Kontrol Keamanan V2: Akses Istimewa

Catatan

Tolok Ukur Keamanan Azure terbaru tersedia di sini.

Akses Istimewa mencakup kontrol untuk melindungi akses istimewa ke penyewa dan sumber daya Azure Anda. Hal ini mencakup serangkaian kontrol untuk melindungi model administratif, akun administratif, dan stasiun kerja akses istimewa Anda dari risiko yang disengaja dan tidak disengaja.

Untuk melihat Azure Policy bawaan yang berlaku, lihat Detail inisiatif bawaan Kepatuhan Peraturan Benchmark Keamanan Azure: Akses Istimewa

PA-1: Lindungi dan batasi pengguna yang sangat istimewa

Azure ID	CIS Controls v7.1 ID(s)	NIST SP 800-53 r4 ID(s)
PA-1	4.3, 4.8	AC-2

Batasi jumlah akun pengguna yang sangat istimewa, dan lindungi akun ini pada tingkat yang lebih tinggi. Peran bawaan yang paling penting di Azure Active Directory adalah Administrator Global dan Administrator Peran Istimewa, karena pengguna yang ditetapkan ke dua peran ini dapat mendelegasikan peran administrator. Dengan hak istimewa ini, pengguna dapat secara langsung atau tidak langsung membaca dan memodifikasi setiap sumber daya di lingkungan Azure Anda:

• Administrator Global: Pengguna dengan peran ini memiliki akses ke semua fitur administratif di Azure Active Directory, serta layanan yang menggunakan identitas Azure Active Directory.

• Administrator Peran Istimewa: Pengguna dengan peran ini dapat mengelola penetapan peran di Azure Active Directory, serta dalam Azure Active Directory Privileged Identity Management (PIM). Selain itu, peran ini memungkinkan pengelolaan semua aspek PIM dan unit administrasi.

Catatan: Anda mungkin memiliki peran penting lainnya yang perlu diatur jika Anda menggunakan peran khusus dengan izin istimewa tertentu yang ditetapkan. Dan Anda mungkin juga ingin menerapkan kontrol serupa ke akun administrator aset bisnis penting.

Anda dapat mengaktifkan akses istimewa just-in-time (JIT) ke sumber daya Azure dan Azure Active Directory menggunakan Azure Active Directory Privileged Identity Management (PIM). JIT memberikan izin sementara untuk melakukan tugas-tugas istimewa hanya ketika pengguna membutuhkannya. PIM juga dapat menghasilkan pemberitahuan keamanan ketika ada aktivitas yang mencurigakan atau tidak aman di organisasi Microsoft Azure AD Anda.

• Izin peran administrator di Microsoft Azure Active Directory

• Menggunakan pemberitahuan keamanan Azure Privileged Identity Management

• Mengamankan akses istimewa untuk penyebaran hibrid dan cloud di Azure Active Directory

Tanggung Jawab: Pelanggan

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

• Identitas dan manajemen kunci

• Arsitektur keamanan

• Manajemen Kepatuhan Keamanan

• Operasi Keamanan

PA-2: Batasi akses administratif ke sistem bisnis penting

Azure ID	CIS Controls v7.1 ID(s)	NIST SP 800-53 r4 ID(s)
PA-2	13.2, 2.10	AC-2, SC-3, SC-7

Pisahkan akses ke sistem penting bisnis dengan membatasi akun mana yang diberi akses istimewa ke langganan dan grup manajemen tempat mereka berada. Pastikan Anda juga membatasi akses ke manajemen, identitas, dan sistem keamanan yang memiliki akses administratif ke aset penting bisnis Anda, seperti Pengendali Domain Direktori Aktif (DC), alat keamanan, dan alat manajemen sistem dengan agen yang diinstal pada sistem penting bisnis. Penyerang yang mengkompromikan sistem manajemen dan keamanan ini dapat segera mempersenjatai mereka untuk membahayakan aset penting bisnis.

