Kontrol Keamanan: Tata kelola dan strategi

Tata Kelola dan Strategi menyediakan panduan untuk memastikan strategi keamanan yang koheren dan pendekatan tata kelola yang terdokumentasi untuk memandu dan mempertahankan jaminan keamanan, termasuk menetapkan peran dan tanggung jawab untuk berbagai fungsi keamanan cloud, strategi teknis terpadu, serta mendukung kebijakan dan standar.

GS-1: Menyelaraskan peran, tanggung jawab, dan akuntabilitas organisasi

ID CIS Controls v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS v3.2.1
+14.9 PL-9, PM-10, PM-13, AT-1, AT-3 02/04/2021

Panduan umum: Pastikan Anda menentukan dan mengomunikasikan strategi yang jelas untuk peran dan tanggung jawab dalam organisasi keamanan Anda. Prioritaskan memberikan akuntabilitas yang jelas untuk keputusan keamanan, mendidik semua orang tentang model tanggung jawab bersama, dan mendidik tim teknis tentang teknologi untuk mengamankan cloud.

Implementasi dan konteks tambahan:

Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):

GS-2: Menentukan dan menerapkan strategi segmentasi/pemisahan tugas perusahaan

ID CIS Controls v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS v3.2.1
3.12 AC-4, SC-7, SC-2 1.2, 6.4

Panduan umum: Tetapkan strategi di seluruh perusahaan untuk mengelompokkan akses ke aset menggunakan kombinasi identitas, jaringan, aplikasi, langganan, grup manajemen, dan kontrol lainnya.

Lakukan penyeimbangan kebutuhan pemisahan keamanan dengan kebutuhan yang memungkinkan operasi sistem harian dapat berkomunikasi satu sama lain dan mengakses data secara cermat.

Pastikan bahwa strategi segmentasi diterapkan secara konsisten pada beban kerja termasuk keamanan jaringan, model akses dan identitas, serta model akses/izin aplikasi, juga kontrol proses manusia.

Implementasi dan konteks tambahan:

Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):

GS-3: Menentukan dan menerapkan strategi perlindungan data

ID CIS Controls v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS v3.2.1
3.1, 3.7, 3.12 AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2

Panduan umum: Tetapkan strategi di seluruh perusahaan untuk perlindungan data di lingkungan cloud Anda:

  • Tentukan dan terapkan standar klasifikasi dan perlindungan data sesuai dengan standar manajemen data perusahaan dan kepatuhan terhadap peraturan untuk menentukan kontrol keamanan yang diperlukan bagi setiap tingkat klasifikasi data.
  • Siapkan hierarki manajemen sumber daya cloud yang selaras dengan strategi segmentasi perusahaan. Strategi segmentasi perusahaan juga harus diinformasikan oleh lokasi data dan sistem penting sensitif atau bisnis.
  • Tentukan dan terapkan prinsip zero-trust yang berlaku di lingkungan cloud Anda untuk menghindari penerapan kepercayaan berdasarkan lokasi jaringan dalam perimeter. Sebagai gantinya, gunakan klaim kepercayaan perangkat dan pengguna untuk mengalihkan akses ke data dan sumber daya.
  • Lacak dan minimalkan jejak data sensitif (penyimpanan, transmisi, dan pemrosesan) di seluruh perusahaan untuk mengurangi permukaan serangan dan biaya perlindungan data. Pertimbangkan teknik seperti hash satu arah, pemotongan, dan tokenisasi dalam beban kerja jika memungkinkan, untuk menghindari menyimpan dan mentransmisikan data sensitif dalam bentuk aslinya.
  • Pastikan Anda memiliki strategi kontrol siklus hidup penuh untuk memberikan jaminan keamanan data dan kunci akses.

Implementasi dan konteks tambahan:

Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):

GS-4: Mendefinisikan dan menerapkan strategi keamanan jaringan

ID CIS Controls v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS v3.2.1
12.2, 12.4 AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2

Panduan umum: Tetapkan strategi keamanan jaringan cloud sebagai bagian dari strategi keamanan organisasi Anda secara keseluruhan untuk kontrol akses. Strategi ini harus mencakup panduan, kebijakan, dan standar yang didokumentasikan untuk beberapa elemen berikut:

  • Rancang manajemen jaringan terpusat/terdesentralisasi dan model tanggung jawab keamanan untuk menyebarkan dan memelihara sumber daya jaringan.
  • Model segmentasi jaringan virtual yang selaras dengan strategi segmentasi perusahaan.
  • Strategi ingress dan egress serta tepi internet.
  • Strategi interkonektivitas lokal dan cloud hibrida.
  • Strategi pengelogan dan pemantauan jaringan.
  • Artefak keamanan jaringan terbaru (seperti diagram jaringan, arsitektur jaringan referensi).

Implementasi dan konteks tambahan:

Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):

GS-5: Menentukan dan menerapkan strategi manajemen postur keamanan

ID CIS Controls v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS v3.2.1
4.1, 4.2 CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5

Panduan umum: Tetapkan kebijakan, prosedur, dan standar untuk memastikan manajemen konfigurasi keamanan dan manajemen kerentanan tersedia dalam mandat keamanan cloud Anda.

Manajemen konfigurasi keamanan di cloud harus mencakup area berikut:

  • Tentukan garis besar konfigurasi aman untuk berbagai jenis sumber daya di cloud, seperti portal web/konsol, manajemen dan sarana kontrol, dan sumber daya yang berjalan di layanan IaaS, PaaS, dan SaaS.
  • Pastikan garis besar keamanan mengatasi risiko di berbagai area kontrol seperti keamanan jaringan, manajemen identitas, akses hak istimewa, perlindungan data, dan sebagainya.
  • Gunakan alat untuk terus mengukur, mengaudit, dan menerapkan konfigurasi guna mencegah konfigurasi menyimpang dari garis besar.
  • Kembangkan irama agar tetap diperbarui dengan fitur keamanan, misalnya, berlangganan pembaruan layanan.
  • Gunakan mekanisme pemeriksaan kesehatan keamanan atau kepatuhan (seperti Skor Aman, Dasbor Kepatuhan di Microsoft Defender untuk Cloud) untuk meninjau postur konfigurasi keamanan secara teratur dan memulihkan celah yang diidentifikasi.

Manajemen kerentanan di cloud harus mencakup aspek keamanan berikut:

  • Menilai dan memulihkan kerentanan secara teratur di semua jenis sumber daya cloud, seperti layanan cloud native, sistem operasi, dan komponen aplikasi.
  • Gunakan pendekatan berbasis risiko untuk memprioritaskan penilaian dan remediasi.
  • Berlangganan pemberitahuan dan blog penasihat keamanan CSPM yang relevan untuk menerima pembaruan keamanan terbaru.
  • Pastikan penilaian dan remediasi kerentanan (seperti jadwal, cakupan, dan teknik) memenuhi persyaratan kepatuhan untuk organization.dule, cakupan, dan teknik Anda) memenuhi persyaratan kepatuhan secara teratur untuk organisasi Anda.

Implementasi dan konteks tambahan:

Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):

GS-6: Menentukan dan menerapkan strategi akses hak istimewa dan identitas

ID CIS Controls v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS v3.2.1
5.6, 6.5, 6.7 AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4

Panduan umum: Menetapkan identitas cloud dan pendekatan akses istimewa sebagai bagian dari strategi kontrol akses keamanan organisasi Anda secara keseluruhan. Strategi ini akan mencakup panduan, kebijakan, dan standar yang terdokumentasi untuk beberapa elemen berikut:

  • Identitas terpusat dan sistem autentikasi (seperti Azure AD) dan interkonektivitasnya dengan sistem identitas internal dan eksternal lainnya
  • Tata kelola akses dan identitas hak istimewa (seperti permintaan akses, peninjauan, dan persetujuan)
  • Akun dengan hak istimewa dalam situasi darurat (break-glass)
  • Metode autentikasi yang kuat (autentikasi tanpa kata sandi dan autentikasi multifaktor) dalam kasus dan kondisi penggunaan yang berbeda.
  • Akses aman oleh operasi administratif melalui portal/konsol web, baris perintah, dan API.

Untuk kasus pengecualian, di mana sistem perusahaan tidak digunakan, pastikan kontrol keamanan yang memadai tersedia untuk manajemen identitas, autentikasi, dan akses, dan diatur. Pengecualian ini harus disetujui dan ditinjau secara berkala oleh tim perusahaan. Pengecualian ini biasanya dalam kasus-kasus seperti:

  • Penggunaan sistem autentikasi dan identitas yang ditunjuk non-perusahaan, seperti sistem pihak ketiga berbasis cloud (dapat memberikan risiko yang tidak diketahui)
  • Pengguna istimewa yang diautentikasi secara lokal dan/atau menggunakan metode autentikasi yang tidak kuat

Implementasi dan konteks tambahan:

Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):

GS-7: Menentukan dan menerapkan strategi pengelogan, deteksi ancaman, dan respons insiden

