Bagikan melalui

Azure Identity Management dan praktik terbaik keamanan kontrol akses

Dalam artikel ini, kami membahas kumpulan manajemen identitas Azure dan praktik terbaik keamanan kontrol akses. Praktik terbaik ini berasal dari pengalaman kami dengan ID Microsoft Entra dan pengalaman pelanggan seperti Anda.

Untuk setiap praktik terbaik, kami menjelaskan:

  • Apakah praktik terbaik itu
  • Mengapa Anda ingin mengaktifkan praktik terbaik itu
  • Apa yang mungkin dihasilkan jika Anda gagal mengaktifkan praktik terbaik
  • Kemungkinan alternatif untuk praktik terbaik
  • Bagaimana Anda dapat belajar untuk mengaktifkan praktik terbaik

Artikel praktik terbaik manajemen identitas Azure dan keamanan kontrol akses ini didasarkan pada opini konsensus dan kemampuan platform Azure serta set fitur, sebagaimana adanya pada saat artikel ini ditulis.

Niat dalam menulis artikel ini adalah untuk memberikan peta jalan umum ke postur keamanan yang lebih kuat setelah penyebaran yang dipandu oleh daftar periksa "5 langkah untuk mengamankan infrastruktur identitas Anda", yang memandu Anda melalui beberapa fitur dan layanan inti kami.

Opini dan teknologi berubah dari waktu ke waktu dan artikel ini akan diperbarui secara teratur untuk mencerminkan perubahan tersebut.

Manajemen identitas Azure dan praktik terbaik keamanan kontrol akses yang dibahas dalam artikel ini meliputi:

  • Perlakukan identitas sebagai perimeter keamanan utama
  • Mempusatkan manajemen identitas
  • Mengelola penyewa yang tersambung
  • Mengaktifkan login tunggal
  • Aktifkan Akses Bersyarat
  • Merencanakan peningkatan keamanan rutin
  • Mengaktifkan manajemen kata sandi
  • Menerapkan verifikasi multifaktor untuk pengguna
  • Menggunakan kontrol akses berbasis peran
  • Paparan bawah dari hak istimewa akun
  • Mengontrol lokasi tempat sumber daya berada
  • Menggunakan ID Microsoft Entra untuk autentikasi penyimpanan

Perlakukan identitas sebagai perimeter keamanan utama

Banyak yang menganggap identitas sebagai perimeter utama untuk keamanan. Ini adalah pergeseran dari fokus tradisional pada keamanan jaringan. Perimeter jaringan semakin keropos, dan pertahanan perimeter itu tidak bisa seefektif sebelumnya dengan perkembangan perangkat BYOD dan aplikasi cloud.

ID Microsoft Entra adalah solusi Azure untuk manajemen identitas dan akses. MICROSOFT Entra ID adalah layanan manajemen identitas dan direktori berbasis cloud multipenyewa dari Microsoft. Microsoft Azure Active Directory menggabungkan layanan direktori inti, manajemen akses aplikasi, dan perlindungan identitas menjadi solusi tunggal.

Bagian berikut mencantumkan praktik terbaik untuk identitas dan mengakses keamanan menggunakan ID Microsoft Entra.

Praktik terbaik: Kontrol dan deteksi keamanan pusat di sekitar identitas pengguna dan layanan. Detail: Gunakan ID Microsoft Entra untuk mengalokasikan kontrol dan identitas.

Mempusatkan manajemen identitas

Dalam skenario identitas hibrid, kami sarankan Anda mengintegrasikan direktori lokal dan cloud Anda. Integrasi memungkinkan tim TI Anda mengelola akun dari satu lokasi, terlepas dari tempat akun dibuat. Integrasi juga membantu pengguna Anda menjadi lebih produktif dengan menyediakan identitas umum untuk mengakses sumber daya cloud dan lokal.

Praktik terbaik: Buat satu instans Microsoft Entra. Konsistensi dan satu sumber otoritatif akan meningkatkan kejelasan dan mengurangi risiko keamanan dari kesalahan manusia dan kompleksitas konfigurasi.
Detail: Menunjuk satu direktori Microsoft Entra sebagai sumber otoritatif untuk akun perusahaan dan organisasi.

Praktik terbaik: Integrasikan direktori lokal Anda dengan ID Microsoft Entra.
Detail: Gunakan Microsoft Entra Connect untuk menyinkronkan direktori lokal Anda dengan direktori cloud Anda.

Nota

Ada faktor-faktor yang memengaruhi performa Microsoft Entra Connect. Pastikan Microsoft Entra Connect memiliki kapasitas yang cukup untuk menjaga sistem yang kurang baik dari menghambat keamanan dan produktivitas. Organisasi besar atau kompleks (organisasi yang menyediakan lebih dari 100.000 objek) harus mengikuti rekomendasi untuk mengoptimalkan implementasi Microsoft Entra Connect mereka.

