Praktik terbaik Keamanan Operasional Azure

  • Artikel

Artikel ini menyediakan serangkaian praktik terbaik operasional untuk melindungi data, aplikasi, dan aset Anda lainnya di Azure.

Praktik terbaik didasarkan pada konsensus pendapat, dan praktik terbaik tersebut berfungsi dengan kemampuan platform dan kumpulan fitur Azure saat ini. Pendapat dan teknologi berubah dari waktu ke waktu dan artikel ini diperbarui secara berkala untuk mencerminkan perubahan tersebut.

Menentukan dan menyebarkan praktik keamanan operasional yang kuat

Keamanan operasional Azure mengacu pada layanan, kontrol, dan fitur yang tersedia bagi pengguna untuk melindungi data, aplikasi, dan aset lainnya di Azure. Keamanan operasional Azure dibangun berdasarkan kerangka kerja yang menggabungkan pengetahuan yang diperoleh melalui berbagai kemampuan yang unik untuk Microsoft, termasuk Security Development Lifecycle (SDL), program Microsoft Security Response Center, dan kesadaran mendalam tentang lanskap ancaman keamanan siber.

Menerapkan verifikasi multifaktor untuk pengguna

Kami merekomendasikan Anda memerlukan verifikasi dua langkah untuk semua pengguna Anda. Ini termasuk administrator dan orang lain di organisasi Anda yang dapat memiliki dampak signifikan jika akun mereka disusupi (misalnya, pejabat keuangan).

Ada beberapa opsi untuk mengharuskan verifikasi dua langkah yang diperlukan. Opsi terbaik untuk Anda tergantung pada tujuan Anda, edisi Microsoft Entra yang Anda jalankan, dan program lisensi Anda. Lihat Cara memerlukan verifikasi dua langkah bagi pengguna untuk menentukan opsi terbaik untuk Anda. Lihat halaman harga Microsoft Entra ID dan Microsoft Entra multifactor Authentication untuk informasi selengkapnya tentang lisensi dan harga.

Berikut adalah opsi dan manfaat untuk mengaktifkan verifikasi dua langkah:

Opsi 1: Aktifkan MFA untuk semua pengguna dan metode masuk dengan Microsoft Entra Security Defaults Benefit: Opsi ini memungkinkan Anda menerapkan MFA dengan mudah dan cepat untuk semua pengguna di lingkungan Anda dengan kebijakan yang ketat untuk:

  • Menantang akun administratif dan mekanisme masuk administratif
  • Memerlukan tantangan MFA melalui Microsoft Authenticator untuk semua pengguna
  • Batasi protokol autentikasi warisan lama.

Metode ini tersedia untuk semua tingkatan lisensi tetapi tidak dapat dicampur dengan kebijakan Akses Bersyarat yang ada. Anda dapat menemukan informasi selengkapnya di Default Keamanan Microsoft Entra

Opsi 2: Aktifkan autentikasi multifaktor dengan mengubah status pengguna.
Manfaat: Ini adalah metode tradisional untuk verifikasi dua langkah yang diperlukan. Ini berfungsi dengan autentikasi multifaktor Microsoft Entra di cloud dan Azure Multi-Factor Authentication Server. Menggunakan metode ini mengharuskan pengguna untuk melakukan verifikasi dua langkah setiap kali mereka masuk dan mengambil alih kebijakan Akses Bersyarat.

Untuk menentukan di mana autentikasi multifaktor perlu diaktifkan, lihat Versi autentikasi multifaktor Microsoft Entra mana yang tepat untuk organisasi saya?.

Opsi 3: Aktifkan autentikasi multifaktor dengan kebijakan Akses Bersyar. Manfaat: Opsi ini memungkinkan Anda untuk meminta verifikasi dua langkah dalam kondisi tertentu dengan menggunakan Akses Bersyarat. Kondisi spesifik dapat digunakan untuk masuk dari lokasi yang berbeda, perangkat yang tidak tepercaya, atau aplikasi yang Anda dianggap berisiko. Menentukan kondisi tertentu di mana Anda memerlukan verifikasi dua langkah memungkinkan Anda untuk menghindari permintaan konstan bagi pengguna Anda, yang bisa menjadi pengalaman yang tidak menyenangkan bagi pengguna.

