Menggabungkan praktik Zero Trust di zona pendaratan Anda

Zero Trust adalah strategi keamanan di mana Anda memasukkan produk dan layanan ke dalam desain dan implementasi Anda untuk mematuhi prinsip keamanan berikut:

• Verifikasi secara eksplisit: selalu autentikasi dan otorisasi akses berdasarkan semua titik data yang tersedia.

• Gunakan akses hak istimewa paling sedikit: batasi pengguna untuk akses yang cukup, dan gunakan alat untuk menyediakan akses just-in-time dengan pertimbangan terhadap kebijakan berbasis risiko adaptif.

• Asumsikan pelanggaran: minimalkan radius ledakan dan akses segmen, secara proaktif mencari ancaman, dan terus meningkatkan pertahanan.

Jika organisasi Anda mematuhi strategi Zero Trust, Anda harus menggabungkan tujuan penyebaran khusus Zero Trust ke dalam area desain zona pendaratan Anda. Zona pendaratan Anda adalah fondasi beban kerja Anda di Azure, jadi penting untuk menyiapkan zona pendaratan Anda untuk adopsi Zero Trust.

Artikel ini menyediakan panduan untuk mengintegrasikan praktik Zero Trust ke zona pendaratan Anda dan menjelaskan di mana kepatuhan terhadap prinsip Zero Trust memerlukan solusi di luar zona pendaratan Anda.

Pilar Zero Trust dan area desain zona pendaratan

Saat Menerapkan praktik Zero Trust di penyebaran zona pendaratan Azure, Anda harus mulai dengan mempertimbangkan panduan Zero Trust untuk setiap area desain zona pendaratan.

Untuk pertimbangan tentang merancang zona pendaratan dan panduan untuk keputusan penting di setiap area, lihat area desain zona pendaratan Azure.

Model Zero Trust memiliki pilar yang diatur berdasarkan konsep dan tujuan penyebaran. Untuk informasi selengkapnya, lihat Menyebarkan solusi Zero Trust.

Pilar ini menyediakan tujuan penyebaran tertentu yang membantu organisasi selaras dengan prinsip Zero Trust. Tujuan ini melampaui konfigurasi teknis. Misalnya, pilar jaringan memiliki tujuan penyebaran untuk segmentasi jaringan. Tujuannya tidak memberikan informasi tentang cara mengonfigurasi jaringan terisolasi di Azure tetapi sebaliknya menawarkan panduan untuk membuat pola arsitektur. Ada keputusan desain lain yang perlu dipertimbangkan ketika Anda menerapkan tujuan penyebaran.

Diagram berikut menunjukkan area desain zona pendaratan.

Tabel berikut menghubungkan pilar Zero Trust dengan area desain yang ditunjukkan dalam arsitektur.

Legenda	Area desain zona pendaratan	Pilar Zero Trust
	Penagihan Azure dan penyewa Microsoft Entra	Pilar identitas
	Pengelolaan identitas dan akses	Pilar identitas, Pilar aplikasi, Pilar data
	Organisasi sumber daya	Pilar identitas
	Pemerintahan	Visibilitas, otomatisasi, dan pilar orkestrasi
	Manajemen	Pilar titik akhir, Pilar aplikasi, Pilar data, Pilar infrastruktur
	Topologi dan konektivitas jaringan	Pilar jaringan
	Keamanan	Semua pilar Zero Trust
	Otomatisasi platform dan DevOps	Visibilitas, otomatisasi, dan pilar orkestrasi

Tidak semua tujuan penyebaran Zero Trust adalah bagian dari zona pendaratan. Banyak tujuan penyebaran Zero Trust adalah untuk merancang dan merilis beban kerja individual ke Azure.

Bagian berikut meninjau setiap pilar dan memberikan pertimbangan dan rekomendasi untuk menerapkan tujuan penyebaran.

Identitas aman

Untuk informasi tentang tujuan penyebaran untuk mengamankan identitas, lihat Mengamankan identitas dengan Zero Trust. Untuk menerapkan tujuan penyebaran ini, Anda dapat menerapkan federasi identitas, akses bersyarkat, tata kelola identitas, dan operasi data real time.

Pertimbangan identitas

• Anda dapat menggunakan implementasi referensi zona pendaratan Azure untuk menyebarkan sumber daya yang memperluas platform identitas yang ada ke Azure, dan mengelola platform identitas dengan menerapkan praktik terbaik Azure.

• Anda dapat mengonfigurasi banyak kontrol untuk praktik Zero Trust di penyewa Microsoft Entra Anda. Anda juga dapat mengontrol akses ke Microsoft 365 dan layanan cloud lainnya yang menggunakan ID Microsoft Entra.

• Anda harus merencanakan persyaratan konfigurasi di luar apa yang ada di zona pendaratan Azure Anda.

Rekomendasi identitas

• Kembangkan rencana untuk mengelola identitas di ID Microsoft Entra yang melampaui sumber daya Azure. Misalnya, Anda dapat menggunakan:

  • Federasi dengan sistem identitas lokal.
  • Kebijakan akses bersyarah.
  • Informasi pengguna, perangkat, lokasi, atau perilaku untuk otorisasi.

• Sebarkan zona pendaratan Azure Anda dengan langganan terpisah untuk sumber daya identitas, seperti pengendali domain, sehingga Anda dapat mengamankan akses ke sumber daya dengan lebih baik.

• Gunakan identitas terkelola Microsoft Entra jika memungkinkan.

Titik akhir yang aman

Untuk informasi tentang tujuan penyebaran untuk mengamankan titik akhir, lihat Mengamankan titik akhir dengan Zero Trust. Untuk menerapkan tujuan penyebaran ini, Anda dapat:

• Daftarkan titik akhir dengan penyedia identitas cloud untuk menyediakan akses ke sumber daya semata-mata melalui titik akhir dan aplikasi yang sesuai dengan cloud.

• Terapkan pencegahan kehilangan data (DLP) dan kontrol akses untuk perangkat perusahaan dan perangkat pribadi yang terdaftar dalam program bawa perangkat Anda sendiri (BYOD).

• Pantau risiko perangkat untuk autentikasi dengan deteksi ancaman titik akhir.

Pertimbangan titik akhir

• Tujuan penyebaran titik akhir adalah untuk perangkat komputasi pengguna akhir, seperti laptop, komputer desktop, dan perangkat seluler.

• Saat Mengadopsi praktik Zero Trust untuk titik akhir, Anda harus menerapkan solusi di Azure dan di luar Azure.

• Anda dapat menggunakan alat, seperti Microsoft Intune dan solusi manajemen perangkat lainnya, untuk mewujudkan tujuan penyebaran.

• Jika Anda memiliki titik akhir di Azure, seperti di Azure Virtual Desktop, Anda dapat mendaftarkan pengalaman klien di Intune, dan menerapkan kebijakan dan kontrol Azure untuk membatasi akses ke infrastruktur.

Rekomendasi titik akhir

• Kembangkan rencana untuk mengelola titik akhir dengan praktik Zero Trust, selain rencana Anda untuk menerapkan zona pendaratan Azure.

• Untuk informasi lain tentang perangkat dan server, lihat Mengamankan infrastruktur.

Aplikasi yang aman

Untuk informasi tentang tujuan penyebaran untuk mengamankan aplikasi, lihat Mengamankan aplikasi dengan Zero Trust. Untuk menerapkan tujuan penyebaran ini, Anda dapat:

• Gunakan API untuk mendapatkan visibilitas ke dalam aplikasi.

• Terapkan kebijakan untuk melindungi informasi sensitif.

• Terapkan kontrol akses adaptif.

• Batasi jangkauan IT bayangan.

Pertimbangan aplikasi

• Tujuan penyebaran untuk aplikasi berfokus pada pengelolaan aplikasi pihak ketiga dan pihak pertama di organisasi Anda.

• Tujuannya tidak mengatasi pengamanan infrastruktur aplikasi. Sebaliknya, mereka mengatasi pengamanan konsumsi aplikasi, terutama aplikasi cloud.

• Praktik zona pendaratan Azure tidak menyediakan kontrol terperinci untuk tujuan aplikasi. Kontrol ini dikonfigurasi sebagai bagian dari konfigurasi aplikasi.

Rekomendasi aplikasi

• Gunakan aplikasi Microsoft Defender untuk Cloud untuk mengelola akses ke aplikasi.

• Gunakan kebijakan standar yang disertakan dalam Defender untuk Cloud Apps untuk menegakkan praktik Anda.

• Kembangkan rencana untuk onboarding aplikasi Anda ke praktik Anda untuk akses aplikasi. Jangan percaya aplikasi yang dihosting organisasi Anda lebih dari yang Anda percayai aplikasi pihak ketiga.

Melindungi data

Untuk informasi tentang tujuan penyebaran untuk mengamankan data, lihat Mengamankan data dengan Zero Trust. Untuk menerapkan tujuan ini, Anda dapat:

• Mengklasifikasikan dan memberi label data.
• Aktifkan kontrol akses.
• Menerapkan perlindungan kehilangan data.

Untuk informasi tentang pengelogan dan pengelolaan sumber daya data, lihat Implementasi referensi zona pendaratan Azure.

Pendekatan Zero Trust melibatkan kontrol ekstensif untuk data. Dari titik siaga implementasi, Microsoft Purview menyediakan alat untuk tata kelola data, perlindungan, dan manajemen risiko. Anda dapat menggunakan Microsoft Purview sebagai bagian dari penyebaran analitik skala cloud untuk memberikan solusi yang dapat Anda terapkan dalam skala besar.

Pertimbangan data

• Sesuai dengan prinsip demokratisasi langganan zona pendaratan, Anda dapat membuat akses dan isolasi jaringan untuk sumber daya data, dan juga menetapkan praktik pengelogan.

  Ada kebijakan dalam implementasi referensi untuk pengelogan dan pengelolaan sumber daya data.

• Anda memerlukan kontrol lain di luar mengamankan sumber daya Azure untuk memenuhi tujuan penyebaran. Keamanan data Zero Trust melibatkan mengklasifikasikan data, melabelinya untuk sensitivitas, dan mengontrol akses data. Ini juga memperluas di luar database dan sistem file. Anda perlu mempertimbangkan cara melindungi data di Microsoft Teams, Grup Microsoft 365, dan SharePoint.

Rekomendasi Data

• Microsoft Purview menyediakan alat untuk tata kelola data, perlindungan, dan manajemen risiko.

• Terapkan Microsoft Purview sebagai bagian dari penyebaran analitik skala cloud untuk mengimplementasikan beban kerja Anda dalam skala besar.

Infrastruktur aman

Untuk informasi tentang tujuan penyebaran untuk mengamankan infrastruktur, lihat Mengamankan infrastruktur dengan Zero Trust. Untuk menerapkan tujuan ini, Anda dapat:

• Memantau perilaku abnormal dalam beban kerja.
• Mengelola identitas infrastruktur.
• Batasi akses manusia.
• Segmentasikan sumber daya.

Pertimbangan infrastruktur

• Tujuan penyebaran infrastruktur meliputi:

  • Mengelola sumber daya Azure.
  • Mengelola lingkungan sistem operasi.
  • Mengakses sistem.
  • Menerapkan kontrol khusus beban kerja.

• Anda dapat menggunakan model langganan zona pendaratan untuk membuat batas keamanan yang jelas ke sumber daya Azure, dan menetapkan izin terbatas sesuai kebutuhan di tingkat sumber daya.

• Organisasi perlu mengatur beban kerja mereka untuk manajemen.

Rekomendasi infrastruktur

• Gunakan kebijakan zona pendaratan Azure standar untuk memblokir penyebaran dan sumber daya yang tidak patuh, dan untuk menerapkan pola pengelogan.

• Konfigurasikan Privileged Identity Management di MICROSOFT Entra ID untuk menyediakan akses just-in-time ke peran yang sangat istimewa.

• Konfigurasikan akses just-in-time di Defender untuk Cloud untuk zona pendaratan Anda guna membatasi akses ke komputer virtual.

• Buat rencana untuk memantau dan mengelola beban kerja individual yang disebarkan di Azure.

Jaringan aman

Untuk informasi tentang tujuan penyebaran untuk mengamankan jaringan, lihat Mengamankan jaringan dengan Zero Trust. Untuk menerapkan tujuan ini, Anda dapat:

• Menerapkan segmentasi jaringan.
• Gunakan pemfilteran cloud-native.
• Terapkan hak istimewa akses paling sedikit.

Pertimbangan jaringan

• Untuk memastikan bahwa sumber daya platform Anda mendukung model keamanan Zero Trust, Anda harus menyebarkan firewall yang mampu memeriksa lalu lintas HTTPS dan mengisolasi identitas dan sumber daya jaringan manajemen dari hub pusat.

• Selain sumber daya jaringan dalam langganan konektivitas, Anda perlu membuat rencana ke beban kerja individual segmen mikro di jaringan virtual spoke mereka. Misalnya, Anda dapat menentukan pola lalu lintas dan membuat kelompok keamanan jaringan terperinci untuk setiap jaringan beban kerja.

Rekomendasi jaringan

• Gunakan panduan penyebaran khusus Zero Trust berikut untuk menyebarkan zona pendaratan Azure Anda:

  • Penyebaran akselerator portal zona pendaratan Azure dengan prinsip jaringan Zero Trust
  • Menyebarkan jaringan dengan prinsip jaringan Zero Trust
  • Penyebaran Terraform zona pendaratan Azure dengan prinsip jaringan Zero Trust

• Untuk informasi tentang cara menerapkan prinsip Zero Trust ke pengiriman aplikasi, lihat Jaringan Zero Trust untuk aplikasi web.

• Untuk informasi tentang cara membuat paket untuk jaringan beban kerja, lihat Rencana penyebaran Zero Trust dengan Azure.

Visibilitas, otomatisasi, dan orkestrasi

Untuk informasi tentang tujuan penyebaran untuk visibilitas, otomatisasi, dan orkestrasi, lihat Visibilitas, otomatisasi, dan orkestrasi dengan Zero Trust. Untuk menerapkan tujuan ini, Anda dapat:

• Bangun visibilitas.
• Aktifkan automasi.
• Aktifkan kontrol tambahan dengan mempraktikkan peningkatan berkelanjutan.

Pertimbangan visibilitas, otomatisasi, dan orkestrasi

• Implementasi referensi zona pendaratan Azure berisi penyebaran Microsoft Sentinel yang dapat Anda gunakan untuk membangun visibilitas dengan cepat di lingkungan Azure Anda.

• Implementasi referensi menyediakan kebijakan untuk pengelogan Azure, tetapi integrasi tambahan diperlukan untuk layanan lain.

• Anda harus mengonfigurasi alat otomatisasi, seperti Azure DevOps dan GitHub, untuk mengirim sinyal.

Rekomendasi visibilitas, otomatisasi, dan orkestrasi

• Sebarkan Microsoft Azure Sentinel sebagai bagian dari zona arahan Azure Anda.

• Buat rencana untuk mengintegrasikan sinyal dari ID Microsoft Entra dan alat ke Microsoft 365 ke ruang kerja Microsoft Azure Sentinel Anda.

• Buat rencana untuk melakukan latihan perburuan ancaman dan peningkatan keamanan berkelanjutan.

Langkah berikutnya

• Keamanan dalam Microsoft Cloud Adoption Framework untuk Azure
• Menerapkan prinsip Zero Trust ke layanan Azure
• Mengevaluasi postur keamanan Zero Trust Anda