Semua jenis kontrol akses harus diselaraskan dengan strategi segmentasi perusahaan Anda untuk memastikan kontrol akses yang konsisten.

Pastikan untuk menetapkan akun istimewa terpisah yang berbeda dari akun pengguna standar yang digunakan untuk tugas surel, penelusuran, dan produktivitas.

• Model Komponen dan Referensi Azure

• Akses Grup Manajemen

• Administrator langganan Azure

Tanggung Jawab: Pelanggan

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

• Identitas dan manajemen kunci

• Manajemen Kepatuhan Keamanan

• Arsitektur keamanan

PA-3: Tinjau dan rekonsiliasi akses pengguna secara teratur

Azure ID	CIS Controls v7.1 ID(s)	NIST SP 800-53 r4 ID(s)
PA-3	4.1, 16.9, 16.10	AC-2

Tinjau akun pengguna dan penetapan akses secara teratur untuk memastikan akun dan tingkat aksesnya valid. Anda dapat menggunakan tinjauan akses Azure Active Directory untuk meninjau keanggotaan grup, akses ke aplikasi perusahaan, dan penetapan peran. Pelaporan Azure Active Directory dapat menyediakan log untuk membantu menemukan akun basi. Anda juga dapat menggunakan Azure Active Directory Privileged Identity Management untuk membuat alur kerja laporan tinjauan akses yang memfasilitasi proses peninjauan. Selain itu, Azure Privileged Identity Management dapat dikonfigurasi untuk memberi tahu saat jumlah akun administrator yang dibuat berlebihan, dan untuk mengidentifikasi akun administrator yang basi atau tidak dikonfigurasi dengan benar.

Catatan: Beberapa layanan Azure mendukung pengguna dan peran lokal yang tidak dikelola melalui Azure Active Directory. Anda harus mengelola pengguna ini secara terpisah.

• Buat tinjauan akses peran sumber daya Azure di Privileged Identity Management(PIM)

• Cara menggunakan identitas Azure Active Directory dan mengakses ulasan

Tanggung Jawab: Pelanggan

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

• Identitas dan manajemen kunci

• Keamanan aplikasi dan DevSecOps

• Manajemen Kepatuhan Keamanan

PA-4: Siapkan akses darurat di Azure Active Directory

Azure ID	CIS Controls v7.1 ID(s)	NIST SP 800-53 r4 ID(s)
PA-4	16	AC-2, CP-2

Untuk mencegah terkunci secara tidak sengaja dari organisasi Azure Active Directory Anda, siapkan akun akses darurat untuk akses saat akun administratif normal tidak dapat digunakan. Akun akses darurat biasanya sangat diistimewakan, dan tidak boleh diberikan kepada individu tertentu. Akun akses darurat terbatas pada skenario darurat atau "pecahan kaca" di mana akun administratif normal tidak dapat digunakan. Anda harus memastikan bahwa kredensial (seperti kata sandi, sertifikat, atau kartu pintar) untuk akun akses darurat tetap aman dan hanya diketahui oleh individu yang berwenang untuk menggunakannya hanya dalam keadaan darurat.

• Mengelola akun akses darurat di Azure Active Directory

Tanggung Jawab: Pelanggan

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

• Identitas dan manajemen kunci

• Keamanan aplikasi dan DevSecOps

• Manajemen Kepatuhan Keamanan

• Operasi Keamanan (SecOps)

PA-5: Mengotomatiskan pengelolaan pemberian hak

Azure ID	CIS Controls v7.1 ID(s)	NIST SP 800-53 r4 ID(s)
PA-5	16	AC-2, AC-5, PM-10

Gunakan fitur pengelolaan pemberian hak Azure Active Directory untuk mengotomatiskan alur kerja permintaan akses, termasuk penetapan akses, tinjauan, dan kedaluwarsa. Persetujuan ganda atau multi-tahap juga didukung.