Ini adalah cara paling fleksibel untuk mengaktifkan verifikasi dua langkah untuk pengguna Anda. Mengaktifkan kebijakan Akses Bersyar hanya berfungsi untuk autentikasi multifaktor Microsoft Entra di cloud dan merupakan fitur premium dari ID Microsoft Entra. Anda dapat menemukan informasi selengkapnya tentang metode ini di Menyebarkan autentikasi multifaktor Microsoft Entra berbasis cloud.

Opsi 4: Aktifkan autentikasi multifaktor dengan kebijakan Akses Bersyar dengan mengevaluasi kebijakan Akses Bersyarkat berbasis risiko.
Manfaat: Opsi ini memungkinkan Anda untuk:

  • Deteksi potensi kerentanan yang memengaruhi identitas organisasi Anda.
  • Konfigurasikan respons otomatis untuk mendeteksi tindakan mencurigakan yang terkait dengan identitas organisasi Anda.
  • Selidiki insiden mencurigakan dan ambil tindakan yang tepat untuk menyelesaikannya.

Metode ini menggunakan evaluasi risiko Microsoft Entra ID Protection untuk menentukan apakah verifikasi dua langkah diperlukan berdasarkan pengguna dan risiko masuk untuk semua aplikasi cloud. Metode ini memerlukan lisensi Microsoft Entra ID P2. Anda dapat menemukan informasi selengkapnya tentang metode ini di Microsoft Entra ID Protection.

Catatan

Opsi 2, mengaktifkan autentikasi multifaktor dengan mengubah status pengguna, mengambil alih kebijakan Akses Bersyar. Karena opsi 3 dan 4 menggunakan kebijakan Akses Bersyarat, Anda tidak bisa menggunakan opsi 2 dengannya.

Organisasi yang tidak menambahkan lapisan perlindungan identitas tambahan, seperti verifikasi dua langkah, lebih rentan terhadap serangan pencurian kredensial. Serangan pencurian info masuk dapat menyebabkan pencurian data.

Mengelola dan memantau kata sandi pengguna

Tabel berikut ini mencantumkan beberapa praktik terbaik yang terkait dengan pengelolaan kata sandi pengguna:

Praktik terbaik: Pastikan Anda memiliki tingkat perlindungan kata sandi yang tepat di cloud.
Detail: Ikuti panduan dalam Panduan Kata Sandi Microsoft, yang dilingkupkan ke pengguna platform identitas Microsoft (ID Microsoft Entra, Direktori Aktif, dan akun Microsoft).

Praktik terbaik: Pantau tindakan mencurigakan yang terkait dengan akun pengguna Anda.
Detail: Memantau pengguna yang berisiko dan berisiko masuk dengan menggunakan laporan keamanan Microsoft Entra.

Praktik terbaik: Deteksi dan pulihkan kata sandi berisiko tinggi secara otomatis.
Detail: Microsoft Entra ID Protection adalah fitur edisi Microsoft Entra ID P2 yang memungkinkan Anda untuk:

  • Mendeteksi potensi kerentanan yang memengaruhi identitas organisasi Anda
  • Mengonfigurasi respons otomatis untuk mendeteksi tindakan mencurigakan yang terkait dengan identitas organisasi Anda
  • Menyelidiki insiden mencurigakan dan mengambil tindakan yang tepat untuk menyelesaikannya

Menerima pemberitahuan insiden dari Microsoft

Pastikan tim operasi keamanan Anda menerima pemberitahuan insiden Azure dari Microsoft. Pemberitahuan insiden memberi tahu tim keamanan Anda bahwa Anda telah membahayakan sumber daya Azure sehingga mereka dapat dengan cepat menanggapi dan memulihkan potensi risiko keamanan.

Di portal pendaftaran Azure, Anda dapat memastikan informasi kontak admin menyertakan detail yang memberi tahu operasi keamanan. Informasi kontak berupa alamat email dan nomor telepon.

Mengatur langganan Anda ke dalam grup manajemen

Jika organisasi Anda memiliki banyak langganan, Anda mungkin memerlukan cara untuk mengelola akses, kebijakan, dan kepatuhan untuk langganan tersebut secara efisien. Grup manajemen Azure memberikan tingkat cakupan di atas langganan. Anda mengatur langganan ke dalam kontainer yang disebut grup manajemen dan menerapkan kondisi tata kelola Anda ke grup manajemen. Semua langganan dalam grup manajemen secara otomatis mewarisi kondisi yang diterapkan ke grup manajemen.

