Pertimbangan keamanan Azure Stack HCI

  • Artikel

Berlaku untuk: Azure Stack HCI, versi 22H2 dan 21H2; Windows Server 2022, Windows Server 2019

Topik ini memberikan pertimbangan dan rekomendasi keamanan terkait sistem operasi Azure Stack HCI:

  • Bagian 1 mencakup alat dan teknologi keamanan dasar untuk menguatkan sistem operasi, serta melindungi data dan identitas agar secara efisien membangun fondasi yang aman bagi organisasi Anda.
  • Bagian 2 mencakup sumber daya yang tersedia melalui Microsoft Defender untuk Cloud. Lihat Microsoft Defender untuk Pengenalan Cloud.
  • Bagian 3 mencakup pertimbangan keamanan yang lebih canggih untuk lebih memperkuat postur keamanan organisasi Anda di bidang ini.

Mengapa pertimbangan keamanan penting?

Keamanan memengaruhi semua orang di organisasi Anda mulai dari manajemen tingkat atas hingga pekerja informasi. Keamanan yang tidak memadai adalah risiko nyata bagi organisasi karena pelanggaran keamanan berpotensi mengganggu semua bisnis normal dan membuat organisasi Anda terhenti. Semakin cepat Anda dapat mendeteksi potensi serangan, semakin cepat Anda dapat mengurangi bahaya pada keamanan.

Setelah meneliti titik lemah lingkungan yang akan dieksploitasi, dalam waktu 24 hingga 48 jam setelah serangan awal, penyerang biasanya dapat meningkatkan izin untuk mengendalikan sistem di jaringan. Langkah-langkah keamanan yang baik menguatkan sistem dalam lingkungan dengan memperpanjang waktu yang dibutuhkan penyerang untuk mengambil kendali dari jam ke minggu atau bahkan berbulan-bulan dengan memblokir gerakan penyerang. Menerapkan rekomendasi keamanan dalam topik ini memosisikan organisasi Anda untuk mendeteksi dan menanggapi serangan tersebut secepat mungkin.

Tahap 1: Bangun fondasi yang aman

Bagian berikut merekomendasikan alat dan teknologi keamanan untuk membangun fondasi yang aman bagi server yang menjalankan sistem operasi Azure Stack HCI di lingkungan Anda.

Menguatkan lingkungan

Bagian ini membahas cara melindungi layanan dan mesin virtual (VM) yang berjalan pada sistem operasi:

  • Perangkat keras bersertifikat Azure Stack HCI menyediakan pengaturan Boot Aman, UEFI, dan TPM yang konsisten di luar kotak. Menggabungkan keamanan berbasis virtualisasi dan perangkat keras bersertifikat membantu melindungi beban kerja yang sensitif terhadap keamanan. Anda juga dapat menghubungkan infrastruktur tepercaya ini ke Microsoft Defender cloud untuk mengaktifkan analitik perilaku dan pelaporan untuk mempertanyakan beban kerja dan ancaman yang berubah dengan cepat.

    • Secure boot adalah standar keamanan yang dikembangkan oleh industri PC untuk membantu memastikan bahwa perangkat hanya menggunakan perangkat lunak yang dipercaya oleh Original Equipment Manufacturer (OEM) saat proses booting. Untuk mempelajari selengkapnya, lihat Secure boot.
    • United Extensible Firmware Interface (UEFI) mengontrol proses booting server dan kemudian meneruskan kontrol ke Windows atau sistem operasi lainnya. Untuk mempelajari selengkapnya, lihat persyaratan firmware UEFI.
    • Teknologi Trusted Platform Module (TPM) menyediakan fungsi berbasis perangkat keras dan terkait keamanan. Chip TPM adalah prosesor kripto aman yang menghasilkan, menyimpan, dan membatasi penggunaan kunci kriptografi. Untuk mempelajari selengkapnya, lihat Gambaran Umum Teknologi Trusted Platform Module.

    Untuk mempelajari selengkapnya tentang penyedia perangkat keras bersertifikat Azure Stack HCI, lihat situs web solusi Azure Stack HCI .

  • Alat Keamanantersedia secara asli di Windows Admin Center untuk kluster server tunggal dan Azure Stack HCI untuk mempermudah manajemen dan kontrol keamanan. Alat ini memusatkan beberapa pengaturan keamanan utama untuk server dan kluster, termasuk kemampuan untuk melihat status sistem Secured-core.

    Untuk mempelajari selengkapnya, lihat Server Secured-core.

  • Device Guard dan Credential Guard. Device Guard melindungi pengguna dari malware tanpa tanda tangan yang diketahui, kode yang tidak ditandatangani, dan malware yang mendapatkan akses ke kernel untuk menangkap informasi sensitif atau merusak sistem. Windows Defender Credential Guard menggunakan keamanan berbasis virtualisasi untuk mengisolasi rahasia sehingga hanya perangkat lunak sistem dengan hak istimewa yang dapat mengaksesnya.

    Untuk mempelajari selengkapnya, lihat Mengelola Windows Defender Credential Guard dan mengunduh alat kesiapan perangkat keras Device Guard dan Credential Guard.

  • Pembaruan Windows dan firmware sangat penting pada kluster, server (termasuk VM tamu), dan PC untuk membantu memastikan bahwa sistem operasi dan perangkat keras sistem terlindungi dari penyerang. Anda dapat menggunakan alat Pembaruan Windows Admin Center untuk menerapkan pembaruan ke masing-masing sistem. Jika penyedia perangkat keras Anda menyertakan dukungan Windows Admin Center untuk mendapatkan pembaruan driver, firmware, dan solusi, Anda bisa mendapatkan pembaruan ini secara bersamaan dengan pembaruan Windows; jika tidak, dapatkan langsung dari vendor Anda.

    Untuk mempelajari selengkapnya, lihat Memperbarui kluster.

    Untuk mengelola pembaruan pada beberapa kluster dan server sekaligus, pertimbangkan untuk berlangganan layanan opsional Azure Update Management, yang terintegrasi dengan Windows Admin Center. Untuk informasi selengkapnya, lihat Manajemen Pembaruan Azure menggunakan Windows Admin Center.

Melindungi data

Bagian ini membahas cara menggunakan Windows Admin Center untuk melindungi data dan beban kerja pada sistem operasi:

  • BitLocker untuk Storage Spaces melindungi data tidak aktif. Anda dapat menggunakan BitLocker untuk mengenkripsi konten volume data Storage Spaces pada sistem operasi. Menggunakan BitLocker untuk melindungi data dapat membantu organisasi tetap mematuhi standar pemerintah, regional, dan khusus industri seperti FIPS 140-2 dan HIPAA.

    Untuk mempelajari selengkapnya tentang menggunakan BitLocker di Windows Admin Center, lihat Mengaktifkan enkripsi volume, deduplikasi, dan pemadatan

  • Enkripsi SMB untuk jaringan Windows melindungi data dalam perjalanan. Server Message Block (SMB) adalah protokol berbagi file jaringan yang memungkinkan aplikasi di komputer membaca dan menulis ke file dan untuk meminta layanan dari program server pada jaringan komputer.

    Untuk mengaktifkan enkripsi SMB, lihat peningkatan keamanan SMB.

  • Pertahanan Windows Antivirus melindungi sistem operasi pada klien dan server dari virus, malware, spyware, dan ancaman lainnya. Untuk mempelajari selengkapnya, lihat antivirus Microsoft Defender di Windows Server.

Melindungi identitas

Bagian ini membahas cara menggunakan Windows Admin Center untuk melindungi identitas dengan hak istimewa:

  • Kontrol akses dapat meningkatkan keamanan lanskap manajemen Anda. Jika Anda menggunakan server Windows Admin Center (vs. operasi pada PC Windows 10), Anda dapat mengontrol dua tingkat akses ke Windows Admin Center itu sendiri: pengguna gateway dan administrator gateway. Opsi penyedia identitas administrator gateway meliputi:

    • Active Directory atau grup komputer lokal untuk menerapkan autentikasi kartu pintar.
    • Microsoft Entra ID untuk menerapkan akses bersyarkat dan autentikasi multifaktor.

