Microsoft Entra IDaaS dalam operasi keamanan

Arsitektur ini menunjukkan bagaimana tim pusat operasi keamanan (SOC) dapat menggabungkan kemampuan identitas dan akses Microsoft Entra ke dalam strategi keamanan nol kepercayaan yang terintegrasi dan berlapis secara keseluruhan.

Keamanan jaringan mendominasi operasi SOC ketika semua layanan dan perangkat berada di jaringan terkelola dalam organisasi. Namun, Gartner memperkirakan bahwa hingga tahun 2022, ukuran pasar layanan cloud akan tumbuh hampir tiga kali lipat dari keseluruhan layanan TI. Karena semakin banyak perusahaan yang menggunakan komputasi cloud, ada pergeseran ke arah memperlakukan identitas pengguna sebagai batas keamanan utama.

Mengamankan identitas di cloud adalah prioritas tinggi.

• Laporan investigasi pelanggaran data tahun 2020 Verizon menyatakan bahwa 37% melibatkan penggunaan kredensial yang dicuri, dan 22% pelanggaran data melibatkan phishing.

• Sebuah studi insiden pelanggaran data IBM tahun 2019 melaporkan bahwa biaya global rata-rata pelanggaran data adalah $3,9 juta, dengan biaya rata-rata AS mendekati $8,2 juta.

• Laporan Inteligensi Keamanan Microsoft 2019 melaporkan bahwa serangan phishing meningkat dengan margin 250% antara Januari dan Desember 2018.

Model keamanan zero trust memperlakukan semua host seolah-olah mereka terhubung ke internet, dan menganggap seluruh jaringan berpotensi disusupi dan tidak bersahabat. Pendekatan ini berfokus pada pembangunan autentikasi yang kuat (AuthN), otorisasi, dan enkripsi, sekaligus menyediakan akses kompartemen dan kelincahan operasional yang lebih baik.

Gartner memperkenalkan arsitektur keamanan adaptif yang menggantikan strategi berbasis respons insiden dengan model prevent-detect-respond-predict. Keamanan adaptif menggabungkan kontrol akses, pemantauan perilaku, manajemen penggunaan, dan penemuan melalui pemantauan dan analisis berkelanjutan.

Microsoft Cybersecurity Reference Architecture (MCRA) menjelaskan kemampuan keamanan cyber Microsoft dan bagaimana mereka berintegrasi dengan arsitektur keamanan yang ada, termasuk lingkungan cloud dan hibrid, yang menggunakan ID Microsoft Entra untuk Identity-as-a-Service (IDaaS).

Artikel ini memajukan pendekatan keamanan adaptif nol kepercayaan ke IDaaS, menekankan komponen yang tersedia di platform Microsoft Entra.

Kemungkinan kasus penggunaan

• Merancang solusi keamanan baru
• Meningkatkan atau mengintegrasikan dengan penerapan yang ada
• Mendidik tim SOC

Sistem

Unduh file Visio arsitektur ini.

Alur kerja

1. Manajemen kredensial mengontrol autentikasi.
2. Penyediaan dan pengelolaan pemberian hak menentukan paket akses, menetapkan pengguna ke sumber daya, dan mendorong data untuk pengesahan.
3. Mesin otorisasi mengevaluasi kebijakan akses untuk menentukan akses. Mesin juga mengevaluasi deteksi risiko, termasuk data analisis perilaku pengguna/entitas (UEBA), dan memeriksa kepatuhan perangkat untuk pengelolaan titik akhir.
4. Jika diotorisasi, pengguna atau perangkat memperoleh akses per kebijakan dan kontrol akses bersyarat.
5. Jika otorisasi gagal, pengguna dapat melakukan perbaikan real time untuk membuka blokir mereka sendiri.
6. Semua data sesi dicatat untuk analisis dan pelaporan.
7. Sistem security information and event management (SIEM) tim SOC (security information and event management (SIEM)) menerima semua data log, deteksi risiko, dan UEBA dari identitas cloud dan lokal.

Komponen

Proses dan komponen keamanan berikut berkontribusi pada arsitektur Microsoft Entra IDaaS ini.

Manajemen info masuk yang kuat

Manajemen kredensial mencakup layanan, kebijakan, dan praktik yang mengeluarkan, melacak, dan memperbarui akses ke sumber daya atau layanan. Manajemen kredensial Microsoft Entra mencakup kemampuan berikut:

• Pengaturan ulang kata sandi mandiri (SSPR) memungkinkan pengguna melayani sendiri dan mengatur ulang sandi mereka sendiri yang hilang, terlupakan, atau disusupi. SSPR tidak hanya mengurangi panggilan untuk panggilan teknis, tetapi juga menyediakan fleksibilitas dan keamanan pengguna yang lebih besar.

• Password writeback menyinkronkan sandi yang diubah di cloud dengan direktori lokal secara real time.

• Kata sandi yang dilarang menganalisis data telemetri yang mengekspos kata sandi yang umum digunakan lemah atau disusupi, dan melarang penggunaannya secara global di seluruh ID Microsoft Entra. Anda dapat menyesuaikan fungsi ini untuk lingkungan Anda, dan menyertakan daftar kata sandi kustom yang dilarang dalam organisasi Anda sendiri.

• Penguncian cerdas membandingkan upaya autentikasi yang sah dengan upaya paksa untuk mendapatkan akses yang tidak sah. Di bawah kebijakan penguncian cerdas default, akun akan terkunci selama satu menit jika gagal dalam 10 proses masuk. Karena proses masuk terus gagal, waktu penguncian akun meningkat. Anda dapat menggunakan kebijakan untuk menyesuaikan pengaturan untuk campuran keamanan dan kegunaan yang sesuai untuk organisasi Anda.

• Autentikasi multifaktor (MFA) memerlukan beberapa bentuk autentikasi ketika pengguna mencoba mengakses sumber daya yang dilindungi. Sebagian besar pengguna terbiasa menggunakan sesuatu yang mereka ketahui, seperti kata sandi, ketika mengakses sumber daya. MFA meminta pengguna untuk turut serta menunjukkan sesuatu yang mereka miliki, seperti akses ke perangkat tepercaya, atau sesuatu yang mereka miliki, seperti pengenal biometrik. MFA dapat menggunakan berbagai jenis metode autentikasi seperti panggilan telepon, pesan teks, atau pemberitahuan melalui aplikasi pengautentikasi.

• Autentikasi tanpa kata sandi menggantikan sandi dalam alur kerja autentikasi dengan token pengenal biometrik, atau PIN pada ponsel cerdas atau perangkat keras. Autentikasi tanpa kata sandi Microsoft dapat berfungsi dengan sumber daya Azure seperti Windows Hello untuk Bisnis, dan aplikasi Microsoft Authenticator di perangkat seluler. Anda juga dapat mengaktifkan autentikasi tanpa kata sandi dengan kunci keamanan yang kompatibel dengan FIDO2, yang menggunakan WebAuthn dan protokol Client-to-Authenticator (CTAP) Aliansi FIDO.

Penyediaan dan hak aplikasi

• Pengelolaan pemberian hak adalah fitur tata kelola identitas Microsoft Entra yang memungkinkan organisasi mengelola identitas dan mengakses siklus hidup dalam skala besar. Pengelolaan pemberian hak mengotomatiskan alur kerja permintaan akses, penetapan akses, ulasan, dan kedaluwarsa.

• Provisi Microsoft Entra memungkinkan Anda membuat identitas dan peran pengguna secara otomatis dalam aplikasi yang perlu diakses pengguna. Anda dapat mengonfigurasi provisi Microsoft Entra untuk aplikasi software-as-a-service (SaaS) pihak ketiga seperti SuccessFactors, Workday, dan banyak lagi.

• Akses menyeluruh (SSO) tanpa hambatan secara otomatis mengautentikasi pengguna ke aplikasi berbasis cloud setelah mereka masuk ke perangkat perusahaan mereka. Anda dapat menggunakan SSO Tanpa Hambatan Microsoft Entra dengan sinkronisasi hash kata sandi atau autentikasi pass-through.

• Pengesahan dengan tinjauan akses Microsoft Entra membantu memenuhi persyaratan pemantauan dan audit. Tinjauan akses memungkinkan Anda melakukan hal-hal seperti mengidentifikasi dengan cepat jumlah pengguna admin, memastikan karyawan baru dapat mengakses sumber daya yang dibutuhkan, atau meninjau aktivitas pengguna untuk menentukan apakah mereka masih memerlukan akses.

Kontrol dan kebijakan akses bersyarat

Kebijakan akses bersyarat adalah pernyataan penetapan dan kontrol akses jika-maka. Anda menentukan respons ("lakukan ini") untuk alasan karena memicu kebijakan Anda ("jika ini"), memungkinkan mesin otorisasi untuk membuat keputusan yang menerapkan kebijakan organisasi. Dengan Microsoft Entra Conditional Access, Anda dapat mengontrol cara pengguna yang berwenang mengakses aplikasi Anda. Alat Microsoft Entra ID What If dapat membantu Anda memahami mengapa kebijakan akses bersyarkat diterapkan atau tidak diterapkan, atau jika kebijakan akan berlaku untuk pengguna dalam keadaan tertentu.

Kontrol akses bersyarat bekerja sama dengan kebijakan akses bersyarat untuk membantu menegakkan kebijakan organisasi. Kontrol Microsoft Entra Conditional Access memungkinkan Anda menerapkan keamanan berdasarkan faktor-faktor yang terdeteksi pada saat permintaan akses, bukan satu ukuran yang sesuai dengan semua pendekatan. Dengan menggabungkan kontrol akses bersyarat dengan kondisi akses, Anda mengurangi kebutuhan untuk membuat kontrol keamanan tambahan. Sebagai contoh umum, Anda dapat mengizinkan pengguna di perangkat yang bergabung dengan domain untuk mengakses sumber daya menggunakan SSO, tetapi memerlukan MFA untuk pengguna di luar jaringan atau menggunakan perangkat mereka sendiri.

ID Microsoft Entra dapat menggunakan kontrol akses bersyarah berikut dengan kebijakan akses bersyarah:

• Kontrol akses berbasis peran Azure (RBAC) memungkinkan Anda mengonfigurasi dan menetapkan peran yang sesuai kepada pengguna yang perlu melakukan tugas administratif atau khusus dengan sumber daya Azure. Anda dapat menggunakan Azure RBAC untuk membuat atau memelihara akun khusus admin yang khusus dan terpisah, mencakup akses ke peran yang Anda siapkan, memberikan batas waktu akses, atau memberikan akses melalui alur kerja persetujuan.

• Privileged Identity Management (PIM) membantu mengurangi vektor serangan untuk organisasi Anda dengan memungkinkan Anda menambahkan pemantauan dan perlindungan tambahan ke akun administratif. Dengan Microsoft Entra PIM, Anda dapat mengelola dan mengontrol akses ke sumber daya dalam Azure, ID Microsoft Entra, dan layanan Microsoft 365 lainnya dengan akses just-in-time (JIT) dan administrasi yang cukup (JEA). PIM menyediakan riwayat aktivitas administratif dan log perubahan, dan memberi tahu Anda ketika pengguna ditambahkan atau dihapus dari peran yang Anda tetapkan.

  Anda dapat menggunakan PIM untuk meminta persetujuan atau pembenaran untuk mengaktifkan peran administratif. Pengguna dapat mempertahankan hak istimewa normal hampir sepanjang waktu, dan meminta serta menerima akses ke peran yang mereka butuhkan untuk menyelesaikan tugas khusus atau administratif. Ketika mereka menyelesaikan pekerjaannya dan keluar, atau batas waktu akses mereka berakhir, mereka dapat mengautentikasi ulang dengan izin pengguna standar mereka.

• Aplikasi Microsoft Defender untuk Cloud adalah broker keamanan akses cloud (CASB) yang menganalisis log lalu lintas untuk menemukan dan memantau aplikasi dan layanan yang digunakan di organisasi Anda. Dengan Aplikasi Defender untuk Cloud Apps, Anda dapat:

  • Membuat kebijakan untuk mengelola interaksi dengan aplikasi dan layanan
  • Mengidentifikasi aplikasi sebagai berizin atau tidak berizin
  • Mengontrol dan membatasi akses ke data
  • Menerapkan perlindungan informasi untuk menjaga dari terjadinya kehilangan informasi

  Aplikasi Defender untuk Cloud juga dapat bekerja dengan kebijakan akses dan kebijakan sesi untuk mengontrol akses pengguna ke aplikasi SaaS. Misalnya, Anda dapat:

  • Membatasi rentang IP yang dapat mengakses aplikasi
  • Memerlukan MFA untuk akses aplikasi
  • Hanya izinkan aktivitas dari dalam aplikasi yang disetujui

• Halaman kontrol akses di pusat admin SharePoint menyediakan beberapa cara untuk mengontrol akses ke konten SharePoint dan OneDrive. Anda dapat memilih untuk memblokir akses, mengizinkan akses hanya web yang terbatas dari perangkat tidak terkelola, atau mengontrol akses berdasarkan lokasi jaringan.

• Anda dapat mencakup izin aplikasi ke kotak surat Exchange Online tertentu dengan menggunakan ApplicationAccessPolicy dari API Microsoft Graph.

• Ketentuan Penggunaan (TOU) menyediakan cara untuk menyajikan informasi yang harus disetujui oleh pengguna akhir sebelum mendapatkan akses ke sumber daya yang dilindungi. Anda mengunggah dokumen TOU ke Azure dalam bentuk file PDF, yang kemudian tersedia sebagai kontrol dalam kebijakan akses bersyarat. Dengan membuat kebijakan akses bersyarat yang mengharuskan pengguna untuk menyetujui TOU ketika melakukan proses masuk, Anda dapat dengan mudah mengaudit pengguna yang menerima TOU.

• Manajemen titik akhir mengontrol bagaimana pengguna yang berwenang dapat mengakses aplikasi cloud Anda dari berbagai perangkat, termasuk perangkat seluler dan perangkat pribadi. Anda dapat menggunakan kebijakan akses bersyarat untuk membatasi akses hanya ke perangkat yang memenuhi standar keamanan dan kepatuhan tertentu. Perangkat terkelola ini memerlukan identitas perangkat.

Deteksi risiko

Perlindungan Identitas Azure mencakup beberapa kebijakan yang dapat membantu organisasi Anda mengelola respons terhadap tindakan pengguna yang mencurigakan. Risiko pengguna adalah peluang identitas pengguna disusupi. Risiko masuk adalah peluang permintaan masuk tidak berasal dari pengguna. MICROSOFT Entra ID menghitung skor risiko masuk berdasarkan probabilitas permintaan masuk yang berasal dari pengguna aktual, berdasarkan analitik perilaku.

• Deteksi risiko Microsoft Entra menggunakan algoritma pembelajaran mesin adaptif dan heuristik untuk mendeteksi tindakan mencurigakan yang terkait dengan akun pengguna. Setiap tindakan mencurigakan yang terdeteksi disimpan dalam catatan yang disebut deteksi risiko. MICROSOFT Entra ID menghitung probabilitas risiko pengguna dan masuk menggunakan data ini, ditingkatkan dengan sumber dan sinyal inteligensi ancaman internal dan eksternal Microsoft.

• Anda dapat menggunakan API pendeteksi risiko dari Perlindungan Identitas di Microsoft Graph untuk memaparkan informasi tentang pengguna dan proses masuk yang berisiko.

• Remediasi real time memungkinkan pengguna membuka blokir sendiri dengan menggunakan SSPR dan MFA untuk memulihkan sendiri beberapa deteksi risiko.

Pertimbangan

Ingatlah poin-poin ini saat Anda menggunakan solusi ini.

Pencatatan

Laporan audit Microsoft Entra memberikan keterlacakan untuk aktivitas Azure dengan log audit, log masuk, dan masuk berisiko dan laporan pengguna berisiko. Anda dapat memfilter dan mencari data log berdasarkan beberapa parameter, termasuk layanan, kategori, aktivitas, dan status.

Anda dapat merutekan data log ID Microsoft Entra ke titik akhir seperti:

• Akun Azure Storage
• Log Azure Monitor
• Pusat aktivitas Azure
• Solusi SIEM seperti Microsoft Sentinel, ArcSight, Splunk, SumoLogic, alat SIEM eksternal lain, atau solusi milik Anda sendiri.

Anda juga dapat menggunakan API pelaporan Microsoft Graph untuk mengambil dan menggunakan data log ID Microsoft Entra dalam skrip Anda sendiri.

Pertimbangan lokal dan hibrid

Metode autentikasi adalah kunci untuk mengamankan identitas organisasi Anda dalam skenario hibrid. Microsoft menyediakan panduan khusus tentang memilih metode autentikasi hibrid dengan ID Microsoft Entra.

Microsoft Defender untuk Identitas dapat menggunakan sinyal Active Directory lokal Anda untuk mengidentifikasi, mendeteksi, dan menyelidiki ancaman tingkat lanjut, identitas yang disusupi, dan tindakan orang dalam yang berbahaya. Defender for Identity menggunakan UEBA untuk mengidentifikasi ancaman orang dalam dan risiko bendera. Bahkan jika identitas menjadi disusupi, Defender for Identity dapat membantu mengidentifikasi kompromi berdasarkan perilaku pengguna yang tidak biasa.

Defender for Identity terintegrasi dengan aplikasi Defender untuk Cloud untuk memperluas perlindungan ke aplikasi cloud. Anda dapat menggunakan Aplikasi Defender untuk Cloud untuk membuat kebijakan sesi yang melindungi file Anda ketika diunduh. Misalnya, Anda dapat secara otomatis mengatur izin hanya tampilan pada file apa pun yang diunduh oleh jenis pengguna tertentu.

Anda dapat mengonfigurasi aplikasi lokal di MICROSOFT Entra ID untuk menggunakan aplikasi Defender untuk Cloud untuk pemantauan real time. Pertahanan Microsoft untuk Aplikasi Cloud menggunakan Kontrol Aplikasi Akses Kondisional untuk memantau dan mengontrol sesi secara real-time berdasarkan kebijakan Akses Bersyarat. Anda dapat menerapkan kebijakan ini ke aplikasi lokal yang menggunakan Proksi Aplikasi di ID Microsoft Entra.

Microsoft Entra Proksi Aplikasi memungkinkan pengguna mengakses aplikasi web lokal dari klien jarak jauh. Dengan Proksi Aplikasi, Anda dapat memantau semua aktivitas masuk untuk aplikasi Anda di satu tempat.

Anda dapat menggunakan Defender for Identity dengan Microsoft Entra ID Protection untuk membantu melindungi identitas pengguna yang disinkronkan ke Azure dengan Microsoft Entra Connect.

Jika beberapa aplikasi Anda sudah menggunakan pengontrol pengiriman atau pengontrol jaringan yang ada untuk menyediakan akses di luar jaringan, Anda dapat mengintegrasikannya dengan ID Microsoft Entra. Beberapa mitra termasuk Akamai, Citrix, F5 Networks, dan Zscaler menawarkan solusi dan panduan untuk integrasi dengan Microsoft Entra ID.

Pengoptimalan biaya

Harga Microsoft Entra berkisar dari gratis, untuk fitur seperti SSO dan MFA, hingga Premium P2, untuk fitur seperti PIM dan Pengelolaan Pemberian Hak. Untuk detail harga, lihat Harga Microsoft Entra.

Langkah berikutnya

• Keamanan Zero Trust
• Panduan Penyebaran Zero Trust untuk ID Microsoft Entra
• Ringkasan pilar keamanan
• Penyewa demo Microsoft Entra (memerlukan akun Jaringan Mitra Microsoft), atau uji coba gratis Enterprise Mobility + Security
• Rencana penyebaran Microsoft Entra

Sumber daya terkait

• Arsitektur referensi Azure IoT
• Pertimbangan keamanan untuk aplikasi infrastruktur sebagai layanan (IaaS) yang sangat sensitif di Azure