Rekomendasi untuk menetapkan garis besar keamanan
Berlaku untuk rekomendasi daftar periksa Azure Well-Architected Framework Security:
SE:01 | Tetapkan garis besar keamanan yang selaras dengan persyaratan kepatuhan, standar industri, dan rekomendasi platform. Ukur arsitektur dan operasi beban kerja Anda secara teratur terhadap garis besar untuk mempertahankan atau meningkatkan postur keamanan Anda dari waktu ke waktu. |
---|
Panduan ini menjelaskan rekomendasi untuk membuat garis besar keamanan. Garis besar keamanan adalah dokumen yang menentukan persyaratan dan ekspektasi keamanan minimum organisasi Anda di berbagai area. Garis besar keamanan yang baik membantu Anda:
- Jaga keamanan data dan sistem Anda.
- Mematuhi persyaratan peraturan.
- Meminimalkan risiko pengawasan.
- Mengurangi kemungkinan pelanggaran dan efek bisnis berikutnya.
Garis besar keamanan harus diterbitkan secara luas di seluruh organisasi Anda sehingga semua pemangku kepentingan mengetahui harapan tersebut.
Panduan ini memberikan rekomendasi tentang menetapkan garis besar keamanan yang didasarkan pada faktor internal dan eksternal. Faktor internal termasuk persyaratan bisnis, risiko, dan evaluasi aset. Faktor eksternal termasuk tolok ukur industri dan standar peraturan.
Definisi
Istilah | Definisi |
---|---|
Garis besar | Tingkat minimum keterlibatan keamanan yang harus dieksploitasi oleh beban kerja. |
Tolok Ukur | Standar yang menandakan postur keamanan yang disandingkan organisasi. Ini dievaluasi, diukur, dan ditingkatkan dari waktu ke waktu. |
Kontrol | Kontrol teknis atau operasional pada beban kerja yang membantu mencegah serangan dan meningkatkan biaya penyerang. |
Persyaratan peraturan | Seperangkat persyaratan bisnis, didorong oleh standar industri, yang diberlakukan oleh undang-undang dan otoritas. |
Strategi desain utama
Garis besar keamanan adalah dokumen terstruktur yang menentukan serangkaian kriteria dan kemampuan keamanan yang harus dipenuhi beban kerja untuk meningkatkan keamanan. Dalam bentuk yang lebih matang, Anda dapat memperluas garis besar untuk menyertakan serangkaian kebijakan yang Anda gunakan untuk mengatur pagar pembatas.
Garis besar harus dianggap sebagai standar untuk mengukur postur keamanan Anda. Tujuannya harus selalu menjadi pencapaian penuh sambil menjaga cakupan yang luas.
Garis besar keamanan Anda tidak boleh menjadi upaya ad-hoc. Standar industri, kepatuhan (internal atau eksternal) atau persyaratan peraturan, persyaratan regional, dan tolok ukur platform cloud adalah pendorong utama untuk garis besar. Contohnya termasuk Kontrol Center for Internet Security (CIS), National Institute of Standards and Technology (NIST), dan standar berbasis platform, seperti tolok ukur keamanan cloud Microsoft (MCSB). Semua standar ini dianggap sebagai titik awal untuk garis besar Anda. Bangun fondasi dengan menggabungkan persyaratan keamanan dari persyaratan bisnis.
Untuk tautan ke aset sebelumnya, lihat Tautan terkait.
Buat garis besar dengan mendapatkan konensus di antara pemimpin bisnis dan teknis. Garis besar tidak boleh dibatasi untuk kontrol teknis. Ini juga harus mencakup aspek operasional pengelolaan dan pemeliharaan postur keamanan. Jadi, dokumen garis besar juga berfungsi sebagai komitmen organisasi terhadap investasi terhadap keamanan beban kerja. Dokumen garis besar keamanan harus didistribusikan secara luas dalam organisasi Anda untuk memastikan ada kesadaran tentang postur keamanan beban kerja.