    Untuk mempelajari selengkapnya, lihat Opsi akses pengguna dengan Windows Admin Center dan Konfigurasikan Kontrol dan Izin Akses Pengguna.

  • Lalu lintas browser ke Windows Admin Center menggunakan HTTPS. Lalu lintas dari Windows Admin Center ke server yang dikelola menggunakan PowerShell dan Windows Management Instrumentation (WMI) standar selama Windows Remote Management (WinRM). Windows Admin Center mendukung Solusi Kata Sandi Administrator Lokal (LAPS), delegasi yang dibatasi berbasis sumber daya, kontrol akses gateway menggunakan Direktori Aktif (AD) atau ID Microsoft Entra, dan kontrol akses berbasis peran (RBAC) untuk mengelola gateway Windows Admin Center.

    Windows Admin Center mendukung Microsoft Edge (Windows 10, versi 1709 atau lebih baru), Google Chrome, dan Microsoft Edge Insider di Windows 10. Anda dapat menginstal Windows Admin Center di PC Windows 10 atau server Windows.

    Jika Anda menginstal Windows Admin Center di server, Windows Admin Center berjalan sebagai gateway, tanpa UI di server host. Dalam skenario ini, administrator dapat masuk ke server melalui sesi HTTPS, yang diamankan oleh sertifikat keamanan yang ditandatangani sendiri pada host. Namun, lebih baik menggunakan sertifikat SSL yang sesuai dari otoritas sertifikat tepercaya untuk proses masuk karena browser yang didukung memperlakukan koneksi yang ditandatangani sendiri sebagai tidak aman, bahkan jika koneksi ke alamat IP lokal melalui VPN tepercaya.

    Untuk mempelajari selengkapnya tentang opsi penginstalan untuk organisasi Anda, lihat Jenis penginstalan apa yang tepat untuk Anda?.

  • CredSSP adalah penyedia autentikasi yang digunakan oleh Windows Admin Center dalam beberapa kasus untuk meneruskan kredensial ke mesin di luar server tertentu yang Anda targetkan untuk dikelola. Windows Admin Center saat ini memerlukan CredSSP untuk:

    • Membuat kluster baru.
    • Mengakses alat Pembaruan dan menggunakan pengklusteran Failover atau fitur Pembaruan Cluster-Aware.
    • Mengelola penyimpanan SMB yang dipisahkan di VM.

    Untuk mempelajari selengkapnya, lihat Apakah Windows Admin Center menggunakan CredSSP?

  • Alat keamanan di Windows Admin Center yang dapat Anda gunakan untuk mengelola dan melindungi identitas, meliputi Active Directory, Sertifikat, Firewall, Pengguna dan Grup Lokal, dan banyak lagi.

    Untuk mempelajari selengkapnya, lihat Mengelola Server dengan Windows Admin Center.

Bagian 2: Gunakan Microsoft Defender untuk Cloud (MDC)

Microsoft Defender for Cloud adalah sistem manajemen keamanan infrastruktur terpadu yang memperkuat postur keamanan pusat data Anda dan memberikan perlindungan ancaman tingkat lanjut di seluruh beban kerja hibrid Anda di cloud dan lokal. Defender for Cloud memberi Anda alat untuk menilai status keamanan jaringan Anda, melindungi beban kerja, meningkatkan pemberitahuan keamanan, dan mengikuti rekomendasi khusus untuk memulihkan serangan dan mengatasi ancaman di masa mendatang. Defender for Cloud melakukan semua layanan ini dengan kecepatan tinggi di cloud tanpa overhead penyebaran melalui provisi dan perlindungan otomatis dengan layanan Azure.

Defender for Cloud melindungi VM untuk server Windows dan server Linux dengan menginstal agen Analitik Log pada sumber daya ini. Azure menghubungkan peristiwa yang dikumpulkan agen menjadi rekomendasi (tugas penguatan) yang Anda lakukan untuk membuat beban kerja Anda aman. Tugas penguatan berdasarkan praktik terbaik keamanan termasuk mengelola dan menegakkan kebijakan keamanan. Anda kemudian dapat melacak hasilnya dan mengelola kepatuhan dan tata kelola dari waktu ke waktu melalui pemantauan Defender for Cloud sambil mengurangi permukaan serangan di semua sumber daya Anda.

Mengelola siapa yang dapat mengakses sumber daya dan langganan Azure Anda adalah bagian penting dari strategi tata kelola Azure Anda. Azure RBAC adalah metode utama untuk mengelola akses di Azure. Untuk mempelajari selengkapnya, lihat Mengelola akses ke lingkungan Azure Anda dengan kontrol akses berbasis peran.

Bekerja dengan Defender for Cloud melalui Windows Admin Center memerlukan langganan Azure. Untuk memulai, lihat Melindungi Sumber Daya Windows Admin Center dengan Microsoft Defender untuk Cloud. Untuk memulai, lihat Merencanakan Penyebaran Pertahanan untuk Server Anda. Untuk lisensi Defender untuk Server (paket server), lihat Memilih Paket Defender untuk Server.

Setelah mendaftar, akses MDC di Windows Admin Center: Pada halaman Semua Koneksi, pilih server atau VM, di bawah Alat, pilih Microsoft Defender untuk Cloud, lalu pilih Masuk ke Azure.

Untuk informasi selengkapnya, lihat Apa itu Microsoft Defender untuk Cloud?.

Bagian 3: Tambahkan keamanan tingkat lanjut

Bagian berikut merekomendasikan alat dan teknologi keamanan canggih untuk lebih menguatkan server yang menjalankan sistem operasi Azure Stack HCI di lingkungan Anda.

Menguatkan lingkungan

  • Garis besar keamanan Microsoft didasarkan pada rekomendasi keamanan dari Microsoft yang diperoleh melalui kemitraan dengan organisasi komersial dan pemerintah AS, seperti Departemen Pertahanan. Garis besar keamanan mencakup pengaturan keamanan yang direkomendasikan untuk Windows Firewall, Windows Defender, dan banyak lainnya.

    Garis besar keamanan disediakan sebagai cadangan Kebijakan Grup Object (GPO) yang dapat Anda impor ke Active Directory Domain Services (AD DS) lalu disebarkan ke server yang bergabung dengan domain untuk memperkuat lingkungan. Anda juga dapat menggunakan alat Skrip Lokal untuk mengonfigurasi server mandiri (non-domain-joined) dengan garis besar keamanan. Untuk mulai menggunakan garis besar keamanan, unduh Microsoft Security Compliance Toolkit 1.0.

    Untuk mempelajari selengkapnya, lihat Garis Besar Keamanan Microsoft.

Melindungi data

  • Penguatan lingkungan Hyper-V membutuhkan penguatan Windows Server yang berjalan pada VM seperti saat Anda akan menguatkan sistem operasi yang berjalan pada server fisik. Karena lingkungan virtual biasanya memiliki beberapa VM yang berbagi host fisik yang sama, sangat penting untuk melindungi host fisik dan VM yang berjalan. Penyerang yang membahayakan host dapat memengaruhi beberapa VM dengan dampak yang lebih besar pada beban kerja dan layanan. Bagian ini membahas metode-metode berikut yang dapat Anda gunakan untuk menguatkan Server Windows di lingkungan Hyper-V:

    • Virtual Trusted Platform Module (vTPM) di Windows Server mendukung TPM untuk VM, yang memungkinkan Anda menggunakan teknologi keamanan canggih, seperti BitLocker di VM. Anda dapat mengaktifkan dukungan TPM pada VM Hyper-V Generasi 2 apa pun dengan menggunakan Hyper-V Manager atau Enable-VMTPM cmdlet Windows PowerShell.

      Catatan

      Mengaktifkan vTPM akan berdampak pada mobilitas VM: tindakan manual akan diperlukan untuk memungkinkan VM memulai pada Host yang berbeda dari yang Anda aktifkan vTPM awalnya.

      Untuk mempelajari selengkapnya, lihat Aktifkan-VMTPM.

    • Software Defined Networking (SDN) di Azure Stack HCI dan Windows Server secara terpusat melakukan konfigurasi dan mengelola perangkat jaringan virtual seperti penyeimbang beban perangkat lunak, firewall pusat data, gateway, dan sakelar virtual pada infrastruktur Anda. Elemen jaringan virtual, seperti Hyper-V Virtual Switch, Hyper-V Network Virtualization, dan RAS Gateway dirancang untuk menjadi elemen integral dari infrastruktur SDN Anda.

      Untuk mempelajari selengkapnya, lihat Software Defined Networking (SDN).

      Catatan

      VM terlindungi yang dilindungi oleh Host Guardian Service tidak didukung di Azure Stack HCI.

Melindungi identitas

  • Local Administrator Password Solution (LAPS) adalah mekanisme ringan untuk sistem gabungan domain Active Directory yang secara berkala menetapkan kata sandi akun admin lokal masing-masing komputer menjadi nilai acak dan unik yang baru. Kata sandi disimpan dalam atribut rahasia yang aman pada objek komputer yang sesuai di Active Directory, dan di sini hanya pengguna yang berwenang khusus yang dapat mengambilnya. LAPS menggunakan akun lokal untuk manajemen komputer jarak jauh ditambah dengan beberapa keuntungan dibandingkan menggunakan akun domain. Untuk mempelajari selengkapnya, lihat Penggunaan Akun Lokal Jarak Jauh: LAPS Mengubah Segalanya.

    Untuk mulai menggunakan LAPS, unduh Solusi Kata Sandi Administrator Lokal (LAPS).

  • Microsoft Advanced Threat Analytics (ATA) adalah produk lokal yang dapat Anda gunakan untuk membantu mendeteksi penyerang yang mencoba membahayakan identitas dengan hak istimewa. ATA mengurai lalu lintas jaringan untuk autentikasi, otorisasi, dan protokol pengumpulan informasi, seperti Kerberos dan DNS. ATA menggunakan data untuk membangun profil perilaku pengguna dan entitas lain di jaringan untuk mendeteksi anomali dan pola serangan yang diketahui.

    Untuk mempelajari selengkapnya, lihat Apa itu Analitik Ancaman Tingkat Lanjut?

  • Windows Defender Remote Credential Guard melindungi informasi masuk melalui koneksi Desktop Jauh dengan mengalihkan permintaan Kerberos kembali ke perangkat yang meminta koneksi. Ini juga menyediakan akses menyeluruh (SSO) untuk sesi Desktop Jauh. Selama sesi Desktop Jauh, jika perangkat target disusupi, informasi masuk Anda tidak akan diekspos karena informasi masuk dan turunan informasi masuk tidak pernah diteruskan melalui jaringan ke perangkat target.

    Untuk mempelajari selengkapnya, lihat Mengelola Windows Defender Credential Guard.

  • Microsoft Defender untuk Identitas membantu Anda melindungi identitas istimewa dengan memantau perilaku dan aktivitas pengguna, mengurangi permukaan serangan, melindungi Layanan Federal Direktori Aktif (AD FS) di lingkungan hibrid, dan mengidentifikasi aktivitas mencurigakan dan serangan lanjutan di seluruh rantai pembunuhan serangan cyber.

    Untuk mempelajari selengkapnya, lihat Apa itu Microsoft Defender untuk Identitas?.

Langkah berikutnya

Untuk informasi selengkapnya tentang keamanan dan kepatuhan terhadap peraturan, lihat: