Ide solusi
Artikel ini menjelaskan ide solusi. Arsitek cloud Anda dapat menggunakan panduan ini untuk membantu memvisualisasikan komponen utama untuk implementasi umum arsitektur ini. Gunakan artikel ini sebagai titik awal untuk merancang solusi yang dirancang dengan baik yang selaras dengan persyaratan spesifik beban kerja Anda.
Artikel ini menjelaskan cara mendiagnosis lingkungan TI penting organisasi Anda dan mengembangkan peta ancaman. Diagram ini dapat membantu Anda merencanakan dan membangun lapisan keamanan defensif Anda. Memahami lingkungan TI Anda dan bagaimana dirancang sangat penting untuk menentukan layanan keamanan yang diperlukan lingkungan untuk tingkat perlindungan yang diperlukan.
Sistem komputer berisi informasi yang berharga bagi organisasi yang memproduksinya—dan untuk aktor jahat. Aktor jahat dapat menjadi individu atau sekelompok orang yang melakukan tindakan jahat terhadap seseorang atau organisasi. Upaya mereka dapat membahayakan komputer, perangkat, sistem, dan jaringan perusahaan. Tujuan mereka adalah untuk membahayakan atau mencuri informasi berharga dengan menggunakan ancaman seperti malware atau serangan brute force.
Dalam artikel ini, kami melihat cara untuk memetakan ancaman terhadap lingkungan TI Anda sehingga Anda dapat merencanakan cara menggunakan layanan keamanan Microsoft untuk menerapkan strategi keamanan Anda. Ini adalah artikel kedua dalam serangkaian lima artikel yang diperkenalkan dalam Menggunakan pemantauan Azure untuk mengintegrasikan komponen keamanan.
Kabar baiknya adalah Anda tidak perlu membuat peta ancaman dari awal. Matriks MITRE ATT&CK adalah solusi yang bagus untuk membantu Anda mengembangkan peta ancaman. MITRE ATT&CK adalah database pengetahuan global yang memetakan ancaman yang didasarkan pada taktik dan teknik yang diamati di dunia nyata. MITRE Corporation membuat katalog setiap ancaman yang tersedia dan menemukan banyak detail tentang cara kerja ancaman tersebut dan bagaimana Anda dapat mempertahankannya. Ini adalah layanan publik yang dapat Anda akses secara online di MITRE ATT&CK®.
Artikel ini menggunakan subset ancaman tersebut untuk menyajikan contoh bagaimana Anda dapat memetakan ancaman terhadap lingkungan TI Anda.
Kemungkinan kasus penggunaan
Beberapa ancaman tersebar luas terlepas dari segmen industri, seperti ransomware, serangan DDoS, scripting lintas situs, injeksi SQL, dan sebagainya. Namun, beberapa organisasi memiliki kekhawatiran tentang jenis ancaman tertentu yang khusus untuk industri mereka atau yang merupakan dasar serangan cyber yang telah mereka alami. Diagram yang disajikan dalam artikel ini dapat membantu Anda memetakan ancaman tersebut untuk organisasi Anda sesuai dengan area yang kemungkinan diserang oleh aktor jahat. Mengembangkan peta ancaman membantu Anda merencanakan lapisan pertahanan yang diperlukan untuk memiliki lingkungan yang lebih aman.
Anda dapat menggunakan diagram ini dengan kombinasi serangan yang berbeda untuk memahami cara menghindari dan mengurangi serangan tersebut. Anda tidak perlu menggunakan kerangka kerja MITRE ATT&CK. Kerangka kerja hanyalah contoh. Microsoft Sentinel, dan layanan keamanan Microsoft lainnya, telah bekerja sama dengan MITRE untuk memberikan informasi berwawasan tentang ancaman.
Beberapa organisasi menggunakan Cyber Kill Chain®, metodologi dari Lockheed Martin, untuk memetakan dan memahami bagaimana serangan atau serangkaian serangan dilakukan terhadap lingkungan TI. Cyber Kill Chain mengatur ancaman dan serangan dengan mempertimbangkan lebih sedikit taktik dan teknik daripada kerangka kerja MITRE ATT&CK. Namun, itu efektif dalam membantu Anda memahami ancaman dan bagaimana mereka dapat dieksekusi. Untuk informasi selengkapnya tentang metodologi ini, lihat Cyber Kill Chain.
Sistem
Unduh file Visio arsitektur ini.
©2021 Mitre Corporation. Pekerjaan ini direprodisi dan didistribusikan dengan izin Dari Mitre Corporation.
Untuk lingkungan IT organisasi, kami menentukan komponen hanya untuk Azure dan Microsoft 365. Lingkungan TI spesifik Anda mungkin mencakup perangkat, appliance, dan teknologi dari penyedia teknologi yang berbeda.
Untuk lingkungan Azure, diagram memperlihatkan komponen yang tercantum dalam tabel berikut.
| Label | Dokumentasi |
|---|---|
| VNET | Apa itu Azure Virtual Network? |
| LBS | Apa yang dimaksud dengan Azure Load Balancer? |
| PIPS | Alamat IP publik |
| SERVER | Virtual Machines |
| K8S | Azure Kubernetes Service |
| VDI | Apa itu Azure Virtual Desktop? |
| WEB APPS | Gambaran umum Layanan Aplikasi |
| AZURE STORAGE | Pengenalan Azure Storage |
| DB | Apa itu Azure SQL Database? |
| Microsoft Entra ID | Apa itu ID Microsoft Entra? |
Diagram mewakili Microsoft 365 melalui komponen yang tercantum dalam tabel berikut.
| Label | Deskripsi | Dokumentasi |
|---|---|---|
| OFFICE 365 | Layanan Microsoft 365 (sebelumnya Office 365). Aplikasi yang disediakan Microsoft 365 bergantung pada jenis lisensi. | Microsoft 365 - Langganan untuk Aplikasi Office |
| Microsoft Entra ID | ID Microsoft Entra, yang sama yang digunakan oleh Azure. Banyak perusahaan menggunakan layanan Microsoft Entra yang sama untuk Azure dan Microsoft 365. | Apa itu ID Microsoft Entra? |
Alur kerja
Untuk membantu Anda memahami bagian mana dari lingkungan TI yang kemungkinan akan diserang ancaman tersebut, diagram arsitektur dalam artikel ini didasarkan pada lingkungan TI umum untuk organisasi yang memiliki sistem lokal, langganan Microsoft 365, dan langganan Azure. Sumber daya di masing-masing lapisan ini adalah layanan yang umum bagi banyak perusahaan. Mereka diklasifikasikan dalam diagram sesuai dengan pilar Microsoft Zero Trust: jaringan, infrastruktur, titik akhir, aplikasi, data, dan identitas. Untuk informasi selengkapnya tentang Zero Trust, lihat Merangkul keamanan proaktif dengan Zero Trust.
Diagram arsitektur mencakup lapisan berikut:
Lokal
Diagram ini mencakup beberapa layanan penting seperti server (VM), peralatan jaringan, dan DNS. Ini termasuk aplikasi umum yang ditemukan di sebagian besar lingkungan TI dan berjalan pada komputer virtual atau server fisik. Ini juga mencakup berbagai jenis database, baik SQL maupun non-SQL. Organisasi biasanya memiliki server file yang berbagi file di seluruh perusahaan. Terakhir, Active Directory Domain Service, komponen infrastruktur yang tersebar luas, menangani kredensial pengguna. Diagram mencakup semua komponen ini di lingkungan lokal.
Lingkungan Office 365
Contoh lingkungan ini berisi aplikasi office tradisional, seperti Word, Excel, PowerPoint, Outlook, dan OneNote. Bergantung pada jenis lisensi, mungkin juga menyertakan aplikasi lain, seperti OneDrive, Exchange, Sharepoint, dan Teams. Dalam diagram, ini diwakili oleh ikon untuk aplikasi Microsoft 365 (sebelumnya Office 365) dan ikon untuk ID Microsoft Entra. Pengguna harus diautentikasi untuk mendapatkan akses ke aplikasi Microsoft 365, dan ID Microsoft Entra bertindak sebagai penyedia identitas. Microsoft 365 mengautentikasi pengguna terhadap jenis ID Microsoft Entra yang sama dengan yang digunakan Azure. Di sebagian besar organisasi, penyewa ID Microsoft Entra sama untuk Azure dan Microsoft 365.
Lingkungan Azure
Lapisan ini mewakili layanan cloud publik Azure, termasuk komputer virtual, jaringan virtual, platform sebagai layanan, aplikasi web, database, penyimpanan, layanan identitas, dan banyak lagi. Untuk informasi selengkapnya tentang Azure, lihat Dokumentasi Azure.
Taktik dan teknik MITRE ATT&CK
Diagram ini menunjukkan 16 ancaman teratas, menurut taktik dan teknik seperti yang diterbitkan oleh The MITRE Corporation. Di garis merah, Anda dapat melihat contoh serangan campuran, yang berarti bahwa aktor jahat mungkin mengoordinasikan beberapa serangan secara bersamaan.
Cara menggunakan kerangka kerja MITRE ATT&CK
Anda dapat memulai dengan pencarian sederhana untuk nama ancaman atau kode serangan di halaman web utama, MITRE ATT&CK®.
Anda juga dapat menelusuri ancaman di halaman taktik atau teknik:
Anda masih dapat menggunakan MITRE ATT&CK® Navigator, alat intuitif yang disediakan oleh MITRE yang membantu Anda menemukan taktik, teknik, dan detail tentang ancaman.
