Praktik terbaik keamanan Azure

Artikel ini menjelaskan praktik terbaik keamanan yang direkomendasikan, yang didasarkan pada pelajaran yang dipelajari oleh pelanggan dan dari pengalaman di lingkungan kita sendiri.

Untuk presentasi video, lihat praktik terbaik untuk keamanan Azure.

1. Orang: Mendidik tim tentang perjalanan keamanan cloud

Tim perlu memahami perjalanan yang mereka jalani.

Apa?

Mendidik tim keamanan dan TI Anda tentang perjalanan keamanan cloud dan perubahan yang akan mereka navigasikan, termasuk:

  • Ancaman di cloud
  • Model tanggung jawab bersama dan bagaimana dampaknya terhadap keamanan
  • Perubahan pada budaya dan peran dan tanggung jawab yang biasanya datang dengan adopsi cloud

Mengapa?

Keamanan cloud memerlukan pergeseran pola pikir dan pendekatan. Meskipun hasil yang diberikan keamanan kepada organisasi tidak berubah, cara terbaik untuk mencapai hasil ini di cloud dapat berubah secara signifikan.

Transisi ke cloud mirip dengan pindah dari rumah yang berdiri sendiri ke gedung apartemen bertingkat tinggi. Anda masih memiliki infrastruktur dasar, seperti pipa ledeng dan listrik, dan melakukan kegiatan serupa, seperti bersosialisasi, memasak, TV dan internet, dan sebagainya. Namun, seringkali ada cukup perbedaan dalam apa yang datang dengan bangunan, siapa yang menyediakan dan memeliharanya, dan rutinitas harian Anda.

Siapa?

Semua orang di organisasi keamanan dan TI dengan tanggung jawab keamanan apa pun, dari CIO atau CISO hingga praktisi teknis, harus terbiasa dengan perubahan tersebut.

Bagaimana?

Menyediakan tim konteks yang diperlukan untuk berhasil menyebarkan dan beroperasi selama transisi ke lingkungan cloud.

Microsoft telah menerbitkan pelajaran berikut ini yang telah dipelajari pelanggan dan organisasi TI dalam perjalanan mereka ke cloud.

Untuk informasi selengkapnya, lihat peran, tanggung jawab, dan akuntabilitas Azure Security Benchmark.

2. Orang: Mendidik tim tentang teknologi keamanan cloud

Orang-orang perlu memahami ke mana mereka akan pergi.

Apa?

Pastikan tim Anda memiliki waktu yang disisihkan untuk pendidikan teknis dalam mengamankan sumber daya cloud, termasuk:

  • Teknologi cloud dan teknologi keamanan cloud
  • Konfigurasi dan praktik terbaik yang direkomendasikan
  • Di mana untuk mempelajari lebih banyak detail teknis

Mengapa?

Tim teknis memerlukan akses ke informasi teknis untuk membuat keputusan keamanan yang tepat. Tim teknis pandai mempelajari teknologi baru di tempat kerja, tetapi volume detail di cloud sering melebihi kemampuan mereka untuk menyesuaikan pembelajaran ke dalam rutinitas sehari-hari mereka.

Sisihkan waktu khusus untuk pembelajaran teknis. Pembelajaran membantu memastikan bahwa orang memiliki waktu untuk membangun kepercayaan diri dalam kemampuan mereka untuk menilai keamanan cloud. Ini membantu mereka memikirkan cara menyesuaikan keterampilan dan proses yang ada.

Siapa?

Semua peran keamanan dan TI yang berinteraksi langsung dengan teknologi cloud harus mendedikasikan waktu untuk pembelajaran teknis di platform cloud dan cara mengamankannya.

Keamanan, manajer teknis TI, dan manajer proyek dapat mengembangkan keakraban dengan beberapa detail teknis untuk mengamankan sumber daya cloud. Keakraban ini membantu mereka lebih efektif memimpin dan mengkoordinasikan inisiatif cloud.

Bagaimana?

Pastikan bahwa profesional keamanan teknis memiliki waktu yang disisihkan untuk pelatihan mandiri tentang cara mengamankan aset cloud. Meskipun tidak selalu layak, berikan akses ke pelatihan formal dengan instruktur berpengalaman dan laboratorium langsung.

Penting

Protokol identitas sangat penting untuk kontrol akses di cloud, tetapi sering kali tidak diprioritaskan dalam keamanan lokal. Tim keamanan harus fokus pada pengembangan keakraban dengan protokol dan log ini.

Microsoft menyediakan sumber daya yang luas untuk membantu profesional teknis meningkatkan kemampuan mereka. Sumber daya ini meliputi:

3. Proses: Menetapkan akuntabilitas untuk keputusan keamanan cloud

Keputusan keamanan tidak akan dibuat jika tidak ada yang bertanggung jawab untuk membuatnya.

Apa?

Pilih siapa yang bertanggung jawab untuk membuat setiap jenis keputusan keamanan untuk lingkungan Azure perusahaan.

Mengapa?

Kepemilikan yang jelas atas keputusan keamanan mempercepat adopsi cloud dan meningkatkan keamanan. Kurangnya kepemilikan biasanya menciptakan gesekan karena tidak ada yang merasa diberdayakan untuk membuat keputusan. Tidak ada yang tahu siapa yang harus meminta keputusan dan tidak ada yang diberi insentif untuk meneliti keputusan yang terinformasi dengan baik. Gesekan sering menghambat:

  • Tujuan bisnis
  • Garis waktu pengembang
  • Tujuan TI
  • Jaminan keamanan

Gesekan dapat mengakibatkan:

  • Proyek macet yang menunggu persetujuan keamanan
  • Penyebaran tidak aman yang tidak bisa menunggu persetujuan keamanan

Siapa?

Kepemimpinan keamanan memilih tim atau individu mana yang bertanggung jawab untuk membuat keputusan keamanan tentang cloud.

Bagaimana?

Pilih grup atau individu yang akan bertanggung jawab untuk membuat keputusan keamanan utama.

Dokumentasikan pemilik ini, informasi kontak mereka, dan sosialisasikan informasi secara luas dalam tim keamanan, TI, dan cloud. Sosialisasi memastikan bahwa mudah bagi semua peran untuk menghubungi mereka.

Area-area ini biasanya di mana keputusan keamanan diperlukan. Tabel berikut ini menunjukkan kategori keputusan, deskripsi kategori, dan tim mana yang sering membuat keputusan.

Keputusan Deskripsi Tim tipikal
Network security Mengonfigurasi dan memelihara Azure Firewall, appliance virtual jaringan dan perutean terkait, Web Application Firewalls (WAF), NSG, ASG, dan sebagainya. Tim infrastruktur dan keamanan titik akhir berfokus pada keamanan jaringan
Manajemen jaringan Kelola alokasi jaringan virtual dan subnet di seluruh perusahaan. Tim operasi jaringan yang ada dalam operasi IT pusat
Keamanan titik Akhir server Memantau dan memulihkan keamanan server (patching, konfigurasi, keamanan titik akhir). Operasi TI pusat dan infrastruktur dan tim keamanan titik akhir secara bersama-sama
Pemantauan dan respons insiden Selidiki dan perbaiki insiden keamanan di SIEM atau konsol sumber, termasuk Microsoft Defender untuk Cloud, perlindungan identitas Azure AD, dan sebagainya. Tim operasi keamanan
Manajemen kebijakan Atur arah untuk penggunaan kontrol akses berbasis peran Azure (Azure RBAC), Defender for Cloud, strategi perlindungan administrator, dan Azure Policy untuk mengatur sumber daya Azure. Tim arsitektur kebijakan dan standar dan keamanan secara bersama-sama
Keamanan dan standar identitas Mengatur arah untuk direktori Azure AD, penggunaan PIM/pam, MFA, konfigurasi kata sandi/sinkronisasi, standar identitas aplikasi. Manajemen identitas dan kunci, kebijakan dan standar, serta tim arsitektur keamanan secara bersama-sama

Catatan

  • Memastikan pengambil keputusan memiliki pendidikan yang tepat di area cloud mereka untuk mendampingi tanggung jawab ini.
  • Memastikan keputusan didokumentasikan dalam kebijakan dan standar untuk memberikan rekaman dan memandu organisasi dalam jangka panjang.

4. Proses: Memperbarui proses respons insiden untuk cloud

Rencana ke depan. Anda tidak punya waktu untuk merencanakan krisis selama krisis.

Apa?

Bersiaplah untuk insiden keamanan di platform cloud Azure Anda. Persiapan ini meliputi alat deteksi ancaman asli yang telah Anda adopsi. Perbarui proses, persiapkan tim Anda, dan berlatih dengan simulasi serangan sehingga mereka dapat bekerja sebaik mungkin selama penyelidikan insiden, remediasi, dan perburuan ancaman.

Mengapa?

Penyerang aktif menghadirkan risiko langsung bagi organisasi. Situasinya bisa dengan cepat menjadi sulit dikendalikan. Merespons dengan cepat dan efektif terhadap serangan. Proses respons insiden (IR) ini harus efektif untuk seluruh estat Anda, termasuk semua platform cloud yang menghosting data, sistem, dan akun perusahaan.

Meskipun serupa dalam banyak hal, platform cloud berbeda secara teknis dari sistem lokal. Sistem lokal dapat merusak proses yang ada, biasanya karena informasi tersedia dalam bentuk yang berbeda. Analis keamanan mungkin memiliki tantangan dengan cepat menanggapi lingkungan yang tidak dikenal yang dapat memperlambat mereka. Pernyataan ini terutama berlaku jika hanya dilatih pada arsitektur lokal klasik dan pendekatan forensik jaringan/disk.

Siapa?

Modernisasi proses IR biasanya dipimpin oleh operasi keamanan. Upaya ini sering datang dengan dukungan dari grup lain untuk pengetahuan dan keahlian.

  • Sponsor: Direktur operasi keamanan atau yang setara biasanya mensponsori modernisasi proses.

  • Eksekusi: Mengadaptasi proses yang ada, atau menulisnya untuk pertama kalinya, adalah upaya kolaboratif yang melibatkan:

    • Operasi keamanan: Tim manajemen insiden atau kepemimpinan memimpin pembaruan proses dan integrasi kepada pemangku kepentingan eksternal kunci. Tim-tim ini termasuk tim hukum dan komunikasi atau hubungan masyarakat.
    • Operasi keamanan: Analis keamanan memberikan keahlian dalam penyelidikan dan triase insiden teknis.
    • Operasi TI pusat: Tim ini memberikan keahlian pada platform cloud secara langsung, melalui pusat keunggulan cloud, atau melalui konsultan eksternal.

Bagaimana?

Perbarui proses dan siapkan tim Anda sehingga mereka tahu apa yang harus dilakukan ketika mereka menemukan penyerang aktif.