• Apa itu tinjauan akses Azure Active Directory

• Apa itu pengelolaan pemberian hak Azure Active Directory

Tanggung Jawab: Pelanggan

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

• Identitas dan manajemen kunci

• Keamanan aplikasi dan DevSecOps

• Manajemen Kepatuhan Keamanan

PA-6: Gunakan workstation akses istimewa privilege

Azure ID	CIS Controls v7.1 ID(s)	NIST SP 800-53 r4 ID(s)
PA-6	4.6, 11.6, 12.12	AC-2, SC-3, SC-7

Workstation yang aman dan terisolasi sangat penting untuk keamanan peran sensitif seperti administrator, pengembang, dan operator layanan penting. Gunakan workstation pengguna yang sangat aman dan/atau Azure Bastion untuk tugas administratif. Gunakan Azure Active Directory, Pertahanan Microsoft untuk Identitas, dan/atau Microsoft Intune untuk menyebarkan stasiun kerja pengguna yang aman dan terkelola untuk tugas administratif. Workstation yang diamankan dapat dikelola secara terpusat untuk menegakkan konfigurasi yang aman, termasuk autentikasi yang kuat, dasar perangkat lunak dan perangkat keras, dan akses logika dan jaringan yang dibatasi.

• Memahami stasiun kerja akses istimewa

Tanggung Jawab: Pelanggan

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

• Keamanan aplikasi dan DevSecOps

• Operasi Keamanan (SecOps)

• Identitas dan manajemen kunci

PA-7: Ikuti administrasi secukupnya (prinsip hak istimewa terkecil)

Azure ID	CIS Controls v7.1 ID(s)	NIST SP 800-53 r4 ID(s)
PA-7	14.6	AC-2, AC-3, SC-3

Kontrol akses berbasis peran Azure (Azure RBAC) memungkinkan Anda mengelola akses sumber daya Azure melalui penetapan peran. Anda dapat menetapkan peran ini kepada pengguna, prinsipal layanan grup, dan identitas terkelola. Ada peran bawaan yang telah ditentukan sebelumnya untuk sumber daya tertentu, dan peran ini dapat diinventarisasi atau ditanyakan melalui alat seperti Azure CLI, Azure PowerShell, dan portal Microsoft Azure. Hak istimewa yang Anda tetapkan ke sumber daya melalui Azure RBAC harus selalu dibatasi pada apa yang diperlukan oleh peran. Hak istimewa terbatas melengkapi pendekatan just in time (JIT) Azure Active Directory Privileged Identity Management (PIM), dan hak istimewa tersebut harus ditinjau secara berkala.

Gunakan peran bawaan untuk mengalokasikan izin dan hanya membuat peran khusus jika diperlukan.

• Apa itu kontrol akses berbasis peran Azure (Azure RBAC)

• Cara mengonfigurasi Azure RBAC

• Cara menggunakan identitas Azure Active Directory dan mengakses ulasan

Tanggung Jawab: Pelanggan

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

• Keamanan aplikasi dan DevSecOps

• Manajemen Kepatuhan Keamanan

• Manajemen postur

• Identitas dan manajemen kunci

PA-8: Pilih proses persetujuan untuk dukungan Microsoft

Azure ID	CIS Controls v7.1 ID(s)	NIST SP 800-53 r4 ID(s)
PA-8	16	AC-2, AC-3, AC-4

Dalam skenario dukungan di mana Microsoft perlu mengakses data pelanggan, Customer Lockbox menyediakan kemampuan bagi Anda untuk secara eksplisit meninjau dan menyetujui atau menolak setiap permintaan akses data pelanggan.

• Memahami Customer Lockbox

Tanggung Jawab: Pelanggan

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

• Keamanan aplikasi dan DevSecOps

• Manajemen Kepatuhan Keamanan

• Identitas dan manajemen kunci