Praktik terbaik: Jangan sinkronkan akun ke ID Microsoft Entra yang memiliki hak istimewa tinggi dalam instans Direktori Aktif yang ada.
Detail: Jangan ubah konfigurasi Microsoft Entra Connect default yang memfilter akun-akun ini. Konfigurasi ini mengurangi risiko pihak yang tidak bertanggung jawab melakukan pivot dari cloud ke aset lokal (yang dapat menyebabkan insiden besar).

Praktik terbaik: Aktifkan sinkronisasi hash kata sandi.
Detail: Sinkronisasi hash kata sandi adalah fitur yang digunakan untuk menyinkronkan hash kata sandi pengguna dari instans Direktori Aktif lokal ke instans Microsoft Entra berbasis cloud. Sinkronisasi ini membantu melindungi dari kredensial yang telah bocor yang digunakan kembali dalam serangan sebelumnya.

Bahkan jika Anda memutuskan untuk menggunakan federasi dengan Layanan Federasi Direktori Aktif (AD FS) atau penyedia identitas lainnya, Anda dapat secara opsional menyiapkan sinkronisasi hash kata sandi sebagai cadangan jika server lokal Anda gagal atau menjadi tidak tersedia untuk sementara waktu. Sinkronisasi ini memungkinkan pengguna untuk masuk ke layanan dengan menggunakan kata sandi yang sama dengan yang mereka gunakan untuk masuk ke instans Active Directory lokal mereka. Ini juga memungkinkan Perlindungan Identitas untuk mendeteksi kredensial yang disusupi dengan membandingkan hash kata sandi yang disinkronkan dengan kata sandi yang diketahui disusupi, jika pengguna telah menggunakan alamat email dan kata sandi yang sama pada layanan lain yang tidak terhubung ke ID Microsoft Entra.

Untuk informasi selengkapnya, lihat Menerapkan sinkronisasi hash kata sandi dengan Microsoft Entra Connect Sync.

Praktik terbaik: Untuk pengembangan aplikasi baru, gunakan ID Microsoft Entra untuk autentikasi.
Detail: Gunakan kemampuan yang benar untuk mendukung autentikasi:

  • ID Microsoft Entra untuk karyawan
  • Microsoft Entra B2B untuk pengguna tamu dan mitra eksternal
  • MICROSOFT Entra External ID untuk mengontrol cara pelanggan mendaftar, masuk, dan mengelola profil mereka saat mereka menggunakan aplikasi Anda

Organisasi yang tidak mengintegrasikan identitas lokal mereka dengan identitas cloud mereka dapat memiliki lebih banyak overhead dalam mengelola akun. Overhead ini meningkatkan kemungkinan kesalahan dan pelanggaran keamanan.

Nota

Anda perlu memilih akun penting direktori mana yang akan berada dan apakah stasiun kerja admin yang digunakan dikelola oleh layanan cloud baru atau proses yang sudah ada. Menggunakan proses penyediaan manajemen dan identitas yang ada dapat mengurangi beberapa risiko tetapi juga dapat menciptakan risiko penyerang yang membahayakan akun lokal dan melakukan pivot ke cloud. Anda mungkin ingin menggunakan strategi yang berbeda untuk peran yang berbeda (misalnya, admin TI vs. admin unit bisnis). Anda memiliki dua opsi. Opsi pertama adalah membuat akun Microsoft Entra yang tidak disinkronkan dengan instans Active Directory lokal Anda. Sambungkan stasiun kerja admin Anda ke Microsoft Entra ID, yang dapat Anda kelola dan perbarui dengan menggunakan Microsoft Intune. Opsi kedua adalah menggunakan akun admin yang ada dengan menyinkronkan ke instans Active Directory lokal Anda. Gunakan stasiun kerja yang ada di domain Direktori Aktif Anda untuk manajemen dan keamanan.

Mengelola penyewa yang tersambung

Organisasi keamanan Anda memerlukan visibilitas untuk menilai risiko dan menentukan apakah kebijakan organisasi Anda, dan persyaratan peraturan apa pun, sedang diikuti. Anda harus memastikan bahwa organisasi keamanan Anda memiliki visibilitas ke semua langganan yang terhubung ke lingkungan produksi dan jaringan Anda (melalui Azure ExpressRoute atau VPN situs-ke-situs. Administrator Global di ID Microsoft Entra dapat meningkatkan akses mereka ke peran Administrator Akses Pengguna dan melihat semua langganan dan grup terkelola yang terhubung ke lingkungan Anda.

Lihat meningkatkan akses untuk mengelola semua langganan Azure dan grup manajemen untuk memastikan bahwa Anda dan grup keamanan Anda dapat melihat semua langganan atau grup manajemen yang terhubung ke lingkungan Anda. Anda harus menghapus akses yang ditingkatkan ini setelah menilai risiko.

Mengaktifkan login tunggal

Di dunia mobile-first, cloud-first, Anda ingin mengaktifkan akses menyeluruh (SSO) ke perangkat, aplikasi, dan layanan dari mana saja sehingga pengguna Anda dapat produktif di mana pun dan kapan pun. Ketika Anda memiliki beberapa solusi identitas untuk dikelola, ini menjadi masalah administratif tidak hanya untuk IT tetapi juga bagi pengguna yang harus mengingat beberapa kata sandi.

Dengan menggunakan solusi identitas yang sama untuk semua aplikasi dan sumber daya, Anda dapat mencapai SSO. Dan pengguna Anda dapat menggunakan sekumpulan kredensial yang sama untuk masuk dan mengakses sumber daya yang mereka butuhkan, apakah sumber daya terletak di lokal atau di cloud.

Praktik terbaik: Aktifkan SSO.
Detail: MICROSOFT Entra ID memperluas Active Directory lokal ke cloud. Pengguna dapat menggunakan akun kerja atau sekolah utama mereka untuk perangkat yang bergabung dengan domain, sumber daya perusahaan, dan semua aplikasi web dan SaaS yang mereka butuhkan untuk menyelesaikan pekerjaan mereka. Pengguna tidak perlu mengingat beberapa set nama pengguna dan kata sandi, dan akses aplikasi mereka dapat disediakan secara otomatis (atau dicabut aksesnya) berdasarkan keanggotaan grup organisasi dan status mereka sebagai karyawan. Dan Anda dapat mengontrol akses tersebut untuk aplikasi galeri atau untuk aplikasi lokal Anda sendiri yang telah Anda kembangkan dan terbitkan melalui proksi aplikasi Microsoft Entra.

Gunakan SSO untuk memungkinkan pengguna mengakses aplikasi SaaS mereka berdasarkan akun kerja atau sekolah mereka di ID Microsoft Entra. Ini tidak hanya berlaku untuk aplikasi Microsoft SaaS, tetapi juga aplikasi lain, seperti Google Apps dan Salesforce. Anda dapat mengonfigurasi aplikasi untuk menggunakan Microsoft Entra ID sebagai penyedia identitas berbasis SAML. Sebagai kontrol keamanan, ID Microsoft Entra tidak mengeluarkan token yang memungkinkan pengguna untuk masuk ke aplikasi kecuali mereka telah diberikan akses melalui ID Microsoft Entra. Anda dapat memberikan akses secara langsung, atau melalui grup tempat pengguna menjadi anggota.

Organisasi yang tidak membuat identitas umum untuk membuat SSO bagi pengguna dan aplikasi mereka lebih terpapar skenario di mana pengguna memiliki beberapa kata sandi. Skenario ini meningkatkan kemungkinan pengguna menggunakan kembali kata sandi atau menggunakan kata sandi yang lemah.

Aktifkan Akses Bersyarat

Pengguna dapat mengakses sumber daya organisasi Anda dengan menggunakan berbagai perangkat dan aplikasi dari mana saja. Sebagai admin IT, Anda ingin memastikan bahwa perangkat ini memenuhi standar Anda untuk keamanan dan kepatuhan. Hanya berfokus pada siapa yang dapat mengakses sumber daya tidak cukup lagi.

Untuk menyeimbangkan keamanan dan produktivitas, Anda perlu memikirkan bagaimana sumber daya diakses sebelum Anda dapat membuat keputusan tentang kontrol akses. Dengan Akses Bersyarat Microsoft Entra, Anda dapat mengatasi persyaratan ini. Dengan Akses Bersyarat, Anda dapat membuat keputusan kontrol akses otomatis berdasarkan kondisi untuk mengakses aplikasi cloud Anda.

Praktik terbaik: Mengelola dan mengontrol akses ke sumber daya perusahaan.
Detail: Mengonfigurasi kebijakan Umum Microsoft Entra Conditional Access berdasarkan sensitivitas grup, lokasi, dan aplikasi untuk aplikasi SaaS dan aplikasi yang terhubung dengan ID Microsoft Entra.

Praktik terbaik: Memblokir protokol autentikasi warisan.
Detail: Penyerang mengeksploitasi kelemahan dalam protokol yang lebih lama setiap hari, terutama untuk serangan semprotan kata sandi. Mengonfigurasi Akses Bersyarat untuk memblokir protokol lama.

Merencanakan peningkatan keamanan rutin

Keamanan selalu berkembang, dan penting untuk membangun kerangka kerja manajemen cloud dan identitas Anda dengan cara untuk secara teratur menunjukkan pertumbuhan dan menemukan cara baru untuk mengamankan lingkungan Anda.

Skor Aman Identitas adalah serangkaian kontrol keamanan yang direkomendasikan yang diterbitkan Microsoft yang berfungsi untuk memberi Anda skor numerik untuk mengukur postur keamanan Anda secara objektif dan membantu merencanakan peningkatan keamanan di masa mendatang. Anda juga dapat melihat skor Anda dibandingkan dengan yang ada di industri lain serta tren Anda sendiri dari waktu ke waktu.

Praktik terbaik: Rencanakan tinjauan dan peningkatan keamanan rutin berdasarkan praktik terbaik di industri Anda.
Detail: Gunakan fitur Skor Aman Identitas untuk memberi peringkat peningkatan Anda dari waktu ke waktu.

Mengaktifkan manajemen kata sandi

Jika Anda memiliki beberapa penyewa atau ingin memungkinkan pengguna untuk mengatur ulang kata sandi mereka sendiri, penting bagi Anda untuk menggunakan kebijakan keamanan yang sesuai untuk mencegah penyalahgunaan.

Praktik terbaik: Siapkan pengaturan ulang kata sandi mandiri (SSPR) untuk pengguna Anda.
Detail: Gunakan fitur pengaturan ulang kata sandi mandiri ID Microsoft Entra.

Praktik terbaik: Pantau bagaimana atau apakah SSPR benar-benar digunakan.
Detail: Pantau pengguna yang mendaftar dengan menggunakan laporan Aktivitas Pendaftaran Pengaturan Ulang Kata Sandi Microsoft Entra ID. Fitur pelaporan yang disediakan Microsoft Entra ID membantu Anda menjawab pertanyaan dengan menggunakan laporan bawaan. Jika memiliki lisensi yang tepat, Anda juga dapat membuat kueri kustom.

Praktik terbaik: Perluas kebijakan kata sandi berbasis cloud ke infrastruktur lokal Anda.
Detail: Tingkatkan kebijakan kata sandi di organisasi Anda dengan melakukan pemeriksaan yang sama untuk perubahan kata sandi lokal seperti yang Anda lakukan untuk perubahan kata sandi berbasis cloud. Instal perlindungan kata sandi Microsoft Entra untuk agen Direktori Aktif Windows Server lokal untuk memperluas daftar kata sandi terlarang ke infrastruktur yang ada. Pengguna dan admin yang mengubah, mengatur, atau mengatur ulang kata sandi lokal diperlukan untuk mematuhi kebijakan kata sandi yang sama dengan pengguna khusus cloud.

Menerapkan verifikasi multifaktor untuk pengguna

Kami merekomendasikan Anda memerlukan verifikasi dua langkah untuk semua pengguna Anda. Ini termasuk administrator dan orang lain di organisasi Anda yang dapat memiliki dampak signifikan jika akun mereka disusupi (misalnya, pejabat keuangan).

Ada beberapa opsi untuk mengharuskan verifikasi dua langkah. Opsi terbaik untuk Anda tergantung pada tujuan Anda, edisi Microsoft Entra yang Anda jalankan, dan program lisensi Anda. Lihat Cara memerlukan verifikasi dua langkah bagi pengguna untuk menentukan opsi terbaik untuk Anda. Lihat halaman harga Microsoft Entra ID dan Microsoft Entra multifactor authentication untuk informasi selengkapnya tentang lisensi dan harga.

Berikut adalah opsi dan manfaat untuk mengaktifkan verifikasi dua langkah:

Opsi 1: Aktifkan MFA untuk semua pengguna dan metode masuk dengan Default Keamanan Microsoft Entra
Manfaat: Opsi ini memungkinkan Anda menerapkan MFA dengan mudah dan cepat untuk semua pengguna di lingkungan Anda dengan kebijakan yang ketat untuk:

  • Menantang akun administratif dan mekanisme masuk administratif
  • Memerlukan tantangan MFA melalui Microsoft Authenticator untuk semua pengguna
  • Batasi protokol autentikasi warisan lama.

Metode ini tersedia untuk semua tingkatan lisensi tetapi tidak dapat dicampur dengan kebijakan Akses Bersyarat yang ada. Anda dapat menemukan informasi selengkapnya di Pengaturan Standar Keamanan Microsoft Entra

Opsi 2: Aktifkan autentikasi multifaktor dengan mengubah status pengguna.
Manfaat: Ini adalah metode tradisional untuk memerlukan verifikasi dua langkah. Ini berfungsi dengan autentikasi multifaktor Microsoft Entra di cloud dan Azure Multi-Factor Authentication Server. Menggunakan metode ini mengharuskan pengguna untuk melakukan verifikasi dua langkah setiap kali mereka masuk dan mengambil alih kebijakan Akses Bersyarat.

Untuk menentukan di mana autentikasi multifaktor perlu diaktifkan, lihat Versi autentikasi multifaktor Microsoft Entra mana yang tepat untuk organisasi saya?.

Opsi 3: Aktifkan autentikasi multifaktor dengan kebijakan Akses Bersyar.
Manfaat: Opsi ini memungkinkan Anda untuk meminta verifikasi dua langkah dalam kondisi tertentu dengan menggunakan Akses Bersyarat. Kondisi spesifik dapat berupa pengguna yang masuk dari lokasi berbeda, perangkat yang tidak tepercaya, atau aplikasi yang Anda anggap berisiko. Menentukan kondisi tertentu di mana Anda memerlukan verifikasi dua langkah memungkinkan Anda untuk menghindari permintaan konstan bagi pengguna Anda, yang bisa menjadi pengalaman yang tidak menyenangkan bagi pengguna.

Ini adalah cara paling fleksibel untuk mengaktifkan verifikasi dua langkah untuk pengguna Anda. Mengaktifkan kebijakan Conditional Access hanya berfungsi untuk autentikasi multifaktor Microsoft Entra di cloud dan merupakan fitur premium dari Microsoft Entra ID. Anda dapat menemukan informasi selengkapnya tentang metode ini di Menyebarkan autentikasi multifaktor Microsoft Entra berbasis cloud.

Opsi 4: Aktifkan autentikasi multifaktor dengan kebijakan Akses Bersyarat dengan mengevaluasi Akses Bersyarat berbasis risiko.
Manfaat: Opsi ini memungkinkan Anda untuk:

  • Deteksi potensi kerentanan yang memengaruhi identitas organisasi Anda.
  • Konfigurasikan respons otomatis untuk mendeteksi tindakan mencurigakan yang terkait dengan identitas organisasi Anda.
  • Selidiki insiden mencurigakan dan ambil tindakan yang tepat untuk menyelesaikannya.

Metode ini menggunakan evaluasi risiko Microsoft Entra ID Protection untuk menentukan apakah verifikasi dua langkah diperlukan berdasarkan pengguna dan risiko masuk untuk semua aplikasi cloud. Metode ini memerlukan lisensi Microsoft Entra ID P2. Anda dapat menemukan informasi selengkapnya tentang metode ini di Microsoft Entra ID Protection.

Nota

Opsi 2, yang mengaktifkan autentikasi multifaktor dengan mengubah status pengguna, menimpa kebijakan Akses Bersyarat. Karena opsi 3 dan 4 menggunakan kebijakan Akses Bersyarat, Anda tidak bisa menggunakan opsi 2 dengannya.

Organisasi yang tidak menambahkan lapisan perlindungan identitas tambahan, seperti verifikasi dua langkah, lebih rentan terhadap serangan pencurian kredensial. Serangan pencurian kredensial dapat menyebabkan kompromi data.

Menggunakan kontrol akses berbasis peran

Manajemen akses untuk sumber daya cloud sangat penting untuk organisasi apa pun yang menggunakan cloud. Kontrol akses berbasis peran Azure (Azure RBAC) membantu Anda mengelola siapa yang memiliki akses ke sumber daya Azure, apa yang dapat mereka lakukan dengan sumber daya tersebut, dan area apa yang dapat mereka akses.

Menunjuk peran grup atau individu yang bertanggung jawab atas fungsi tertentu di Azure membantu menghindari kebingungan yang dapat menyebabkan kesalahan manusia dan otomatisasi yang menciptakan risiko keamanan. Membatasi akses berdasarkan kebutuhan untuk mengetahui dan prinsip keamanan hak istimewa paling sedikit sangat penting bagi organisasi yang ingin menerapkan kebijakan keamanan untuk akses data.

Tim keamanan Anda memerlukan visibilitas ke sumber daya Azure Anda untuk menilai dan memulihkan risiko. Jika tim keamanan memiliki tanggung jawab operasional, mereka memerlukan izin tambahan untuk melakukan pekerjaan mereka.

Anda dapat menggunakan Azure RBAC untuk menetapkan izin kepada pengguna, grup, dan aplikasi pada cakupan tertentu. Ruang lingkup penetapan peran dapat menjadi langganan, grup sumber daya, atau satu sumber daya.

Praktik terbaik: Memisahkan tugas dalam tim Anda dan hanya memberikan jumlah akses kepada pengguna yang mereka butuhkan untuk melakukan pekerjaan mereka. Alih-alih memberi semua orang izin yang tidak dibatasi dalam langganan atau sumber daya Azure Anda, izinkan hanya tindakan tertentu pada cakupan tertentu.
Detail: Gunakan peran bawaan Azure di Azure untuk menetapkan hak istimewa kepada pengguna.

Nota

Izin khusus menciptakan kompleksitas dan kebingungan yang tidak diperlukan, terakumulasi menjadi konfigurasi "warisan" yang sulit diperbaiki tanpa takut merusak sesuatu. Hindari izin khusus sumber daya. Sebagai gantinya, gunakan grup manajemen untuk izin di seluruh perusahaan dan grup sumber daya untuk izin dalam langganan. Hindari izin khusus pengguna. Sebagai gantinya, tetapkan akses ke grup di ID Microsoft Entra.

Praktik terbaik: Berikan tim keamanan dengan akses tanggung jawab Azure untuk melihat sumber daya Azure sehingga mereka dapat menilai dan memulihkan risiko.
Detail: Berikan peran Pembaca Keamanan Azure RBAC kepada tim keamanan. Anda dapat menggunakan grup manajemen akar atau grup manajemen segmen, tergantung pada cakupan tanggung jawab:

  • Grup manajemen utama untuk tim yang bertanggung jawab atas semua sumber daya perusahaan
  • Grup manajemen segmen untuk tim dengan cakupan terbatas (umumnya karena peraturan atau batas organisasi lainnya)

Praktik terbaik: Berikan izin yang sesuai kepada tim keamanan yang memiliki tanggung jawab operasional langsung.
Detail: Tinjau peran bawaan Azure untuk penetapan peran yang sesuai. Jika peran bawaan tidak memenuhi kebutuhan spesifik organisasi Anda, Anda dapat membuat peran kustom Azure. Seperti halnya peran bawaan, Anda dapat menetapkan peran kustom untuk pengguna, grup, dan perwakilan layanan di cakupan langganan, grup sumber daya, dan sumber daya.

Praktik terbaik: Berikan akses Microsoft Defender for Cloud ke peran keamanan yang membutuhkannya. Defender for Cloud memungkinkan tim keamanan untuk mengidentifikasi dan memulihkan risiko dengan cepat.
Detail: Tambahkan tim keamanan dengan kebutuhan ini ke peran Admin Keamanan Azure RBAC sehingga mereka dapat melihat kebijakan keamanan, melihat status keamanan, mengedit kebijakan keamanan, melihat pemberitahuan dan rekomendasi, serta menutup pemberitahuan dan rekomendasi. Anda dapat melakukan ini dengan menggunakan grup manajemen akar atau grup manajemen segmen, tergantung pada cakupan tanggung jawab.

Organisasi yang tidak menerapkan kontrol akses data dengan menggunakan kemampuan seperti Azure RBAC mungkin memberikan lebih banyak hak istimewa daripada yang diperlukan kepada pengguna mereka. Ini dapat menyebabkan penyusupan data dengan memungkinkan pengguna mengakses jenis data (misalnya, dampak bisnis tinggi) yang seharusnya tidak mereka miliki.

Paparan bawah dari hak istimewa akun

Mengamankan akses istimewa adalah langkah pertama yang penting untuk melindungi aset bisnis. Meminimalkan jumlah orang yang memiliki akses ke informasi atau sumber daya yang aman mengurangi kemungkinan pengguna berbahaya mendapatkan akses, atau pengguna yang berwenang secara tidak sengaja mempengaruhi sumber daya sensitif.

Akun hak istimewa adalah akun yang mengawasi dan mengelola sistem IT. Penyerang cyber menargetkan akun-akun ini untuk mendapatkan akses ke data dan sistem organisasi. Untuk mengamankan akses istimewa, Anda harus mengisolasi akun dan sistem dari risiko terekspos pengguna jahat.

Sebaiknya Anda mengembangkan dan mengikuti peta jalan untuk mengamankan akses istimewa terhadap penyerang cyber. Untuk informasi tentang membuat peta jalan terperinci untuk mengamankan identitas dan akses yang dikelola atau dilaporkan di ID Microsoft Entra, Microsoft Azure, Microsoft 365, dan layanan cloud lainnya, tinjau Mengamankan akses istimewa untuk penyebaran hibrid dan cloud di ID Microsoft Entra.

Berikut ini merangkum praktik terbaik yang ditemukan dalam Mengamankan akses istimewa untuk penyebaran hibrid dan cloud di ID Microsoft Entra:

Praktik terbaik: Mengelola, mengontrol, dan memantau akses ke akun istimewa.
Detail: Aktifkan Microsoft Entra Privileged Identity Management. Setelah mengaktifkan Azure Active Directory Privileged Identity Management, Anda akan menerima pesan melalui motifikasi alamat emaili untuk perubahan peran akses istimewa. Pemberitahuan ini memberikan peringatan dini saat pengguna tambahan ditambahkan ke peran yang sangat istimewa di direktori Anda.

Praktik terbaik: Pastikan semua akun admin penting dikelola akun Microsoft Entra. Detail: Hapus akun konsumen apa pun dari peran admin penting (misalnya, akun Microsoft seperti hotmail.com, live.com, dan outlook.com).

Praktik terbaik: Pastikan semua peran admin penting memiliki akun terpisah untuk tugas administratif untuk menghindari phishing dan serangan lain untuk membahayakan hak istimewa administratif.
Detail: Buat akun admin terpisah yang diberi hak istimewa yang diperlukan untuk melakukan tugas administratif. Blokir penggunaan akun administratif ini untuk alat produktivitas harian seperti email Microsoft 365 atau penelusuran web sewenang-wenang.

Praktik terbaik: Mengidentifikasi dan mengategorikan akun yang berada dalam peran yang sangat istimewa.
Detail: Setelah mengaktifkan Microsoft Entra Privileged Identity Management, lihat pengguna yang berada di administrator global, administrator peran istimewa, dan peran istimewa lainnya. Hapus akun apa pun yang tidak lagi diperlukan dalam peran tersebut, dan kategorikan akun yang tersisa yang ditetapkan ke peran admin:

  • Ditetapkan secara individual ke pengguna administratif dan dapat digunakan untuk tujuan non-administratif (misalnya, email pribadi)
  • Ditetapkan secara individual untuk pengguna administratif dan ditunjuk hanya untuk tujuan administratif
  • Dibagikan antara berbagai pengguna
  • Untuk skenario akses darurat
  • Untuk skrip otomatis
  • Untuk pengguna eksternal

Praktik terbaik: Terapkan akses "just in time" (JIT) untuk lebih menurunkan waktu paparan hak istimewa dan meningkatkan visibilitas Anda ke dalam penggunaan akun istimewa.
Detail: Microsoft Entra Privileged Identity Management memungkinkan Anda untuk:

  • Batasi pengguna untuk hanya mengambil hak istimewa mereka JIT.
  • Tetapkan peran untuk durasi yang dipersingkat dengan keyakinan bahwa hak istimewa dicabut secara otomatis.

Praktik terbaik: Tentukan setidaknya dua akun akses darurat.
Detail: Akun akses darurat membantu organisasi membatasi akses istimewa di lingkungan Microsoft Entra yang ada. Akun-akun ini sangat istimewa dan tidak ditetapkan untuk individu tertentu. Akun akses darurat terbatas pada skenario di mana akun administratif normal tidak dapat digunakan. Organisasi harus membatasi penggunaan akun darurat hanya untuk jumlah waktu yang diperlukan.

Evaluasi akun yang ditetapkan atau memenuhi syarat untuk peran admin global. Jika Anda tidak melihat akun yang hanya ada di cloud dalam domain *.onmicrosoft.com (ditujukan untuk akses darurat), buatlah akun tersebut. Untuk informasi selengkapnya, lihat Mengelola akun administratif akses darurat di ID Microsoft Entra.

Praktik terbaik: Lakukan proses "pecahkan kaca" jika terjadi keadaan darurat.
Detail: Ikuti langkah-langkah dalam Mengamankan akses istimewa untuk penyebaran hibrid dan cloud di ID Microsoft Entra.

Praktik terbaik: Mengharuskan semua akun admin penting menjadi tanpa kata sandi (lebih disukai), atau memerlukan autentikasi multifaktor.
Detail: Gunakan aplikasi Microsoft Authenticator untuk masuk ke akun Microsoft Entra apa pun tanpa menggunakan kata sandi. Seperti Windows Hello untuk Bisnis, Microsoft Authenticator menggunakan autentikasi berbasis kunci untuk mengaktifkan kredensial pengguna yang terkait dengan perangkat dan menggunakan autentikasi biometrik atau PIN.

Wajibkan autentikasi multifaktor Microsoft Entra saat masuk untuk semua pengguna individu yang ditetapkan secara permanen ke satu atau beberapa peran admin Microsoft Entra: Administrator Global, Administrator Peran Istimewa, Administrator Exchange Online, dan Administrator SharePoint Online. Aktifkan autentikasi multifaktor untuk akun admin Anda dan pastikan bahwa pengguna akun admin telah mendaftar.

Praktik terbaik: Untuk akun admin penting, miliki stasiun kerja admin di mana tugas produksi tidak diizinkan (misalnya, penjelajahan dan email). Ini akan melindungi akun admin Anda dari vektor serangan yang menggunakan penjelajahan dan email dan secara signifikan menurunkan risiko Anda dari insiden besar.
Detail: Gunakan stasiun kerja admin. Pilih tingkat keamanan stasiun kerja:

  • Perangkat produktivitas yang sangat aman memberikan keamanan tingkat lanjut untuk penjelajahan dan tugas produktivitas lainnya.
  • Stasiun Kerja Akses Istimewa (PAW) menyediakan sistem operasi khusus yang dilindungi dari serangan internet dan vektor ancaman untuk tugas sensitif.

Praktik terbaik: Deprovisi akun admin saat karyawan meninggalkan organisasi Anda.
Detail: Memiliki proses yang menonaktifkan atau menghapus akun admin saat karyawan meninggalkan organisasi Anda.

Praktik terbaik: Uji akun admin secara teratur dengan menggunakan teknik serangan saat ini.
Detail: Gunakan Simulator Serangan Microsoft 365 atau penawaran pihak ketiga untuk menjalankan skenario serangan realistis di organisasi Anda. Ini dapat membantu Anda menemukan pengguna yang rentan sebelum serangan nyata terjadi.

Praktik terbaik: Ambil langkah-langkah untuk mengurangi teknik serangan yang paling sering digunakan.
Detail: Mengidentifikasi akun Microsoft dalam peran administratif yang perlu dialihkan ke akun kantor atau sekolah

Memastikan akun pengguna dan penerusan email terpisah untuk akun administrator global

Pastikan kata sandi akun administratif baru-baru ini berubah

Mengaktifkan sinkronisasi hash kata sandi

Memerlukan autentikasi multifaktor untuk pengguna dalam semua peran istimewa serta pengguna yang terekspos

Dapatkan Skor Aman Microsoft 365 Anda (jika menggunakan Microsoft 365)

Tinjau panduan keamanan Microsoft 365 (jika menggunakan Microsoft 365)

Mengonfigurasi Pemantauan Aktivitas Microsoft 365 (jika menggunakan Microsoft 365)

Menetapkan pemilik rencana respons insiden/darurat

Mengamankan akun administratif istimewa lokal

Jika Anda tidak mengamankan akses istimewa, Anda mungkin menemukan bahwa Anda memiliki terlalu banyak pengguna dalam peran yang sangat istimewa dan lebih rentan terhadap serangan. Aktor jahat, termasuk penyerang cyber, sering menargetkan akun admin dan elemen lain dari akses istimewa untuk mendapatkan akses ke data dan sistem sensitif dengan menggunakan pencurian info masuk.

Mengontrol lokasi tempat sumber daya dibuat

Mengaktifkan operator cloud untuk melakukan tugas sekaligus mencegahnya melanggar konvensi yang diperlukan untuk mengelola sumber daya organisasi Anda sangat penting. Organisasi yang ingin mengontrol lokasi tempat sumber daya dibuat harus membuat kode keras lokasi ini.

Anda dapat menggunakan Azure Resource Manager untuk membuat kebijakan keamanan yang definisinya menjelaskan tindakan atau sumber daya yang secara khusus ditolak. Anda menetapkan definisi kebijakan tersebut pada cakupan yang diinginkan, seperti langganan, grup sumber daya, atau sumber daya individual.

Nota

Kebijakan keamanan tidak sama dengan Azure RBAC. Mereka benar-benar menggunakan Azure RBAC untuk mengotorisasi pengguna untuk membuat sumber daya tersebut.

Organisasi yang tidak mengontrol bagaimana sumber daya dibuat lebih rentan terhadap pengguna yang mungkin menyalahgunakan layanan dengan membuat lebih banyak sumber daya daripada yang mereka butuhkan. Memperkuat proses pembuatan sumber daya adalah langkah penting untuk mengamankan skenario multi-tenant.

Memantau aktivitas mencurigakan secara aktif

Sistem pemantauan identitas aktif dapat dengan cepat mendeteksi perilaku mencurigakan dan memicu pemberitahuan untuk penyelidikan lebih lanjut. Tabel berikut ini mencantumkan kemampuan Microsoft Entra yang dapat membantu organisasi memantau identitas mereka:

Praktik terbaik: Memiliki metode untuk mengidentifikasi:

Detail: Gunakan laporan anomali Microsoft Entra ID P1 atau P2. Memiliki proses dan prosedur yang berlaku bagi admin TI untuk menjalankan laporan ini setiap hari atau sesuai permintaan (biasanya dalam skenario respons insiden).

Praktik terbaik: Memiliki sistem pemantauan aktif yang memberi tahu Anda tentang risiko dan dapat menyesuaikan tingkat risiko (tinggi, sedang, atau rendah) dengan kebutuhan bisnis Anda.
Detail: Gunakan Microsoft Entra ID Protection, yang menandai risiko saat ini di dasbornya sendiri dan mengirim pemberitahuan ringkasan harian melalui email. Untuk membantu melindungi identitas organisasi, Anda dapat mengonfigurasi kebijakan berbasis risiko yang secara otomatis merespons masalah yang terdeteksi saat tingkat risiko tertentu tercapai.

Organisasi yang tidak secara aktif memantau sistem identitas mereka berisiko disusupi kredensial pengguna. Tanpa pengetahuan bahwa aktivitas mencurigakan terjadi melalui kredensial ini, organisasi tidak dapat mengurangi jenis ancaman ini.

Menggunakan ID Microsoft Entra untuk autentikasi penyimpanan

Azure Storage mendukung autentikasi dan otorisasi dengan MICROSOFT Entra ID untuk penyimpanan Blob dan penyimpanan Antrean. Dengan autentikasi Microsoft Entra, Anda dapat menggunakan kontrol akses berbasis peran Azure untuk memberikan izin spesifik kepada pengguna, grup, dan aplikasi, hingga ke cakupan kontainer blob atau antrean individu.

Kami menyarankan agar Anda menggunakan ID Microsoft Entra untuk mengautentikasi akses ke penyimpanan.

Langkah selanjutnya

Lihat praktik terbaik dan pola keamanan Azure untuk praktik terbaik keamanan lainnya yang digunakan saat Anda mendesain, menerapkan, dan mengelola solusi cloud dengan menggunakan Azure.