  • Proses dan playbook: Sesuaikan proses investigasi, remediasi, dan perburuan ancaman yang ada dengan perbedaan cara kerja platform cloud. Perbedaannya termasuk alat yang baru atau berbeda, sumber data, protokol identitas, dan sebagainya.
  • Pendidikan: Mendidik analis tentang transformasi cloud secara keseluruhan, detail teknis tentang cara kerja platform, dan proses yang baru atau diperbarui. Informasi ini memungkinkan mereka tahu apa yang mungkin berubah dan ke mana harus pergi untuk apa yang mereka butuhkan.
  • Area fokus utama: Meskipun ada banyak detail yang dijelaskan dalam tautan sumber daya, area ini adalah tempat untuk memfokuskan upaya pendidikan dan perencanaan Anda:
    • Model tanggung jawab bersama dan arsitektur cloud: Bagi analis keamanan, Azure adalah pusat data yang ditentukan perangkat lunak yang menyediakan banyak layanan. Layanan ini mencakup VM dan lainnya yang berbeda dari lokal, seperti Azure SQL Database Azure Functions. Data terbaik ada di log layanan atau layanan deteksi ancaman khusus. Ini tidak ada dalam log untuk OS/mesin virtual yang mendasarinya, yang dioperasikan oleh Microsoft dan melayani banyak pelanggan. Analis perlu memahami dan mengintegrasikan konteks ini ke dalam alur kerja sehari-hari mereka. Dengan begitu mereka tahu data apa yang diharapkan, di mana mendapatkannya, dan dalam format apa.
    • Sumber data titik akhir: Mendapatkan wawasan dan data untuk serangan dan malware di server yang dihosting cloud sering kali lebih cepat, lebih mudah, dan lebih tepat dengan alat deteksi cloud asli. Alat seperti Microsoft Defender untuk Cloud dan solusi deteksi dan respons titik akhir (EDR) memberikan data yang lebih tepat daripada pendekatan tradisional akses disk langsung. Forensik disk langsung tersedia untuk skenario di mana itu mungkin dan diperlukan untuk proses hukum. Untuk informasi selengkapnya, lihat forensik komputer di Azure. Namun, seringkali, pendekatan ini adalah cara yang paling tidak efisien untuk mendeteksi dan menyelidiki serangan.
    • Sumber data jaringan dan identitas: Banyak fungsi platform cloud terutama menggunakan identitas untuk kontrol akses. Kontrol akses ini mencakup akses ke portal Microsoft Azure, meskipun kontrol akses jaringan juga digunakan secara luas. Kontrol akses ini mengharuskan analis untuk mengembangkan pemahaman tentang protokol identitas cloud untuk mendapatkan gambaran lengkap dan kaya tentang aktivitas penyerang dan aktivitas pengguna yang sah untuk mendukung penyelidikan dan remediasi insiden. Direktori identitas dan protokol berbeda dari yang ada di lokal. Mereka biasanya didasarkan pada SAML, OAuth, dan OpenID Connect dan direktori cloud daripada LDAP, Kerberos, NTLM, dan Active Directory.
    • Latihan praktik: Serangan dan respons yang disimulasikan dapat membantu membangun memori otot organisasi dan kesiapan teknis. Mereka menyediakan persiapan untuk analis keamanan Anda, pemburu ancaman, manajer insiden, dan pemangku kepentingan lainnya di organisasi Anda. Pembelajaran di tempat kerja dan beradaptasi adalah bagian alami dari respons insiden, tetapi Anda dapat bekerja untuk mengecilkan seberapa banyak Anda harus belajar dalam krisis.

Sumber daya kunci

Untuk informasi selengkapnya, lihat proses respons insiden Azure Security Benchmark untuk Azure.

5. Proses: Menetapkan manajemen postur keamanan

Pertama, kenali diri Anda sendiri.

Apa?

Pastikan Anda secara aktif mengelola postur keamanan lingkungan Azure Anda dengan:

  • Menetapkan kepemilikan tanggung jawab yang jelas untuk:
    • Memantau postur keamanan
    • Mengurangi risiko terhadap aset
  • Mengotomatiskan dan menyederhanakan tugas-tugas ini

Mengapa?

Mengidentifikasi dan memulihkan risiko kebersihan keamanan umum secara cepat secara signifikan mengurangi risiko organisasi.

Sifat pusat data cloud yang ditentukan perangkat lunak memungkinkan pemantauan berkelanjutan terhadap risiko keamanan, seperti kerentanan perangkat lunak atau kesalahan konfigurasi keamanan, dengan instrumentasi aset yang luas. Kecepatan di mana pengembang dan tim TI dapat menyebarkan mesin virtual, database, dan sumber daya lainnya menciptakan kebutuhan untuk memastikan sumber daya dikonfigurasi dengan aman dan dipantau secara aktif.

Kemampuan baru ini menawarkan kemungkinan baru, tetapi menyadari nilai dari mereka membutuhkan tanggung jawab untuk menggunakannya. Mengeksekusi secara konsisten dengan operasi cloud yang berkembang pesat membutuhkan proses manusia sesederhana dan seotomatis mungkin. Lihat prinsip keamanan "drive simplicity".

Catatan

Tujuan penyederhanaan dan otomatisasi bukan tentang menyingkirkan pekerjaan, tetapi tentang menghilangkan beban tugas berulang dari orang-orang sehingga mereka dapat fokus pada aktivitas manusia yang bernilai lebih tinggi seperti terlibat dengan dan mendidik tim TI dan DevOps.

Siapa?

Praktek ini biasanya dibagi menjadi dua set tanggung jawab:

  • Manajemen postur keamanan: Fungsi ini sering merupakan evolusi dari fungsi manajemen kerentanan atau tata kelola yang ada. Hasilnya termasuk memantau postur keamanan secara keseluruhan menggunakan skor aman Microsoft Defender for Cloud dan sumber data lainnya. Ini termasuk secara aktif bekerja dengan pemilik sumber daya untuk mengurangi risiko dan melaporkan risiko kepada kepemimpinan keamanan.

  • Remediasi keamanan: Tetapkan akuntabilitas untuk mengatasi risiko ini kepada tim yang bertanggung jawab untuk mengelola sumber daya tersebut. Akuntabilitas ini milik tim DevOps yang mengelola sumber daya aplikasi mereka sendiri atau tim khusus teknologi dalam operasi IT pusat:

    • Sumber daya komputasi dan aplikasi
      • Layanan aplikasi: Tim pengembangan dan keamanan aplikasi
      • Kontainer: Pengembangan aplikasi atau infrastruktur/operasi IT
      • VM, set skala, komputasi: operasi IT/infrastruktur
    • Sumber daya data dan penyimpanan
      • SQL, Redis, Data Lake Analytics, penyimpanan data lake: Tim database
      • Akun penyimpanan: Tim penyimpanan dan infrastruktur
    • Sumber daya identitas dan akses
      • Langganan: Tim identitas
      • Brankas kunci: Tim keamanan identitas atau informasi/data
    • Sumber daya jaringan: Tim keamanan jaringan
    • Keamanan IoT: Tim operasi IoT

Bagaimana?

Keamanan adalah tugas semua orang. Namun, tidak semua orang tahu betapa pentingnya hal itu, apa yang harus dilakukan, dan bagaimana melakukannya.

  • Mintalah pertanggungjawaban pemilik sumber daya atas risiko keamanan seperti halnya mereka bertanggung jawab atas ketersediaan, performa, biaya, dan faktor keberhasilan lainnya.
  • Mendukung pemilik sumber daya dengan pemahaman yang jelas tentang mengapa risiko keamanan penting bagi aset mereka, apa yang dapat mereka lakukan untuk mengurangi risiko, dan bagaimana menerapkannya dengan kerugian produktivitas minimal.

Penting

Penjelasan mengapa, apa, dan bagaimana mengamankan sumber daya seringkali serupa di berbagai jenis sumber daya dan aplikasi, tetapi sangat penting untuk menghubungkan ini dengan apa yang sudah diketahui dan dipedulikan oleh setiap tim. Tim keamanan dapat terlibat dengan rekan-rekan TI dan DevOps mereka sebagai penasihat dan mitra tepercaya yang berfokus untuk memungkinkan tim ini menjadi sukses.

Tooling: Skor aman di Microsoft Defender untuk Cloud memberikan penilaian informasi keamanan terpenting di Azure untuk berbagai aset. Penilaian ini dapat menjadi titik awal Anda pada manajemen postur dan dapat dilengkapi dengan kebijakan Azure kustom dan mekanisme lain sesuai kebutuhan.

Frekuensi: Siapkan irama reguler (biasanya bulanan) untuk meninjau skor aman dan rencanakan inisiatif dengan tujuan peningkatan spesifik. Frekuensi dapat ditingkatkan sesuai kebutuhan.

Tip

Gamify kegiatan jika memungkinkan untuk meningkatkan keterlibatan, seperti menciptakan kompetisi menyenangkan dan hadiah untuk tim DevOps yang paling meningkatkan skor mereka.

Untuk informasi selengkapnya, lihat strategi manajemen postur keamanan Azure Security Benchmark.

6. Teknologi: Memerlukan autentikasi tanpa kata sandi atau multifaktor

Apakah Anda bersedia bertaruh keamanan bisnis Anda bahwa penyerang profesional tidak dapat menebak atau mencuri kata sandi administrator Anda?

Apa?

Mengharuskan semua admin berdampak kritis untuk menggunakan autentikasi tanpa kata sandi atau multifaktor.

Mengapa?

Sama seperti kunci kerangka antik tidak akan melindungi rumah dari pencuri hari modern, kata sandi tidak dapat melindungi akun dari serangan umum. Untuk detail teknis, lihat Pa$$word Anda tidak masalah.

Autentikasi multifaktor dulunya merupakan langkah ekstra yang memberatkan. Pendekatan tanpa kata sandi saat ini meningkatkan cara pengguna masuk menggunakan pendekatan biometrik seperti pengenalan wajah di perangkat Windows Hello dan perangkat seluler. Selain itu, pendekatan zero trust mengingat perangkat tepercaya. Metode ini mengurangi permintaan untuk mengganggu tindakan autentikasi multifaktor out-of-band yang mengganggu. Untuk informasi selengkapnya, lihat frekuensi masuk pengguna.

Siapa?

Kata sandi dan inisiatif multifaktor biasanya dipimpin oleh identitas dan manajemen kunci atau arsitektur keamanan.

Bagaimana?

Autentikasi tanpa kata sandi atau multifaktor untuk admin Latih administrator tentang cara menggunakannya saat mereka membutuhkannya, dan mengharuskan admin untuk mengikuti dengan menggunakan kebijakan tertulis. Gunakan satu atau beberapa teknologi ini:

Catatan

Autentikasi multifaktor berbasis pesan teks sekarang relatif murah bagi penyerang untuk dilewati, jadi fokuslah pada autentikasi multifaktor tanpa kata sandi dan lebih kuat.

Untuk informasi selengkapnya, lihat kontrol autentikasi kuat Azure Security Benchmark untuk semua akses berbasis Azure AD.

7. Teknologi: Mengintegrasikan firewall asli dan keamanan jaringan

Menyederhanakan perlindungan sistem dan data terhadap serangan jaringan.

Apa?

Sederhanakan strategi dan pemeliharaan keamanan jaringan Anda dengan mengintegrasikan Azure Firewall, firewall aplikasi web Azure (WAF), dan mitigasi penolakan layanan terdistribusi (DDoS) ke dalam pendekatan keamanan jaringan Anda.

Mengapa?

Kesederhanaan sangat penting untuk keamanan karena mengurangi kemungkinan risiko dari kebingungan, kesalahan konfigurasi, dan kesalahan manusia lainnya. Lihat prinsip keamanan "kesederhanaan drive".

Firewall dan WAFs adalah kontrol keamanan dasar yang penting untuk melindungi aplikasi dari lalu lintas berbahaya, tetapi pengaturan dan pemeliharaannya dapat menjadi rumit dan menghabiskan sejumlah besar waktu dan perhatian tim keamanan (mirip dengan menambahkan suku cadang aftermarket khusus ke mobil). Kemampuan asli Azure dapat menyederhanakan implementasi dan pengoperasian firewall, firewall aplikasi web, mitigasi penolakan layanan terdistribusi (DDoS), dan banyak lagi.

Praktik ini dapat membebaskan waktu dan perhatian tim Anda untuk tugas keamanan nilai yang lebih tinggi seperti:

  • Mengevaluasi keamanan layanan Azure
  • Mengotomatiskan operasi keamanan
  • Mengintegrasikan keamanan dengan aplikasi dan solusi TI

Siapa?

  • Sponsor: Kepemimpinan keamanan atau kepemimpinan TI biasanya mensponsori pembaruan strategi keamanan jaringan.
  • Eksekusi: Mengintegrasikan strategi ke dalam strategi keamanan jaringan cloud Anda adalah upaya kolaboratif yang melibatkan:
    • Arsitektur keamanan: Bangun arsitektur keamanan jaringan cloud dengan jaringan cloud dan prospek keamanan jaringan cloud.
    • Jaringan cloud memimpin operasi TI pusat dan keamanan Cloud Network memimpin tim keamanan infrastruktur
      • Bangun arsitektur keamanan jaringan cloud dengan arsitek keamanan.
      • Konfigurasikan kemampuan firewall, NSG, dan WAF dan bekerja dengan arsitek aplikasi pada aturan WAF.
    • Arsitek aplikasi: Bekerja dengan keamanan jaringan untuk membangun dan memperbaiki set aturan WAF dan konfigurasi DDoS untuk melindungi aplikasi tanpa mengganggu ketersediaan

Bagaimana?

Organisasi yang ingin menyederhanakan operasi mereka memiliki dua opsi:

  • Memperluas kemampuan dan arsitektur yang ada: Banyak organisasi sering memilih untuk memperluas penggunaan kemampuan firewall yang ada sehingga mereka dapat memanfaatkan investasi yang ada ke dalam keterampilan dan integrasi proses, terutama saat mereka pertama kali mengadopsi cloud.
  • Menganut kontrol keamanan asli: Semakin banyak organisasi mulai lebih suka menggunakan kontrol asli untuk menghindari kompleksitas mengintegrasikan kemampuan pihak ketiga. Organisasi-organisasi ini biasanya berusaha menghindari risiko kesalahan konfigurasi dalam penyeimbangan beban, rute yang ditentukan pengguna, firewall atau WAF itu sendiri, dan keterlambatan handoff antara tim teknis yang berbeda. Opsi ini menarik bagi organisasi yang menganut infrastruktur sebagai pendekatan kode karena mereka dapat mengotomatisasi dan melengkapi kemampuan bawaan lebih mudah daripada kemampuan pihak ketiga.

Dokumentasi tentang kemampuan keamanan jaringan asli Azure dapat ditemukan di:

Azure Marketplace mencakup banyak penyedia firewall pihak ketiga.

Untuk informasi selengkapnya, lihat perlindungan Tolok Ukur Keamanan Azure dari serangan jaringan eksternal.

8. Teknologi: Integrasikan deteksi ancaman asli

Sederhanakan deteksi dan respons serangan terhadap sistem dan data Azure.

Apa?

Sederhanakan strategi deteksi dan respons ancaman Anda dengan menggabungkan kemampuan deteksi ancaman asli ke dalam operasi keamanan dan SIEM Anda.

Mengapa?

Tujuan operasi keamanan adalah untuk mengurangi dampak penyerang aktif yang mendapatkan akses ke lingkungan. Dampaknya diukur dengan mean time to acknowledge (MTTA) dan remediate (MTTR). Praktik ini membutuhkan akurasi dan kecepatan dalam semua elemen respons insiden. Hasilnya membantu memastikan kualitas alat dan efisiensi eksekusi proses adalah yang terpenting.

Sulit untuk mendapatkan deteksi ancaman tinggi menggunakan alat dan pendekatan yang ada. Alat dan pendekatan dirancang untuk deteksi ancaman lokal karena perbedaan teknologi cloud dan kecepatan perubahannya yang cepat. Deteksi terintegrasi asli menyediakan solusi skala industri yang dikelola oleh penyedia cloud yang dapat mengikuti ancaman saat ini dan perubahan platform cloud.

Solusi asli ini memungkinkan tim operasi keamanan untuk fokus pada penyelidikan insiden dan remediasi. Fokus pada item tersebut daripada membuang-buang waktu dengan membuat peringatan dari data log yang tidak dikenal, mengintegrasikan alat, dan tugas pemeliharaan.

Siapa?

Biasanya didorong oleh tim operasi keamanan.

  • Sponsor: Pekerjaan ini biasanya disponsori oleh direktur operasi keamanan atau peran yang setara.
  • Eksekusi: Mengintegrasikan deteksi ancaman asli adalah upaya kolaboratif yang melibatkan solusi tersebut dengan:
    • Operasi keamanan: Integrasikan peringatan ke dalam SIEM dan proses investigasi insiden. Operasi keamanan dapat mendidik analis tentang peringatan cloud dan apa artinya, dan cara menggunakan alat cloud asli.
    • Persiapan insiden: Integrasikan insiden cloud ke dalam latihan praktik dan pastikan latihan dilakukan untuk mendorong kesiapan tim.
    • Inteligensi ancaman: Penelitian dan mengintegrasikan informasi tentang serangan cloud untuk memberi tahu tim dengan konteks dan intelijen.
    • Arsitektur keamanan: Integrasikan alat asli ke dalam dokumentasi arsitektur keamanan.
    • Kebijakan dan standar: Tetapkan standar dan kebijakan untuk mengaktifkan alat asli di seluruh organisasi. Memantau kepatuhan.
    • Infrastruktur dan titik akhir dan Operasi IT Pusat: Mengonfigurasi dan mengaktifkan deteksi, terintegrasi ke dalam otomatisasi dan infrastruktur sebagai solusi kode.

Bagaimana?

Aktifkan deteksi ancaman di Microsoft Defender untuk Cloud untuk semua sumber daya yang Anda gunakan dan minta setiap tim mengintegrasikan sumber daya ini ke dalam prosesnya seperti yang dijelaskan di atas.

Untuk informasi selengkapnya, lihat deteksi ancaman Azure Security Benchmark untuk sumber daya Azure.

9. Arsitektur: Standardisasi pada direktori dan identitas tunggal

Tidak ada yang mau berurusan dengan banyak identitas dan direktori.

Apa?

Standardisasi pada direktori Azure AD tunggal Anda dapat menstandardisasi identitas tunggal untuk setiap aplikasi dan pengguna di Azure.

Catatan

Praktik terbaik ini secara khusus mengacu pada sumber daya perusahaan. Untuk akun mitra, gunakan Azure AD B2B sehingga Anda tidak harus membuat dan memelihara akun di direktori Anda. Untuk akun pelanggan atau warga negara, gunakan Azure AD B2C untuk mengelolanya.

Mengapa?

Beberapa akun dan direktori identitas membuat gesekan yang tidak perlu, yang menciptakan kebingungan dalam alur kerja harian untuk:

  • Pengguna produktivitas
  • Pengembang
  • Admin TI dan identitas
  • Analis keamanan
  • Peran lainnya.

Mengelola beberapa akun dan direktori menciptakan insentif untuk praktik keamanan yang buruk. Praktik-praktik ini meliputi hal-hal seperti penggunaan kembali kata sandi di seluruh akun. Ini meningkatkan kemungkinan akun kedaluwarsa atau ditinggalkan yang dapat ditargetkan penyerang.

Meskipun terkadang tampaknya lebih mudah untuk dengan cepat membuat direktori LDAP khusus untuk aplikasi atau beban kerja tertentu, tindakan ini menciptakan lebih banyak pekerjaan untuk diintegrasikan dan dikelola. Pekerjaan ini mirip dengan memilih untuk menyiapkan penyewa Azure tambahan atau hutan Active Directory lokal daripada menggunakan penyewa perusahaan yang ada. Untuk informasi lebih lanjut, lihat prinsip keamanan kesederhanaan mengemudi.

Siapa?

Standardisasi pada satu direktori Azure AD sering merupakan upaya lintas tim. Upaya ini didorong oleh arsitektur keamanan atau identitas dan tim manajemen kunci.

  • Sponsor: Identitas dan manajemen kunci dan arsitektur keamanan biasanya mensponsori pekerjaan ini, meskipun beberapa organisasi mungkin memerlukan sponsor oleh CISO atau CIO.
  • Eksekusi: Eksekusi adalah upaya kolaboratif yang melibatkan:
    • Arsitektur keamanan: Tim ini menggabungkan proses ke dalam dokumen dan diagram arsitektur keamanan dan TI.
    • Kebijakan dan standar: Tim ini mendokumentasikan kebijakan dan memantau kepatuhan.
    • Manajemen identitas dan kunci atau operasi IT pusat: Tim ini menerapkan kebijakan dengan mengaktifkan fitur dan mendukung pengembang dengan akun, pendidikan, dan sebagainya.
    • Pengembang aplikasi atau operasi IT pusat: Tim ini menggunakan identitas dalam aplikasi dan konfigurasi layanan Azure. Tanggung jawab bervariasi berdasarkan tingkat adopsi DevOps.

Bagaimana?

Mengadopsi pendekatan pragmatis yang dimulai dengan kemampuan greenfield yang baru. Kemudian, selesaikan tantangan dengan brownfield aplikasi dan layanan yang ada sebagai latihan tindak lanjut:

  • Greenfield: Menetapkan dan menerapkan kebijakan yang jelas bahwa semua identitas perusahaan dapat menggunakan satu direktori Azure AD dengan satu akun untuk setiap pengguna.

  • Brownfield: Banyak organisasi sering memiliki beberapa direktori warisan dan sistem identitas. Atasi item warisan ini ketika biaya gesekan manajemen yang sedang berlangsung melebihi investasi untuk menyiapkannya. Sementara manajemen identitas dan solusi sinkronisasi dapat mengurangi beberapa masalah ini, mereka tidak memiliki integrasi fitur keamanan dan produktivitas yang mendalam. Fitur-fitur ini mengaktifkan pengalaman yang mulus bagi pengguna, admin, dan pengembang.

Waktu yang ideal untuk menggabungkan penggunaan identitas Anda adalah selama siklus pengembangan aplikasi saat Anda:

  • Modernisasi aplikasi untuk cloud.
  • Perbarui aplikasi cloud dengan proses DevOps.

Meskipun ada alasan yang valid untuk direktori terpisah untuk unit bisnis independen atau persyaratan peraturan, hindari beberapa direktori dalam semua keadaan lain.

Untuk informasi selengkapnya, lihat Azure Security Benchmark Azure AD identitas pusat dan sistem autentikasi.

Penting

Satu-satunya pengecualian untuk aturan akun tunggal adalah bahwa pengguna istimewa, termasuk administrator TI dan analis keamanan, dapat memiliki akun terpisah untuk tugas pengguna standar dibandingkan dengan tugas administratif.

Untuk informasi selengkapnya, lihat akses hak istimewa Azure Security Benchmark.

10. Arsitektur: Gunakan kontrol akses berbasis identitas alih-alih kunci

Apa?

Gunakan identitas Azure AD alih-alih autentikasi berbasis kunci sedapat mungkin. Misalnya, layanan Azure, aplikasi, API.

Mengapa?

Autentikasi berbasis kunci dapat digunakan untuk mengautentikasi ke layanan cloud dan API. Tetapi membutuhkan pengelolaan kunci dengan aman, yang menantang untuk melakukannya dengan baik, terutama dalam skala besar. Manajemen kunci yang aman sulit bagi para profesional non-keamanan seperti pengembang dan profesional infrastruktur dan mereka sering gagal melakukannya dengan aman, sering menciptakan risiko keamanan besar bagi organisasi.

Autentikasi berbasis identitas mengatasi banyak tantangan ini dengan kemampuan yang matang. Kemampuan termasuk rotasi rahasia, manajemen siklus hidup, delegasi administratif, dan banyak lagi.

Siapa?

Implementasi kontrol akses berbasis identitas sering merupakan upaya lintas tim. Upaya ini didorong oleh arsitektur keamanan atau identitas dan tim manajemen kunci.

  • Sponsor: Upaya ini biasanya disponsori oleh arsitektur keamanan atau identitas dan manajemen kunci meskipun beberapa organisasi mungkin memerlukan sponsor oleh CISO atau CIO.
  • Eksekusi: Upaya kolaboratif yang melibatkan:
    • Arsitektur keamanan: Tim ini menggabungkan praktik terbaik ke dalam diagram dan dokumen arsitektur keamanan dan TI.
    • Kebijakan dan standar: Tim ini mendokumentasikan kebijakan dan memantau kepatuhan.
    • Manajemen identitas dan kunci atau operasi IT pusat: Tim ini menerapkan kebijakan dengan mengaktifkan fitur dan mendukung pengembang dengan akun, pendidikan, dan sebagainya.
    • Pengembang aplikasi atau operasi IT pusat: Gunakan identitas dalam aplikasi dan konfigurasi layanan Azure. Tanggung jawab bervariasi berdasarkan tingkat adopsi DevOps.

Bagaimana?

Mengatur preferensi dan kebiasaan organisasi untuk menggunakan autentikasi berbasis identitas memerlukan proses dan teknologi yang memungkinkan.

Prosesnya

  1. Menetapkan kebijakan dan standar yang dengan jelas menguraikan autentikasi berbasis identitas default, dan pengecualian yang dapat diterima.
  2. Mendidik pengembang dan tim infrastruktur tentang mengapa menggunakan pendekatan baru, apa yang perlu mereka lakukan, dan bagaimana melakukannya.
  3. Terapkan perubahan dengan cara pragmatis dengan memulai dengan kemampuan greenfield baru yang diadopsi sekarang dan di masa depan, seperti layanan Azure baru dan aplikasi baru, dan kemudian menindaklanjuti dengan pembersihan konfigurasi brownfield yang ada.
  4. Memantau kepatuhan dan menindaklanjuti dengan tim pengembang dan infrastruktur untuk melakukan remediasi.

Teknologi

Untuk akun non-manusia seperti layanan atau otomatisasi, gunakan identitas terkelola. Identitas terkelola Azure dapat mengautentikasi ke layanan dan sumber daya Azure yang mendukung autentikasi Microsoft Azure AD. Autentikasi diaktifkan melalui aturan pemberian akses yang telah ditentukan, menghindari info masuk dikodekan secara permanen dalam kode penyedia sumber atau file konfigurasi.

Untuk layanan yang tidak mendukung identitas terkelola, gunakan Microsoft Azure Active Directory untuk membuat perwakilan layanan dengan izin terbatas di tingkat sumber daya. Anda harus mengonfigurasi perwakilan layanan dengan kredensial sertifikat dan mundur ke rahasia klien. Dalam kedua kasus, Azure Key Vault dapat digunakan dengan identitas terkelola Azure, sehingga lingkungan runtime, seperti fungsi Azure, dapat mengambil kredensial dari brankas kunci.

Untuk informasi selengkapnya, lihat identitas aplikasi Azure Security Benchmark.

11. Arsitektur: Menetapkan satu strategi keamanan terpadu

Setiap orang perlu mendayung ke arah yang sama agar kapal bisa maju ke depan.

Apa?

Pastikan semua tim selaras dengan satu strategi yang memungkinkan dan mengamankan sistem dan data perusahaan.

Mengapa?

Ketika tim bekerja dalam isolasi tanpa diselaraskan dengan strategi bersama, tindakan individu mereka secara tidak sengaja dapat melemahkan upaya satu sama lain. Ketidaksejajaran dapat menciptakan gesekan yang tidak perlu yang memperlambat kemajuan terhadap tujuan semua orang.

Salah satu contoh tim yang bekerja dalam isolasi yang telah dimainkan secara konsisten di banyak organisasi adalah segmentasi aset:

  • Keamanan jaringan: Mengembangkan strategi untuk segmentasi jaringan datar. Strategi ini meningkatkan keamanan, seringkali berdasarkan situs fisik, alamat/rentang alamat IP yang ditetapkan, atau item serupa.
  • Tim identitas: Mengembangkan strategi untuk grup dan unit organisasi (OU) Active Directory berdasarkan pemahaman dan pengetahuan mereka tentang organisasi.
  • Tim aplikasi: Merasa sulit untuk bekerja dengan sistem ini. Ini sulit karena sistem tersebut dirancang dengan input dan pemahaman terbatas tentang operasi bisnis, tujuan, dan risiko.

Dalam organisasi di mana pembatasan ini terjadi, tim sering mengalami konflik atas pengecualian firewall. Konflik dapat berdampak negatif terhadap keamanan karena tim menyetujui pengecualian. Produktivitas berdampak negatif terhadap keamanan karena penyebaran melambat untuk fungsionalitas aplikasi yang dibutuhkan bisnis.

Sementara keamanan dapat menciptakan gesekan yang sehat dengan memaksa berpikir kritis, konflik ini hanya menciptakan gesekan yang tidak sehat yang menghambat tujuan. Untuk informasi selengkapnya, lihat panduan strategi keamanan.

Siapa?

  • Sponsor: Strategi terpadu biasanya disponsori bersama oleh CIO, CISO, dan CTO. Sponsor ini sering datang dengan dukungan kepemimpinan bisnis untuk beberapa elemen tingkat tinggi dan diperjuangkan oleh perwakilan dari masing-masing tim.
  • Eksekusi: Strategi keamanan harus diterapkan oleh semua orang. Ini mengintegrasikan data dari berbagai tim untuk meningkatkan kepemilikan, dukungan, dan kemungkinan keberhasilan.
    • Arsitektur keamanan: Tim ini memimpin upaya untuk membangun strategi keamanan dan arsitektur yang dihasilkan. Arsitektur keamanan secara aktif mengumpulkan umpan balik dari tim dan mendokumentasikannya dalam presentasi, dokumen, dan diagram untuk berbagai audiens.
    • Kebijakan dan standar: Tim ini menangkap elemen yang sesuai ke dalam standar dan kebijakan dan kemudian memantau kepatuhan.
    • Semua tim TI dan keamanan teknis: Tim-tim ini memberikan persyaratan input, lalu menyelaraskan dan menerapkan strategi perusahaan.
    • Pemilik dan pengembang aplikasi: Tim-tim ini membaca dan memahami dokumentasi strategi yang berlaku untuk mereka. Idealnya, mereka menyesuaikan bimbingan untuk peran mereka.

Bagaimana?

Membangun dan menerapkan strategi keamanan untuk cloud yang mencakup input dan partisipasi aktif dari semua tim. Sementara format dokumentasi proses dapat bervariasi, ini selalu meliputi:

  • Input aktif dari tim: Strategi biasanya gagal jika orang-orang dalam organisasi tidak menyetujuinya. Idealnya, kumpulkan semua tim di ruangan yang sama untuk membangun strategi secara kolaboratif. Dalam lokakarya yang kami lakukan dengan pelanggan, kami sering menemukan organisasi telah beroperasi secara de facto silos dan rapat ini sering mengakibatkan orang bertemu satu sama lain untuk pertama kalinya. Kami meyakini bahwa inklusivitas adalah persyaratan. Jika beberapa tim tidak diundang, rapat ini biasanya harus diulang sampai semua peserta bergabung dengannya. Jika mereka tidak bergabung, maka proyek ini tidak akan berjalan.
  • Didokumentasikan dan dikomunikasikan dengan jelas: Semua tim harus memiliki kesadaran akan strategi keamanan. Idealnya, strategi keamanan adalah komponen keamanan dari strategi teknologi secara keseluruhan. Strategi ini meliputi mengapa mengintegrasikan keamanan, apa yang penting dalam keamanan, dan seperti apa kesuksesan keamanan. Strategi ini meliputi panduan khusus untuk tim aplikasi dan pengembangan sehingga mereka bisa mendapatkan panduan yang jelas dan terorganisir tanpa harus membaca informasi yang tidak relevan.
  • Stabil, tetapi fleksibel: Pertahankan strategi yang relatif konsisten dan stabil, tetapi arsitektur dan dokumentasi mungkin perlu menambahkan kejelasan dan mengakomodasi sifat dinamis cloud. Misalnya, menyaring lalu lintas eksternal berbahaya akan tetap konsisten sebagai keharusan strategis bahkan jika Anda beralih dari penggunaan firewall generasi berikutnya pihak ketiga ke Azure Firewall dan menyesuaikan diagram dan panduan tentang cara melakukannya.
  • Mulailah dengan segmentasi: Ada masalah strategi baik besar maupun kecil untuk ditangani, tetapi Anda perlu memulai di suatu tempat. Mulai strategi keamanan dengan segmentasi aset perusahaan. Segmentasi ini adalah keputusan dasar yang akan menantang untuk berubah nanti dan membutuhkan input bisnis dan banyak tim teknis.

Microsoft telah menerbitkan panduan video untuk menerapkan strategi segmentasi ke Azure. Ada dokumen yang diterbitkan tentang segmentasi perusahaan dan menyelaraskan keamanan jaringan dengannya.

Cloud Adoption Framework meliputi panduan untuk membantu tim Anda dengan:

Untuk informasi selengkapnya, lihat strategi tata kelola Azure Security Benchmark.