Komponen
Contoh arsitektur dalam artikel ini menggunakan komponen Azure berikut:
ID Microsoft Entra adalah layanan manajemen identitas dan akses berbasis cloud. MICROSOFT Entra ID membantu pengguna Anda mengakses sumber daya eksternal, seperti Microsoft 365, portal Azure, dan ribuan aplikasi SaaS lainnya. Ini juga membantu mereka mengakses sumber daya internal, seperti aplikasi di jaringan intranet perusahaan Anda.
Azure Virtual Network adalah blok bangunan dasar untuk jaringan pribadi Anda di Azure. Virtual Network memungkinkan banyak jenis sumber daya Azure untuk berkomunikasi satu sama lain dengan aman, internet, dan jaringan lokal. Virtual Network menyediakan jaringan virtual yang mendapat manfaat dari infrastruktur Azure, seperti skala, ketersediaan, dan isolasi.
Azure Load Balancer adalah layanan penyeimbangan beban Lapisan 4 latensi rendah berkinerja tinggi (masuk dan keluar) untuk semua protokol UDP dan TCP. Opsi ini dibangun untuk menangani jutaan permintaan setiap detik sambil memastikan bahwa solusi Anda sangat tersedia. Azure Load Balancer bersifat zona-redundan, memastikan ketersediaan tinggi di seluruh Zona Ketersediaan.
Komputer virtual adalah salah satu dari beberapa jenis sumber daya komputasi sesuai permintaan dan dapat diskalakan yang ditawarkan Azure. Mesin virtual (VM) Azure memberi Anda fleksibilitas virtualisasi tanpa harus membeli dan memelihara perangkat keras fisik yang menjalankannya.
Azure Kubernetes Service (AKS) adalah layanan Kubernetes yang dikelola sepenuhnya untuk menyebarkan dan mengelola aplikasi dalam kontainer. AKS menyediakan Kubernetes tanpa server, integrasi berkelanjutan/pengiriman berkelanjutan (CI/CD), dan keamanan dan tata kelola tingkat perusahaan.
Azure Virtual Desktop adalah layanan virtualisasi desktop dan aplikasi yang berjalan di cloud untuk menyediakan desktop bagi pengguna jarak jauh.
Web Apps adalah layanan berbasis HTTP untuk menghosting aplikasi web, REST API, dan back end seluler. Anda dapat mengembangkan dalam bahasa favorit Anda, dan aplikasi berjalan dan menskalakan dengan mudah di lingkungan berbasis Windows dan Linux.
Azure Storage sangat tersedia, penyimpanan yang dapat diskalakan, tahan lama, dan aman secara besar-besaran untuk berbagai objek data di cloud, termasuk objek, blob, file, disk, antrean, dan penyimpanan tabel. Semua data yang ditulis ke akun penyimpanan Microsoft Azure dienkripsi oleh layanan. Azure Storage memberi Anda kontrol mendetail atas siapa yang memiliki akses ke data Anda.
Database Azure SQL adalah mesin database PaaS yang dikelola sepenuhnya yang menangani sebagian besar fungsi manajemen database seperti peningkatan, patching, pencadangan, dan pemantauan. Ini menyediakan fungsi-fungsi ini tanpa keterlibatan pengguna. SQL Database menyediakan berbagai fitur keamanan dan kepatuhan bawaan untuk membantu aplikasi Anda memenuhi persyaratan keamanan dan kepatuhan.
Kontributor
Artikel ini dikelola oleh Microsoft. Ini awalnya ditulis oleh kontributor berikut.
Penulis utama:
- Rudnei Oliveira | Insinyur Pelanggan Senior
Kontributor lain:
- Gary Moore | Programmer/Writer
- Andrew Nathan | Manajer Teknik Pelanggan Senior
Langkah berikutnya
Dokumen ini mengacu pada beberapa layanan, teknologi, dan terminologi. Anda dapat menemukan informasi selengkapnya tentang informasi tersebut di sumber daya berikut:
- MITRE ATT&CK®
- ATT&CK® Navigator)
- Pratinjau Umum: Bilah Kerangka Kerja MITRE ATT&CK di Microsoft Sentinel, postingan dari Blog Domain Azure Cloud &AI
- Rantai® Pembunuhan Cyber
- Mencakup keamanan proaktif dengan Zero Trust
- Ancaman campuran di Wikipedia
- Bagaimana serangan cyber berubah sesuai dengan Laporan Pertahanan Digital Microsoft baru dari Microsoft Security Blog
Sumber daya terkait
Untuk detail selengkapnya tentang arsitektur referensi ini, lihat artikel lain dalam seri ini:
- Bagian 1: Menggunakan pemantauan Azure untuk mengintegrasikan komponen keamanan
- Bagian 3: Membangun lapisan pertahanan pertama dengan layanan Azure Security
- Bagian 4: Membangun lapisan pertahanan kedua dengan layanan Keamanan Pertahanan Microsoft XDR
- Bagian 5: Mengintegrasikan layanan keamanan Azure dan Microsoft Defender XDR