ID CIS Controls v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS v3.2.1
8.1, 13.1, 17.2, 17.4,17.7 AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5

Panduan umum: Menetapkan strategi pengelogan, deteksi ancaman, dan respons insiden untuk mendeteksi dan memulihkan ancaman dengan cepat dan memenuhi persyaratan kepatuhan. Tim operasi keamanan (SecOps /SOC) harus memprioritaskan peringatan berkualitas tinggi dan pengalaman tanpa batas sehingga mereka dapat fokus pada ancaman daripada integrasi log dan langkah-langkah manual. Strategi ini akan mencakup panduan, kebijakan, dan standar yang terdokumentasi untuk beberapa elemen berikut:

  • Peran dan tanggung jawab organisasi operasi keamanan (SecOps)
  • Rencana respons insiden yang terdefinisi dengan baik dan teratur diuji dan proses penanganan yang selaras dengan NIST SP 800-61 (Panduan Penanganan Insiden Keamanan Komputer) atau kerangka kerja industri lainnya.
  • Rencana komunikasi dan notifikasi dengan pelanggan, pemasok, dan pihak publik yang berkepentingan.
  • Simulasikan peristiwa keamanan yang diharapkan dan tidak terduga dalam lingkungan cloud Anda untuk memahami efektivitas persiapan Anda. Iterasi hasil simulasi Anda untuk meningkatkan skala postur respons Anda, mengurangi waktu ke nilai, dan mengurangi risiko lebih lanjut.
  • Preferensi menggunakan kemampuan deteksi dan respons yang diperluas (XDR), seperti kemampuan Azure Defender, untuk mendeteksi ancaman di berbagai area.
  • Penggunaan kemampuan cloud native (misalnya, sebagai Microsoft Defender untuk Cloud) dan platform pihak ketiga untuk penanganan insiden, seperti pengelogan dan deteksi ancaman, forensik, dan remediasi dan pemberantasan serangan.
  • Siapkan runbook yang diperlukan, baik manual maupun otomatis, untuk memastikan respons yang andal dan konsisten.
  • Menentukan skenario utama (seperti deteksi ancaman, respons insiden, dan kepatuhan) dan menyiapkan pengambilan dan retensi log untuk memenuhi persyaratan skenario.
  • Visibilitas terpusat dan informasi korelasi tentang ancaman, menggunakan SIEM, kemampuan deteksi ancaman cloud asli, dan sumber lainnya.
  • Aktivitas pasca-insiden, seperti pelajaran yang dipelajari dan retensi bukti.

Implementasi dan konteks tambahan:

Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):

GS-8: Menentukan dan Menerapkan strategi pencadangan dan pemulihan

ID CIS Controls v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS v3.2.1
11.1 CP-1, CP-9, CP-10 3.4

Panduan umum: Menetapkan strategi pencadangan dan pemulihan untuk organisasi Anda. Strategi ini akan mencakup panduan, kebijakan, dan standar yang terdokumentasi untuk beberapa elemen berikut:

  • Definisi tujuan waktu pemulihan (RTO) dan tujuan titik pemulihan (RPO) sesuai dengan tujuan ketahanan bisnis Anda dan persyaratan kepatuhan terhadap peraturan.
  • Desain redundansi (termasuk pencadangan, pemulihan, dan replikasi) dalam aplikasi dan infrastruktur Anda baik di cloud maupun lokal. Pertimbangkan pemulihan regional, pasangan wilayah, lintas regional dan lokasi penyimpanan di luar situs sebagai bagian dari strategi Anda.
  • Perlindungan pencadangan dari tempering dan akses yang tidak sah menggunakan kontrol seperti kontrol akses data, enkripsi, dan keamanan jaringan.
  • Penggunaan pencadangan dan pemulihan untuk mengurangi risiko dari ancaman yang muncul, seperti serangan ransomware. Dan juga mengamankan data cadangan dan pemulihan itu sendiri dari serangan ini.
  • Memantau operasi dan data pemulihan serta pencadangan untuk tujuan audit dan peringatan.

Implementasi dan konteks tambahan:

Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):

GS-9: Mendefinisikan dan menerapkan strategi keamanan titik akhir

ID CIS Controls v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS v3.2.1
4.4, 10.1 SI-2, SI-3, SC-3 5.1, 5.2, 5.3, 5.4, 11.5

Panduan umum: Tetapkan strategi keamanan titik akhir cloud yang mencakup aspek-aspek berikut:- Sebarkan deteksi dan respons titik akhir dan kemampuan anti-malware ke titik akhir Anda dan integrasikan dengan deteksi ancaman dan solusi SIEM dan proses operasi keamanan.

  • Ikuti Microsoft Cloud Security Benchmark untuk memastikan pengaturan keamanan terkait titik akhir di area lain (seperti keamanan jaringan, manajemen kerentanan postur, akses identitas dan hak istimewa, serta pencatatan dan deteksi ancaman) juga tersedia untuk memberikan perlindungan mendalam pertahanan untuk titik akhir Anda.
  • Prioritaskan keamanan titik akhir di lingkungan produksi Anda tetapi pastikan bahwa lingkungan non-produksi (seperti lingkungan pengujian dan build yang digunakan dalam proses DevOps) juga diamankan dan dipantau, karena lingkungan ini juga dapat digunakan untuk memperkenalkan malware dan kerentanan ke lingkungan produksi.

Implementasi dan konteks tambahan:

Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):

GS-10: Mendefinisikan dan menerapkan strategi keamanan DevOps

ID CIS Controls v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS v3.2.1
4.1, 4.2, 16.1, 16.2 SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2

Panduan umum: Mandat kontrol keamanan sebagai bagian dari standar rekayasa dan operasi DevOps organisasi. Tentukan tujuan keamanan, persyaratan kontrol, dan spesifikasi alat sesuai dengan standar keamanan perusahaan dan cloud di organisasi Anda.

Dorong penggunaan DevOps sebagai model operasi penting dalam organisasi Anda untuk manfaatnya dalam mengidentifikasi dan memulihkan kerentanan dengan cepat menggunakan berbagai jenis otomatisasi (seperti infrastruktur sebagai penyediaan kode, dan pemindaian SAST serta DAST secara otomatis) di seluruh alur kerja CI/CD. Pendekatan 'shift left' ini juga meningkatkan visibilitas dan kemampuan untuk memberlakukan pemeriksaan keamanan yang konsisten dalam alur penyebaran Anda, secara efektif menyebarkan pagar pembatas keamanan ke lingkungan sebelumnya untuk menghindari kejutan keamanan menit terakhir saat menyebarkan beban kerja ke dalam produksi.

Saat menggeser kontrol keamanan yang tersisa ke fase pra-penerapan, terapkan pagar pengaman keamanan untuk memastikan kontrol disebarkan dan diterapkan di seluruh proses DevOps Anda. Teknologi ini dapat mencakup templat penyebaran sumber daya (seperti templat Azure ARM) untuk menentukan pagar pembatas di IaC (infrastruktur sebagai kode), provisi sumber daya, dan audit untuk membatasi layanan atau konfigurasi mana yang dapat disediakan ke lingkungan.

Untuk kontrol keamanan run-time beban kerja Anda, ikuti Microsoft Cloud Security Benchmark untuk merancang dan menerapkan kontrol yang efektif, seperti identitas dan akses istimewa, keamanan jaringan, keamanan titik akhir, dan perlindungan data di dalam aplikasi dan layanan beban kerja Anda.

Implementasi dan konteks tambahan:

GS-11: Menentukan dan menerapkan strategi keamanan multi-cloud

ID CIS Controls v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS v3.2.1
T/A T/A T/A

Panduan umum: Pastikan strategi multi-cloud ditentukan dalam tata kelola cloud dan keamanan, manajemen risiko, dan proses operasi Anda yang harus mencakup aspek-aspek berikut:

  • Adopsi multi-cloud: Untuk organisasi yang mengoperasikan infrastruktur multi-cloud dan Mendidik organisasi Anda untuk memastikan tim memahami perbedaan fitur antara platform cloud dan tumpukan teknologi. Membangun, menyebarkan, dan/atau memigrasikan solusi yang portabel. Memungkinkan kemudahan pergerakan antara platform cloud dengan penguncian vendor minimum sambil menggunakan fitur asli cloud secara memadai untuk hasil optimal dari adopsi cloud.
  • Operasi cloud dan keamanan: Menyederhanakan operasi keamanan untuk mendukung solusi di setiap cloud, melalui serangkaian proses tata kelola dan manajemen pusat yang berbagi proses operasi umum, terlepas dari di mana solusi disebarkan dan dioperasikan.
  • Tumpukan alat dan teknologi: Pilih alat yang sesuai yang mendukung lingkungan multi-cloud untuk membantu membangun platform manajemen terpadu dan terpusat yang mungkin mencakup semua domain keamanan yang dibahas dalam tolok ukur keamanan ini.

Implementasi dan konteks tambahan: