Praktik terbaik keamanan untuk beban kerja IaaS di Azure

  • Artikel

Artikel ini menjelaskan praktik terbaik keamanan untuk VM dan sistem operasi.

Praktik terbaik didasarkan pada konsensus pendapat, dan praktik terbaik tersebut berfungsi dengan kemampuan platform dan kumpulan fitur Azure saat ini. Karena pendapat dan teknologi dapat berubah seiring waktu, artikel ini akan diperbarui untuk mencerminkan perubahan tersebut.

Di sebagian besar skenario infrastruktur sebagai layanan (IaaS), Komputer virtual Azure (VM) adalah beban kerja utama bagi organisasi yang menggunakan komputasi cloud. Fakta ini terbukti dalam skenario hibrid tempat organisasi ingin secara perlahan memigrasikan beban kerja ke cloud. Dalam skenario seperti itu, ikuti pertimbangan keamanan umum untuk IaaS, dan terapkan praktik terbaik keamanan ke semua VM Anda.

Lindungi VM dengan menggunakan autentikasi dan kontrol akses

Langkah pertama dalam melindungi VM Anda adalah memastikan bahwa hanya pengguna yang berwenang yang dapat menyiapkan VM baru dan mengakses VM.

Catatan

Untuk meningkatkan keamanan VM Linux di Azure, Anda dapat berintegrasi dengan autentikasi Microsoft Entra. Saat Anda menggunakan autentikasi Microsoft Entra untuk VM Linux, Anda mengontrol dan menerapkan kebijakan secara terpusat yang mengizinkan atau menolak akses ke VM.

Praktik terbaik: Mengontrol akses VM. Detail: Gunakan kebijakan Azure untuk menetapkan konvensi sumber daya di organisasi Anda dan membuat kebijakan yang dikustomisasi. Terapkan kebijakan ini ke sumber daya, seperti grup sumber daya. VM milik grup sumber daya mewarisi kebijakannya.

Jika organisasi Anda memiliki banyak langganan, Anda mungkin memerlukan cara untuk mengelola akses, kebijakan, dan kepatuhan untuk langganan tersebut secara efisien. Grup manajemen Azure memberikan tingkat cakupan di atas langganan. Anda mengatur langganan ke dalam grup manajemen (kontainer) dan menerapkan ketentuan tata kelola Anda ke grup tersebut. Semua langganan dalam grup manajemen secara otomatis mewarisi kondisi yang diterapkan ke grup. Grup manajemen memberi Anda manajemen tingkat perusahaan dalam skala besar apa pun jenis langganan yang mungkin Anda miliki.

Praktik terbaik: Mengurangi variabilitas dalam penyiapan dan penyebaran VM Anda. Detail: Menggunakan templat Azure Resource Manager untuk memperkuat pilihan penyebaran Anda dan mempermudah untuk memahami dan menginventarisasi VM di lingkungan Anda.

Praktik terbaik: Mengamankan akses istimewa. Detail: Menggunakan pendekatan hak istimewa terkecil dan peran Azure bawaan untuk memungkinkan pengguna mengakses dan menyiapkan VM:

  • Kontributor Mesin Virtual: Dapat mengelola VM, tetapi tidak dapat mengelola jaringan virtual atau akun penyimpanan yang terhubung dengannya.
  • Kontributor Mesin Virtual Klasik: Dapat mengelola VM yang dibuat dengan menggunakan model penyebaran klasik, tetapi bukan jaringan virtual atau akun penyimpanan yang terhubung dengan VM.
  • Admin Keamanan: Hanya di Pertahanan untuk Cloud: Dapat melihat kebijakan keamanan, melihat status keamanan, mengedit kebijakan keamanan, melihat peringatan dan rekomendasi, mengabaikan peringatan dan rekomendasi.
  • Pengguna DevTest Labs: Dapat melihat semuanya dan menghubungkan, memulai, menghidupkan ulang, dan mematikan VM.

Admin dan wakil admin langganan Anda dapat mengubah pengaturan ini, menjadikannya administrator semua VM dalam langganan. Pastikan Anda memercayai semua admin dan wakil admin langganan Anda untuk masuk ke salah satu komputer Anda.

Catatan

Kami menyarankan Anda menggabungkan VM dengan siklus hidup yang sama ke dalam grup sumber daya yang sama. Dengan menggunakan grup sumber daya, Anda dapat menyebarkan, memantau, dan menggabungkan biaya penagihan untuk sumber daya Anda.

Organisasi yang mengontrol akses dan penyiapan VM meningkatkan keamanan VM mereka secara keseluruhan.

Gunakan beberapa VM untuk ketersediaan yang lebih baik

Jika VM Anda menjalankan aplikasi penting yang harus memiliki ketersediaan tinggi, kami sangat menyarankan Anda menggunakan beberapa VM. Untuk ketersediaan yang lebih baik, gunakan kumpulan ketersediaan atau zona ketersediaan.

Set ketersediaan adalah pengelompokan logis yang dapat Anda gunakan di Azure untuk memastikan bahwa sumber daya VM yang Anda tempatkan di dalamnya terisolasi satu sama lain saat disebarkan di pusat data Azure. Azure memastikan bahwa VM yang Anda tempatkan dalam kumpulan ketersediaan berjalan di beberapa server fisik, rak komputasi, unit penyimpanan, dan sakelar jaringan. Jika terjadi kegagalan perangkat keras atau perangkat lunak Azure, hanya sebagian dari VM Anda yang terpengaruh, dan keseluruhan aplikasi Anda terus tersedia untuk pelanggan Anda. Kumpulan ketersediaan adalah kemampuan penting saat Anda ingin membuat solusi cloud yang andal.

Melindungi dari malware

Anda harus menginstal perlindungan antimalware untuk membantu mengidentifikasi dan menghapus virus, spyware, dan perangkat lunak berbahaya lainnya. Anda dapat menginstal Microsoft Antimalware atau solusi perlindungan titik akhir mitra Microsoft (Trend Micro, Broadcom, McAfee, Windows Defender, dan System Center Endpoint Protection).

Microsoft Antimalware mencakup fitur seperti perlindungan real time, pemindaian terjadwal, remediasi malware, pembaruan tanda tangan, pembaruan mesin, pelaporan sampel, dan pengumpulan peristiwa pengecualian. Untuk lingkungan yang dihosting secara terpisah dari lingkungan produksi, Anda dapat menggunakan ekstensi antimalware untuk membantu melindungi VM dan layanan cloud Anda.

Anda dapat mengintegrasikan Microsoft Antimalware dan solusi mitra dengan Pertahanan Microsoft untuk Cloud untuk kemudahan dalam penyebaran dan deteksi bawaan (pemberitahuan dan insiden).

Praktik terbaik: Instal solusi antimalware untuk melindungi dari malware.
Detail: Instal solusi mitra Microsoft atau Microsoft Antimalware

Praktik terbaik: Integrasikan solusi antimalware Anda dengan Pertahanan untuk Cloud guna memantau status perlindungan Anda.
Detail: Mengelola masalah perlindungan titik akhir dengan Pertahanan untuk Cloud

Kelola pembaruan VM Anda

Azure VM, seperti semua VM lokal, dimaksudkan untuk dikelola pengguna. Azure tidak mendorong pembaruan Windows. Anda perlu mengelola pembaruan VM Anda.

Praktik terbaik: Tetap perbarui VM Anda.
Detail: Gunakan solusi Manajemen Pembaruan di Azure Automation untuk mengelola pembaruan sistem operasi untuk komputer Windows dan Linux Anda yang disebarkan di Azure, di lingkungan lokal, atau di penyedia cloud lainnya. Anda dapat dengan cepat menilai status pembaruan yang tersedia di semua komputer agen dan mengelola proses penginstalan pembaruan yang diperlukan untuk server.

Komputer yang dikelola oleh Manajemen Pembaruan menggunakan konfigurasi berikut untuk melakukan penilaian dan memperbarui penyebaran:

  • Microsoft Monitoring Agent (MMA) untuk Windows atau Linux
  • Konfigurasi Status yang Diinginkan (DSC) PowerShell untuk Linux
  • Automation Hybrid Runbook Worker
  • Microsoft Update atau Windows Server Update Services (WSUS) untuk komputer Windows

Jika Anda menggunakan Windows Update, biarkan pengaturan Windows Update otomatis diaktifkan.

Praktik terbaik: Pastikan saat penyebaran bahwa gambar yang Anda buat menyertakan putaran pembaruan Windows terbaru.
Detail: Periksa dan pasang semua pembaruan Windows sebagai langkah pertama pada setiap penyebaran. Ukuran ini sangat penting untuk diterapkan saat Anda menyebarkan gambar yang berasal dari Anda atau pustaka Anda sendiri. Meskipun gambar dari Azure Marketplace diperbarui otomatis secara default, mungkin ada jeda waktu (hingga beberapa minggu) setelah rilis publik.

Praktik terbaik: Sebarkan ulang VM Anda secara berkala untuk memaksakan versi OS yang baru.
Detail: Tentukan VM Anda dengan templat Azure Resource Manager sehingga Anda dapat dengan mudah menyebarkannya kembali. Menggunakan templat memberi Anda VM yang di-patch dan aman saat Anda membutuhkannya.

Praktik terbaik: Terapkan penambal keamanan dengan cepat ke VM.
Detail: Aktifkan Pertahanan Microsoft untuk Cloud (Tingkat gratis atau Tingkat standar) untuk mengidentifikasi penambal keamanan yang hilang dan menerapkannya.

Praktik terbaik: Pasang pembaruan keamanan terbaru.
Detail: Beberapa beban kerja pertama yang dipindahkan pelanggan ke Azure adalah lab dan sistem akses eksternal. Jika VM Azure Anda menghosting aplikasi atau layanan yang perlu diakses ke internet, waspadalah terhadap patching. Patch di luar sistem operasi. Kerentanan yang tidak di-patch pada aplikasi mitra juga dapat menyebabkan masalah yang dapat dihindari jika manajemen patch yang baik diterapkan.

Praktik terbaik: Sebarkan dan uji solusi pencadangan.
Detail: Cadangan harus ditangani dengan cara yang sama seperti Anda menangani operasi lainnya. Ini berlaku untuk sistem yang merupakan bagian dari lingkungan produksi Anda yang diperluas ke cloud.

Sistem pengujian dan pengembangan harus mengikuti strategi pencadangan yang menyediakan kemampuan pemulihan yang serupa dengan yang biasa digunakan pengguna, berdasarkan pengalaman mereka dengan lingkungan lokal. Beban kerja produksi yang dipindahkan ke Azure harus terintegrasi dengan solusi pencadangan yang ada jika memungkinkan. Atau, Anda dapat menggunakan Azure Backup untuk membantu memenuhi kebutuhan pencadangan Anda.

Organisasi yang tidak menerapkan kebijakan pembaruan perangkat lunak lebih rentan terhadap ancaman yang mengeksploitasi kerentanan yang diketahui dan telah diperbaiki sebelumnya. Untuk mematuhi peraturan industri, perusahaan harus membuktikan bahwa mereka rajin dan menggunakan kontrol keamanan yang benar untuk membantu memastikan keamanan beban kerja mereka yang terletak di cloud.

Praktik terbaik pembaruan perangkat lunak untuk pusat data tradisional dan Azure IaaS memiliki banyak kesamaan. Kami menyarankan Anda mengevaluasi kebijakan pembaruan perangkat lunak Anda saat ini untuk menyertakan VM yang terletak di Azure.

Kelola postur keamanan VM Anda

Ancaman siber terus berkembang. Melindungi VM Anda memerlukan kemampuan pemantauan yang dapat dengan cepat mendeteksi ancaman, mencegah akses tidak sah ke sumber daya Anda, memicu peringatan, dan mengurangi positif palsu.

Untuk memantau kondisi keamanan Windows dan VM Linux Anda, gunakan Pertahanan Microsoft untuk Cloud. Di Pertahanan untuk Cloud, lindungi VM Anda dengan memanfaatkan kemampuan berikut:

  • Terapkan pengaturan keamanan OS dengan aturan konfigurasi yang disarankan.
  • Identifikasi dan unduh keamanan sistem dan pembaruan penting yang mungkin hilang.
  • Sebarkan rekomendasi untuk perlindungan antimalware titik akhir.
  • Validasi enkripsi disk.
  • Menilai dan memulihkan kerentanan.
  • Mendeteksi ancaman.

Pertahanan untuk Cloud dapat secara aktif memantau ancaman, dan potensi ancaman terekspos dalam peringatan keamanan. Ancaman yang berkorelasi diagregasi dalam satu tampilan yang disebut insiden keamanan.

Pertahanan untuk Cloud menyimpan data di log Azure Monitor. Log Azure Monitor menyediakan bahasa kueri dan mesin analitik yang memberi Anda wawasan insight pengoperasian aplikasi dan sumber daya Anda. Data juga dikumpulkan dari Azure Monitor, solusi manajemen, dan agen yang dipasang pada mesin virtual di cloud atau di tempat. Fungsionalitas bersama ini membantu Anda membentuk gambaran lengkap lingkungan Anda.

Organisasi yang tidak menerapkan keamanan yang kuat untuk VM mereka tetap tidak menyadari upaya oleh berwenang untuk menghindari kontrol keamanan.

Pantau performa VM

Penyalahgunaan sumber daya dapat menjadi masalah ketika proses VM mengonsumsi lebih banyak sumber daya daripada yang seharusnya. Masalah performa dengan VM dapat menyebabkan gangguan layanan, yang melanggar prinsip keamanan ketersediaan. Ini sangat penting untuk VM yang menghosting IIS atau server web lain, karena penggunaan CPU atau memori yang tinggi mungkin mengindikasikan serangan penolakan layanan (DoS). Sangat penting untuk memantau akses VM tidak hanya secara reaktif saat masalah terjadi, tetapi juga secara proaktif terhadap performa dasar yang diukur selama operasi normal.

Kami menyarankan Anda menggunakan Azure Monitor untuk mendapatkan visibilitas tentang kesehatan sumber daya Anda. Fitur Azure Monitor:

Organisasi yang tidak memantau performa VM tidak dapat menentukan apakah perubahan tertentu dalam pola performa itu normal atau tidak normal. VM yang menghabiskan lebih banyak sumber daya daripada biasanya mungkin mengindikasikan serangan dari sumber daya eksternal atau proses yang disusupi yang berjalan di VM.

Mengenkripsi file hard disk virtual Anda

Kami menyarankan Anda untuk mengenkripsi hard disk virtual (VHD) Anda untuk membantu melindungi volume boot dan volume data saat disimpan di penyimpanan, bersama dengan kunci dan rahasia enkripsi Anda.

Azure Disk Encryption untuk VM Linux dan Azure Disk Encryption untuk VM Windows membantu Anda mengenkripsi disk mesin virtual Linux dan Windows IaaS. Azure Disk Encryption menggunakan fitur DM-Crypt standar industri dari Linux dan fitur BitLocker Windows untuk menyediakan enkripsi volume untuk OS dan disk data. Solusinya terintegrasi dengan Azure Key Vault untuk membantu Anda mengontrol dan mengelola kunci dan rahasia enkripsi disk dalam langganan key vault Anda. Solusi ini juga memastikan bahwa semua data pada disk mesin virtual dienkripsi saat tidak aktif di Azure Storage.

Berikut ini adalah praktik terbaik untuk menggunakan Azure Disk Encryption:

Praktik terbaik: Aktifkan enkripsi pada VM.
Detail: Azure Disk Encryption membuat dan menulis kunci enkripsi ke brankas kunci Anda. Mengelola kunci enkripsi di brankas kunci Anda memerlukan autentikasi Microsoft Entra. Buat aplikasi Microsoft Entra untuk tujuan ini. Untuk tujuan autentikasi, Anda dapat menggunakan autentikasi berbasis rahasia klien atau autentikasi Microsoft Entra berbasis sertifikat klien.

Praktik terbaik: Gunakan kunci enkripsi kunci (KEK) untuk lapisan keamanan tambahan untuk kunci enkripsi. Tambahkan KEK ke brankas kunci Anda.
Detail: Gunakan cmdlet Add-AzKeyVaultKey untuk membuat kunci enkripsi kunci di brankas kunci. Anda juga dapat mengimpor KEK dari modul keamanan perangkat keras (HSM) lokal Anda untuk manajemen kunci. Untuk informasi lebih lanjut, lihat dokumentasi Key Vault. Ketika kunci enkripsi kunci ditentukan, Azure Disk Encryption menggunakan kunci tersebut untuk membungkus rahasia enkripsi sebelum menulis ke Key Vault. Menyimpan salinan escrow kunci ini dalam manajemen kunci lokal HSM menawarkan perlindungan tambahan terhadap penghapusan kunci yang tidak disengaja.

Praktik terbaik: Ambil rekam jepret dan/atau backup sebelum disk dienkripsi. Cadangan menyediakan opsi pemulihan jika terjadi kegagalan tak terduga selama enkripsi.
Detail: VM dengan disk terkelola memerlukan cadangan sebelum enkripsi terjadi. Setelah pencadangan dibuat, Anda dapat menggunakan cmdlet Set-AzVMDiskEncryptionExtension untuk mengenkripsi disk yang dikelola dengan menetapkan parameter -skipVmBackup. Untuk informasi lebih lanjut tentang cara mencadangkan dan memulihkan VM terenkripsi, lihat artikel Azure Backup.

Praktik terbaik: Untuk memastikan rahasia enkripsi tidak melewati batas wilayah, Azure Disk Encryption memerlukan brankas kunci dan VM untuk ditempatkan di wilayah yang sama.
Detail: Buat dan gunakan brankas kunci yang berada di wilayah yang sama dengan VM yang akan dienkripsi.

Saat Anda menerapkan Azure Disk Encryption, Anda dapat memenuhi kebutuhan bisnis berikut:

  • VM infrastruktur sebagai layanan diamankan saat tidak aktif melalui teknologi enkripsi standar industri untuk menangani persyaratan kepatuhan dan keamanan organisasi.
  • IaaS VM dimulai dari kunci dan kebijakan yang dikontrol pelanggan, dan Anda dapat mengaudit penggunaannya di brankas kunci Anda.

Batasi konektivitas internet langsung

Pantau dan batasi konektivitas internet langsung VM. Penyerang terus-menerus memindai rentang IP cloud publik untuk port manajemen terbuka dan mencoba serangan "mudah" seperti kata sandi umum dan kerentanan yang belum di-patch yang diketahui. Tabel berikut mencantumkan praktik terbaik untuk membantu melindungi dari serangan ini:

Praktik terbaik: Mencegah paparan yang tidak disengaja terhadap perutean dan keamanan jaringan.
Detail: Menggunakan Azure RBAC untuk memastikan bahwa hanya grup jaringan pusat yang memiliki izin ke sumber daya jaringan.

Praktik terbaik: Mengidentifikasi dan memulihkan VM yang diekspos yang memungkinkan akses dari alamat IP sumber “apa pun”.
Detail: Menggunakan Pertahanan Microsoft untuk Cloud. Pertahanan untuk Cloud akan menyarankan Anda membatasi akses melalui titik akhir yang terhubung ke internet jika salah satu grup keamanan jaringan Anda memiliki satu atau lebih aturan masuk yang mengizinkan akses dari alamat IP sumber “apa pun”. Pertahanan untuk Cloud akan menyarankan Anda mengedit aturan masuk ini untuk membatasi akses ke alamat IP sumber yang benar-benar membutuhkan akses.

Praktik terbaik: Membatasi port pengelolaan (RDP, SSH).
Detail: Akses VM Just-in-time (JIT) dapat digunakan untuk mengunci lalu lintas masuk ke VM Azure Anda, mengurangi paparan terhadap serangan sekaligus memberikan akses mudah untuk terhubung ke VM saat dibutuhkan. Saat JIT diaktifkan, Pertahanan untuk Cloud mengunci lalu lintas masuk ke VM Azure Anda dengan membuat aturan grup keamanan jaringan. Anda memilih port pada VM tempat lalu lintas masuk akan dikunci. Port ini dikendalikan oleh solusi JIT.

Langkah berikutnya

Lihat praktik terbaik dan pola keamanan Azure untuk praktik terbaik keamanan lainnya yang digunakan saat Anda mendesain, menerapkan, dan mengelola solusi cloud dengan menggunakan Azure.

Sumber daya berikut ini tersedia untuk memberikan informasi yang lebih umum tentang keamanan Azure dan layanan Microsoft terkait: