Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Azure Government menyediakan berbagai fitur dan layanan yang dapat Anda gunakan untuk membangun solusi cloud untuk memenuhi kebutuhan data yang diatur/dikontrol. Solusi pelanggan yang sesuai dapat menjadi kombinasi dari implementasi efektif kemampuan Azure Government di luar kotak yang digabungkan dengan praktik keamanan data yang solid.
Saat Anda menghosting solusi di Azure Government, Microsoft menangani banyak persyaratan ini di tingkat infrastruktur cloud.
Diagram berikut menunjukkan model mendalam pertahanan Azure. Misalnya, Microsoft menyediakan perlindungan Distributed Denial of Service (DDoS) infrastruktur cloud dasar, bersama dengan kemampuan pelanggan seperti Azure DDoS Protection atau appliance keamanan untuk kebutuhan DDoS aplikasi khusus pelanggan.
Artikel ini menguraikan prinsip dasar untuk mengamankan layanan dan aplikasi Anda. Ini memberikan panduan dan praktik terbaik tentang cara menerapkan prinsip-prinsip ini. Misalnya, bagaimana Anda harus memanfaatkan Azure Government dengan cerdas untuk memenuhi persyaratan solusi yang menangani informasi yang tunduk pada Lalu Lintas Internasional dalam Peraturan Senjata (ITAR). Untuk rekomendasi keamanan tambahan dan detail implementasi untuk membantu Anda meningkatkan postur keamanan sehubungan dengan sumber daya Azure, lihat Tolok Ukur Keamanan Azure.
Prinsip menyeluruh untuk mengamankan data pelanggan adalah:
- Melindungi data menggunakan enkripsi
- Mengelola rahasia
- Isolasi untuk membatasi akses data
Prinsip-prinsip ini berlaku untuk Azure dan Azure Government. Seperti yang dijelaskan dalam Memahami isolasi, Azure Government menyediakan isolasi jaringan fisik ekstra dan memenuhi persyaratan kepatuhan pemerintah AS yang menuntut.
Pengamanan data melalui enkripsi
Mengurangi risiko dan memenuhi kewajiban peraturan mendorong meningkatnya fokus dan pentingnya enkripsi data. Gunakan implementasi enkripsi yang efektif untuk meningkatkan langkah-langkah keamanan jaringan dan aplikasi saat ini dan mengurangi risiko keseluruhan lingkungan cloud Anda. Azure memiliki dukungan ekstensif untuk melindungi data pelanggan menggunakan enkripsi data, termasuk berbagai model enkripsi:
- Enkripsi sisi server yang menggunakan kunci yang dikelola layanan, kunci yang dikelola pelanggan (CMK) di Azure, atau CMK dalam perangkat keras yang dikendalikan pelanggan.
- Enkripsi sisi klien yang memungkinkan Anda mengelola dan menyimpan kunci secara lokal atau di lokasi aman lainnya. Enkripsi sisi klien dibangun ke dalam pustaka klien penyimpanan Java dan .NET, yang dapat menggunakan API Azure Key Vault, membuat implementasinya mudah. Anda dapat menggunakan ID Microsoft Entra untuk memberi individu tertentu akses ke rahasia Azure Key Vault.
Enkripsi data memberikan jaminan isolasi yang terkait langsung dengan akses kunci enkripsi. Karena Azure menggunakan cipher yang kuat untuk enkripsi data, hanya entitas dengan akses ke kunci enkripsi yang dapat memiliki akses ke data. Menghapus atau mencabut kunci enkripsi membuat data yang sesuai tidak dapat diakses.
Enkripsi saat tidak aktif
Azure menyediakan opsi ekstensif untuk mengenkripsi data tidak aktif untuk membantu Anda melindungi data dan memenuhi kebutuhan kepatuhan Anda menggunakan kunci enkripsi yang dikelola Microsoft dan kunci enkripsi yang dikelola pelanggan. Proses ini bergantung pada beberapa kunci dan layanan enkripsi seperti Azure Key Vault dan ID Microsoft Entra untuk memastikan akses kunci yang aman dan manajemen kunci terpusat. Untuk informasi selengkapnya tentang enkripsi layanan Azure Storage dan enkripsi disk Azure, lihat Enkripsi data tidak aktif.
Enkripsi saat transit
Azure menyediakan banyak opsi untuk mengenkripsi data saat transit. Enkripsi data saat transit mengisolasi lalu lintas jaringan Anda dari lalu lintas lain dan membantu melindungi data dari penyadapan. Untuk informasi selengkapnya, lihat Enkripsi data saat transit.