Anda dapat membangun struktur grup manajemen dan langganan yang fleksibel ke dalam direktori. Setiap direktori diberikan satu grup manajemen tingkat atas yang disebut grup manajemen root. Grup manajemen akar ini dibangun ke dalam hierarki agar semua grup manajemen dan langganan berada di dalamnya. Grup manajemen akar ini memungkinkan kebijakan global dan penetapan peran Azure diterapkan di tingkat direktori.

Berikut adalah beberapa praktik terbaik untuk menggunakan grup manajemen:

Praktik terbaik: Pastikan langganan baru menerapkan elemen tata kelola seperti kebijakan dan izin saat ditambahkan.
Detail: Gunakan grup manajemen akar untuk menetapkan elemen keamanan di seluruh perusahaan yang berlaku untuk semua aset Azure. Kebijakan dan izin adalah contoh elemen.

Praktik terbaik: Sejajarkan tingkat atas grup manajemen dengan strategi segmentasi untuk memberikan titik untuk kontrol dan konsistensi kebijakan dalam setiap segmen.
Detail: Buat grup manajemen tunggal untuk setiap segmen di bawah grup manajemen akar. Jangan membuat grup manajemen lain di bawah grup manajemen akar.

Praktik terbaik: Batasi kedalaman grup manajemen untuk menghindari kebingungan yang menghambat operasi dan keamanan.
Detail: Batasi hierarki Anda ke tiga tingkat, termasuk akar.

Praktik terbaik: Pilih item mana yang akan diterapkan dengan hati-hati ke seluruh perusahaan dengan grup manajemen akar.
Detail: Pastikan elemen grup manajemen root memiliki kebutuhan yang jelas untuk diterapkan di setiap sumber daya dan bahwa elemen tersebut memiliki dampak yang rendah.

Kandidat yang baik mencakup:

  • Persyaratan peraturan yang memiliki dampak bisnis yang jelas (misalnya, pembatasan terkait kedaulatan data)
  • Persyaratan dengan potensi efek negatif hampir nol pada operasi, seperti kebijakan dengan efek audit atau penetapan izin Azure RBAC yang telah ditinjau dengan hati-hati

Praktik terbaik: Rencanakan dan uji semua perubahan berskala perusahaan dengan hati-hati pada grup manajemen akar sebelum menerapkannya (kebijakan, model Azure RBAC, dan sebagainya).
Detail: Perubahan dalam grup manajemen akar dapat memengaruhi setiap sumber daya di Azure. Meskipun perubahan memberikan cara yang ampuh untuk memastikan konsistensi di seluruh perusahaan, kesalahan atau penggunaan yang salah dapat berdampak negatif pada operasi produksi. Uji semua perubahan pada grup manajemen akar di laboratorium uji atau pilot produksi.

Merampingkan pembuatan lingkungan dengan cetak biru

Layanan Azure Blueprints memungkinkan arsitek cloud dan grup teknologi informasi pusat untuk menentukan serangkaian sumber daya Azure yang dapat diulang yang mengimplementasikan dan mematuhi standar, pola, dan persyaratan organisasi. Azure Blueprints memungkinkan tim pengembangan untuk membangun dan mendirikan lingkungan baru dengan sangat cepat dengan seperangkat komponen bawaan dan keyakinan bahwa mereka membuat lingkungan tersebut di dalam kepatuhan organisasi.

Memantau layanan penyimpanan untuk perubahan perilaku yang tidak terduga

Mendiagnosis dan memecahkan masalah dalam aplikasi terdistribusi yang dihosting di lingkungan cloud bisa lebih rumit daripada di lingkungan tradisional. Aplikasi dapat disebarkan dalam infrastruktur PaaS atau IaaS, lokal, di perangkat seluler, atau dalam beberapa kombinasi lingkungan ini. Lalu lintas jaringan aplikasi Anda mungkin melintasi jaringan publik dan pribadi, serta aplikasi Anda mungkin menggunakan beberapa teknologi penyimpanan.

Anda harus secara berkelanjutan memantau layanan penyimpanan yang digunakan aplikasi Anda untuk setiap perubahan perilaku yang tidak terduga (seperti waktu respons yang lebih lambat). Gunakan pencatatan untuk mengumpulkan data yang lebih mendetail dan untuk menganalisis masalah secara mendalam. Informasi diagnostik yang Anda peroleh dari pemantauan dan pengelogan akan membantu Anda menentukan akar masalah aplikasi yang Anda hadapi. Kemudian Anda dapat memecahkan masalah dan menentukan langkah-langkah yang tepat untuk memperbaikinya.

Azure Storage Analytics melakukan pengelogan dan menyediakan data metrik untuk akun penyimpanan Azure. Sebaiknya Anda menggunakan data ini untuk melacak permintaan, menganalisis tren penggunaan, dan mendiagnosis masalah dengan akun penyimpanan Anda.

Mencegah, mendeteksi, dan merespons ancaman

Pertahanan Microsoft untuk Cloud membantu Anda mencegah, mendeteksi, dan merespons ancaman dengan menyediakan peningkatan visibilitas ke dalam (dan kontrol atas) keamanan sumber daya Azure. Azure Security Center menyediakan pemantauan keamanan terpadu dan manajemen kebijakan di seluruh langganan Azure Anda, membantu mendeteksi ancaman yang mungkin luput dari perhatian, dan bekerja dengan berbagai solusi keamanan.

Tingkat gratis Defender untuk Cloud menawarkan keamanan terbatas untuk sumber daya Anda di Azure serta sumber daya berkemampuan Arc di luar Azure. Fitur Keamanan Enahanced memperluas kemampuan ini untuk menyertakan Pengelolaan Ancaman dan Kerentanan, serta pelaporan kepatuhan terhadap peraturan. Defender untuk Cloud Plans membantu Anda menemukan dan memperbaiki kerentanan keamanan, menerapkan kontrol akses dan aplikasi untuk memblokir aktivitas berbahaya, mendeteksi ancaman dengan menggunakan analitik dan kecerdasan, dan merespons dengan cepat saat diserang. Anda dapat mencoba Defender untuk Cloud Standard tanpa biaya selama 30 hari pertama. Kami menyarankan agar Anda mengaktifkan fitur keamanan yang ditingkatkan pada langganan Azure Anda di Defender untuk Cloud.

Gunakan Defender untuk Cloud untuk mendapatkan tampilan terpusat tentang status keamanan semua sumber daya Anda di pusat data Anda sendiri, Azure, dan cloud lainnya. Sekilas, verifikasi bahwa kontrol keamanan yang sesuai sudah digunakan dan dikonfigurasi dengan benar, dan identifikasi sumber daya apa pun yang perlu perhatian dengan cepat.

Defender untuk Cloud juga terintegrasi dengan Microsoft Defender untuk Titik Akhir, yang menyediakan kemampuan Deteksi dan Respons Titik Akhir (EDR) yang komprehensif. Dengan integrasi Microsoft Defender untuk Titik Akhir, Anda dapat menemukan kelainan dan mendeteksi kerentanan. Anda juga dapat mendeteksi dan merespons serangan lanjutan pada titik akhir server yang dipantau oleh Pertahanan Microsoft untuk Cloud.

Hampir semua organisasi perusahaan memiliki sistem Security Information and Event Management (SIEM) untuk membantu mengidentifikasi ancaman yang muncul dengan mengonsolidasikan informasi log dari berbagai perangkat pengumpul sinyal. Kemudian og dianalisis oleh sistem analitik data untuk membantu mengidentifikasi apa yang "menarik" dari kebisingan yang tidak dapat dihindari dalam semua solusi pengumpulan log dan analitik.

Microsoft Azure Sentinel adalah solusi Security Orchestration Automated Response (SOAR) serta Security Information and Event Management (SIEM) native cloud yang dapat diskalakan. Microsoft Azure Sentinel menyediakan analitik keamanan cerdas dan inteligensi ancaman melalui deteksi peringatan, visibilitas ancaman, perburuan proaktif, dan respons ancaman otomatis.

Berikut adalah beberapa praktik terbaik untuk mencegah, mendeteksi, serta menanggapi ancaman:

Praktik terbaik: Tingkatkan kecepatan dan skalabilitas solusi SIEM Anda dengan menggunakan SIEM berbasis cloud.
Detail: Selidiki fitur dan kemampuan Microsoft Azure Sentinel lalu bandingkan dengan kemampuan penggunaan lokal Anda saat ini. Pertimbangkan untuk mengadopsi Microsoft Azure Sentinel jika memenuhi persyaratan SIEM organisasi Anda.

Praktik terbaik: Temukan kerentanan keamanan yang paling serius sehingga Anda dapat memprioritaskan penyelidikan.
Detail: Tinjau skor aman Azure Anda untuk melihat rekomendasi hasil kebijakan dan inisiatif Azure yang disertakan dalam Pertahanan Microsoft untuk Cloud. Rekomendasi ini membantu mengatasi risiko teratas seperti pembaruan keamanan, perlindungan titik akhir, enkripsi, konfigurasi keamanan, tidak adanya WAF, VM yang terhubung ke internet, dan banyak lagi.

Skor aman, yang didasarkan pada kontrol Center for Internet Security (CIS), memungkinkan Anda menetapkan tolok ukur keamanan Azure organisasi Anda terhadap sumber eksternal. Validasi eksternal membantu memvalidasi dan memperkaya strategi keamanan tim Anda.

Praktik terbaik: Pantau postur keamanan mesin, jaringan, penyimpanan dan layanan data, serta aplikasi untuk menemukan dan memprioritaskan potensi masalah keamanan.
Detail: Ikuti rekomendasi keamanan di Pertahanan Microsoft untuk Cloud, mulai dengan item prioritas tertinggi.

Praktik terbaik: Integrasikan peringatan Pertahanan Microsoft untuk Cloud ke dalam solusi Security Information and Event Management (SIEM) Anda.
Detail: Sebagian besar organisasi dengan SIEM menggunakannya sebagai clearinghouse pusat untuk peringatan keamanan yang memerlukan respons analis. Peristiwa yang diproses yang dihasilkan oleh Pertahanan Microsoft untuk Cloud diterbitkan ke Azure Activity Log, salah satu log yang tersedia melalui Azure Monitor. Azure Monitor menawarkan saluran terkonsolidasi untuk merutekan data pemantauan Anda ke alat SIEM. Lihat Pemberitahuan aliran untuk solusi SIEM, SOAR, atau Manajemen Layanan TI untuk mengetahui petunjuknya. Jika Anda menggunakan Microsoft Azure Sentinel, lihat Menghubungkan Pertahanan Microsoft untuk Cloud.

Praktik terbaik: Integrasikan log Azure dengan SIEM Anda.
Detail: Gunakan Azure Monitor untuk mengumpulkan dan mengekspor data. Praktik ini sangat penting untuk memungkinkan penyelidikan insiden keamanan, dan retensi log online dibatasi. Jika Anda menggunakan Microsoft Azure Sentinel, lihat Menghubungkan sumber data.

Praktik terbaik: Mempercepat proses penyelidikan dan perburuan Anda serta mengurangi positif palsu dengan mengintegrasikan kemampuan Endpoint Detection and Response (EDR) ke dalam penyelidikan serangan Anda.
Detail: Aktifkan integrasi Pertahanan Microsoft untuk Titik Akhir melalui kebijakan keamanan Pertahanan Microsoft untuk Cloud Anda. Pertimbangkan menggunakan Microsoft Azure Sentinel untuk perburuan ancaman dan respons insiden.

Memantau pemantauan jaringan berbasis skenario end-to-end

Pelanggan membangun jaringan end-to-end di Azure dengan menggabungkan sumber daya jaringan seperti jaringan virtual, ExpressRoute, Application Gateway, dan load balancer. Pemantauan tersedia pada setiap sumber daya jaringan.

Azure Network Watcher merupakan layanan regional. Gunakan alat diagnostik dan visualisasinya untuk memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure.

Berikut ini adalah praktik terbaik untuk pemantauan jaringan beserta alat yang tersedia.

Praktik terbaik: Otomatiskan pemantauan jaringan jarak jauh dengan pengambilan paket.
Detail: Memantau dan mendiagnosis masalah jaringan tanpa masuk ke VM Anda menggunakan Network Watcher. Picu penangkapan paket dengan mengatur peringatan dan mendapatkan akses ke informasi performa real-time di tingkat paket. Ketika Anda melihat masalah, Anda dapat menyelidiki secara mendetail untuk mendapatkan diagnosis yang lebih baik.

Praktik terbaik: Dapatkan wawasan tentang lalu lintas jaringan Anda menggunakan log alur.
Detail: Bangun pemahaman yang lebih mendalam tentang pola lalu lintas jaringan Anda menggunakan log alur grup keamanan jaringan. Informasi dalam log alur membantu Anda mengumpulkan data untuk kepatuhan, audit, dan pemantauan profil keamanan jaringan Anda.

Praktik terbaik: Diagnosis masalah konektivitas VPN.
Detail: Gunakan Network Watcher untuk mendiagnosis VPN Gateway dan masalah koneksi Anda yang paling umum. Anda tidak hanya dapat mengidentifikasi masalah, tetapi juga menggunakan log terperinci untuk menyelidiki lebih lanjut.

Penyebaran aman menggunakan alat DevOps yang telah terbukti

Gunakan praktik terbaik DevOps berikut untuk memastikan perusahaan dan tim Anda produktif serta efisien.

Praktik terbaik: Mengotomatiskan pembangunan dan penyebaran layanan.
Detail: Infrastruktur sebagai kode adalah seperangkat teknik dan praktik yang membantu profesional TI menghilangkan beban pembangunan dan pengelolaan infrastruktur modular sehari-hari. Ini memungkinkan profesional TI membangun dan memelihara lingkungan server modern mereka dengan cara seperti yang digunakan pengembang perangkat lunak dalam membangun dan memelihara kode aplikasi.

Anda dapat menggunakan Azure Resource Manager untuk memprovisikan aplikasi Anda menggunakan templat deklaratif. Dalam satu templat, Anda dapat menyebarkan beberapa layanan bersama dengan dependensinya. Anda menggunakan templat yang sama untuk menyebarkan aplikasi Anda berulang kali dalam tiap tahap siklus hidup aplikasi.

Praktik terbaik: Buat dan sebarkan secara otomatis ke aplikasi web atau layanan cloud Azure.
Detail: Anda dapat mengonfigurasi Proyek Azure DevOps untuk membangun dan menyebarkan secara otomatis ke aplikasi web Azure atau layanan cloud. Azure DevOps secara otomatis menyebarkan biner setelah membangun ke Azure setelah setiap check-in kode. Proses build paket setara dengan perintah Paket di Visual Studio, dan langkah-langkah penerbitannya setara dengan perintah Terbitkan di Visual Studio.

Praktik terbaik: Otomatiskan manajemen rilis.
Detail: Azure Pipelines adalah solusi untuk mengotomatiskan penyebaran beberapa tahap serta mengelola proses rilis. Buat alur penyebaran berkelanjutan terkelola untuk merilis dengan cepat, mudah, dan sering. Dengan Azure Pipelines, Anda dapat mengotomatiskan proses rilis, serta Anda dapat memiliki alur kerja persetujuan yang telah ditentukan sebelumnya. Sebarkan secara lokal dan ke cloud, perluas, serta kustomisasikan sesuai kebutuhan.

Praktik terbaik: Periksa performa aplikasi Anda sebelum meluncurkannya atau menyebarkan pembaruan ke produksi.
Detail: Jalankan pengujian beban berbasis cloud untuk:

  • Menemukan masalah performa di aplikasi Anda.
  • Meningkatkan kualitas penyebaran.
  • Memastikan aplikasi Anda selalu tersedia.
  • Memastikan aplikasi Anda dapat menangani lalu lintas untuk kampanye peluncuran atau pemasaran berikutnya.

Apache JMeter adalah alat sumber terbuka gratis dan populer dengan dukungan komunitas yang kuat.

Praktik terbaik: Pantau performa aplikasi.
Detail: Azure Application Insights adalah layanan manajemen performa aplikasi (APM) yang dapat diperluas untuk pengembang web di berbagai platform. Gunakan Application Insights untuk memantau aplikasi web langsung Anda. Ini secara otomatis mendeteksi anomali performa. Ini termasuk alat analitik yang kuat untuk membantu mendiagnosis masalah dan untuk memahami apa yang sebenarnya dilakukan pengguna dengan aplikasi Anda. Application Insights dirancang untuk membantu Anda terus meningkatkan performa dan kegunaan.

Memitigasi dan melindungi terhadap DDoS

Distributed denial of service (DDoS) adalah jenis serangan yang mencoba menghabiskan sumber daya aplikasi. Tujuannya adalah untuk memengaruhi ketersediaan aplikasi dan kemampuannya untuk menangani permintaan yang sah. Serangan-serangan ini menjadi lebih canggih dan berukuran lebih besar, serta berdampak besar. Serangan ini dapat ditargetkan pada titik akhir apa pun yang dapat dijangkau secara publik melalui internet.

Merancang dan membangun ketahanan DDoS memerlukan perencanaan dan desain untuk berbagai mode kegagalan. Berikut ini adalah praktik terbaik untuk membangun layanan tangguh DDoS di Azure.

Praktik terbaik: Pastikan keamanan adalah prioritas di seluruh siklus hidup aplikasi, dari desain dan implementasi hingga penyebaran dan operasi. Aplikasi dapat memiliki bug yang memungkinkan volume permintaan yang relatif rendah untuk menggunakan banyak sumber daya, mengakibatkan pemadaman layanan.
Detail: Untuk membantu melindungi layanan yang berjalan di Microsoft Azure, Anda harus memiliki pemahaman yang baik tentang arsitektur aplikasi Anda dan fokus pada lima pilar kualitas perangkat lunak. Anda harus mengetahui volume lalu lintas yang khas, model konektivitas antar-aplikasi, dan titik akhir layanan yang terpapar ke internet publik.

Yang paling penting adalah memastikan bahwa aplikasi cukup tangguh untuk menangani penolakan layanan yang ditargetkan pada aplikasi itu sendiri. Keamanan dan privasi dibangun ke dalam platform Azure, dimulai dengan Security Development Lifecycle (SDL). SDL mengatasi keamanan di setiap fase pengembangan dan memastikan Azure terus diperbarui untuk membuatnya jauh lebih aman.

Praktik terbaik: Desain aplikasi Anda untuk menskalakan secara horizontal guna memenuhi permintaan beban yang diperkuat, khususnya jika terjadi serangan DDoS. Jika aplikasi Anda bergantung pada satu instans layanan, itu akan membuat satu titik kegagalan. Penyediaan beberapa instans membuat sistem Anda lebih tangguh dan lebih terukur.
Detail: Untuk Azure App Service, pilih paket App Service yang menawarkan lebih dari satu instans.

Untuk Azure Cloud Services, konfigurasikan setiap peran untuk menggunakan beberapa instans.

Untuk Azure Virtual Machines, pastikan arsitektur VM Anda mencakup lebih dari satu VM dan setiap VM disertakan dalam kumpulan ketersediaan. Sebaiknya gunakan Virtual Machine Scale Sets untuk kemampuan penskalaan otomatis.

Praktik terbaik: Melapisi pertahanan keamanan dalam aplikasi akan mengurangi kemungkinan keberhasilan serangan. Terapkan desain aman untuk aplikasi Anda dengan menggunakan kemampuan bawaan platform Azure.
Detail: Risiko serangan meningkat dengan ukuran (luas permukaan) aplikasi. Anda dapat mengurangi area permukaan dengan menggunakan daftar persetujuan untuk menutup ruang alamat IP yang terpapar dan port dengar yang tidak diperlukan pada penyeimbang muatan (Azure Load Balancer dan Azure Application Gateway).

Grup keamanan jaringan adalah cara lain untuk mengurangi permukaan serangan. Anda dapat menggunakan tag layanan dan grup keamanan aplikasi untuk meminimalkan kompleksitas untuk membuat aturan keamanan dan mengonfigurasi keamanan jaringan, sebagai ekstensi alami struktur aplikasi.

Anda harus menyebarkan layanan Azure di jaringan virtual kapan pun memungkinkan. Praktik ini memungkinkan sumber daya layanan berkomunikasi melalui alamat IP privat. Lalu lintas layanan Azure dari jaringan virtual menggunakan alamat IP publik sebagai alamat IP sumber secara default.

Menggunakan titik akhir layanan, lalu lintas layanan beralih menggunakan alamat privat jaringan virtual sebagai alamat IP sumber saat mengakses layanan Azure dari jaringan virtual.

Kami sering melihat sumber daya lokal pelanggan diserang bersama dengan sumber daya mereka di Azure. Jika Anda menyambungkan lingkungan lokal ke Azure, minimalkan paparan sumber daya lokal ke internet publik.

Azure memiliki dua penawaran layanan DDoS yang memberikan perlindungan dari serangan jaringan:

  • Perlindungan dasar terintegrasi ke Azure secara default tanpa biaya tambahan. Skala dan kapasitas jaringan Azure yang disebarkan secara global memberikan pertahanan terhadap serangan lapisan jaringan umum melalui pemantauan lalu lintas yang selalu aktif dan mitigasi real time. Perlindungan dasar tidak memerlukan konfigurasi pengguna atau perubahan aplikasi dan membantu melindungi semua layanan Azure, termasuk layanan PaaS seperti Azure DNS.
  • Perlindungan standar menyediakan kemampuan mitigasi DDoS yang canggih terhadap serangan jaringan. Perlindungan ini secara otomatis disetel untuk melindungi sumber daya Azure spesifik Anda. Perlindungan ini mudah diaktifkan selama pembuatan jaringan virtual. Ini juga dapat dilakukan setelah pembuatan dan tidak memerlukan perubahan aplikasi atau sumber daya.

Mengaktifkan Azure Policy

Azure Policy adalah layanan di Azure yang Anda gunakan untuk membuat, menetapkan, dan mengelola kebijakan. Kebijakan ini memberlakukan aturan dan efek yang berbeda atas sumber daya Anda, sehingga sumber daya tersebut tetap sesuai dengan standar perusahaan dan perjanjian tingkat layanan Anda. Azure Policy memenuhi kebutuhan ini dengan mengevaluasi sumber daya Anda untuk ketidakpatuhan terhadap kebijakan yang ditetapkan.

Aktifkan Azure Policy untuk memantau dan menerapkan kebijakan tertulis organisasi Anda. Ini akan memastikan kepatuhan dengan perusahaan atau persyaratan keamanan peraturan Anda dengan mengelola kebijakan keamanan secara terpusat di seluruh beban kerja cloud hibrida Anda. Pelajari cara membuat dan mengelola kebijakan untuk menerapkan kepatuhan. Lihat Struktur definisi Azure Policy untuk gambaran umum elemen kebijakan.

Berikut adalah beberapa praktik terbaik keamanan yang harus diikuti setelah Anda mengadopsi Azure Policy:

Praktik terbaik: Policy mendukung beberapa jenis efek. Anda dapat membacanya dalam Struktur definisi Azure Policy. Operasi bisnis dapat dipengaruhi secara negatif oleh efek penolakan dan efek remediasi, jadi mulailah dengan efek audit untuk membatasi risiko dampak negatif dari kebijakan.
Detail: Mulai penyebaran kebijakan dalam mode audit, kemudian lanjutkan ke mode penolakan atau remediasi. Uji dan tinjau hasil efek audit sebelum Anda melanjutkan ke mode penolakan atau remediasi.

Untuk informasi lebih lanjut, lihat Membuat dan mengelola kebijakan untuk menerapkan kepatuhan.

Praktik terbaik: Identifikasi peran yang bertanggung jawab untuk memantau pelanggaran kebijakan dan memastikan tindakan perbaikan yang tepat diambil dengan cepat.
Detail: Minta peran yang ditetapkan untuk memantau kepatuhan melalui portal Microsoft Azure atau melalui baris perintah.

Praktik terbaik: Azure Policy adalah representasi teknis dari kebijakan tertulis organisasi. Petakan semua definisi Azure Policy ke kebijakan organisasi untuk mengurangi kebingungan dan meningkatkan konsistensi.
Detail: Pemetaan dokumen dalam dokumentasi organisasi Anda atau dalam definisi Azure Policy itu sendiri dengan menambahkan referensi ke kebijakan organisasi dalam definisi kebijakan atau deskripsi definisi inisiatif.

Memantau laporan risiko Microsoft Entra

Sebagian besar pelanggaran keamanan terjadi ketika penyerang mendapatkan akses ke suatu lingkungan dengan mencuri identitas pengguna. Menemukan identitas yang disusupi bukanlah tugas yang mudah. MICROSOFT Entra ID menggunakan algoritma pembelajaran mesin adaptif dan heuristik untuk mendeteksi tindakan mencurigakan yang terkait dengan akun pengguna Anda. Setiap tindakan mencurigakan yang terdeteksi disimpan dalam catatan yang disebut deteksi risiko. Deteksi risiko dicatat dalam laporan keamanan Microsoft Entra. Untuk informasi selengkapnya, baca tentang laporan keamanan pengguna yang berisikolaporan keamanan proses masuk riskan.

Langkah berikutnya

Lihat praktik terbaik dan pola keamanan Azure untuk praktik terbaik keamanan lainnya yang digunakan saat Anda mendesain, menerapkan, dan mengelola solusi cloud dengan menggunakan Azure.

Sumber daya berikut ini tersedia untuk memberikan informasi yang lebih umum tentang keamanan Azure dan layanan Microsoft terkait: