Keamanan menyeluruh di Azure
Salah satu alasan terbaik dari penggunaan Azure untuk aplikasi dan layanan Anda adalah memanfaatkan berbagai alat dan kemampuan keamanannya. Alat dan kemampuan ini membantu untuk menciptakan solusi aman di platform Azure yang aman. Microsoft Azure harus menjaga kerahasiaan, integritas, dan ketersediaan data pelanggan, sekaligus memungkinkan akuntabilitas yang transparan.
Diagram dan dokumentasi berikut memperkenalkan Anda ke layanan keamanan di Azure. Layanan keamanan ini membantu Anda memenuhi kebutuhan keamanan bisnis Anda dan melindungi pengguna, perangkat, sumber daya, data, dan aplikasi Anda di cloud.
Peta layanan keamanan Microsoft
Peta layanan keamanan mengatur layanan berdasarkan sumber daya yang mereka lindungi (kolom). Diagram juga mengelompokkan layanan ke dalam kategori (baris) berikut:
- Aman dan lindungi - Layanan yang memungkinkan Anda menerapkan strategi mendalam pertahanan berlapis di seluruh identitas, host, jaringan, dan data. Koleksi layanan dan kemampuan keamanan ini menyediakan cara untuk memahami dan meningkatkan postur keamanan Anda di seluruh lingkungan Azure Anda.
- Mendeteksi ancaman - Layanan yang mengidentifikasi aktivitas mencurigakan dan memfasilitasi mitigasi ancaman.
- Selidiki dan tanggapi – Layanan yang menarik data pengelogan sehingga Anda dapat menilai aktivitas dan merespons yang mencurigakan.
Kontrol dan garis besar keamanan
Tolok ukur keamanan cloud Microsoft menyertakan kumpulan rekomendasi keamanan berdampak tinggi yang dapat Anda gunakan untuk membantu mengamankan layanan yang Anda gunakan di Azure:
- Kontrol keamanan - Rekomendasi ini umumnya berlaku di seluruh penyewa Azure dan layanan Azure Anda. Setiap rekomendasi mengidentifikasi daftar pemangku kepentingan yang biasanya terlibat dalam perencanaan, persetujuan, atau implementasi tolok ukur.
- Dasar layanan - Ini menerapkan kontrol ke masing-masing layanan Azure untuk memberikan rekomendasi tentang konfigurasi keamanan layanan tersebut.
Mengamankan dan melindungi
| Layanan | Deskripsi |
|---|---|
| Microsoft Defender untuk Cloud | Sistem manajemen keamanan infrastruktur terpadu yang memperkuat struktur keamanan pusat data Anda, serta menyediakan perlindungan ancaman tingkat lanjut di seluruh beban kerja hibrid di cloud (baik jika beban kerja tersebut berada di Azure maupun tidak) serta di lokal. |
| Manajemen Identitas & Akses | |
| Microsoft Entra ID | Layanan pengelolaan akses dan identitas berbasis cloud Microsoft. |
| Akses Bersyarat adalah alat yang digunakan oleh MICROSOFT Entra ID untuk menyaingkan sinyal identitas, membuat keputusan, dan menerapkan kebijakan organisasi. | |
| Layanan Domain adalah alat yang digunakan oleh MICROSOFT Entra ID untuk menyediakan layanan domain terkelola seperti gabungan domain, kebijakan grup, protokol akses direktori ringan (LDAP), dan autentikasi Kerberos/NTLM. | |
| Privileged Identity Management (PIM) adalah layanan di ID Microsoft Entra yang memungkinkan Anda mengelola, mengontrol, dan memantau akses ke sumber daya penting di organisasi Anda. | |
| Autentikasi multifaktor adalah alat yang digunakan oleh MICROSOFT Entra ID untuk membantu melindungi akses ke data dan aplikasi dengan memerlukan bentuk autentikasi kedua. | |
| Perlindungan ID Microsoft Entra | Alat yang memungkinkan organisasi mengotomatiskan deteksi dan perbaikan risiko berbasis identitas, menyelidiki risiko menggunakan data di portal, dan mengekspor data deteksi risiko ke utilitas pihak ketiga untuk analisis lebih lanjut. |
| Infrastruktur & Jaringan | |
| VPN Gateway | Gateway jaringan virtual yang digunakan untuk mengirim lalu lintas terenkripsi antara jaringan virtual Azure dan lokasi lokal melalui internet publik dan untuk mengirim lalu lintas terenkripsi antara jaringan virtual Azure melalui jaringan Microsoft. |
| Azure DDoS Protection | Menyediakan fitur mitigasi DDoS yang disempurnakan untuk bertahan dari serangan DDoS. Ini secara otomatis disetel untuk membantu melindungi sumber daya Azure spesifik Anda di jaringan virtual. |
| Azure Front Door | Titik masuk global yang dapat diskalakan, yang menggunakan jaringan sekitar global Microsoft untuk membuat aplikasi web yang cepat, aman, dan dapat diskalakan dengan luas. |
| Azure Firewall | Layanan keamanan firewall jaringan cloud-native dan cerdas yang memberikan perlindungan ancaman untuk beban kerja cloud Anda yang berjalan di Azure. Ini adalah layanan firewall stateful penuh yang dilengkapi dengan ketersediaan tinggi bawaan dan skalabilitas cloud tanpa batas. Azure Firewall ditawarkan dalam tiga SKU: Standar, Premium, dan Dasar. |
| Azure Key Vault | Penyimpanan rahasia aman untuk token, kata sandi, sertifikat, kunci API, dan rahasia lainnya. Azure Key Vault memberi kemudahan dalam membuat dan mengontrol kunci enkripsi yang digunakan untuk mengenkripsi data Anda. |
| HSM Terkelola Kunci Vault | Layanan cloud yang sepenuhnya terkelola, sangat tersedia, penyewa tunggal, sesuai standar yang memungkinkan Anda melindungi kunci kriptografik untuk aplikasi cloud Anda, menggunakan HSM tervalidasi FIPS 140-2 Level 3. |
| Tautan Privat Azure | Memungkinkan Anda mengakses Layanan PaaS Azure (contoh, Azure Storage dan Azure SQL Database) dan layanan milik pelanggan/mitra yang di-hosting Azure melalui titik akhir privat di dalam jaringan virtual Anda. |
| Azure Application Gateway | Penyeimbang beban lalu lintas web yang memungkinkan Anda mengelola lalu lintas ke aplikasi web Anda. Azure Application Gateway dapat membuat keputusan perutean berdasarkan atribut tambahan dari permintaan HTTP, misalnya jalur URI atau header host. |
| Azure Service Bus | Perantara pesan perusahaan yang dikelola penuh dengan antrean pesan dan topik terbitkan-berlangganan. Azure Service Bus digunakan untuk memisahkan aplikasi dan layanan satu sama lain. |
| Web Application Firewall | Memberikan perlindungan terpusat pada aplikasi web Anda dari eksploitasi dan kerentanan umum. WAF dapat disebarkan dengan Azure Application Gateway dan Azure Front Door. |
| Kebijakan Azure | Azure Policy membantu memberlakukan standar organisasi dan menilai kepatuhan dalam skala besar. Melalui dasbor kepatuhannya, ia menyediakan tampilan agregat untuk mengevaluasi keadaan lingkungan secara menyeluruh, dengan kemampuan untuk menelusuri ke granularitas per sumber daya, per kebijakan dengan mendetail. Ini juga membantu untuk membawa sumber daya Anda ke kepatuhan melalui remediasi massal untuk sumber daya yang sudah ada dan remediasi otomatis untuk sumber daya baru. |
| Data & Aplikasi | |
| Pencadangan Azure | Memberikan solusi sederhana, aman, dan hemat biaya untuk mencadangkan data Anda dan memulihkannya dari cloud Microsoft Azure. |
| Enkripsi Layanan Azure Storage | Otomatis mengenkripsi data sebelum disimpan dan secara otomatis mendekripsi data saat Anda mengambilnya. |
| Microsoft Azure Information Protection | Solusi berbasis cloud yang memungkinkan organisasi menemukan, mengklasifikasikan, dan melindungi dokumen dan surel dengan menerapkan label ke konten. |
| API Management | Cara untuk membuat gateway API yang konsisten dan modern untuk layanan ujung-belakang yang sudah ada. |
| Komputasi rahasia Azure | Memungkinkan Anda mengisolasi data sensitif saat sedang diproses pada cloud. |
| Azure DevOps | Proyek pengembangan Anda mendapat manfaat dari berbagai lapisan teknologi keamanan dan tata kelola, praktik operasional, dan kebijakan kepatuhan saat disimpan di Azure DevOps. |
| Akses Pelanggan | |
| ID Eksternal Microsoft Entra | Dengan Identitas Eksternal di Microsoft Entra ID, Anda dapat mengizinkan orang di luar organisasi Anda mengakses aplikasi dan sumber daya Anda, sekaligus mengizinkan mereka masuk menggunakan identitas apa pun yang mereka inginkan. |
| Anda dapat berbagi aplikasi dan sumber daya dengan pengguna eksternal melalui kolaborasi Microsoft Entra B2B . | |
| Azure Active Directory B2C memungkinkan Anda mendukung jutaan pengguna dan miliaran autentikasi per hari, memantau, dan secara otomatis menangani ancaman seperti penolakan layanan, semprotan kata sandi, atau serangan brute force. |
Mendeteksi ancaman
| Layanan | Deskripsi |
|---|---|
| Microsoft Defender untuk Cloud | Menghadirkan sumber daya dan beban kerja Azure dan hibrid anda yang canggih, cerdas, dan bermuatan kerja. Dasbor perlindungan beban kerja di Pertahanan Microsoft untuk Cloud memberikan visibilitas dan kontrol fitur perlindungan beban kerja cloud untuk lingkungan Anda. |
| Microsoft Sentinel | Manajemen peristiwa informasi keamanan (SIEM) yang dapat diskalakan, asli cloud dan solusi respons otomatis orkestrasi keamanan (SOAR). Azure Sentinel menghadirkan analitik keamanan cerdas dan inteligensi ancaman di seluruh perusahaan, menyediakan solusi tunggal untuk deteksi pemberitahuan, visibilitas ancaman, perburuan proaktif, dan respons ancaman. |
| Manajemen Identitas & Akses | |
| Pertahanan Microsoft XDR | Rangkaian pertahanan perusahaan pra- dan pasca-pelanggaran terpadu yang secara asli mengoordinasikan deteksi, pencegahan, penyelidikan, dan respons di seluruh titik akhir, identitas, email, dan aplikasi untuk memberikan perlindungan terintegrasi terhadap serangan canggih. |
| Pertahanan Microsoft untuk Titik Akhir adalah platform keamanan titik akhir perusahaan yang dirancang untuk membantu jaringan perusahaan mencegah, mendeteksi, menyelidiki, dan menanggapi ancaman tingkat lanjut. | |
| Pertahanan Microsoft untuk Identitas adalah solusi keamanan berbasis cloud yang memanfaatkan sinyal Active Directory lokal Anda untuk mengidentifikasi, mendeteksi, dan menyelidiki ancaman lanjutan, identitas yang disusupi, dan tindakan orang dalam berbahaya yang ditujukan kepada organisasi Anda. | |
| Perlindungan ID Microsoft Entra | Mengirim dua jenis email notifikasi otomatis untuk membantu Anda mengelola risiko pengguna dan deteksi risiko: Pengguna berisiko terdeteksi email dan email pencernaan mingguan. |
| Infrastruktur & Jaringan | |
| Azure Firewall | Azure Firewall Premium menyediakan IDPS berbasis tanda tangan untuk memungkinkan deteksi serangan yang cepat dengan mencari pola tertentu, seperti urutan byte dalam lalu lintas jaringan, atau urutan instruksi berbahaya yang diketahui digunakan oleh malware. |
| Pertahanan Microsoft untuk IoT | Solusi keamanan terpadu untuk mengidentifikasi perangkat, kerentanan, dan ancaman IoT/OT. Solusi ini memungkinkan Anda mengamankan seluruh lingkungan IoT/OT Anda, apakah Anda perlu melindungi perangkat IoT/OT yang ada atau membangun keamanan ke dalam inovasi IoT baru. |
| Azure Network Watcher | Menyediakan alat untuk memantau, mendiagnosis, melihat metrik, dan mengaktifkan atau menonaktifkan log untuk sumber daya di jaringan virtual Azure. Network Watcher dirancang untuk memantau dan memperbaiki kesehatan jaringan produk infrastruktur sebagai layanan, yang meliputi komputer virtual, jaringan virtual, gateway aplikasi, penyeimbang beban, dll. |
| Kebijakan Azure | Azure Policy membantu memberlakukan standar organisasi dan menilai kepatuhan dalam skala besar. Azure Policy menggunakan log aktivitas, yang diaktifkan secara otomatis, untuk menyertakan sumber peristiwa, tanggal, pengguna, stempel waktu, alamat sumber, alamat tujuan, dan elemen lainnya yang berguna. |
| Data & Aplikasi | |
| Pertahanan Microsoft untuk Kontainer | Solusi cloud-native yang digunakan untuk mengamankan kontainer Anda sehingga Anda dapat meningkatkan, memantau, dan menjaga keamanan kluster, kontainer, dan aplikasi mereka. |
| Aplikasi Microsoft Defender untuk Cloud | Cloud Access Security Broker (CASB) yang beroperasi di beberapa cloud. Ini memberikan visibilitas yang kaya, kontrol atas perjalanan data, dan analitik canggih untuk mengidentifikasi dan memerangi ancaman siber di semua layanan cloud Anda. |
Menyelidiki dan merespons
| Layanan | Deskripsi |
|---|---|
| Microsoft Sentinel | Alat pencarian dan kueri canggih untuk mencari ancaman keamanan di seluruh sumber data organisasi Anda. |
| Log dan metrik Azure Monitor | Memberikan solusi komprehensif untuk mengumpulkan, menganalisis, dan bertindak berdasarkan telemetri dari lingkungan cloud dan lokal Anda. Azure Monitor mengumpulkan dan menggabungkan data dari berbagai sumber ke dalam platform data umum tempat data tersebut dapat digunakan untuk analisis, visualisasi, dan pemberitahuan. |
| Manajemen Identitas & Akses | |
| Laporan dan pemantauan Azure ACTIVE Directory | Laporan Microsoft Entra memberikan tampilan aktivitas yang komprehensif di lingkungan Anda. |
| Pemantauan Microsoft Entra memungkinkan Anda merutekan log aktivitas Microsoft Entra ke titik akhir yang berbeda. | |
| Riwayat audit Microsoft Entra PIM | Menampilkan semua penetapan peran dan aktivasi dalam 30 hari terakhir untuk semua peran istimewa. |
| Data & Aplikasi | |
| Aplikasi Microsoft Defender untuk Cloud | Menyediakan alat untuk mendapatkan pemahaman yang lebih mendalam tentang apa yang terjadi di lingkungan cloud Anda. |
Langkah berikutnya
Memahami tanggung jawab bersama di cloud.
Memahami pilihan isolasi di cloud Azure terhadap pengguna berbahaya dan tidak berbahaya.