Kontrol Keamanan: Manajemen aset
Manajemen Aset mencakup kontrol untuk memastikan visibilitas dan tata kelola keamanan atas sumber daya Anda, termasuk rekomendasi tentang izin untuk personel keamanan, akses keamanan ke inventarisasi aset, dan mengelola persetujuan untuk layanan dan sumber daya (inventarisasi, lacak, dan benar).
AM-1: Melacak inventaris aset dan risikonya
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 1.1, 1.5, 2.1, 2.4 | CM-8, PM-5 | 02/04/2021 |
Prinsip keamanan: Lacak inventaris aset Anda berdasarkan kueri dan temukan semua sumber daya cloud Anda. Atur aset Anda secara logis dengan menandai dan mengelompokkan aset Anda berdasarkan sifat layanan, lokasi, atau karakteristik lainnya. Pastikan organisasi keamanan Anda memiliki akses ke inventaris aset yang terus diperbarui.
Pastikan organisasi keamanan Anda dapat memantau risiko terhadap aset cloud dengan selalu memiliki wawasan dan risiko keamanan yang dikumpulkan secara terpusat.
Panduan Azure: Fitur inventori Microsoft Defender untuk Cloud dan Azure Resource Graph dapat mengkueri dan menemukan semua sumber daya dalam langganan Anda, termasuk layanan Azure, aplikasi, dan sumber daya jaringan. Atur aset secara logis sesuai dengan taksonomi organisasi Anda menggunakan tag serta metadata lainnya di Azure (Nama, Deskripsi, dan Kategori).
Pastikan bahwa organisasi keamanan memiliki akses ke inventaris aset yang terus diperbarui di Azure. Tim keamanan sering kali membutuhkan inventarisasi ini untuk mengevaluasi potensi paparan organisasi mereka terhadap risiko yang muncul, dan sebagai input untuk peningkatan keamanan berkelanjutan.
Pastikan organisasi keamanan diberikan izin Pembaca Keamanan di penyewa dan langganan Azure Anda sehingga mereka dapat memantau risiko keamanan menggunakan Microsoft Defender untuk Cloud. Izin Pembaca Keamanan dapat diterapkan secara luas ke seluruh penyewa (Root Management Group) atau dicakup ke grup manajemen atau langganan tertentu.
Catatan: Izin tambahan mungkin diperlukan untuk mendapatkan visibilitas ke dalam beban kerja dan layanan.
Panduan GCP: Gunakan Google Cloud Asset Inventory untuk menyediakan layanan inventori berdasarkan database rangkaian waktu. Database ini menyimpan riwayat metadata aset GCP selama lima minggu. Layanan ekspor Cloud Asset Inventory memungkinkan Anda mengekspor semua metadata aset pada tanda waktu tertentu atau mengekspor riwayat perubahan peristiwa selama jangka waktu tertentu.
Selain itu, Google Cloud Security Command Center mendukung konvensi penamaan yang berbeda. Aset adalah sumber daya Google Cloud organisasi. Peran IAM untuk Security Command Center dapat diberikan di tingkat organisasi, folder, atau proyek. Kemampuan Anda untuk melihat, membuat, atau memperbarui temuan, aset, dan sumber keamanan bergantung pada tingkat akses yang anda berikan.
Implementasi GCP dan konteks tambahan:
- Inventori Aset Cloud
- Pengantar Inventarum Aset Cloud
- Jenis aset yang didukung di Security Command Center
Implementasi Azure dan konteks tambahan:
- Cara membuat kueri dengan Azure Resource Graph Explorer
- Manajemen inventaris aset Microsoft Defender untuk Cloud
- Untuk informasi selengkapnya tentang memberi tag aset, lihat panduan keputusan penamaan dan pemberian tag sumber daya
- Gambaran Umum Peran Pembaca Keamanan
Panduan AWS: Gunakan fitur AWS Systems Manager Inventory untuk mengkueri dan menemukan semua sumber daya di instans EC2 Anda, termasuk tingkat aplikasi dan detail tingkat sistem operasi. Selain itu, gunakan AWS Resource Groups - Tag Editor untuk menelusuri inventori sumber daya AWS.
Atur aset secara logis sesuai dengan taksonomi organisasi Anda menggunakan tag serta metadata lain di AWS (Nama, Deskripsi, dan Kategori).
Pastikan organisasi keamanan memiliki akses ke inventarisasi aset yang terus diperbarui di AWS. Tim keamanan sering kali membutuhkan inventarisasi ini untuk mengevaluasi potensi paparan organisasi mereka terhadap risiko yang muncul, dan sebagai input untuk peningkatan keamanan berkelanjutan.
Catatan: Izin tambahan mungkin diperlukan untuk mendapatkan visibilitas ke dalam beban kerja dan layanan.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Gunakan Layanan Kebijakan Organisasi Google Cloud untuk mengaudit dan membatasi layanan mana yang dapat disediakan pengguna di lingkungan Anda. Anda juga dapat menggunakan Pemantauan Cloud di Operations Suite dan/atau Kebijakan Organisasi untuk membuat aturan guna memicu pemberitahuan saat layanan yang tidak disetujui terdeteksi.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
AM-2: Hanya menggunakan layanan yang disetujui
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 2.5, 2.6 , 2.7, 4.8 | CM-8, PM-5 | 6.3 |
Prinsip keamanan: Pastikan bahwa hanya layanan cloud yang disetujui yang dapat digunakan, dengan mengaudit dan membatasi layanan mana yang dapat disediakan pengguna di lingkungan.
Panduan Azure: Gunakan Azure Policy untuk mengaudit dan membatasi layanan mana yang dapat disediakan pengguna di lingkungan Anda. Gunakan Azure Resource Graph untuk mengkueri dan menemukan sumber daya dalam langganan pengguna. Anda juga dapat menggunakan Azure Monitor untuk membuat aturan sebagi pemicu pemberitahuan saat terdeteksi adanya layanan yang tidak disetujui.
Implementasi Azure dan konteks tambahan:
- Konfigurasikan dan kelola Azure Policy
- Cara menolak jenis sumber daya tertentu dengan Azure Policy
- Cara membuat kueri dengan Azure Resource Graph Explorer
Panduan AWS: Gunakan AWS Config untuk mengaudit dan membatasi layanan mana yang dapat disediakan pengguna di lingkungan Anda. Gunakan Grup Sumber Daya AWS untuk mengkueri dan menemukan sumber daya dalam akun mereka. Anda juga dapat menggunakan CloudWatch dan/atau AWS Config untuk membuat aturan guna memicu pemberitahuan saat layanan yang tidak disetujui terdeteksi.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Menetapkan atau memperbarui kebijakan/proses keamanan yang menangani proses manajemen siklus hidup aset untuk modifikasi yang berpotensi berdampak tinggi. Modifikasi ini mencakup perubahan pada penyedia identitas dan akses, data sensitif, konfigurasi jaringan, dan penilaian hak istimewa administratif. Gunakan Google Cloud Security Command Center dan periksa tab Kepatuhan untuk aset yang berisiko.
Selain itu, gunakan Pembersihan Otomatis Proyek Cloud Google yang Tidak Digunakan, dan layanan Cloud Recommender untuk memberikan rekomendasi dan wawasan untuk menggunakan sumber daya di Google Cloud. Rekomendasi dan wawasan ini adalah per produk atau per layanan, dan dihasilkan berdasarkan metode heuristik, pembelajaran mesin, dan penggunaan sumber daya saat ini.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
AM-3: Memastikan keamanan manajemen siklus hidup aset
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 1.1, 2.1 | CM-8, CM-7 | 02/04/2021 |
Prinsip keamanan: Pastikan atribut keamanan atau konfigurasi aset selalu diperbarui selama siklus hidup aset.
Panduan Azure: Menetapkan atau memperbarui kebijakan/proses keamanan yang menangani proses manajemen siklus hidup aset untuk modifikasi yang berpotensi berdampak tinggi. Modifikasi ini mencakup perubahan pada penyedia identitas dan akses, tingkat sensitivitas data, konfigurasi jaringan, dan penetapan hak istimewa administratif.
Identifikasi dan hapus sumber daya Azure saat tidak lagi diperlukan.
Implementasi Azure dan konteks tambahan:
Panduan AWS: Menetapkan atau memperbarui kebijakan/proses keamanan yang menangani proses manajemen siklus hidup aset untuk modifikasi yang berpotensi berdampak tinggi. Modifikasi ini mencakup perubahan pada penyedia identitas dan akses, tingkat sensitivitas data, konfigurasi jaringan, dan penetapan hak istimewa administratif.
Identifikasi dan hapus sumber daya AWS saat tidak lagi diperlukan.
Implementasi AWS dan konteks tambahan:
- Bagaimana cara memeriksa sumber daya aktif yang tidak lagi saya perlukan di akun AWS saya?
- Bagaimana cara mengakhiri sumber daya aktif yang tidak lagi saya butuhkan di akun AWS saya?
Panduan GCP: Gunakan Google Cloud Identity and Access Management (IAM) untuk membatasi akses ke sumber daya tertentu. Anda dapat menentukan tindakan izinkan atau tolak serta kondisi di mana tindakan dipicu. Anda dapat menentukan satu kondisi atau metode gabungan izin tingkat sumber daya, kebijakan berbasis sumber daya, otorisasi berbasis tag, kredensial sementara, atau peran yang ditautkan layanan untuk memiliki kontrol akses kontrol halus untuk sumber daya Anda.
Selain itu, Anda dapat menggunakan Kontrol Layanan VPC untuk melindungi dari tindakan yang tidak disengaja atau ditargetkan oleh entitas eksternal atau entitas orang dalam, yang membantu meminimalkan risiko penyelundupan data yang tidak beralasan dari layanan Google Cloud. Anda dapat menggunakan Kontrol Layanan VPC untuk membuat perimeter yang melindungi sumber daya dan data layanan yang Anda tentukan secara eksplisit.
Implementasi GCP dan konteks tambahan:
- IAM (Identity and Access Management/Manajemen Identitas & Akses)
- Gambaran Umum Kontrol Layanan VPC
- Resource Manager
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
AM-4: Membatasi akses ke manajemen aset
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.3 | AC-3 | T/A |
Prinsip keamanan: Batasi akses pengguna ke fitur manajemen aset, untuk menghindari modifikasi aset yang tidak disengaja atau berbahaya di cloud Anda.
Panduan Azure: Azure Resource Manager adalah layanan penyebaran dan manajemen untuk Azure. Azure Resource Manager menyediakan lapisan manajemen yang memungkinkan Anda membuat, memperbarui, dan menghapus sumber daya (aset) di Azure. Gunakan Akses Bersyarat Microsoft Azure Active Directory untuk membatasi kemampuan pengguna untuk berinteraksi dengan Azure Resource Manager dengan mengkonfigurasi "akses blok" untuk Aplikasi "Microsoft Azure Management".
Gunakan Access Control berbasis Peran Azure (Azure RBAC) untuk menetapkan peran ke identitas untuk mengontrol izin dan aksesnya ke sumber daya Azure. Misalnya, pengguna dengan hanya peran Azure RBAC 'Pembaca' dapat melihat semua sumber daya, tetapi tidak diizinkan untuk membuat perubahan apa pun.
Gunakan Kunci Sumber Daya untuk mencegah penghapusan atau modifikasi pada sumber daya. Kunci Sumber Daya juga dapat dikelola melalui Azure Blueprints.
Implementasi Azure dan konteks tambahan:
- Cara mengonfigurasi Akses Bersyarat untuk memblokir akses ke Azure Resource Manager
- Kunci sumber daya Anda untuk melindungi infrastruktur Anda
- Melindungi sumber daya baru dengan kunci sumber daya Azure Blueprints
Panduan AWS: Gunakan AWS IAM untuk membatasi akses ke sumber daya tertentu. Anda dapat menentukan tindakan yang diizinkan atau ditolak serta kondisi di mana tindakan dipicu. Anda dapat menentukan satu kondisi atau menggabungkan metode izin tingkat sumber daya, kebijakan berbasis sumber daya, otorisasi berbasis tag, kredensial sementara, atau peran yang ditautkan layanan untuk memiliki kontrol akses kontrol halus untuk sumber daya Anda.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Gunakan Google Cloud VM Manager untuk menemukan aplikasi yang diinstal pada instans Mesin Komputasi. Inventarisasi OS dan manajemen konfigurasi dapat digunakan untuk memastikan bahwa perangkat lunak yang tidak sah diblokir agar tidak dijalankan pada instans Compute Engine.
Anda juga dapat menggunakan solusi pihak ketiga untuk mengidentifikasi perangkat lunak yang tidak disetujui.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
AM-5: Menggunakan hanya aplikasi yang disetujui di mesin virtual
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 2.5, 2.6, 2.7, 4.8 | CM-8, CM-7, CM-10, CM-11 | 6.3 |
Prinsip keamanan: Pastikan bahwa hanya perangkat lunak resmi yang dijalankan dengan membuat daftar izin dan memblokir perangkat lunak yang tidak sah agar tidak dijalankan di lingkungan Anda.
Panduan Azure: Gunakan Microsoft Defender untuk kontrol aplikasi adaptif Cloud untuk menemukan dan menghasilkan daftar izin aplikasi. Anda juga dapat menggunakan kontrol aplikasi adaptif ASC untuk memastikan bahwa hanya perangkat lunak yang berwenang yang dapat dijalankan, dan semua perangkat lunak yang tidak sah diblokir agar tidak dieksekusi di Azure Virtual Machines.
Gunakan Pelacakan dan Inventaris Perubahan Azure Automation untuk mengotomatisasi pengumpulan informasi inventaris dari komputer virtual Windows dan Linux Anda. Informasi nama perangkat lunak, versi, penerbit, dan waktu refresh tersedia dari portal Azure. Untuk mendapatkan tanggal penginstalan perangkat lunak dan informasi lainnya, aktifkan diagnostik tingkat tamu dan arahkan Log Peristiwa Windows ke ruang kerja Analitik Log.
Bergantung pada jenis skrip, Anda dapat menggunakan konfigurasi khusus sistem operasi atau sumber daya pihak ketiga untuk membatasi kemampuan pengguna dalam menjalankan skrip pada sumber daya komputasi Azure.
Anda juga dapat menggunakan solusi pihak ketiga untuk mengidentifikasi perangkat lunak yang tidak disetujui.
Implementasi Azure dan konteks tambahan:
- Cara menggunakan kontrol aplikasi adaptif Microsoft Defender untuk Cloud
- Pahami Pelacakan Perubahan dan Inventaris Azure Automation
- Cara mengontrol eksekusi skrip PowerShell di Lingkungan Windows
Panduan AWS: Gunakan fitur AWS Systems Manager Inventory untuk menemukan aplikasi yang diinstal di instans EC2 Anda. Gunakan aturan AWS Config untuk memastikan bahwa perangkat lunak yang tidak sah diblokir agar tidak dijalankan pada instans EC2.
Anda juga dapat menggunakan solusi pihak ketiga untuk mengidentifikasi perangkat lunak yang tidak disetujui.
Implementasi AWS dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):