Ketika beban kerja tumbuh dan ekosistem berkembang, sangat penting untuk menjaga garis besar Anda tetap sinkron dengan perubahan untuk memastikan kontrol mendasar masih efektif.
Membuat garis besar adalah proses metodis. Berikut adalah beberapa rekomendasi tentang prosesnya:
Inventar persediaan aset. Identifikasi pemangku kepentingan aset beban kerja dan tujuan keamanan untuk aset tersebut. Dalam inventarifikasi aset, klasifikasikan berdasarkan persyaratan keamanan dan kekritisan. Untuk informasi tentang aset data, lihat Rekomendasi tentang klasifikasi data.
Penilaian risiko. Potensi risiko identitas yang terkait dengan setiap aset dan prioritaskan.
Persyaratan kepatuhan. Garis besarkan peraturan atau kepatuhan apa pun untuk aset tersebut dan terapkan praktik terbaik industri.
Standar konfigurasi. Tentukan dan dokumentasikan konfigurasi dan pengaturan keamanan tertentu untuk setiap aset. Jika memungkinkan, templatisasi atau temukan cara otomatis yang dapat diulang untuk menerapkan pengaturan secara konsisten di seluruh lingkungan.
Kontrol akses dan autentikasi. Tentukan persyaratan kontrol akses berbasis peran (RBAC) dan autentikasi multifaktor (MFA). Dokumentasikan apa artinya akses yang cukup di tingkat aset. Selalu mulai dengan prinsip hak istimewa paling sedikit.
Manajemen patch. Terapkan versi terbaru pada semua jenis sumber daya untuk memperkuat serangan.
Dokumentasi dan komunikasi. Dokumentasikan semua konfigurasi, kebijakan, dan prosedur. Komunikasikan detailnya kepada pemangku kepentingan terkait.
Penegakan dan akuntabilitas. Menetapkan mekanisme dan konsekuensi penegakan yang jelas untuk ketidakpatuhan dengan garis besar keamanan. Meminta pertanggungjawaban individu dan tim untuk menjaga standar keamanan.
Pemantauan berkelanjutan. Menilai efektivitas garis besar keamanan melalui pengamatan dan melakukan perbaikan lembur.
Tentukan garis besar
Berikut adalah beberapa kategori umum yang harus menjadi bagian dari garis besar. Daftar berikut ini tidak lengkap. Ini dimaksudkan sebagai gambaran umum cakupan dokumen.
Kepatuhan peraturan
Beban kerja mungkin tunduk pada kepatuhan terhadap peraturan untuk segmen industri tertentu, mungkin ada beberapa pembatasan geografis, dan sebagainya. Ini adalah kunci untuk memahami persyaratan seperti yang diberikan dalam spesifikasi peraturan karena itu memengaruhi pilihan desain dan dalam beberapa kasus harus disertakan dalam arsitektur.
Garis besar harus mencakup evaluasi rutin beban kerja terhadap persyaratan peraturan. Manfaatkan alat yang disediakan platform, seperti Microsoft Defender untuk Cloud, yang dapat mengidentifikasi area ketidakpatuh. Bekerja sama dengan tim kepatuhan organisasi untuk memastikan semua persyaratan terpenuhi dan dikelola.
Komponen arsitektur
Garis besar membutuhkan rekomendasi preskriptif untuk komponen utama beban kerja. Ini biasanya mencakup kontrol teknis untuk jaringan, identitas, komputasi, dan data. Referensikan garis besar keamanan yang disediakan oleh platform dan tambahkan kontrol yang hilang ke arsitektur.
Proses pengembangan
Garis besar harus memiliki rekomendasi tentang:
- Klasifikasi sistem.
- Sekumpulan jenis sumber daya yang disetujui.
- Melacak sumber daya.
- Memberlakukan kebijakan untuk menggunakan atau mengonfigurasi sumber daya.
Tim pengembangan perlu memiliki pemahaman yang jelas tentang cakupan pemeriksaan keamanan. Misalnya, pemodelan ancaman adalah persyaratan dalam memastikan bahwa potensi ancaman diidentifikasi dalam kode dan dalam alur penyebaran. Bersikap spesifik tentang pemeriksaan statis dan pemindaian kerentanan di alur Anda dan seberapa teratur tim perlu melakukan pemindaian tersebut.
Untuk informasi selengkapnya, lihat Rekomendasi tentang analisis ancaman.
Proses pengembangan juga harus menetapkan standar pada berbagai metodologi pengujian dan iramanya. Untuk informasi selengkapnya, lihat Rekomendasi tentang pengujian keamanan.
Operasional
Garis besar harus menetapkan standar tentang menggunakan kemampuan deteksi ancaman dan menaikkan pemberitahuan pada aktivitas anomali yang menunjukkan insiden aktual. Deteksi ancaman perlu mencakup semua lapisan beban kerja, termasuk semua titik akhir yang dapat dijangkau dari jaringan yang bermusuhan.
Garis besar harus mencakup rekomendasi untuk menyiapkan proses respons insiden, termasuk komunikasi dan rencana pemulihan, dan mana dari proses tersebut yang dapat diotomatisasi untuk mempercepat deteksi dan analisis. Misalnya, lihat Garis besar keamanan untuk gambaran umum Azure.
Respons insiden juga harus mencakup rencana pemulihan dan persyaratan untuk rencana tersebut, seperti sumber daya untuk mengambil dan melindungi cadangan secara teratur.
Anda mengembangkan rencana pelanggaran data dengan menggunakan standar dan rekomendasi industri yang disediakan oleh platform. Tim kemudian memiliki rencana komprehensif untuk diikuti ketika pelanggaran ditemukan. Selain itu, tanyakan kepada organisasi Anda untuk melihat apakah ada cakupan melalui cyberinsurance.
Pelatihan
Mengembangkan dan memelihara program pelatihan keamanan untuk memastikan tim beban kerja dilengkapi dengan keterampilan yang sesuai untuk mendukung tujuan dan persyaratan keamanan. Tim membutuhkan pelatihan keamanan mendasar, tetapi gunakan apa yang Anda bisa dari organisasi Anda untuk mendukung peran khusus. Kepatuhan dan partisipasi pelatihan keamanan berbasis peran dalam latihan adalah bagian dari garis besar keamanan Anda.
Menerapkan garis besar
Gunakan garis besar untuk mendorong inisiatif, seperti:
Kesiapsiagaan terhadap keputusan desain. Buat garis besar keamanan dan terbitkan sebelum Anda memulai proses desain arsitektur. Pastikan anggota tim sepenuhnya mengetahui harapan organisasi Anda lebih awal, yang menghindari pengerjaan ulang yang mahal yang disebabkan oleh kurangnya kejelasan. Anda dapat menggunakan kriteria dasar sebagai persyaratan beban kerja yang telah diterapkan organisasi dan merancang dan memvalidasi kontrol terhadap batasan tersebut.
Ukur desain Anda. Menilai keputusan saat ini terhadap garis besar saat ini. Garis besar menetapkan ambang aktual untuk kriteria. Dokumentasikan penyimpangan apa pun yang ditangguhkan atau dianggap dapat diterima jangka panjang.
Dorong peningkatan. Meskipun garis besar menetapkan tujuan yang dapat dicapai, selalu ada celah. Prioritaskan celah di backlog Anda dan remediasi berdasarkan prioritas.
Lacak kemajuan Anda terhadap garis besar. Pemantauan berkelanjutan terhadap langkah-langkah keamanan terhadap garis besar yang ditetapkan sangat penting. Analisis tren adalah cara yang baik untuk meninjau kemajuan keamanan dari waktu ke waktu dan dapat mengungkapkan penyimpangan yang konsisten dari garis besar. Gunakan otomatisasi sebanyak mungkin, menarik data dari berbagai sumber, internal dan eksternal, untuk mengatasi masalah saat ini dan mempersiapkan ancaman di masa mendatang.
Atur pagar pembatas. Jika memungkinkan, kriteria garis besar Anda harus memiliki pagar pembatas. Pagar pembatas memberlakukan konfigurasi, teknologi, dan operasi keamanan yang diperlukan, berdasarkan faktor internal dan faktor eksternal. Faktor internal termasuk persyaratan bisnis, risiko, dan evaluasi aset. Faktor eksternal termasuk tolok ukur, standar peraturan, dan lingkungan ancaman. Pagar pembatas membantu meminimalkan risiko pengawasan yang tidak disengaja dan denda hukuman untuk ketidakpatuhan.
Jelajahi Azure Policy untuk opsi kustom atau gunakan inisiatif bawaan seperti tolok ukur CIS atau Azure Security Benchmark untuk menerapkan konfigurasi keamanan dan persyaratan kepatuhan. Pertimbangkan untuk membuat Kebijakan dan inisiatif Azure di luar garis besar.
Mengevaluasi garis besar secara teratur
Terus meningkatkan standar keamanan secara bertahap menuju status ideal untuk memastikan pengurangan risiko yang berkelanjutan. Lakukan tinjauan berkala untuk memastikan bahwa sistem sudah diperbarui dan mematuhi pengaruh eksternal. Setiap perubahan pada garis besar harus formal, disepakati, dan dikirim melalui proses manajemen perubahan yang tepat.
Ukur sistem terhadap garis besar baru dan prioritaskan remediasi berdasarkan relevansi dan efeknya pada beban kerja.
Pastikan bahwa postur keamanan tidak terdegradasi dari waktu ke waktu dengan melembagakan kepatuhan audit dan pemantauan terhadap standar organisasi.
Fasilitasi Azure
Tolok ukur keamanan cloud Microsoft (MCSB) adalah kerangka kerja praktik terbaik keamanan komprehensif yang dapat Anda gunakan sebagai titik awal untuk garis besar keamanan Anda. Gunakan bersama dengan sumber daya lain yang memberikan input ke garis besar Anda.
Untuk informasi selengkapnya, lihat Pengenalan tolok ukur keamanan cloud Microsoft.
Gunakan dasbor kepatuhan peraturan Microsoft Defender untuk Cloud (MDC) untuk melacak garis besar tersebut dan diberi tahu jika pola di luar garis besar terdeteksi. Untuk informasi selengkapnya, lihat Menyesuaikan kumpulan standar di dasbor kepatuhan peraturan Anda.
Fitur lain yang membantu dalam membangun dan meningkatkan garis besar:
Contoh
Diagram logis ini menunjukkan contoh garis besar keamanan untuk komponen arsitektur yang mencakup jaringan, infrastruktur, titik akhir, aplikasi, data, dan identitas untuk menunjukkan bagaimana lingkungan TI umum dapat dilindungi dengan aman. Panduan rekomendasi lainnya dibangun berdasarkan contoh ini.
Prasarana
Lingkungan TI umum, dengan lapisan lokal dengan sumber daya dasar.
Layanan Azure Security
Layanan dan fitur keamanan Azure berdasarkan jenis sumber daya yang mereka lindungi.
Layanan pemantauan keamanan Azure
Layanan pemantauan yang tersedia di Azure yang melampaui layanan pemantauan sederhana, termasuk solusi manajemen peristiwa informasi keamanan (SIEM) dan respons otomatis orkestrasi keamanan (SOAR) dan Microsoft Defender untuk Cloud.
Ancaman
Lapisan ini membawa rekomendasi dan pengingat bahwa ancaman dapat dipetakan sesuai dengan kekhawatiran organisasi Anda mengenai ancaman, terlepas dari metodologi atau matriks seperti Matriks Serangan Matriks atau rantai Cyber Kill.
Tautan terkait
Tautan komunitas
Daftar periksa keamanan
Lihat kumpulan rekomendasi lengkap.