Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Berlaku untuk: Azure Local 2311.2 dan yang lebih baru
Artikel ini menguraikan bagaimana Azure Local membantu organisasi memenuhi persyaratan kontrol keamanan ISO/IEC 27001:2022, baik di cloud maupun lokal. Pelajari selengkapnya tentang Azure Local dan standar keamanan lainnya di Azure Local dan standar keamanan.
ISO/IEC 27001:2022
ISO/IEC 27001 adalah standar keamanan global yang menentukan persyaratan untuk menetapkan, menerapkan, mengoperasikan, memantau, memelihara, dan meningkatkan Sistem Manajemen Keamanan Informasi (ISMS). Sertifikasi untuk ISO/IEC 27001:2022 membantu organisasi meningkatkan postur keamanan mereka, membangun kepercayaan dengan klien mereka, dan dapat membantu memenuhi berbagai kewajiban hukum dan peraturan yang melibatkan keamanan informasi, seperti PCI DSS, HIPAA, HITRUST, dan FedRAMP. Pelajari selengkapnya tentang standar di ISO/IEC 27001.
Azure Local
Azure Local adalah solusi hibrid yang menyediakan integrasi mulus antara infrastruktur lokal organisasi dan layanan cloud Azure, membantu mengonsolidasikan beban kerja dan kontainer virtual serta mendapatkan efisiensi cloud ketika data perlu tetap berada di tempat karena alasan hukum atau privasi. Organisasi yang mencari sertifikasi ISO/IEC 27001:2022 untuk solusi mereka harus mempertimbangkan lingkungan cloud dan lokal mereka.
Layanan cloud yang terhubung
Azure Local menyediakan integrasi mendalam dengan beberapa layanan Azure, seperti Azure Monitor, Azure Backup, dan Azure Site Recovery, untuk memberikan kemampuan baru ke lingkungan hibrid. Layanan cloud ini menjalani audit pihak ketiga independen reguler untuk kepatuhan ISO/IEC 27001:2022. Anda dapat meninjau sertifikat Azure ISO/IEC 27001:2022 dan laporan audit pada penawaran kepatuhan Azure – ISO/IEC 27001:2022.
Penting
Status kepatuhan Azure tidak memberikan akreditasi ISO/IEC 27001 untuk layanan yang dibangun atau dihosting organisasi di platform Azure. Organisasi bertanggung jawab untuk memastikan kepatuhan operasi mereka dengan persyaratan ISO/IEC 27001:2022.
Solusi di tempat
Secara lokal, Azure Local menyediakan array fitur yang membantu organisasi memenuhi persyaratan keamanan ISO/IEC 27001:2022. Bagian berikut ini menyediakan informasi selengkapnya.
Kemampuan Azure Local relevan untuk ISO/IEC 27001:2022
Bagian ini menguraikan bagaimana organisasi dapat menggunakan fungsionalitas Azure Local untuk memenuhi kontrol keamanan di Annex A ISO/IEC 27001:2022. Informasi berikut hanya mencakup persyaratan teknis. Persyaratan yang terkait dengan operasi keamanan berada di luar cakupan, karena Azure Local tidak dapat memengaruhinya. Panduan ini diatur oleh sembilan domain Annex A:
- Keamanan jaringan
- Pengelolaan identitas dan akses
- Perlindungan data
- Penebangan
- Pemantauan
- Konfigurasi aman
- Perlindungan ancaman
- Pencadangan dan pemulihan
- Skalabilitas dan ketersediaan
Panduan dalam artikel ini menguraikan bagaimana kemampuan Azure Local dapat digunakan untuk memenuhi persyaratan setiap domain. Penting untuk dicatat bahwa tidak semua kontrol wajib. Organisasi harus menganalisis lingkungan mereka dan melakukan penilaian risiko untuk menentukan kontrol mana yang diperlukan. Untuk informasi selengkapnya tentang persyaratan, lihat ISO/IEC 27001.
Keamanan jaringan
Fungsionalitas keamanan jaringan yang dijelaskan di bagian ini dapat membantu Anda dalam memenuhi kontrol keamanan berikut yang ditentukan dalam standar ISO/IEC 27001.
- 8.20 – Keamanan jaringan
- 8.21 – Keamanan layanan jaringan
- 8.22 – Pemisahan jaringan
- 8.23 – Pemfilteran web
Dengan Azure Local, Anda dapat menerapkan kontrol keamanan jaringan untuk melindungi platform Anda dan beban kerja yang berjalan di dalamnya dari ancaman jaringan di luar dan di dalamnya. Azure Local juga menjamin alokasi jaringan yang adil pada host dan meningkatkan performa dan ketersediaan beban kerja dengan kemampuan penyeimbangan beban. Pelajari selengkapnya tentang keamanan jaringan di Azure Local di artikel berikut ini.
- Gambaran umum Datacenter Firewall
- Software Load Balancer (SLB) untuk Software Define Network (SDN)
- Gateway Layanan Akses Jarak Jauh (RAS) untuk SDN
- Kebijakan Kualitas Layanan untuk beban kerja Anda yang dihosting di Azure Local
Pengelolaan identitas dan akses
Fungsionalitas manajemen identitas dan akses yang dijelaskan di bagian ini dapat membantu Anda dalam memenuhi kontrol keamanan berikut yang ditentukan dalam standar ISO/IEC 27001.
- 8.2 – Hak akses istimewa
- 8.3 – Pembatasan akses informasi
- 8.5 – Autentikasi aman
Azure Local menyediakan akses penuh dan langsung ke sistem yang mendasar yang berjalan pada komputer melalui beberapa antarmuka seperti Azure Arc dan Windows PowerShell. Anda dapat menggunakan alat Windows konvensional di lingkungan lokal atau solusi berbasis cloud seperti MICROSOFT Entra ID (sebelumnya Azure Active Directory) untuk mengelola identitas dan akses ke platform. Dalam kedua kasus, Anda dapat memanfaatkan fitur keamanan bawaan, seperti autentikasi multifaktor (MFA), akses bersyarat, kontrol akses berbasis peran (RBAC), dan manajemen identitas istimewa (PIM) untuk memastikan lingkungan Anda aman dan patuh.
Pelajari selengkapnya tentang manajemen identitas dan akses lokal di Microsoft Identity Manager dan Privileged Access Management for Active Directory Domain Services. Pelajari selengkapnya tentang manajemen identitas dan akses berbasis cloud di ID Microsoft Entra.
Perlindungan data
Fungsionalitas perlindungan data yang dijelaskan di bagian ini dapat membantu Anda dalam memenuhi kontrol keamanan berikut yang ditentukan dalam standar ISO/IEC 27001.
- 8.5 – Autentikasi aman
- 8.20 – Keamanan jaringan
- 8.21 - Keamanan layanan jaringan
- 8.24 – Penggunaan kriptografi
Mengenkripsi data dengan BitLocker
Pada instans Azure Local, semua data tidak aktif dapat dienkripsi melalui enkripsi BitLocker XTS-AES 256-bit. Secara default, sistem akan merekomendasikan Anda mengaktifkan BitLocker untuk mengenkripsi semua volume sistem operasi (OS) dan volume bersama kluster (CSV) dalam penyebaran Azure Local Anda. Untuk volume penyimpanan baru yang ditambahkan setelah penyebaran, Anda perlu mengaktifkan BitLocker secara manual untuk mengenkripsi volume penyimpanan baru. Menggunakan BitLocker untuk melindungi data dapat membantu organisasi tetap mematuhi ISO/IEC 27001. Pelajari selengkapnya di Menggunakan BitLocker dengan Volume Bersama Kluster (CSV).
Melindungi lalu lintas jaringan eksternal dengan TLS/DTLS
Secara default, semua komunikasi host ke titik akhir lokal dan jarak jauh dienkripsi menggunakan TLS1.2, TLS1.3, dan DTLS 1.2. Platform ini menonaktifkan penggunaan protokol/hash lama seperti TLS/DTLS 1.1 SMB1. Azure Local juga mendukung suite sandi yang kuat seperti kurva elips yang mematuhi SDL terbatas pada kurva NIST P-256 dan P-384 saja.
Melindungi lalu lintas jaringan internal dengan Blok Pesan Server (SMB)
Penandatanganan SMB diaktifkan secara default untuk koneksi klien di instans Azure Local. Untuk lalu lintas intra-kluster, enkripsi SMB adalah opsi yang dapat diaktifkan oleh organisasi selama atau setelah penyebaran untuk melindungi data saat transit antara sistem. Suite kriptografi AES-256-GCM dan AES-256-CCM sekarang didukung oleh protokol SMB 3.1.1 yang digunakan oleh lalu lintas file server klien dan fabric data intra-cluster. Protokol ini terus mendukung rangkaian AES-128 yang lebih kompatibel secara luas juga. Pelajari selengkapnya di penyempurnaan keamanan SMB.
Penebangan kayu
Fungsionalitas pengelogan yang dijelaskan di bagian ini dapat membantu Anda dalam memenuhi kontrol keamanan berikut yang ditentukan dalam standar ISO/IEC 27001.
- 8.15 – Pengelogan
- 8.17 – Sinkronisasi jam
Log sistem lokal
Secara default, semua operasi yang dilakukan dalam instans Azure Local direkam sehingga Anda dapat melacak siapa yang melakukan apa, kapan, dan di mana pada platform. Log dan pemberitahuan yang dibuat oleh Windows Defender juga disertakan untuk membantu Anda mencegah, mendeteksi, dan meminimalkan kemungkinan dan dampak kompromi data. Namun, karena log sistem sering berisi sejumlah besar informasi, sebagian besar asing untuk pemantauan keamanan informasi, Anda perlu mengidentifikasi peristiwa mana yang relevan untuk dikumpulkan dan digunakan untuk tujuan pemantauan keamanan. Kemampuan pemantauan Azure membantu mengumpulkan, menyimpan, memperingatkan, dan menganalisis log tersebut. Referensikan Garis Besar Keamanan untuk Azure Local untuk mempelajari selengkapnya.
Catatan aktivitas lokal
Azure Local Lifecycle Manager membuat dan menyimpan log aktivitas untuk setiap rencana tindakan yang dijalankan. Log ini mendukung penyelidikan dan pemantauan yang lebih mendalam.
Log aktivitas cloud
Dengan mendaftarkan sistem Anda dengan Azure, Anda dapat menggunakan log aktivitas Azure Monitor untuk merekam operasi pada setiap sumber daya di lapisan langganan untuk menentukan apa, siapa, dan kapan untuk operasi tulis apa pun (menempatkan, memposting, atau menghapus) yang diambil pada sumber daya dalam langganan Anda.
Log identitas cloud
Jika Anda menggunakan ID Microsoft Entra untuk mengelola identitas dan akses ke platform, Anda dapat melihat log di pelaporan Microsoft Azure AD atau mengintegrasikannya dengan Azure Monitor, Microsoft Sentinel, atau alat SIEM/pemantauan lainnya untuk kasus penggunaan pemantauan dan analitik yang canggih. Jika Anda menggunakan Active Directory lokal, gunakan solusi Microsoft Defender untuk Identitas untuk menggunakan sinyal Active Directory lokal Anda untuk mengidentifikasi, mendeteksi, dan menyelidiki ancaman tingkat lanjut, identitas yang disusupi, dan tindakan orang dalam berbahaya yang diarahkan ke organisasi Anda.
Integrasi Sistem SIEM
Microsoft Defender untuk Cloud dan Microsoft Sentinel terintegrasi secara native dengan server yang didukung Arc. Anda dapat mengaktifkan dan mengintegrasikan log Anda ke Microsoft Sentinel, yang menyediakan kemampuan manajemen informasi dan peristiwa keamanan (SIEM) serta respons otomatis orkestrasi keamanan (SOAR). Microsoft Sentinel, seperti layanan cloud Azure lainnya, juga mematuhi banyak standar keamanan yang mapan seperti ISO/IEC 27001, yang dapat membantu Anda dengan proses sertifikasi Anda. Selain itu, Azure Local menyediakan penerus peristiwa syslog asli untuk mengirim peristiwa sistem ke solusi SIEM pihak ketiga.
Pemantauan
Fungsionalitas pemantauan yang dijelaskan di bagian ini dapat membantu Anda dalam memenuhi kontrol keamanan berikut yang ditentukan dalam standar ISO/IEC 27001.
- 8.15 – Pengelogan
Wawasan untuk Azure Local
Wawasan untuk Azure Local memungkinkan Anda memantau informasi kesehatan, performa, dan penggunaan untuk sistem yang terhubung ke Azure dan terdaftar dalam pemantauan. Selama konfigurasi Insight, aturan pengumpulan data dibuat, yang menentukan data yang akan dikumpulkan. Data ini disimpan di ruang kerja Analitik Log, yang kemudian diagregasi, difilter, dan dianalisis untuk menyediakan dasbor pemantauan bawaan menggunakan buku kerja Azure. Anda dapat melihat data pemantauan untuk sistem simpul tunggal dan multi-simpul dari halaman sumber daya Azure Local atau Azure Monitor Anda. Pelajari selengkapnya di Memantau Azure Local dengan Insight.
Metrik untuk Azure Local
Metrik untuk Azure Local menyimpan data numerik dari sumber daya yang dipantau ke dalam database rangkaian waktu. Anda dapat menggunakan penjelajah metrik Azure Monitor untuk menganalisis data secara interaktif dalam database metrik Anda dan membuat bagan nilai beberapa metrik dari waktu ke waktu. Dengan Metrik, Anda dapat membuat bagan dari nilai metrik dan menghubungkan tren secara visual.
Log peringatan
Untuk menunjukkan masalah secara real time, siapkan pemberitahuan untuk Azure Local, menggunakan kueri log sampel yang sudah ada sebelumnya seperti CPU server rata-rata, memori yang tersedia, kapasitas volume yang tersedia, dan banyak lagi. Pelajari selengkapnya di Menyiapkan pemberitahuan untuk sistem Azure Local.
Pemberitahuan Metrik
Aturan peringatan metrik memantau sumber daya dengan mengevaluasi kondisi pada metrik sumber daya secara berkala. Jika kondisi terpenuhi, peringatan akan diaktifkan. Rangkaian waktu metrik adalah rangkaian nilai metrik yang diambil selama periode waktu tertentu. Anda dapat menggunakan metrik ini untuk membuat aturan pemberitahuan. Pelajari selengkapnya tentang cara membuat pemberitahuan metrik di Pemberitahuan metrik.
Pemberitahuan layanan dan perangkat
Azure Local menyediakan pemberitahuan berbasis layanan untuk konektivitas, pembaruan OS, konfigurasi Azure, dan lainnya. Peringatan berbasis perangkat untuk kegagalan kesehatan kluster juga tersedia. Anda juga dapat memantau instans Azure Local dan komponen yang mendasarnya menggunakan PowerShell atau Layanan Kesehatan.
Konfigurasi Aman
Fungsionalitas konfigurasi aman yang dijelaskan di bagian ini dapat membantu Anda memenuhi persyaratan kontrol keamanan ISO/IEC 27001 berikut.
- 8.8 – Manajemen kerentanan teknis
- 8.9 – Manajemen konfigurasi
Aman secara Default
Azure Local dikonfigurasi dengan aman secara default dengan alat dan teknologi keamanan yang melindungi dari ancaman modern dan selaras dengan garis besar Azure Compute Security. Pelajari selengkapnya di Mengelola default keamanan untuk Azure Local.
Perlindungan pergeseran
Konfigurasi keamanan default dan pengaturan inti yang aman dari platform dilindungi selama penyebaran dan waktu berjalan dengan perlindungan pengendalian drift. Saat diaktifkan, perlindungan kontrol penyimpangan menyegarkan pengaturan keamanan secara teratur setiap 90 menit untuk memastikan bahwa setiap perubahan dari kondisi yang telah ditentukan diperbaiki. Pemantauan berkelanjutan dan autoremediasi ini memungkinkan Anda memiliki konfigurasi keamanan yang konsisten dan andal sepanjang siklus hidup perangkat. Anda dapat menonaktifkan perlindungan penyimpangan selama penyebaran saat mengonfigurasi pengaturan keamanan.
Garis besar keamanan untuk beban kerja
Untuk beban kerja yang berjalan di Azure Local, Anda dapat menggunakan garis besar sistem operasi yang direkomendasikan Azure (untuk Windows dan Linux) sebagai tolok ukur untuk menentukan garis besar konfigurasi sumber daya komputasi Anda.
Pembaruan platform
Semua komponen Azure Local, termasuk sistem operasi, agen dan layanan inti, dan ekstensi solusi, dapat dipertahankan dengan mudah dengan Lifecycle Manager. Fitur ini memungkinkan Anda untuk menggabungkan komponen yang berbeda ke dalam rilis pembaruan dan memvalidasi kombinasi versi untuk memastikan interoperabilitas. Pelajari selengkapnya di Lifecycle Manager untuk pembaruan solusi Azure Local.
Beban kerja pelanggan tidak tercakup dalam solusi pembaruan ini.
Perlindungan terhadap ancaman
Fungsionalitas perlindungan ancaman di bagian ini dapat membantu Anda memenuhi persyaratan kontrol keamanan ISO/IEC 27001 berikut.
- 8.7 – Perlindungan terhadap malware
Antivirus Pertahanan Windows
Antivirus Pertahanan Windows adalah aplikasi utilitas yang menyediakan kemampuan untuk memberlakukan pemindaian sistem real time dan pemindaian berkala untuk melindungi platform dan beban kerja terhadap virus, malware, spyware, dan ancaman lainnya. Secara default, Antivirus Microsoft Defender diaktifkan di Azure Local. Microsoft merekomendasikan penggunaan Antivirus Microsoft Defender dengan Azure Local daripada perangkat lunak dan layanan deteksi antivirus dan malware pihak ketiga karena dapat memengaruhi kemampuan sistem operasi untuk menerima pembaruan. Pelajari selengkapnya di Antivirus Microsoft Defender di Windows Server.
Kontrol Aplikasi Pertahanan Windows (WDAC)
Kontrol Aplikasi Pertahanan Windows (WDAC) diaktifkan secara default di Azure Local untuk mengontrol driver dan aplikasi mana yang diizinkan untuk berjalan langsung di setiap komputer, membantu mencegah malware mengakses sistem. Pelajari selengkapnya tentang kebijakan dasar yang disertakan dalam Azure Local dan cara membuat kebijakan tambahan di Kontrol Aplikasi Pertahanan Windows untuk Azure Lokal.
Microsoft Defender untuk Awan
Microsoft Defender untuk Cloud dengan Perlindungan Titik Akhir (diaktifkan melalui paket Defender for Servers) menyediakan solusi manajemen keamanan dengan kemampuan perlindungan ancaman tingkat lanjut. Ini memberi Anda alat untuk menilai status keamanan infrastruktur Anda, melindungi beban kerja, meningkatkan pemberitahuan keamanan, dan mengikuti rekomendasi khusus untuk memulihkan serangan dan mengatasi ancaman di masa mendatang. Semua layanan ini dijalankan dengan kecepatan tinggi di dalam cloud tanpa beban penyebaran melalui penyediaan otomatis dan perlindungan dengan layanan dari Azure. Pelajari selengkapnya di Microsoft Defender untuk Cloud.
Cadangan dan pemulihan
Fungsionalitas pencadangan dan pemulihan yang dijelaskan di bagian ini dapat membantu Anda memenuhi persyaratan kontrol keamanan ISO/IEC 27001 berikut.
- 8.7 – Perlindungan terhadap malware
- 8.13 – Pencadangan informasi
- 8.14 – Redundansi informasi
Kluster yang memanjang
Azure Local menyediakan dukungan bawaan untuk pemulihan bencana beban kerja virtual melalui pengklusteran yang direntangkan. Dengan menyebarkan instans Azure Local yang direntangkan, Anda dapat secara sinkron mereplikasi beban kerja virtualnya di dua lokasi lokal terpisah dan secara otomatis melakukan failover di antara mereka. Failover situs yang direncanakan dapat dilakukan tanpa downtime dengan menggunakan migrasi langsung Hyper-V.
Node dalam kluster Kubernetes
Jika Anda menggunakan Azure Local untuk menghosting penyebaran berbasis kontainer, platform ini membantu Anda meningkatkan kelincahan dan ketahanan yang melekat pada penyebaran Azure Kubernetes. Azure Local mengelola pemulihan otomatis VM yang digunakan sebagai node kluster Kubernetes jika ada kegagalan lokal dari komponen fisik dasar. Konfigurasi ini melengkapi ketersediaan tinggi yang disertakan dalam Kubernetes, yang secara otomatis menghidupkan ulang kontainer yang gagal pada VM yang sama atau lain.
Pemulihan Situs Azure
Layanan ini memungkinkan Anda untuk mereplikasi beban kerja yang berjalan di Azure Local VM lokal Anda ke cloud sehingga sistem informasi Anda dapat dipulihkan jika ada insiden, kegagalan, atau hilangnya media penyimpanan. Seperti layanan cloud Azure lainnya, Azure Site Recovery memiliki rekam jejak sertifikat keamanan yang panjang termasuk HITRUST, yang dapat Anda gunakan untuk mendukung proses akreditasi Anda. Pelajari selengkapnya di Melindungi beban kerja VM dengan Azure Site Recovery di Azure Local.
Microsoft Azure Backup Server (MABS)
Layanan ini memungkinkan Anda untuk mencadangkan mesin virtual Azure Local, dengan menentukan frekuensi dan periode retensi yang Anda inginkan. Anda dapat menggunakan MABS untuk mencadangkan sebagian besar sumber daya Anda di seluruh lingkungan, termasuk:
- Status Sistem/Pemulihan Bare-Metal (BMR) Azure host lokal
- VM tamu dalam sistem yang memiliki penyimpanan lokal atau terpasang langsung
- VM tamu pada instans Lokal Azure dengan penyimpanan CSV
- Pemindahan VM dalam kluster
Pelajari selengkapnya di Mencadangkan mesin virtual Azure Lokal dengan Azure Backup Server.
Skalabilitas dan ketersediaan
Fungsionalitas skalabilitas dan ketersediaan yang dijelaskan di bagian ini dapat membantu Anda memenuhi persyaratan kontrol keamanan ISO/IEC 27001 berikut.
- 8.6 – Manajemen kapasitas
- 8.14 – Redundansi informasi
Model hiperkonvergensi
Azure Local menggunakan model Hyperconverged Storage Spaces Direct untuk menyebarkan beban kerja. Model penyebaran ini memungkinkan Anda untuk menskalakan dengan mudah dengan menambahkan simpul baru yang secara otomatis memperluas komputasi dan penyimpanan secara bersamaan dengan waktu henti nol.
Kluster failover
Instans Azure Local adalah kluster failover. Jika server yang merupakan bagian dari Azure Local gagal atau menjadi tidak tersedia, server lain di kluster failover yang sama mengambil alih tugas menyediakan layanan yang ditawarkan oleh simpul yang gagal. Anda membuat kluster failover dengan mengaktifkan Ruang Penyimpanan langsung pada beberapa komputer yang menjalankan Azure Local.