Enkripsi dasar yang tersedia untuk konektivitas ke Azure Government mendukung protokol Keamanan Lapisan Transportasi (TLS) 1.2 dan sertifikat X.509. Algoritma kriptografi tervalidasi Federal Information Processing Standard (FIPS) 140 juga digunakan untuk koneksi jaringan infrastruktur antara pusat data Azure Government. Berbagi Windows, Windows Server, dan Azure File dapat menggunakan SMB 3.0 untuk enkripsi antara komputer virtual (VM) dan berbagi file. Gunakan enkripsi sisi klien untuk mengenkripsi data sebelum ditransfer ke penyimpanan dalam aplikasi klien, dan untuk mendekripsi data setelah ditransfer keluar dari penyimpanan.
Praktik terbaik untuk enkripsi
- IaaS VM: Gunakan enkripsi disk Azure. Aktifkan enkripsi layanan Penyimpanan untuk mengenkripsi file VHD yang digunakan untuk mencadangkan disk tersebut di Azure Storage. Pendekatan ini hanya mengenkripsi data yang baru ditulis. Jika Anda membuat VM lalu mengaktifkan enkripsi layanan Penyimpanan pada akun penyimpanan yang menyimpan file VHD, hanya perubahan yang akan dienkripsi, bukan file VHD asli.
- Enkripsi sisi klien: Mewakili metode yang paling aman untuk mengenkripsi data Anda, karena mengenkripsinya sebelum transit, dan mengenkripsi data tidak aktif. Namun, itu mengharuskan Anda menambahkan kode ke aplikasi Anda menggunakan penyimpanan, yang mungkin tidak ingin Anda lakukan. Dalam kasus tersebut, Anda dapat menggunakan HTTPS untuk data Anda saat transit, dan enkripsi layanan Penyimpanan untuk mengenkripsi data tidak aktif. Enkripsi sisi klien juga melibatkan lebih banyak beban pada klien yang harus Anda perhitungkan dalam rencana skalabilitas Anda, terutama jika Anda mengenkripsi dan mentransfer banyak data.
Mengelola rahasia
Perlindungan dan pengelolaan kunci enkripsi yang tepat sangat penting untuk keamanan data. Anda harus berusaha untuk menyederhanakan manajemen kunci dan mempertahankan kontrol kunci yang digunakan oleh aplikasi dan layanan cloud untuk mengenkripsi data. Azure Key Vault adalah layanan cloud untuk menyimpan dan mengelola rahasia dengan aman. Key Vault memungkinkan Anda menyimpan kunci enkripsi dalam modul keamanan perangkat keras (HSM) yang divalidasi FIPS 140 . Untuk informasi selengkapnya, lihat Manajemen kunci enkripsi data.
Praktik terbaik untuk mengelola rahasia
- Gunakan Key Vault untuk meminimalkan risiko rahasia yang diekspos melalui file konfigurasi, skrip, atau dalam kode sumber yang dikodekan secara permanen. Untuk jaminan tambahan, Anda dapat mengimpor atau menghasilkan kunci di HSM Azure Key Vault.
- Kode aplikasi dan templat hanya boleh berisi referensi URI ke rahasia, yang berarti rahasia aktual tidak ada dalam repositori kode, konfigurasi, atau kode sumber. Pendekatan ini mencegah serangan pengelabuan kunci pada repositori internal atau eksternal, seperti panen-bot di GitHub.
- Gunakan kontrol akses berbasis peran Azure (RBAC) yang kuat dalam Key Vault. Operator tepercaya yang meninggalkan perusahaan atau mentransfer ke grup baru dalam perusahaan harus dicegah untuk dapat mengakses rahasia.
Memahami isolasi
Isolasi di Azure Government dicapai melalui penerapan batas kepercayaan, segmentasi, dan kontainer untuk membatasi akses data hanya untuk pengguna, layanan, dan aplikasi yang berwenang. Azure Government mendukung kontrol dan kemampuan isolasi lingkungan dan penyewa.
Isolasi lingkungan
Lingkungan platform cloud multi-penyewa Azure Government adalah Sistem Otonom berbasis standar Internet (AS) yang terisolasi secara fisik dan dikelola secara terpisah dari cloud publik Azure lainnya. Seperti yang didefinisikan oleh IETF RFC 4271, AS terdiri dari sekumpulan sakelar dan router di bawah satu administrasi teknis, menggunakan protokol gateway interior dan metrik umum untuk merutekan paket dalam AS. Protokol gateway eksterior digunakan untuk merutekan paket ke AS lain melalui satu kebijakan perutean yang ditentukan dengan jelas.
Isolasi lingkungan Azure Government dicapai melalui serangkaian kontrol fisik dan logis yang meliputi:
- Perangkat keras yang terisolasi secara fisik
- Hambatan fisik pada perangkat keras menggunakan perangkat biometrik dan kamera
- Akses berskala (Azure RBAC, alur kerja)
- Kredensial tertentu dan autentikasi multifaktor untuk akses logis
- Infrastruktur untuk Azure Government terletak di Amerika Serikat
Dalam jaringan Azure Government, komponen sistem jaringan internal diisolasi dari komponen sistem lain melalui implementasi subnet terpisah dan kebijakan kontrol akses pada antarmuka manajemen. Azure Government tidak langsung melakukan peering dengan internet publik atau dengan jaringan perusahaan Microsoft. Azure Government langsung melakukan peering ke jaringan Microsoft Azure komersial, yang memiliki kemampuan perutean dan transportasi ke Internet dan jaringan Microsoft Corporate. Azure Government membatasi area permukaannya yang terekspos dengan menerapkan kemampuan perlindungan dan komunikasi tambahan dari jaringan Azure komersial kami. Selain itu, Azure Government ExpressRoute (ER) menggunakan peering dengan jaringan pelanggan kami melalui sirkuit privat non-Internet untuk merutekan jaringan "DMZ" pelanggan ER menggunakan Border Gateway Protocol (BGP)/AS peering tertentu sebagai batas kepercayaan untuk perutean aplikasi dan penegakan kebijakan terkait.
Azure Government mempertahankan otorisasi berikut:
- Otorisasi provisi FedRAMP High untuk beroperasi (P-ATO) yang dikeluarkan oleh Dewan Otorisasi Bersama FedRAMP (JAB)
- Otorisasi provisi DoD SRG IL4 dan IL5 (PA) yang dikeluarkan oleh Badan Sistem Informasi Pertahanan (DISA)
Isolasi penyewa
Pemisahan antara pelanggan/penyewa adalah mekanisme keamanan penting untuk lingkungan cloud multi-penyewa Azure dan Azure Government. Azure dan Azure Government menyediakan kontrol isolasi dasar per pelanggan atau penyewa termasuk isolasi Hypervisor, OS Akar, dan VM Tamu, isolasi Fabric Controller, pemfilteran paket, dan isolasi VLAN. Untuk informasi selengkapnya, lihat Isolasi komputasi.
Anda dapat mengelola postur isolasi untuk memenuhi persyaratan individual melalui kontrol akses jaringan dan pemisahan melalui komputer virtual, jaringan virtual, isolasi VLAN, ACL, load balancer, dan filter IP. Selain itu, Anda dapat lebih mengelola tingkat isolasi untuk sumber daya Anda di seluruh langganan, grup sumber daya, jaringan virtual, dan subnet. Kontrol isolasi logis pelanggan/penyewa membantu mencegah satu penyewa mengganggu operasi pelanggan/penyewa lainnya.
Screening
Semua karyawan Azure dan Azure Government di Amerika Serikat tunduk pada pemeriksaan latar belakang Microsoft. Personel dengan kemampuan untuk mengakses data pelanggan untuk tujuan pemecahan masalah di Azure Government juga tunduk pada verifikasi kewarganegaraan AS dan persyaratan penyaringan tambahan jika sesuai.
Kami sekarang menyaring semua operator kami di Investigasi Tingkat 3 (sebelumnya Pemeriksaan Badan Nasional dengan Hukum dan Kredit, NACLC) sebagaimana didefinisikan dalam Bagian 5.6.2.2 (Halaman 77) dari DoD Cloud Computing SRG:
Nota
Penyelidikan latar belakang minimum yang diperlukan untuk personel CSP yang memiliki akses ke informasi Tingkat 4 dan 5 berdasarkan "peka noncritik" (misalnya, ADP-2 DoD) adalah Investigasi Tingkat 3 (untuk kontraktor "peka noncritik"), atau Investigasi Latar Belakang Risiko Sedang (MBI) untuk penentuan posisi "risiko sedang".
| Pemeriksaan latar belakang dan penyaringan yang berlaku | Lingkungan | Frekuensi | Deskripsi |
|---|---|---|---|
| Pemeriksaan penyewaan baru | Azure Azure Gov |
Setelah bekerja | - Riwayat pendidikan (gelar tertinggi) - Riwayat ketenagakerjaan (riwayat 7 tahun) - Pencarian Nomor Jaminan Sosial - Pemeriksaan riwayat kriminal (riwayat 7 tahun) - Daftar Office of Foreign Assets Control (OFAC) - Daftar Biro Industri dan Keamanan (BIS) - Daftar Office of Defense Trade Controls (DDTC) yang dibatasi |
| Layar cloud | Azure Azure Gov |
Setiap dua tahun | - Pencarian Nomor Jaminan Sosial - Pemeriksaan riwayat kriminal (riwayat 7 tahun) - Daftar Office of Foreign Assets Control (OFAC) - Daftar Biro Industri dan Keamanan (BIS) - Daftar debarred Office of Defense Trade Controls (DDTC) |
| Kewarganegaraan AS | Azure Gov | Setelah bekerja | - Verifikasi kewarganegaraan AS |
| Layanan Informasi Peradilan Pidana (CJIS) | Azure Gov | Setelah menandatangani perjanjian CJIS dengan Negara Bagian | - Menambahkan pemeriksaan latar belakang sidik jari terhadap database FBI - Pemeriksaan catatan kriminal dan pemeriksaan kredit |
| Investigasi Tingkat 3 | Azure Gov | Setelah ditandatangani kontrak dengan agen sponsor | - Latar belakang terperinci dan investigasi riwayat kriminal (SF 86) |
Untuk personel operasi Azure, prinsip akses berikut berlaku:
- Tugas didefinisikan dengan jelas, dengan tanggung jawab terpisah untuk meminta, menyetujui, dan menyebarkan perubahan.
- Akses melalui antarmuka yang ditentukan yang memiliki fungsionalitas tertentu.
- Akses adalah just-in-time (JIT), dan diberikan berdasarkan per insiden atau untuk peristiwa pemeliharaan tertentu, dan untuk durasi terbatas.
- Akses berbasis aturan, dengan peran yang ditentukan yang hanya diberi izin yang diperlukan untuk pemecahan masalah.
Standar penyaringan termasuk validasi kewarganegaraan AS dari semua dukungan Microsoft dan staf operasional sebelum akses diberikan ke sistem yang dihosting Azure Government. Personel dukungan yang perlu mentransfer data menggunakan kemampuan aman dalam Azure Government. Transfer data aman memerlukan serangkaian kredensial autentikasi terpisah untuk mendapatkan akses.
Pembatasan akses orang dalam
Kontrol untuk membatasi akses orang dalam ke data pelanggan sama untuk Azure dan Azure Government. Seperti yang dijelaskan di bagian sebelumnya, Azure Government memberlakukan persyaratan penyaringan latar belakang personel tambahan, termasuk verifikasi kewarganegaraan AS.
Nota
Ancaman orang dalam ditandai sebagai potensi untuk menyediakan koneksi pintu belakang dan akses administrator istimewa penyedia layanan cloud (CSP) ke sistem dan data pelanggan. Microsoft memberikan komitmen pelanggan yang kuat mengenai siapa yang dapat mengakses data pelanggan dan persyaratan apa. Akses ke data pelanggan oleh operasi Microsoft dan personel dukungan ditolak secara default. Akses ke data pelanggan tidak diperlukan untuk mengoperasikan Azure. Selain itu, untuk sebagian besar skenario dukungan yang melibatkan tiket pemecahan masalah pelanggan, akses ke data pelanggan tidak diperlukan.
Tidak ada hak akses default dan ketentuan akses Just-in-Time (JIT) yang sangat mengurangi risiko yang terkait dengan hak akses tinggi administrator lokal tradisional yang biasanya bertahan selama durasi pekerjaan. Microsoft membuatnya jauh lebih sulit bagi orang dalam berbahaya untuk mengubah aplikasi dan data Anda. Pembatasan dan proses kontrol akses yang sama diberlakukan pada semua teknisi Microsoft, termasuk karyawan penuh waktu dan subprosesor/vendor. Kontrol berikut diterapkan untuk membatasi akses orang dalam ke data Anda:
- Kontrol Microsoft internal yang mencegah akses ke sistem produksi kecuali jika diotorisasi melalui sistem manajemen akses istimewa Just-in-Time (JIT), seperti yang dijelaskan di bagian ini.
- Penerapan Customer Lockbox yang menempatkan Anda bertanggung jawab menyetujui akses orang dalam dalam skenario dukungan dan pemecahan masalah, seperti yang dijelaskan di bagian ini. Untuk sebagian besar skenario dukungan, akses ke data Anda tidak diperlukan.
- Enkripsi data dengan opsi untuk kunci enkripsi yang dikelola pelanggan - data terenkripsi hanya dapat diakses oleh entitas yang memiliki kunci, seperti yang dijelaskan sebelumnya.
- Pemantauan pelanggan akses eksternal ke sumber daya Azure yang disediakan, yang mencakup pemberitahuan keamanan seperti yang dijelaskan di bagian berikutnya.
Persyaratan kontrol akses
Microsoft mengambil langkah-langkah kuat untuk melindungi data Anda dari akses atau penggunaan yang tidak layak oleh orang yang tidak berwenang. Teknisi Microsoft (termasuk karyawan penuh waktu dan subprosesor/vendor) tidak memiliki akses default ke data Anda di cloud. Sebaliknya, mereka diberikan akses, di bawah pengawasan manajemen, hanya jika perlu. Dengan menggunakan alur kerja akses terbatas, akses ke data Anda dikontrol, dicatat, dan dicabut dengan cermat saat tidak lagi diperlukan. Misalnya, akses ke data Anda mungkin diperlukan untuk menyelesaikan permintaan pemecahan masalah yang Anda mulai. Persyaratan kontrol akses ditetapkan oleh kebijakan berikut:
- Tidak ada akses ke data pelanggan, secara default.
- Tidak ada akun pengguna atau administrator pada komputer virtual pelanggan (VM).
- Berikan hak istimewa paling sedikit yang diperlukan untuk menyelesaikan permintaan akses tugas, audit, dan log.
Teknisi Microsoft dapat diberi akses ke data pelanggan menggunakan kredensial sementara melalui akses Just-in-Time (JIT). Harus ada insiden yang dicatat dalam sistem Azure Incident Management yang menjelaskan alasan akses, catatan persetujuan, data apa yang diakses, dll. Pendekatan ini memastikan bahwa ada pengawasan yang sesuai untuk semua akses ke data pelanggan dan bahwa semua tindakan JIT (persetujuan dan akses) dicatat untuk audit. Bukti bahwa prosedur telah ditetapkan untuk memberikan akses sementara bagi personel Azure ke data pelanggan dan aplikasi atas persetujuan yang sesuai untuk dukungan pelanggan atau tujuan penanganan insiden tersedia dari laporan pengesahan Azure SOC 2 Tipe 2 yang dihasilkan oleh perusahaan audit pihak ketiga independen.
Akses JIT berfungsi dengan autentikasi multifaktor yang mengharuskan teknisi Microsoft menggunakan kartu pintar untuk mengonfirmasi identitas mereka. Semua akses ke sistem produksi dilakukan menggunakan Secure Admin Workstations (SAW) yang konsisten dengan panduan yang diterbitkan tentang mengamankan akses istimewa. Penggunaan SAW untuk akses ke sistem produksi diperlukan oleh kebijakan Microsoft dan kepatuhan terhadap kebijakan ini dipantau dengan cermat. Stasiun kerja ini menggunakan gambar tetap dengan semua perangkat lunak yang dikelola sepenuhnya - hanya aktivitas tertentu yang diizinkan dan pengguna tidak dapat secara tidak sengaja menghindari desain SAW karena mereka tidak memiliki hak istimewa admin pada komputer ini. Akses hanya diizinkan dengan kartu pintar dan akses ke setiap SAW terbatas pada sekumpulan pengguna tertentu.
Customer Lockbox
Customer Lockbox for Azure adalah layanan yang memberi Anda kemampuan untuk mengontrol cara teknisi Microsoft mengakses data Anda. Sebagai bagian dari alur kerja dukungan, teknisi Microsoft mungkin memerlukan akses yang ditingkatkan ke data Anda. Customer Lockbox menempatkan Anda bertanggung jawab atas keputusan tersebut dengan memungkinkan Anda menyetujui/menolak permintaan yang ditinggikan tersebut. Customer Lockbox adalah ekstensi alur kerja JIT dan dilengkapi dengan pembuatan log audit penuh yang diaktifkan. Kemampuan Customer Lockbox tidak diperlukan untuk kasus dukungan yang tidak melibatkan akses ke data pelanggan. Untuk sebagian besar skenario dukungan, akses ke data pelanggan tidak diperlukan dan alur kerja seharusnya tidak memerlukan Customer Lockbox. Teknisi Microsoft sangat bergantung pada log untuk mempertahankan layanan Azure dan memberikan dukungan pelanggan.
Customer Lockbox tersedia untuk semua pelanggan yang memiliki paket dukungan Azure dengan tingkat pengembang minimum. Anda dapat mengaktifkan Customer Lockbox dari modul Administrasi di bilah Customer Lockbox. Teknisi Microsoft akan memulai permintaan Customer Lockbox jika tindakan ini diperlukan untuk memajukan tiket dukungan yang dimulai pelanggan. Customer Lockbox tersedia untuk pelanggan dari semua wilayah publik Azure.
Crash dump memori komputer virtual tamu
Pada setiap simpul Azure, ada Hypervisor yang berjalan langsung di atas perangkat keras dan membagi simpul menjadi jumlah variabel komputer virtual Tamu (VM), seperti yang dijelaskan dalam Isolasi komputasi. Setiap node juga memiliki satu Root VM khusus, yang menjalankan Host OS.
Ketika VM Tamu (juga dikenal sebagai VM pelanggan) mengalami crash, data pelanggan dapat dimuat di dalam file cadangan memori pada VM Tamu. Secara default, teknisi Microsoft tidak memiliki akses ke VM Tamu dan tidak dapat meninjau crash dump pada VM Tamu tanpa persetujuan pelanggan. Proses yang sama yang melibatkan otorisasi pelanggan eksplisit digunakan untuk mengontrol akses ke crash dump VM Tamu jika Anda meminta penyelidikan crash VM Anda. Seperti yang dijelaskan sebelumnya, akses dijaga oleh sistem manajemen akses istimewa JIT dan Customer Lockbox sehingga semua tindakan dicatat dan diaudit. Fungsi memaksa utama untuk menghapus cadangan memori dari VM Tamu adalah proses rutin VM yang menggambar ulang yang biasanya terjadi setidaknya setiap dua bulan.
Penghapusan, retensi, dan penghancuran data
Sebagai pelanggan, Anda selalu mengontrol data pelanggan Anda di Azure. Anda dapat mengakses, mengekstrak, dan menghapus data pelanggan yang disimpan di Azure sesering mungkin. Saat Anda mengakhiri langganan Azure, Microsoft mengambil langkah-langkah yang diperlukan untuk memastikan bahwa Anda terus memiliki data pelanggan Anda. Kekhawatiran umum pelanggan setelah menghapus data atau berhenti berlangganan adalah apakah pelanggan lain atau administrator Azure dapat mengakses data mereka yang dihapus. Untuk informasi selengkapnya tentang bagaimana penghapusan, retensi, dan penghancuran data diterapkan di Azure, lihat dokumentasi online kami:
Pemantauan pelanggan sumber daya Azure
Bagian ini mencakup layanan Azure penting yang dapat Anda gunakan untuk mendapatkan wawasan mendalam tentang sumber daya Azure yang disediakan dan mendapatkan pemberitahuan tentang aktivitas mencurigakan, termasuk serangan luar yang ditujukan untuk aplikasi dan data Anda. Untuk daftar lengkapnya, lihat bagian direktori layanan Azure untuk Manajemen + Tata Kelola, Jaringan, dan Keamanan. Selain itu, Azure Security Benchmark menyediakan rekomendasi keamanan dan detail implementasi untuk membantu Anda meningkatkan postur keamanan sehubungan dengan sumber daya Azure.
Microsoft Defender for Cloud (sebelumnya Azure Security Center) menyediakan manajemen keamanan terpadu dan perlindungan ancaman tingkat lanjut di seluruh beban kerja cloud hibrid. Ini adalah layanan penting bagi Anda untuk membatasi paparan terhadap ancaman, melindungi sumber daya cloud, menanggapi insiden, dan meningkatkan postur kepatuhan peraturan Anda.
Dengan Pertahanan Microsoft untuk Cloud, Anda dapat:
- Memantau keamanan di seluruh beban kerja lokal dan cloud.
- Terapkan analitik tingkat lanjut dan inteligensi ancaman untuk mendeteksi serangan.
- Menggunakan kontrol akses dan aplikasi untuk memblokir aktivitas berbahaya.
- Menemukan dan memperbaiki kerentanan sebelum dapat dieksploitasi.
- Menyederhanakan penyelidikan saat merespons ancaman.
- Terapkan kebijakan untuk memastikan kepatuhan terhadap standar keamanan.
Untuk membantu Anda dengan penggunaan Microsoft Defender for Cloud, Microsoft telah menerbitkan dokumentasi online yang luas dan banyak posting blog yang mencakup topik keamanan tertentu:
- Cara Microsoft Defender for Cloud mendeteksi serangan penambangan Bitcoin
- Cara Microsoft Defender for Cloud mendeteksi serangan DDoS menggunakan inteligensi ancaman cyber
- Cara Microsoft Defender for Cloud membantu dalam mendeteksi aplikasi yang baik yang digunakan dengan berbahaya
- Cara Microsoft Defender for Cloud mengungkap serangan PowerShell yang mencurigakan
- Bagaimana Pertahanan Microsoft untuk Cloud membantu mengungkapkan serangan cyber
- Cara Microsoft Defender for Cloud membantu menganalisis serangan menggunakan Investigasi dan Pencarian Log
- Microsoft Defender untuk Cloud menambahkan pemberitahuan konteks untuk membantu penyelidikan ancaman
- Cara Microsoft Defender for Cloud mengotomatiskan deteksi serangan cyber
- Deteksi DNS heuristik di Pertahanan Microsoft untuk Cloud
- Mendeteksi ancaman ransomware terbaru (Bad Rabbit) dengan Pertahanan Microsoft untuk Cloud
- Pencegahan & deteksi ransomware Petya di Pertahanan Microsoft untuk Cloud
- Mendeteksi serangan dalam memori dengan Sysmon dan Microsoft Defender for Cloud
- Bagaimana Defender untuk Cloud dan Analitik Log dapat digunakan untuk perburuan ancaman
- Bagaimana Microsoft Defender for Cloud membantu mendeteksi serangan terhadap komputer Linux Anda
- Menggunakan Pertahanan Microsoft untuk Cloud untuk mendeteksi saat komputer Linux yang disusupi menyerang
Azure Monitor membantu Anda memaksimalkan ketersediaan dan performa aplikasi dengan memberikan solusi komprehensif untuk mengumpulkan, menganalisis, dan bertindak berdasarkan telemetri dari lingkungan cloud dan lokal. Ini membantu Anda memahami performa aplikasi Anda, dan secara proaktif mengidentifikasi masalah yang memengaruhi aplikasi dan sumber daya yang disebarkan yang bergantung padanya. Azure Monitor mengintegrasikan kemampuan Analitik Log dan Application Insights yang sebelumnya bermerek sebagai layanan mandiri.
Azure Monitor mengumpulkan data dari setiap tingkatan berikut:
- Data pemantauan aplikasi: Data tentang kinerja dan fungsionalitas kode yang Anda tulis, apa pun platformnya.
- Data pemantauan OS tamu: Data tentang sistem operasi tempat aplikasi Anda berjalan. Aplikasi ini dapat berjalan di Azure, cloud lain, atau lokal.
- Data pemantauan sumber daya Azure: Data tentang pengoperasian sumber daya Azure.
- Data pemantauan langganan Azure: Data tentang operasi dan manajemen langganan dan data Azure tentang kesehatan dan pengoperasian Azure itu sendiri.
- Data pemantauan penyewa Azure: Data tentang pengoperasian layanan Azure tingkat penyewa, seperti ID Microsoft Entra.
Dengan Azure Monitor, Anda bisa mendapatkan tampilan 360 derajat aplikasi, infrastruktur, dan jaringan Anda dengan peta analitik, dasbor, dan visualisasi tingkat lanjut. Azure Monitor memberikan wawasan cerdas dan memungkinkan keputusan yang lebih baik dengan AI. Anda dapat menganalisis, menghubungkan, dan memantau data dari berbagai sumber menggunakan bahasa kueri yang kuat dan konstruksi pembelajaran mesin bawaan. Selain itu, Azure Monitor menyediakan integrasi siap pakai dengan alat DevOps, IT Service Management (ITSM) populer, dan Security Information and Event Management (SIEM).
Azure Policy memungkinkan tata kelola sumber daya Azure yang efektif dengan membuat, menetapkan, dan mengelola kebijakan. Kebijakan ini memberlakukan berbagai aturan atas sumber daya Azure yang disediakan untuk membuatnya mematuhi standar keamanan dan privasi perusahaan spesifik Anda. Misalnya, salah satu kebijakan bawaan untuk Lokasi yang Diizinkan dapat digunakan untuk membatasi lokasi yang tersedia untuk sumber daya baru guna menerapkan persyaratan kepatuhan geografis Anda. Untuk bantuan pelanggan tambahan, Microsoft menyediakan inisiatif bawaan kepatuhan peraturan Azure Policy, yang memetakan ke domain kepatuhan dan kontrol di banyak standar pemerintah AS, global, regional, dan industri. Untuk informasi selengkapnya, lihat Sampel Azure Policy. Kepatuhan terhadap peraturan dalam Azure Policy menyediakan definisi inisiatif bawaan untuk melihat daftar domain kontrol dan kepatuhan berdasarkan tanggung jawab – pelanggan, Microsoft, atau bersama. Untuk kontrol yang bertanggung jawab microsoft, kami memberikan detail hasil audit tambahan berdasarkan pengesahan pihak ketiga dan detail implementasi kontrol kami untuk mencapai kepatuhan tersebut. Setiap kontrol dikaitkan dengan satu atau beberapa definisi Azure Policy. Kebijakan ini dapat membantu Anda menilai kepatuhan terhadap kontrol; namun, kepatuhan dalam Azure Policy hanyalah tampilan parsial dari status kepatuhan Anda secara keseluruhan. Kebijakan Azure membantu menegakkan standar organisasi serta menilai kepatuhan dalam skala besar. Melalui dasbor kepatuhannya, kebijakan ini menyediakan tampilan agregat untuk mengevaluasi keadaan lingkungan secara keseluruhan, dengan kemampuan untuk menelusuri ke status yang lebih terperinci.
Azure Firewall menyediakan layanan keamanan jaringan berbasis cloud terkelola yang melindungi sumber daya Azure Virtual Network Anda. Ini adalah firewall yang sepenuhnya stateful sebagai layanan dengan ketersediaan tinggi bawaan yang terintegrasi dengan Azure Monitor untuk pengelogan dan analitik.
Network Watcher memungkinkan Anda memantau, mendiagnosis, dan mendapatkan wawasan tentang performa dan kesehatan Azure Virtual Network Anda. Dengan log alur kelompok keamanan jaringan, Anda dapat memperoleh pemahaman yang lebih mendalam tentang pola lalu lintas jaringan Anda dan mengumpulkan data untuk kepatuhan, audit, dan pemantauan profil keamanan jaringan Anda. Pengambilan paket memungkinkan Anda menangkap lalu lintas ke dan dari komputer virtual Anda untuk mendiagnosis anomali jaringan dan mengumpulkan statistik jaringan, termasuk informasi tentang gangguan jaringan.
Azure DDoS Protection menyediakan kemampuan mitigasi Distributed Denial of Service (DDoS) yang luas untuk membantu Anda melindungi sumber daya Azure dari serangan. Pemantauan lalu lintas yang selalu aktif memberikan deteksi serangan DDoS hampir real-time, dengan mitigasi otomatis serangan segera setelah terdeteksi. Dalam kombinasi dengan Web Application Firewall, DDoS Protection melindungi dari serangkaian serangan lapisan jaringan yang komprehensif, termasuk injeksi SQL, serangan scripting lintas situs, dan pembajakan sesi. Azure DDoS Protection terintegrasi dengan Azure Monitor untuk analitik dan wawasan.
Microsoft Sentinel (sebelumnya Azure Sentinel) adalah platform SIEM cloud-native yang menggunakan AI bawaan untuk membantu Anda menganalisis data dalam volume besar dengan cepat di seluruh perusahaan. Microsoft Azure Sentinel menggabungkan data dari berbagai sumber, termasuk pengguna, aplikasi, server, dan perangkat yang berjalan secara lokal atau di cloud apa pun, memungkinkan Anda beralasan lebih dari jutaan rekaman dalam beberapa detik. Dengan Microsoft Sentinel, Anda dapat:
- Kumpulkan data dalam skala cloud di semua pengguna, perangkat, aplikasi, dan infrastruktur, baik lokal maupun di beberapa cloud.
- Mendeteksi ancaman yang sebelumnya tidak terungkap dan minimalkan positif palsu menggunakan analitik dan inteligensi ancaman yang tidak tertandingi dari Microsoft.
- Menyelidiki ancaman dengan AI dan memburu aktivitas mencurigakan dalam skala besar, memanfaatkan pekerjaan keamanan cyber selama puluhan tahun di Microsoft.
- Tanggapi insiden dengan cepat dengan orkestrasi bawaan dan otomatisasi tugas umum.
Azure Advisor membantu Anda mengikuti praktik terbaik untuk mengoptimalkan penyebaran Azure Anda. Ini menganalisis konfigurasi sumber daya dan telemetri penggunaan dan kemudian merekomendasikan solusi yang dapat membantu Anda meningkatkan efektivitas biaya, performa, ketersediaan tinggi, dan keamanan sumber daya Azure.
Langkah selanjutnya
- gambaran umum Azure Government
- Kepatuhan Azure Government
- Azure dan penawaran kepatuhan layanan Microsoft lainnya
- Membandingkan Azure Government dan Azure global
- Panduan Azure untuk isolasi yang aman
- panduan isolasi Azure Government untuk beban kerja Impact Level 5
- Gambaran umum Azure Government DoD
- Dokumentasi dasar-dasar keamanan Azure
- inisiatif bawaan kepatuhan peraturan Azure Policy