsoft Defender untuk Cloud. Peringatan yang terkait dengan kontrol ini mungkin memerlukan paket Microsoft Defender untuk layanan terkait.

Definisi bawaan Azure Policy - Microsoft.Network:

Nama
(portal Microsoft Azure)
Deskripsi Efek Versi
(GitHub)
Network Watcher harus diaktifkan Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan ujung ke ujung. Diperlukan untuk memiliki grup sumber daya pengawas jaringan untuk dibuat di setiap wilayah tempat jaringan virtual berada. Pemberitahuan diaktifkan jika grup sumber daya pengawas jaringan tidak tersedia di wilayah tertentu. AuditIfNotExists, Dinonaktifkan 3.0.0

LT-4: Mengaktifkan pengelogan untuk sumber daya Azure

Panduan: Log aktivitas tersedia secara otomatis. Log berisi semua operasi PUT, POST, dan DELETE, tetapi tidak GET, untuk sumber daya VPN Gateway. Anda dapat menggunakan log aktivitas untuk menemukan kesalahan saat memecahkan masalah, atau untuk memantau cara pengguna memodifikasi sumber daya.

Aktifkan log sumber daya Azure untuk VPN Gateway. Anda dapat menggunakan Pertahanan Microsoft untuk Cloud dan Azure Policy untuk mengaktifkan log sumber daya dan pengumpulan data log. Log ini dapat menjadi penting untuk menyelidiki insiden keamanan dan untuk latihan forensik.

Tanggung Jawab: Pelanggan

LT-6: Mengonfigurasi retensi penyimpanan log

Panduan: Untuk akun penyimpanan atau ruang kerja Analitik Log yang menyimpan log VPN Gateway, tetapkan periode penyimpanan log yang memenuhi peraturan kepatuhan organisasi Anda.

Tanggung Jawab: Pelanggan

Manajemen Postur dan Kerentanan

Untuk mengetahui informasi selengkapnya, lihat Tolok Ukur Keamanan Azure: Manajemen Postur dan Kerentanan.

PV-1: Membuat konfigurasi aman untuk layanan Azure

Panduan: Gunakan Azure Blueprints untuk mengotomatiskan penyebaran dan konfigurasi layanan dan lingkungan aplikasi. Definisi cetak biru tunggal dapat menyertakan templat Azure Resource Manager, kontrol RBAC, dan kebijakan.

Anda dapat mengonfigurasi kebijakan kriptografi kustom untuk VPN Gateway dengan menggunakan portal Microsoft Azure, PowerShell, atau Azure CLI.

Tanggung Jawab: Pelanggan

PV-2: Membuat konfigurasi aman secara berkelanjutan untuk layanan Azure

Panduan: Anda dapat mengonfigurasi kebijakan IPsec/IKE kustom untuk VPN Gateway dengan menggunakan portal Microsoft Azure, PowerShell, atau Azure CLI.

Tanggung Jawab: Pelanggan

PV-3: Menetapkan konfigurasi yang aman untuk sumber daya komputasi

Panduan: Gunakan Microsoft Defender untuk Cloud dan Azure Policy untuk membuat konfigurasi yang aman di semua sumber daya komputasi, termasuk VM dan kontainer.

Tanggung Jawab: Pelanggan

PV-6: Melakukan penilaian kerentanan perangkat lunak

Panduan: Tidak berlaku. Microsoft melakukan manajemen kerentanan pada sistem dasar yang mendukung VPN Gateway.

Tanggung jawab: Microsoft

PV-8: Melakukan simulasi serangan rutin

Panduan: Lakukan uji penetrasi atau aktivitas tim merah pada sumber daya Azure Anda sesuai kebutuhan, dan pastikan perbaikan semua temuan keamanan penting.

Ikuti Aturan Keterlibatan Uji Penetrasi Cloud Microsoft untuk memastikan uji penetrasi Anda tidak melanggar kebijakan Microsoft. Ikuti Aturan Keterlibatan Uji Penetrasi Cloud Microsoft untuk memastikan uji penetrasi Anda tidak melanggar kebijakan Microsoft. Gunakan strategi dan eksekusi Red Teaming Microsoft. Lakukan uji penetrasi situs langsung terhadap infrastruktur, layanan, dan aplikasi cloud yang dikelola Microsoft.

Tanggung jawab: Microsoft

Keamanan titik akhir

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Titik Akhir.

ES-2: Gunakan perangkat lunak antimalware modern yang dikelola secara terpusat

Panduan: Lindungi VPN Gateway Anda atau sumber dayanya dengan perangkat lunak antimalware modern yang dikelola secara terpusat.

  • Gunakan solusi antimalware titik akhir yang dikelola secara terpusat yang mampu melakukan pemindaian secara real time dan berkala.

  • Gunakan Antimalware untuk Azure Cloud Services sebagai solusi antimalware default untuk VM Windows.

  • Untuk VM Linux, gunakan solusi antimalware pihak ketiga.

  • Gunakan Deteksi ancaman Microsoft Defender untuk Cloud layanan data guna mendeteksi malware yang diunggah ke akun Azure Storage.

  • Gunakan Microsoft Defender untuk Cloud guna secara otomatis:

    • Mengidentifikasi beberapa solusi antimalware populer untuk VM Anda
    • Melaporkan status perlindungan titik akhir yang sedang berjalan
    • Membuat rekomendasi

Tanggung jawab: Microsoft

ES-3: Pastikan untuk memperbarui perangkat lunak dan tanda tangan antimalware

Panduan: Pastikan untuk memperbarui tanda tangan antimalware dengan cepat dan konsisten.

Ikuti rekomendasi di Microsoft Defender untuk Cloud "Aplikasi & Komputasi" untuk memastikan semua VM dan penampung diperbarui dengan tanda tangan terbaru.

Untuk Windows, Microsoft Antimalware secara otomatis menginstal tanda tangan terbaru dan pembaruan mesin secara default. Untuk Linux, gunakan solusi antimalware pihak ketiga.

Tanggung jawab: Microsoft

Microsoft Azure Backup dan Pemulihan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Microsoft Azure Backup dan Pemulihan.

BR-1: Pastikan untuk menjalankan pencadangan otomatis reguler

Panduan: Tidak berlaku. VPN Gateway tidak mendukung pencadangan data dan tidak memerlukan pencadangan data.

Tanggung jawab: Microsoft

BR-2: Mengenkripsi data cadangan

Panduan: Layanan VPN Gateway menggunakan replikasi data otomatis Azure Storage untuk metadata sistem yang disimpannya. VPN Gateway juga menggunakan fitur enkripsi saat tidak aktif di Azure Storage.

Tanggung jawab: Microsoft

BR-3: Validasi semua cadangan, termasuk kunci yang dikelola pelanggan

Panduan: VPN Gateway menggunakan fitur replikasi Azure Storage.

Tanggung jawab: Microsoft

BR-4: Mengurangi risiko kehilangan kunci

Panduan: Pastikan untuk memiliki langkah-langkah untuk mencegah dan memulihkan dari kehilangan kunci. Aktifkan perlindungan penghapusan sementara dan penghapusan menyeluruh di Azure Key Vault untuk melindungi kunci dari penghapusan yang tidak disengaja atau berbahaya.

VPN Gateway menggunakan fitur replikasi Azure Storage.

Tanggung Jawab: Pelanggan

Langkah berikutnya