Manajemen Identitas Azure dan praktik terbaik keamanan kontrol akses

Dalam artikel ini, kami membahas kumpulan manajemen identitas Azure dan praktik terbaik keamanan kontrol akses. Praktik terbaik ini berasal dari pengalaman kami dengan Microsoft Azure Active Directory dan pengalaman pelanggan seperti Anda.

Untuk setiap praktik terbaik, kami menjelaskan:

• Apakah praktik terbaik itu
• Mengapa Anda ingin mengaktifkan praktik terbaik itu
• Apa yang mungkin dihasilkan jika Anda gagal mengaktifkan praktik terbaik
• Kemungkinan alternatif untuk praktik terbaik
• Bagaimana Anda dapat belajar untuk mengaktifkan praktik terbaik

Artikel manajemen identitas Azure dan keamanan kontrol akses ini didasarkan pada pendapat konsensus dan kemampuan platform Azure dan rangkaian fitur, hadir pada saat artikel ini ditulis.

Tujuan dalam menulis artikel ini adalah untuk memberikan peta strategi umum ke postur keamanan yang lebih kuat setelah penyebaran dipandu oleh daftar periksa kami "5 langkah untuk mengamankan infrastruktur identitas Anda" , yang memandu Anda melalui beberapa fitur dan layanan inti kami.

Pendapat dan teknologi berubah dari waktu ke waktu dan artikel ini akan diperbarui secara teratur untuk mencerminkan perubahan tersebut.

Manajemen identitas Azure dan praktik terbaik keamanan kontrol akses yang dibahas dalam artikel ini meliputi:

• Memperlakukan identitas sebagai perimeter keamanan utama
• Memusatkan manajemen identitas
• Mengelola penyewa yang tersambung
• Mengaktifkan akses menyeluruh
• Mengaktifkan Akses Bersyarat
• Merencanakan peningkatan keamanan rutin
• Mengaktifkan manajemen kata sandi
• Menerapkan verifikasi multifaktor untuk pengguna
• Menggunakan kontrol akses berbasis peran
• Paparan bawah dari hak istimewa akun
• Mengontrol lokasi di mana sumber daya berlokasi
• Menggunakan Microsoft Azure Active Directory untuk autentikasi penyimpanan

Memperlakukan identitas sebagai perimeter keamanan utama

Banyak yang menganggap identitas sebagai perimeter utama untuk keamanan. Ini adalah pergantian dari fokus tradisional pada keamanan jaringan. Perimeter jaringan terus menjadi lebih keropos, dan pertahanan perimeter itu tidak bisa seefektif sebelum ledakan perangkat BYOD dan aplikasi cloud.

Microsoft Azure Active Directory (Azure AD) adalah solusi Azure untuk manajemen identitas dan akses. Microsoft Azure Active Directory adalah layanan manajemen penyewa, direktori berbasis cloud dan identitas dari Microsoft. Microsoft Azure Active Directory menggabungkan layanan direktori inti, manajemen akses aplikasi, dan perlindungan identitas menjadi solusi tunggal.

Bagian berikut ini mencantumkan praktik terbaik untuk identitas dan mengakses keamanan menggunakan Microsoft Azure Active Directory.

Praktik terbaik: Kontrol keamanan pusat dan deteksi di sekitar identitas pengguna dan layanan. Detail: Gunakan Microsoft Azure Active Directory untuk kolokasikan kontrol dan identitas.

Memusatkan manajemen identitas

Dalam skenario identitas hibrid, kami menyarankan agar Anda mengintegrasikan direktori lokal dan cloud Anda. Integrasi memungkinkan tim IT Anda untuk mengelola akun dari satu lokasi, terlepas dari tempat akun dibuat. Integrasi juga membantu pengguna Anda menjadi lebih produktif dengan menyediakan identitas umum untuk mengakses sumber daya cloud dan lokal.

Praktik terbaik: Buat satu instans Microsoft Azure Active Directory. Konsistensi dan satu sumber otoritatif akan meningkatkan kejelasan dan mengurangi risiko keamanan dari kesalahan manusia dan kompleksitas konfigurasi. Detail: Menunjuk satu direktori Microsoft Azure Active Directory sebagai sumber otoritatif untuk akun perusahaan dan organisasi.

Praktik terbaik: Integrasikan direktori lokal Anda dengan Microsoft Azure Active Directory.
Detail: Gunakan Azure Active Directory Connect untuk menyinkronkan direktori lokal Anda dengan direktori cloud Anda.

Catatan

Ada faktor yang mempengaruhi kinerja Microsoft Azure Active Directory Connect. Pastikan Azure Active Directory Connect memiliki kapasitas yang cukup untuk menjaga sistem yang kurang baik agar tidak menghambat keamanan dan produktivitas. Organisasi besar atau kompleks (organisasi yang memprovisi lebih dari 100.000 objek) harus mengikuti rekomendasi untuk mengoptimalkan implementasi Azure Active Directory Connect mereka.

Praktik terbaik: Jangan sinkronkan akun ke Microsoft Azure Active Directory yang memiliki hak istimewa tinggi di instans Direktori Aktif yang ada. Detail: Jangan ubah konfigurasi default Azure Active Directory Connect yang memfilter akun ini. Konfigurasi ini mengurangi risiko pemutaran yang berdampak dari cloud ke aset lokal (yang dapat membuat insiden besar).

Praktik terbaik: Aktifkan sinkronisasi hash kata sandi.
Detail: Sinkronisasi hash kata sandi adalah fitur yang digunakan untuk menyinkronkan hash kata sandi pengguna dari instans Direktori Aktif lokal ke instans Microsoft Azure Active Directory berbasis cloud. Sinkronisasi ini membantu melindungi dari info masuk yang bocor yang diputar ulang dari serangan sebelumnya.

Bahkan jika Anda memutuskan untuk menggunakan federasi dengan Layanan Federasi Direktori Aktif (AD FS) atau IdP lainnya, Anda dapat secara opsional mengatur sinkronisasi hash kata sandi sebagai cadangan jika server lokal Anda gagal atau menjadi tidak tersedia untuk sementara waktu. Sinkronisasi ini memungkinkan pengguna untuk masuk ke layanan dengan menggunakan kata sandi yang sama dengan yang mereka gunakan untuk masuk ke instans Direktori Aktif lokal mereka. Ini juga menginzinkan Perlindungan Identitas untuk mendeteksi info masuk yang disusupi dengan membandingkan hashe kata sandi yang disinkronkan dengan kata sandi yang diketahui disusupi, jika pengguna telah menggunakan alamat email dan kata sandi yang sama pada layanan lain yang tidak terhubung ke Microsoft Azure Active Directory.

Untuk informasi selengkapnya, lihat Menerapkan sinkronisasi hash kata sandi dengan sinkronisasi Azure AD Connect.

Praktik terbaik: Untuk pengembangan aplikasi baru, gunakan Microsoft Azure Active Directory untuk autentikasi. Detail: Gunakan kapabilitas yang benar untuk mendukung autentikasi:

• Microsoft Azure Active Directory untuk karyawan
• Microsoft Azure Active Directory B2B untuk pengguna tamu dan mitra eksternal
• Azure Active Directory B2C untuk mengontrol cara pelanggan mendaftar, masuk, dan mengelola profil mereka saat mereka menggunakan aplikasi Anda

Organisasi yang tidak mengintegrasikan identitas lokal mereka dengan identitas cloud dapat memiliki lebih banyak overhead dalam mengelola akun. Overhead ini meningkatkan kemungkinan kesalahan dan pelanggaran keamanan.

Catatan

Anda harus memilih akun penting direktori mana yang akan tinggal dan apakah admin stasiun kerja yang digunakan dikelola oleh layanan cloud baru atau proses yang ada. Menggunakan proses provisi manajemen dan identitas yang ada dapat mengurangi beberapa risiko tetapi juga dapat menciptakan risiko penyerang yang mengorbankan akun lokal dan berputar ke cloud. Anda mungkin ingin menggunakan strategi yang berbeda untuk peran yang berbeda (misalnya, admin IT vs. admin unit bisnis).   Anda memiliki dua opsi. Opsi pertama adalah membuat Akun Microsoft Azure Active Directory yang tidak disinkronkan dengan instans Direktori Aktif lokal Anda. Bergabunglah dengan admin stasiun kerja Anda ke Microsoft Azure Active Directory, yang dapat Anda kelola dan patch dengan menggunakan Microsoft Intune. Opsi kedua adalah menggunakan akun admin yang sudah ada dengan menyinkronkan ke instans Direktori Aktif lokal Anda. Gunakan stasiun kerja yang ada di domain Direktori Aktif untuk manajemen dan keamanan.

Mengelola penyewa yang tersambung

Organisasi keamanan Anda memerlukan visibilitas untuk menilai risiko dan menentukan apakah kebijakan organisasi Anda, dan persyaratan peraturan apa pun, sedang diikuti. Anda harus memastikan bahwa organisasi keamanan Anda memiliki visibilitas ke semua langganan yang terhubung ke lingkungan produksi dan jaringan Anda (melalui Azure ExpressRoute atau VPN situs ke situs). Administrator Global di Microsoft Azure Active Directory dapat meningkatkan akses mereka ke peran Administrator Akses Pengguna dan melihat semua langganan dan grup terkelola yang terhubung ke lingkungan Anda.

Lihat meningkatkan akses untuk mengelola semua langganan dan grup manajemen Azure untuk memastikan bahwa Anda dan grup keamanan Anda dapat menampilkan semua langganan atau grup manajemen yang terhubung ke lingkungan Anda. Anda harus menghapus akses yang ditingkatkan ini setelah Anda menilai risiko.

Mengaktifkan akses menyeluruh

Di dunia mobile-first, cloud-first, Anda ingin mengaktifkan akses menyeluruh (SSO) ke perangkat, aplikasi, dan layanan dari mana saja sehingga pengguna Anda dapat produktif di mana pun dan kapan pun. Ketika Anda memiliki beberapa solusi identitas untuk dikelola, ini menjadi masalah administratif tidak hanya untuk IT tetapi juga bagi pengguna yang harus mengingat beberapa kata sandi.

Dengan menggunakan solusi identitas yang sama untuk semua aplikasi dan sumber daya Anda, Anda dapat mencapai akses menyeluruh. Dan pengguna Anda dapat menggunakan serangkaian info masuk yang sama untuk masuk dan mengakses sumber daya yang mereka butuhkan, apakah sumber daya terletak di tempat lokal atau di cloud.

Praktik terbaik: Aktifkan akses menyeluruh.
Detail: Microsoft Azure Active Directory memperluas Direktori Aktif lokal ke cloud. Pengguna dapat menggunakan akun kerja atau sekolah primer mereka untuk perangkat yang bergabung dengan domain, sumber daya perusahaan, dan semua web dan aplikasi SaaS yang mereka butuhkan untuk menyelesaikan pekerjaan mereka. Pengguna tidak perlu mengingat beberapa set nama pengguna dan kata sandi, dan akses aplikasi mereka dapat tersedia secara otomatis (atau dinon-fungsikan) berdasarkan keanggotaan grup organisasi mereka dan status mereka sebagai karyawan. Dan Anda dapat mengontrol akses tersebut untuk aplikasi galeri atau untuk aplikasi lokal Anda sendiri yang telah Anda dikembangkan dan diterbitkan melalui Proksi Aplikasi Microsoft Azure Active Directory.

Gunakan akses menyeluruh untuk mengaktifkan pengguna mengakses aplikasi SaaS mereka berdasarkan akun kerja atau sekolah di Microsoft Azure Active Directory. Ini tidak hanya berlaku untuk aplikasi Microsoft SaaS, tetapi juga aplikasi lain, seperti Google Apps dan Salesforce. Anda dapat mengonfigurasi aplikasi untuk menggunakan Microsoft Azure Active Directory sebagai IdP berbasis SAML. Sebagai kontrol keamanan, Microsoft Azure Active Directory tidak mengeluarkan token yang memungkinkan pengguna untuk masuk ke aplikasi kecuali mereka telah diberikan akses melalui Microsoft Azure Active Directory. Anda dapat memberikan akses secara langsung, atau melalui grup tempat pengguna menjadi anggotanya.

Organisasi yang tidak membuat identitas umum untuk membuat akses menyeluruh untuk pengguna dan aplikasi mereka lebih terekspos ke skenario di mana pengguna memiliki beberapa kata sandi. Skenario ini meningkatkan kemungkinan pengguna menggunakan kembali kata sandi atau menggunakan kata sandi yang lemah.

Mengaktifkan Akses Bersyarat

Pengguna dapat mengakses sumber daya organisasi Anda dengan menggunakan berbagai perangkat dan aplikasi dari mana saja. Sebagai admin IT, Anda ingin memastikan bahwa perangkat ini memenuhi standar Anda untuk keamanan dan kepatuhan. Hanya berfokus pada siapa yang dapat mengakses sumber daya tidak memadai lagi.

Untuk menyeimbangkan keamanan dan produktivitas, Anda perlu memikirkan bagaimana sumber daya diakses sebelum Anda dapat membuat keputusan tentang kontrol akses. Dengan Akses Bersyarat Microsoft Azure Active Directory, Anda dapat mengatasi persyaratan ini. Dengan Akses Bersyarat, Anda dapat membuat keputusan kontrol akses otomatis berdasarkan kondisi untuk mengakses aplikasi cloud Anda.

Praktik terbaik: Kelola dan kontrol akses ke sumber daya perusahaan.
Detail: Mengonfigurasi kebijakan umum Akses Bersyarat Microsoft Azure Active Directory berdasarkan sensitivitas grup, lokasi, dan aplikasi untuk aplikasi SaaS dan aplikasi yang terhubung dengan Microsoft Azure Active Directory.

Praktik terbaik: Blokir warisan protokol autentikasi. Detail: Penyerang mengeksploitasi kelemahan dalam protokol yang lebih lama setiap hari, terutama untuk serangan semprotan kata sandi. Mengonfigurasi Akses Bersyarat untuk memblokir warisan protokol lama.

Merencanakan peningkatan keamanan rutin

Keamanan selalu berkembang, dan penting untuk membangun kerangka kerja manajemen cloud Anda dan identitas, cara untuk secara teratur menunjukkan pertumbuhan dan menemukan cara baru untuk mengamankan lingkungan Anda.

Skor Aman Identitas adalah sekumpulan kontrol keamanan yang direkomendasikan yang diterbitkan Microsoft yang berfungsi untuk memberi Anda skor numerik untuk mengukur postur keamanan Anda secara objektif dan membantu merencanakan peningkatan keamanan di masa mendatang. Anda juga dapat melihat skor Anda dibandingkan dengan yang ada di industri lain serta tren Anda sendiri dari waktu ke waktu.

Praktik terbaik: Rencanakan tinjauan rutin keamanan dan peningkatan berdasarkan praktik terbaik di industri Anda. Detail: Gunakan fitur Skor Aman Identitas untuk memberi peringkat peningkatan Anda dari waktu ke waktu.

Mengaktifkan manajemen kata sandi

Jika Anda memiliki beberapa penyewa atau Anda ingin mengaktifkan pengguna untuk mereset kata sandi mereka sendiri, penting bagi Anda untuk menggunakan kebijakan keamanan yang sesuai untuk mencegah penyalahgunaan.

Praktik terbaik: Siapkan pengaturan ulang kata sandi mandiri (SSPR) untuk pengguna Anda.
Detail: Gunakan fitur pengaturan ulang kata sandi mandiri Microsoft Azure Active Directory.

Praktik terbaik: Pantau bagaimana atau apakah SSPR benar-benar digunakan.
Detail: Pantau pengguna yang mendaftar dengan menggunakan laporan Aktivitas Pendaftaran Pengaturan Ulang Kata Sandi Microsoft Azure Active Directory. Fitur pelaporan yang disediakan Microsoft Azure Active Directory membantu Anda menjawab pertanyaan dengan menggunakan laporan bawaan. Jika memiliki lisensi yang tepat, Anda juga dapat membuat kueri kustom.

Praktik terbaik: Perluas kebijakan kata sandi berbasis cloud ke infrastruktur lokal Anda. Detail: Meningkatkan kebijakan kata sandi di organisasi Anda dengan melakukan pemeriksaan yang sama untuk perubahan kata sandi lokal seperti yang Anda lakukan untuk perubahan kata sandi berbasis awan. Pasangl perlindungan kata sandi Microsoft Azure Active Directory untuk agen Active Directory lokal untuk memperluas daftar kata sandi yang dilarang ke infrastruktur Anda yang sudah ada. Pengguna dan admin yang mengubah, mengatur, atau mereset kata sandi lokal diperlukan untuk mematuhi kebijakan kata sandi yang sama dengan pengguna hanya cloud.

Menerapkan verifikasi multifaktor untuk pengguna

Kami merekomendasikan Anda memerlukan verifikasi dua langkah untuk semua pengguna Anda. Ini termasuk administrator dan orang lain di organisasi Anda yang dapat memiliki dampak signifikan jika akun mereka disusupi (misalnya, pejabat keuangan).

Ada beberapa opsi untuk mengharuskan verifikasi dua langkah yang diperlukan. Opsi terbaik untuk Anda bergantung pada tujuan Anda, edisi Microsoft Azure Active Directory yang Anda jalankan, dan program lisensi Anda. Lihat Cara memerlukan verifikasi dua langkah bagi pengguna untuk menentukan opsi terbaik untuk Anda. Lihat halaman harga Microsoft Azure Active Directorydan Autentikasi Multifaktor Microsoft Azure Active Directory untuk informasi selengkapnya tentang lisensi dan harga.

Berikut adalah opsi dan manfaat untuk mengaktifkan verifikasi dua langkah:

Opsi 1: Aktifkan MFA untuk semua pengguna dan metode login dengan Manfaat Default Keamanan Microsoft Azure Active Directory: Opsi ini memungkinkan Anda untuk dengan mudah dan cepat memberlakukan MFA untuk semua pengguna di lingkungan Anda dengan kebijakan yang ketat untuk:

• Menantang akun administratif dan mekanisme masuk administratif
• Memerlukan tantangan MFA melalui Microsoft Authenticator untuk semua pengguna
• Batasi protokol autentikasi warisan lama.

Metode ini tersedia untuk semua tingkatan lisensi tetapi tidak dapat dicampur dengan kebijakan Akses Bersyarat yang ada. Anda bisa menemukan informasi selengkapnya di Default Keamanan Microsoft Azure Active Directory

Opsi 2: Aktifkan Autentikasi Multifaktor dengan mengubah status pengguna.
Manfaat: Ini adalah metode tradisional untuk verifikasi dua langkah yang diperlukan. Ini berfungsi dengan Autentikasi Multifaktor Microsoft Azure Active Directory di cloud dan Server Microsoft Azure Multi-Factor Authentication. Menggunakan metode ini mengharuskan pengguna untuk melakukan verifikasi dua langkah setiap kali mereka masuk dan mengambil alih kebijakan Akses Bersyarat.

Untuk menentukan di mana Autentikasi Multifaktor perlu diaktifkan, lihat Versi Azure Active Directory Multifactor Authentication mana yang tepat untuk organisasi saya?.

Opsi 3: Aktifkan Autentikasi Multifaktor dengan kebijakan Akses Bersyarat. Manfaat: Opsi ini memungkinkan Anda untuk meminta verifikasi dua langkah dalam kondisi tertentu dengan menggunakan Akses Bersyarat. Kondisi spesifik dapat digunakan untuk masuk dari lokasi yang berbeda, perangkat yang tidak tepercaya, atau aplikasi yang Anda dianggap berisiko. Menentukan kondisi tertentu di mana Anda memerlukan verifikasi dua langkah memungkinkan Anda untuk menghindari permintaan konstan bagi pengguna Anda, yang bisa menjadi pengalaman yang tidak menyenangkan bagi pengguna.

Ini adalah cara paling fleksibel untuk mengaktifkan verifikasi dua langkah untuk pengguna Anda. Mengaktifkan kebijakan Akses Bersyarat hanya berfungsi untuk Autentikasi Multifaktor Microsoft Azure Active Directory di cloud dan merupakan fitur premium Microsoft Azure Active Directory. Anda dapat menemukan informasi selengkapnya tentang metode ini di Penyebaran Autentikasi Multifaktor Microsoft Azure Active Directory berbasis awan.

Opsi 4: Aktifkan Autentikasi Multifaktor dengan kebijakan Akses Bersyarat dengan mengevaluasi kebijakan Akses Bersyarat Berbasis Risiko.
Manfaat: Opsi ini memungkinkan Anda untuk:

• Mendeteksi potensi kerentanan yang memengaruhi identitas organisasi Anda.
• Konfigurasikan respons otomatis untuk mendeteksi tindakan mencurigakan yang terkait dengan identitas organisasi Anda.
• Selidiki insiden mencurigakan dan ambil tindakan yang tepat untuk menyelesaikannya.

Metode ini menggunakan evaluasi risiko Azure Active Directory Identity Protection untuk menentukan apakah verifikasi dua langkah diperlukan berdasarkan pengguna dan risiko masuk untuk semua aplikasi cloud. Metode ini memerlukan lisensi Microsoft Azure Active Directory P2. Anda dapat menemukan informasi selengkapnya tentang metode ini di Azure Active Directory Identity Protection.

Catatan

Opsi 2, mengaktifkan Autentikasi Multifaktor dengan mengubah status pengguna, mengambil alih kebijakan Akses Bersyarat. Karena opsi 3 dan 4 menggunakan kebijakan Akses Bersyarat, Anda tidak bisa menggunakan opsi 2 dengannya.

Organisasi yang tidak menambahkan lapisan perlindungan identitas tambahan, seperti verifikasi dua langkah, lebih rentan terhadap serangan pencurian info masuk. Serangan pencurian info masuk dapat menyebabkan pencurian data.

Menggunakan kontrol akses berbasis peran

Manajemen akses untuk sumber daya cloud sangat penting untuk setiap organisasi yang menggunakan cloud. Kontrol akses berbasis peran Azure (Azure RBAC) membantu Anda mengelola siapa yang memiliki akses ke sumber daya Azure, apa yang dapat mereka lakukan dengan sumber daya tersebut, dan area apa yang dapat mereka akses.

Menunjuk grup atau peran individu yang bertanggung jawab atas fungsi tertentu di Azure, membantu menghindari kebingungan yang dapat menyebabkan kesalahan manusia dan otomatisasi yang menciptakan risiko keamanan. Membatasi akses berdasarkan kebutuhan untuk mengetahui dan paling tidak hak istimewa prinsip keamanan sangat penting bagi organisasi yang ingin memberlakukan kebijakan keamanan untuk akses data.

Tim keamanan Anda memerlukan visibilitas ke sumber daya Azure untuk menilai dan memulihkan risiko. Jika tim keamanan memiliki tanggung jawab operasional, mereka membutuhkan izin tambahan untuk melakukan pekerjaan mereka.

Anda dapat menggunakan Azure RBAC untuk menetapkan izin kepada pengguna, grup, dan aplikasi pada cakupan tertentu. Ruang lingkup penetapan peran dapat menjadi langganan, grup sumber daya, atau satu sumber daya.

Praktik terbaik: Memisahkan tugas dalam tim Anda dan hanya memberikan jumlah akses kepada pengguna yang mereka butuhkan untuk melakukan pekerjaan mereka. Daripada memberi semua orang izin tidak terbatas di langganan atau sumber daya Azure Anda, sebaiknya hanya mengizinkan tindakan tertentu pada cakupan tertentu. Detail: Gunakan peran bawaan Azure di Azure untuk menetapkan hak istimewa kepada pengguna.

Catatan

Izin khusus menciptakan kompleksitas dan kebingungan yang tidak diperlukan, terakumulasi ke dalam konfigurasi "warisan" yang sulit diperbaiki tanpa takut merusak sesuatu. Hindari izin khusus sumber daya. Sebagai gantinya, gunakan grup manajemen untuk izin seluruh perusahaan dan grup sumber daya untuk izin dalam langganan. Hindari izin khusus pengguna. Sebagai gantinya, tetapkan akses ke grup di Microsoft Azure Active Directory.

Praktik terbaik: Beri tim keamanan dengan akses tanggung jawab Azure untuk melihat sumber daya Azure sehingga mereka dapat menilai dan memulihkan risiko. Detail: Berikan tim keamanan peran RBAC Azure Pembaca Keamanan. Anda dapat menggunakan grup manajemen akar atau grup manajemen segmen, tergantung pada ruang cakupan tanggung jawab:

• Grup manajemen root untuk tim yang bertanggung jawab atas semua sumber daya perusahaan
• Grup manajemen segmen untuk tim dengan cakupan terbatas (umumnya karena peraturan atau batas organisasi lainnya)

Praktik terbaik: Berikan izin yang sesuai kepada tim keamanan yang memiliki tanggung jawab operasional langsung. Detail: Tinjau peran bawaan Azure untuk penetapan peran yang sesuai. Jika peran bawaan tidak memenuhi kebutuhan spesifik organisasi Anda, Anda dapat membuat peran kustom Azure. Artikel ini membahas cara membuat dan menetapkan peran kustom kepada pengguna, grup, dan layanan pokok di langganan, grup sumber daya, dan lingkup sumber daya.

Praktik terbaik: Berikan akses kepada Pertahanan Microsoft untuk Cloud ke peran keamanan yang membutuhkannya. Pertahanan Microsoft untuk Cloud mengizinkan tim keamanan untuk mengidentifikasi dan memulihkan risiko dengan cepat. Detail: Tambahkan tim keamanan dengan kebutuhan ini ke peran Admin Keamanan RBAC Azure sehingga mereka dapat melihat kebijakan keamanan, melihat status keamanan, mengedit kebijakan keamanan, melihat pemberitahuan dan rekomendasi, serta menghilangkan peringatan dan rekomendasi. Anda dapat melakukan ini dengan menggunakan grup manajemen akar atau grup manajemen segmen, tergantung pada ruang cakupan tanggung jawab.

Organisasi yang tidak memberlakukan kontrol akses data dengan menggunakan kemampuan seperti Azure RBAC mungkin memberikan lebih banyak hak istimewa daripada yang diperlukan kepada penggunanya. Ini dapat menyebabkan peluang penjualan data dengan mengizinkan pengguna untuk mengakses jenis data (misalnya, dampak bisnis yang tinggi) yang seharusnya tidak mereka miliki.

Paparan bawah dari hak istimewa akun

Mengamankan akses istimewa adalah langkah pertama yang penting untuk melindungi aset bisnis. Meminimalkan jumlah orang yang memiliki akses ke informasi atau sumber daya yang aman mengurangi kemungkinan pengguna berbahaya mendapatkan akses, atau pengguna yang berwenang secara tidak sengaja mempengaruhi sumber daya sensitif.

Akun hak istimewa adalah akun yang mengawasi dan mengelola sistem IT. Penyerang cyber menargetkan akun-akun ini untuk mendapatkan akses ke data dan sistem organisasi. Untuk mengamankan akses istimewa, Anda harus mengisolasi akun dan sistem dari risiko terekspos pengguna jahat.

Kami menyarankan agar Anda mengembangkan dan mengikuti peta strategi untuk mengamankan akses istimewa terhadap penyerangan cyber. Untuk informasi tentang membuat peta jalan terperinci untuk mengamankan identitas dan akses yang dikelola atau dilaporkan di Microsoft Azure Active Directory, Microsoft Azure, Microsoft 365, dan layanan cloud lainnya, tinjau Mengamankan akses istimewa untuk penggunaan hibrid dan penyebaran cloud di Microsoft Azure Active Directory.

Berikut ini meringkas praktik terbaik yang ditemukan dalam Mengamankan akses istimewa untuk penggunaan hibrid dan cloud di Microsoft Azure Active Directory:

Praktik terbaik: Kelola, kontrol, dan pantau akses ke akun hak istimewa.
Detail: Aktifkan Azure Active Directory Privileged Identity Management. Setelah mengaktifkan Azure Active Directory Privileged Identity Management, Anda akan menerima pesan melalui motifikasi alamat emaili untuk perubahan peran akses istimewa. Pemberitahuan ini memberikan peringatan dini ketika pengguna tambahan ditambahkan ke peran yang sangat istimewa dalam direktori Anda.

Praktik terbaik: Pastikan semua akun admin penting dikelola akun Microsoft Azure Active Directory. Detail: Hapus akun konsumen apa pun dari peran admin penting (misalnya, akun Microsoft seperti hotmail.com, live.com, dan outlook.com).

Praktik terbaik: Pastikan semua peran admin penting memiliki akun terpisah untuk tugas administratif untuk menghindari pengelabuan dan serangan lainnya yang membahayakan hak administratif. Detail: Buat akun admin terpisah yang diberi hak istimewa yang diperlukan untuk melakukan tugas administratif. Blokir penggunaan akun administratif ini untuk alat produktivitas harian seperti email Microsoft 365 atau penelusuran web sewenang-wenang.

Praktik terbaik: Identifikasi dan katagorikan akun yang berada dalam peran yang sangat istimewa.
Detail: Setelah mengaktifkan Azure Active Directory Privileged Identity Management, lihat pengguna yang berada di administrator global, administrator peran istimewa, dan peran lain yang sangat istimewa. Hapus akun apa pun yang tidak lagi diperlukan dalam peran tersebut, dan kategorikan akun yang tersisa yang ditetapkan ke peran admin:

• Ditetapkan secara individual untuk pengguna administratif, dan dapat digunakan untuk tujuan non-administratif (misalnya, email pribadi)
• Ditetapkan secara individual untuk pengguna administratif dan ditunjuk hanya untuk tujuan administratif
• Dibagikan di beberapa pengguna
• Untuk skenario akses darurat
• Untuk skrip otomatis
• Untuk pengguna eksternal

Praktik terbaik: Terapkan akses "just-in-time" (JIT) untuk lebih menurunkan paparan waktu hak istimewa dan meningkatkan visibilitas Anda ke dalam penggunaan akun istimewa.
Detail: Azure Active Directory Privileged Identity Management memungkinkan Anda:

• Batasi pengguna untuk hanya mengambil hak istimewa just-in-time mereka.
• Tetapkan peran untuk durasi yang dipersingkat dengan keyakinan bahwa hak istimewa dicabut secara otomatis.

Praktik terbaik: Tentukan setidaknya dua akun akses darurat.
Detail: Akun akses darurat membantu organisasi membatasi akses istimewa di lingkungan Microsoft Azure Active Directory yang ada. Akun-akun ini sangat istimewa dan tidak ditugaskan untuk individu tertentu. Akun akses darurat terbatas pada skenario di mana akun administratif normal tidak dapat digunakan. Organisasi harus membatasi penggunaan akun darurat hanya untuk jumlah waktu yang diperlukan.

Mengevaluasi akun yang ditetapkan atau memenuhi syarat untuk peran admin global. Jika Anda tidak melihat akun khusus awan apapun dengan menggunakan domain *.onmicrosoft.com (ditujukan untuk akses darurat), buat akun tersebut. Untuk informasi selengkapnya, lihat Mengelola akun administratif akses darurat di AAD.

Praktik terbaik: Miliki proses "pecahkan kaca" di tempat jika terjadi kasus keadaan darurat. Detail: Ikuti langkah-langkah berikut di Akses hak istimewa keamanan untuk hibrid dan penyebaran cloud in Microsoft Azure Active Directory.

Praktik terbaik: Mengharuskan semua akun admin penting menjadi tanpa kata sandi (disukai), atau memerlukan Autentikasi Multifaktor. Detail: Gunakan aplikasi Microsoft Authenticator untuk masuk ke akun Microsoft Azure Active Directory tanpa menggunakan kata sandi. Seperti Windows Hello for Business, Microsoft Authenticator menggunakan autentikasi berbasis kunci untuk mengaktifkan info masuk pengguna yang terkait dengan perangkat dan menggunakan autentikasi biometrik atau PIN.

Memerlukan Autentikasi Multifaktor Microsoft Azure Active Directory saat masuk untuk semua pengguna individual yang secara permanen ditetapkan ke satu atau beberapa peran admin Microsoft Azure Active Directory: Administrator Global, Admin Peran Istimewa, Admin Exchange Online, dan Admin SharePoint. Aktifkan Autentikasi Multifaktor untuk akun admin Anda dan pastikan pengguna akun admin telah mendaftar.

Praktik terbaik: Untuk akun admin penting, memiliki admin stasiun kerja di mana tugas produksi tidak diizinkan (misalnya, penjelajahan dan alamat email). Ini akan melindungi akun admin Anda dari vektor serangan yang menggunakan penjelajahan dan email dan secara signifikan menurunkan risiko insiden besar Anda. Detail: Gunakan admin stasiun kerja. Pilih tingkat keamanan stasiun kerja:

• Perangkat produktivitas yang sangat aman memberikan keamanan tingkat lanjut untuk penjelajahan dan tugas produktivitas lainnya.
• Privileged Access Workstations (PAWs) menyediakan sistem operasi khusus yang terlindungi dari serangan internet dan ancaman vektor untuk tugas-tugas sensitif.

Praktik terbaik: Membatalkan akun admin saat karyawan meninggalkan organisasi Anda. Detail: Memiliki proses menonaktifkan atau menghapus akun admin saat karyawan meninggalkan organisasi Anda.

Praktik terbaik: Menguji akun admin secara teratur dengan menggunakan teknik serangan saat ini. Detail: Gunakan Microsoft 365 Attack Simulator atau penawaran pihak ketiga untuk menjalankan skenario serangan realistis di organisasi Anda. Ini dapat membantu Anda menemukan pengguna yang rentan sebelum serangan nyata terjadi.

Praktik terbaik: Ambil langkah-langkah untuk mengurangi teknik serangan yang paling sering digunakan.
Detail: Identifikasi akun Microsoft dalam peran administratif yang perlu dialihkan ke akun kerja atau sekolah

Memastikan akun pengguna dan penerusan email terpisah untuk akun administrator global

Memastikan bahwa kata sandi akun administratif baru-baru ini berubah

Mengaktifkan sinkronisasi hash kata sandi

Memerlukan Autentikasi Multifaktor untuk pengguna di semua peran istimewa serta pengguna yang terekspos

Dapatkan Skor Aman Microsoft 365 Anda (jika menggunakan Microsoft 365)

Meninjau panduan keamanan Microsoft 365 (jika menggunakan Microsoft 365)

Mengonfigurasi Pemantauan Aktivitas Microsoft 365 (jika menggunakan Microsoft 365)

Menetapkan pemilik rencana insiden/respons darurat

Mengamankan akun administratif istimewa lokal

Jika Anda tidak mengamankan akses istimewa, Anda mungkin menemukan bahwa Anda memiliki terlalu banyak pengguna dalam peran yang sangat istimewa dan lebih rentan terhadap serangan. Aktor jahat, termasuk penyerang cyber, sering menargetkan akun admin dan elemen akses istimewa lainnya untuk mendapatkan akses ke data sensitif dan sistem dengan menggunakan pencurian info masuk.

Mengontrol lokasi tempat sumber daya dibuat

Memungkinkan operator cloud untuk melakukan tugas sekaligus mencegahnya melanggar konvensi yang diperlukan untuk mengelola sumber daya organisasi Anda sangat penting. Organisasi yang ingin mengontrol lokasi tempat sumber daya dibuat harus mengkodekan lokasi-lokasi ini dengan keras.

Anda dapat menggunakan Azure Resource Manager untuk membuat kebijakan keamanan yang definisinya menjelaskan tindakan atau sumber daya yang ditolak secara khusus. Anda menetapkan definisi kebijakan tersebut pada cakupan yang diinginkan, seperti langganan, grup sumber daya, atau sumber daya individual.

Catatan

Kebijakan keamanan tidak sama dengan Azure RBAC. Mereka benar-benar menggunakan Azure RBAC untuk memberi wewenang kepada pengguna untuk membuat sumber daya tersebut.

Organisasi yang tidak mengontrol bagaimana sumber daya dibuat lebih rentan terhadap pengguna yang mungkin menyalahgunakan layanan dengan menciptakan lebih banyak sumber daya daripada yang mereka butuhkan. Melakukan proses pembuatan sumber daya adalah langkah penting untuk mengamankan skenario penyewa.

Memantau secara aktif aktivitas mencurigakan

Sistem pemantauan identitas aktif dapat dengan cepat mendeteksi perilaku mencurigakan dan memicu peringatan untuk penyelidikan lebih lanjut. Tabel berikut ini mencantumkan dua kapabilitas Microsoft Azure Active Directory yang dapat membantu organisasi memantau identitas mereka:

Praktik terbaik: Memiliki metode untuk mengidentifikasi:

• Mencoba masuk tanpa terlacak.
• Serangan brute force terhadap akun tertentu.
• Mencoba masuk dari beberapa lokasi.
• Masuk dari perangkat yang terinfeksi.
• Alamat IP yang mencurigakan.

Detail: Gunakan laporan anomali Azure Active Directory Premium. Memiliki proses dan prosedur yang berlaku bagi admin IT untuk menjalankan laporan ini setiap hari atau sesuai permintaan (biasanya dalam skenario respons insiden).

Praktik terbaik: Memiliki sistem pemantauan aktif yang memberi tahu Anda tentang risiko dan dapat menyesuaikan tingkat risiko (tinggi, sedang, atau rendah) dengan kebutuhan bisnis Anda.
Detail: Gunakan Azure Active Directory Identity Protection, yang menandai bendera risiko saat ini di dasbornya sendiri dan mengirim pemberitahuan ringkasan harian melalui alamat email. Untuk membantu melindungi identitas organisasi, Anda dapat mengonfigurasi kebijakan berbasis risiko yang secara otomatis merespons masalah yang terdeteksi saat tingkat risiko tertentu tercapai.

Organisasi yang tidak secara aktif memantau sistem identitas mereka berisiko memiliki info masuk pengguna yang disusupi. Tanpa sepengetahuan bahwa kegiatan mencurigakan terjadi melalui info masuk ini, organisasi tidak dapat mengurangi jenis ancaman ini.

Menggunakan Microsoft Azure Active Directory untuk autentikasi penyimpanan

Azure Storage mendukung autentikasi dan otorisasi dengan Microsoft Azure Active Directory untuk penyimpanan Blob dan penyimpanan Antrean. Dengan autentikasi Microsoft Azure Active Directory, Anda dapat menggunakan kontrol akses berbasis peran Azure untuk memberikan izin tertentu kepada pengguna, grup, dan aplikasi ke cakupan wadah blob individual atau antrean.

Kami menyarankan agar Anda menggunakan Microsoft Azure Active Directory untuk mengautentikasi akses ke penyimpanan.

Langkah selanjutnya

Lihat praktik terbaik dan pola keamanan Azure untuk praktik terbaik keamanan lainnya yang digunakan saat Anda mendesain, menerapkan, dan mengelola solusi cloud dengan menggunakan Azure.