Kontrol Keamanan: Manajemen identitas
Manajemen Identitas mencakup kontrol untuk menetapkan identitas yang aman dan kontrol akses menggunakan sistem manajemen identitas dan akses, termasuk penggunaan akses menyeluruh, autentikasi yang kuat, identitas terkelola (dan perwakilan layanan) untuk aplikasi, akses bersyarat, dan pemantauan anomali akun.
IM-1: Menggunakan identitas dan sistem autentikasi terpusat
| CIS Mengontrol ID v8 | NIST SP 800-53 r4 ID(s) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 6.7, 12.5 | AC-2, AC-3, IA-2, IA-8 | 7.2, 8.3 |
Prinsip keamanan: Gunakan sistem identitas dan autentikasi terpusat untuk mengatur identitas dan autentikasi organisasi Anda untuk sumber daya cloud dan non-cloud.
Panduan Azure: Azure Active Directory (Azure AD) adalah layanan manajemen identitas dan autentikasi Azure. Anda harus membuat standar di Azure AD untuk mengatur identitas dan autentikasi organisasi Anda di:
- Sumber daya cloud Microsoft, seperti Azure Storage, Azure Virtual Machines (Linux dan Windows), azure Key Vault, PaaS, dan aplikasi SaaS.
- Sumber daya organisasi Anda, seperti aplikasi di Azure, aplikasi pihak ketiga yang berjalan pada sumber daya jaringan perusahaan Anda, dan aplikasi SaaS pihak ketiga.
- Identitas perusahaan Anda di AD DS dengan sinkronisasi ke Azure AD untuk memastikan strategi identitas yang konsisten dan dikelola secara terpusat.
Untuk layanan Azure yang berlaku, hindari penggunaan metode autentikasi lokal dan sebagai gantinya gunakan Azure Active Directory untuk mempusatkan autentikasi layanan Anda.
Catatan: Sesegera mungkin ketika bisa dilakukan secara teknis, Anda harus memigrasikan aplikasi berbasis Active Directory lokal ke Azure AD. Bisa jadi konfigurasi Direktori Enterprise Azure AD, Bisnis ke Bisnis, atau Bisnis ke pelanggan.
Implementasi Azure dan konteks tambahan:
- Penyewaan di Microsoft Azure AD
- Cara membuat dan mengonfigurasi instans Microsoft Azure AD
- Menetapkan penyewa Microsoft Azure AD
- Menggunakan penyedia identitas eksternal untuk aplikasi
Panduan AWS: AWS IAM (Manajemen Identitas dan Akses) adalah layanan manajemen identitas dan autentikasi default AWS. Gunakan AWS IAM untuk mengatur identitas AWS dan manajemen akses Anda. Atau, melalui AWS dan Azure Single Sign-On (SSO), Anda juga dapat menggunakan Azure AD untuk mengelola identitas dan kontrol akses AWS untuk menghindari pengelolaan akun duplikat secara terpisah di dua platform cloud.
AWS mendukung Sign-On Tunggal yang memungkinkan Anda menjembatani identitas pihak ketiga perusahaan Anda (seperti Windows Active Directory, atau penyimpanan identitas lainnya) dengan identitas AWS untuk menghindari pembuatan akun duplikat untuk mengakses sumber daya AWS.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Sistem Manajemen Identitas dan Akses (IAM) Google Cloud adalah layanan manajemen identitas dan autentikasi default Google Cloud yang digunakan untuk akun Google Cloud Identity. Gunakan Google Cloud IAM untuk mengatur identitas GCP dan manajemen akses Anda. Atau, melalui Google Cloud Identity dan Azure Sigle Sign-On (SSO), Anda juga dapat menggunakan Azure AD untuk mengelola identitas dan kontrol akses GCP untuk menghindari pengelolaan akun duplikat secara terpisah di lingkungan mutli-cloud.
Google Cloud Identity adalah penyedia identitas untuk semua layanan Google. Ini mendukung Single Sign-On yang memungkinkan Anda menjembatani identitas pihak ketiga perusahaan Anda (seperti Windows Active Directory, atau penyimpanan identitas lainnya) dengan identitas Google Cloud untuk menghindari pembuatan akun duplikat untuk mengakses sumber daya GCP.
Catatan: Menggunakan Google Cloud Directory Sync. Google menyediakan alat konektor yang terintegrasi dengan sebagian besar sistem manajemen LDAP perusahaan dan menyinkronkan identitas sesuai jadwal. Dengan mengonfigurasi akun Cloud Identity dan menyanyikan Google Cloud Directory Sync, Anda dapat mengonfigurasi akun pengguna mana yang – termasuk pengguna, grup, dan profil pengguna, alias, dan lainnya - akan disinkronkan sesuai jadwal antara sistem manajemen identitas lokal dan sistem GCP Anda.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
IM-2: Melindungi sistem identitas dan autentikasi
| CIS Mengontrol ID v8 | NIST SP 800-53 r4 ID(s) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 5.4, 6.5 | AC-2, AC-3, IA-2, IA-8, SI-4 | 8.2, 8.3 |
Prinsip keamanan: Amankan identitas dan sistem autentikasi Anda sebagai prioritas tinggi dalam praktik keamanan cloud organisasi Anda. Kontrol keamanan umum meliputi:
- Membatasi peran dan akun istimewa
- Memerlukan autentikasi yang kuat untuk semua akses istimewa
- Memantau dan mengaudit aktivitas berisiko tinggi
Panduan Azure: Gunakan garis besar keamanan Azure AD dan Skor Aman Identitas Azure AD untuk mengevaluasi postur keamanan identitas Azure AD Anda, dan memulihkan celah keamanan dan konfigurasi. Skor Aman Identitas Azure AD mengevaluasi Azure AD untuk konfigurasi berikut:
- Menggunakan peran administratif terbatas
- Mengaktifkan kebijakan risiko pengguna
- Menetapkan lebih dari satu admin global
- Mengaktifkan kebijakan untuk memblokir autentikasi warisan
- Memastikan semua pengguna dapat menyelesaikan autentikasi multifaktor untuk akses aman
- Mewajibkan MFA untuk peran administratif
- Mengaktifkan reset kata sandi mandiri
- Jangan mebuat kata sandi kedaluwarsa
- Mengaktifkan kebijakan risiko proses masuk
- Jangan izinkan pengguna memberikan persetujuan untuk aplikasi yang tidak dikelola
Gunakan Azure AD Identity Protection untuk mendeteksi, menyelidiki, dan memulihkan risiko berbasis identitas. Untuk melindungi domain Active Directory lokal Anda secara serupa, gunakan Defender for Identity.
Catatan: Ikuti praktik terbaik yang diterbitkan untuk semua komponen identitas lainnya, termasuk Active Directory lokal Anda dan kemampuan pihak ketiga mana pun, dan infrastruktur (seperti sistem operasi, jaringan, database) yang menghostingnya.
Implementasi Azure dan konteks tambahan:
- Apa skor aman identitas di Microsoft Azure Active Directory
- Praktik Terbaik untuk Mengamankan AD DS
- Apa itu Perlindungan Identitas?
- Apa itu Pertahanan Microsoft untuk Identitas?
Panduan AWS: Gunakan praktik terbaik keamanan berikut untuk mengamankan AWS IAM Anda:
- Menyiapkan kunci akses pengguna root akun AWS untuk akses darurat seperti yang dijelaskan dalam PA-5 (Menyiapkan akses darurat)
- Ikuti prinsip hak istimewa terkecil untuk penetapan akses
- Manfaatkan grup IAM untuk menerapkan kebijakan alih-alih pengguna individual.
- Ikuti panduan autentikasi yang kuat di IM-6 (Gunakan kontrol autentikasi yang kuat) untuk semua pengguna
- Menggunakan AWS Organizations SCP (Kebijakan Kontrol Layanan) dan batas izin
- Menggunakan IAM Access Advisor untuk mengaudit akses layanan
- Menggunakan laporan kredensial IAM untuk melacak akun pengguna dan status kredensial
Catatan: Ikuti praktik terbaik yang diterbitkan jika Anda memiliki identitas dan sistem autentikasi lain, misalnya, ikuti garis besar keamanan Azure AD jika Anda menggunakan Azure AD untuk mengelola identitas dan akses AWS.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Gunakan praktik terbaik keamanan berikut untuk mengamankan layanan Google Cloud IAM dan Cloud Identity untuk organisasi Anda:
- Siapkan akun admin super untuk akses darurat dengan mengikuti rekomendasi di PA-5 ("Siapkan akses darurat").
- Buat alamat email admin super (sebagai akun admin super Google Workspace atau Cloud Identity) dan akun ini tidak boleh spesifik untuk pengguna tertentu jika pemulihan darurat diperlukan.
- Ikuti hak istimewa paling sedikit dan pemisahan prinsip tugas
- Hindari menggunakan akun admin super untuk aktivitas harian
- Manfaatkan grup Identitas Google Cloud untuk menerapkan kebijakan alih-alih menerapkan kebijakan ke pengguna individual.
- Ikuti panduan autentikasi yang kuat seperti yang dijelaskan dalam IM-6 ("Gunakan kontrol autentikasi yang kuat") untuk semua pengguna yang memiliki hak istimewa yang ditingkatkan.
- Menggunakan kebijakan IAM untuk membatasi akses ke sumber daya
- Menggunakan Layanan Kebijakan Organisasi untuk mengontrol dan mengonfigurasi batasan pada sumber daya
- Menggunakan pengelogan audit IAM dalam log Audit Cloud untuk meninjau aktivitas istimewa
Catatan: Ikuti praktik terbaik yang diterbitkan jika Anda memiliki identitas dan sistem autentikasi lain, misalnya, ikuti garis besar keamanan Azure AD jika Anda menggunakan Azure AD untuk mengelola identitas dan akses GCP.
Implementasi GCP dan konteks tambahan:
- Praktik terbaik akun administrator super
- Praktik terbaik keamanan untuk akun administrator
- Gunakan IAM dengan aman
- Mengelola akses ke sumber daya lain
- Pengantar Layanan Kebijakan Organisasi
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
IM-3: Mengelola identitas aplikasi dengan aman dan otomatis
| CIS Mengontrol ID v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| T/A | AC-2, AC-3, IA-4, IA-5, IA-9 | T/A |
Prinsip keamanan: Gunakan identitas aplikasi terkelola alih-alih membuat akun manusia untuk aplikasi guna mengakses sumber daya dan menjalankan kode. Identitas aplikasi terkelola memberikan manfaat seperti mengurangi pemaparan info masuk. Otomatiskan rotasi kredensial untuk memastikan keamanan identitas.
Panduan Azure: Gunakan identitas terkelola Azure, yang dapat mengautentikasi ke layanan dan sumber daya Azure yang mendukung autentikasi Azure AD. Info masuk identitas terkelola sepenuhnya dikelola, diputar, dan dilindungi oleh platform, menghindari info masuk yang dikodekan secara permanen dalam kode sumber atau file konfigurasi.
Untuk layanan yang tidak mendukung identitas terkelola, gunakan Microsoft Azure Active Directory untuk membuat perwakilan layanan dengan izin terbatas di tingkat sumber daya. Disarankan untuk mengonfigurasi perwakilan layanan dengan info masuk sertifikat dan kembali ke rahasia klien untuk autentikasi.
Implementasi Azure dan konteks tambahan:
- Identitas terkelola Azure
- Layanan yang mendukung identitas terkelola untuk sumber daya Azure
- Perwakilan layanan Azure
- Membuat perwakilan layanan dengan sertifikat
Panduan AWS: Gunakan peran AWS IAM alih-alih membuat akun pengguna untuk sumber daya yang mendukung fitur ini. Peran IAM dikelola oleh platform di backend dan kredensial bersifat sementara dan diputar secara otomatis. Ini menghindari pembuatan kunci akses jangka panjang atau nama pengguna/kata sandi untuk aplikasi dan kredensial yang dikodekan secara permanen dalam kode sumber atau file konfigurasi.
Anda dapat menggunakan peran tertaut layanan yang dilampirkan dengan kebijakan izin yang telah ditentukan sebelumnya untuk akses antara layanan AWS alih-alih menyesuaikan izin peran Anda sendiri untuk peran IAM.
Catatan: Untuk layanan yang tidak mendukung peran IAM, gunakan kunci akses tetapi ikuti praktik terbaik keamanan seperti IM-8 Batasi paparan kredensial dan rahasia untuk mengamankan kunci Anda.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Gunakan akun layanan yang dikelola Google alih-alih membuat akun yang dikelola pengguna untuk sumber daya yang mendukung fitur ini. Akun layanan yang dikelola Google dikelola oleh platform di backend dan kunci akun layanan bersifat sementara dan diputar secara otomatis. Ini menghindari pembuatan kunci akses jangka panjang atau nama pengguna/kata sandi untuk aplikasi dan kredensial hard-coding yang dikodekan secara permanen dalam kode sumber atau file konfigurasi.
Gunakan Kecerdasan Kebijakan untuk memahami dan mengenali aktivitas mencurigakan untuk akun layanan.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
IM-4: Mengautentikasi server dan layanan
| CIS Mengontrol ID v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| T/A | IA-9 | T/A |
Prinsip keamanan: Autentikasi server dan layanan jarak jauh dari sisi klien Anda untuk memastikan Anda terhubung ke server dan layanan tepercaya. Protokol autentikasi server yang paling umum adalah Keamanan Lapisan Transportasi (TLS), di mana sisi klien (sering kali browser atau perangkat klien) memverifikasi server dengan memverifikasi sertifikat server yang dikeluarkan oleh otoritas sertifikat tepercaya.
Catatan: Autentikasi timah dapat digunakan ketika server dan klien saling mengautentikasi.
Panduan Azure: Banyak layanan Azure mendukung autentikasi TLS secara default. Untuk layanan yang tidak mendukung autentikasi TLS secara default, atau mendukung penonaktifan TLS, pastikan selalu diaktifkan untuk mendukung autentikasi server/klien. Aplikasi klien Anda juga harus dirancang untuk memverifikasi identitas server/klien (dengan memverifikasi sertifikat server yang dikeluarkan oleh otoritas sertifikat tepercaya) dalam tahap jabat tangan.
Catatan: Layanan seperti API Management dan API Gateway mendukung autentikasi bersama TLS.
Implementasi Azure dan konteks tambahan:
Panduan AWS: Banyak layanan AWS mendukung autentikasi TLS secara default. Untuk layanan yang tidak mendukung autentikasi TLS secara default, atau mendukung penonaktifan TLS, pastikan selalu diaktifkan untuk mendukung autentikasi server/klien. Aplikasi klien Anda juga harus dirancang untuk memverifikasi identitas server/klien (dengan memverifikasi sertifikat server yang dikeluarkan oleh otoritas sertifikat tepercaya) dalam tahap jabat tangan.
Catatan: Layanan seperti API Gateway mendukung autentikasi bersama TLS.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Banyak layanan GCP mendukung autentikasi TLS secara default. Untuk layanan yang tidak mendukung ini secara default atau mendukung penonaktifan TLS, pastikan selalu diaktifkan untuk mendukung autentikasi server/klien. Aplikasi klien Anda juga harus dirancang untuk memverifikasi identitas server/klien (dengan memverifikasi sertifikat server yang dikeluarkan oleh otoritas sertifikat tepercaya) dalam tahap jabat tangan.
Catatan: Layanan seperti Cloud Load Balancing mendukung autentikasi bersama TLS.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
IM-5: Gunakan akses menyeluruh (SSO) untuk akses aplikasi
| CIS Mengontrol ID v8 | NIST SP 800-53 r4 ID(s) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 12,5 | IA-4, IA-2, IA-8 | T/A |
Prinsip keamanan: Gunakan akses menyeluruh (SSO) untuk menyederhanakan pengalaman pengguna untuk mengautentikasi ke sumber daya termasuk aplikasi dan data di seluruh layanan cloud dan lingkungan lokal.
Panduan Azure: Gunakan Azure AD untuk akses aplikasi beban kerja (yang menghadap pelanggan) melalui akses menyeluruh (SSO) Azure AD, mengurangi kebutuhan akan akun duplikat. Azure AD menyediakan manajemen identitas dan akses ke sumber daya Azure (di bidang manajemen, termasuk CLI, PowerShell, portal), aplikasi cloud, dan aplikasi lokal.
Azure AD juga mendukung SSO untuk identitas perusahaan seperti identitas pengguna perusahaan, serta identitas pengguna eksternal dari pengguna pihak ketiga dan publik tepercaya.
Implementasi Azure dan konteks tambahan:
Panduan AWS: Gunakan AWS Cognito untuk mengelola akses ke beban kerja aplikasi yang berhadapan dengan pelanggan Anda melalui akses menyeluruh (SSO) untuk memungkinkan pelanggan menjembatani identitas pihak ketiga mereka dari penyedia identitas yang berbeda.
Untuk akses SSO ke sumber daya asli AWS (termasuk akses konsol AWS atau manajemen layanan dan akses tingkat bidang data), gunakan AWS Sigle Sign-On untuk mengurangi kebutuhan akun duplikat.
AWS SSO juga memungkinkan Anda menjenjang identitas perusahaan (seperti identitas dari Azure Active Directory) dengan identitas AWS, serta identitas pengguna eksternal dari pengguna pihak ketiga dan publik tepercaya.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Gunakan Google Cloud Identity untuk mengelola akses ke aplikasi beban kerja yang dihadapi pelanggan Anda melalui Akses Menyeluruh Google Cloud Identity, mengurangi kebutuhan akan akun duplikat. Google Cloud Identity menyediakan manajemen identitas dan akses ke GCP (di bidang manajemen termasuk Google Cloud CLI, akses Konsol), aplikasi cloud, dan aplikasi lokal.
Google Cloud Identity juga mendukung SSO untuk identitas perusahaan seperti identitas pengguna perusahaan dari Azure AD atau Direktori Aktif, serta identitas pengguna eksternal dari pengguna pihak ketiga dan publik tepercaya. Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
IM-6: Menggunakan kontrol autentikasi kuat
| CIS Mengontrol ID v8 | NIST SP 800-53 r4 ID(s) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 6.3, 6.4 | AC-2, AC-3, IA-2, IA-5, IA-8 | 7.2, 8.2, 8.3, 8.4 |
Prinsip keamanan: Terapkan kontrol autentikasi yang kuat (autentikasi tanpa kata sandi yang kuat atau autentikasi multifaktor) dengan identitas terpusat dan sistem manajemen autentikasi Anda untuk semua akses ke sumber daya. Autentikasi berdasarkan info masuk kata sandi saja dianggap sebagai warisan, karena tidak aman dan tidak tahan terhadap metode serangan populer.
Saat menyebarkan autentikasi yang kuat, konfigurasikan administrator dan pengguna istimewa terlebih dahulu, untuk memastikan tingkat tertinggi dari metode autentikasi yang kuat, dengan cepat diikuti dengan meluncurkan kebijakan autentikasi kuat yang sesuai untuk semua pengguna.
Catatan: Jika autentikasi berbasis kata sandi warisan diperlukan untuk aplikasi dan skenario warisan, pastikan untuk mengikuti praktik terbaik keamanan kata sandi seperti persyaratan kompleksitas.
Panduan Azure: Azure AD mendukung kontrol autentikasi yang kuat melalui metode tanpa kata sandi dan autentikasi multifaktor (MFA).
- Autentikasi tanpa kata sandi: Gunakan autentikasi tanpa kata sandi sebagai metode autentikasi default Anda. Ada tiga opsi yang tersedia dalam autentikasi tanpa kata sandi: Windows Hello untuk Bisnis, rincian masuk ponsel aplikasi Microsoft Authenticator, dan kunci keamanan FIDO2. Selain itu, pelanggan dapat menggunakan metode autentikasi lokal seperti kartu pintar.
- Autentikasi multifaktor: Azure MFA dapat diterapkan pada semua pengguna, pengguna tertentu, atau pada tingkat per pengguna berdasarkan kondisi masuk dan faktor risiko. Aktifkan Azure MFA dan ikuti Microsoft Defender untuk rekomendasi manajemen identitas dan akses Cloud untuk penyiapan MFA Anda.
Jika autentikasi berbasis kata sandi warisan masih digunakan untuk autentikasi Microsoft Azure AD, perhatikan bahwa akun khusus cloud (akun pengguna yang dibuat langsung di Azure) memiliki kebijakan kata sandi garis besar default. Dan akun hibrid (akun pengguna yang berasal dari Active Directory lokal) mengikuti kebijakan kata sandi lokal.
Untuk aplikasi dan layanan pihak ketiga yang mungkin memiliki ID dan kata sandi default, Anda harus menonaktifkan atau mengubahnya selama penyiapan layanan awal.
Implementasi Azure dan konteks tambahan:
- Cara mengaktifkan MFA di Azure
- Pengantar opsi autentikasi tanpa kata sandi untuk Microsoft Azure Active Directory
- Kebijakan kata sandi default Microsoft Azure AD
- Menghilangkan kata sandi yang buruk menggunakan Perlindungan Kata Sandi Azure AD
- Memblokir autentikasi warisan
Panduan AWS: AWS IAM mendukung kontrol autentikasi yang kuat melalui autentikasi multifaktor (MFA). MFA dapat diberlakukan pada semua pengguna, pengguna tertentu, atau di tingkat per pengguna berdasarkan kondisi yang ditentukan.
Jika Anda menggunakan akun perusahaan dari direktori pihak ketiga (seperti Windows Active Directory) dengan identitas AWS, ikuti panduan keamanan masing-masing untuk menerapkan autentikasi yang kuat. Lihat Panduan Azure untuk kontrol ini jika Anda menggunakan Azure AD untuk mengelola akses AWS.
Catatan: Untuk aplikasi pihak ketiga dan layanan AWS yang mungkin memiliki ID dan kata sandi default, Anda harus menonaktifkan atau mengubahnya selama penyiapan layanan awal.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Google Cloud Identity mendukung kontrol autentikasi yang kuat melalui autentikasi multifaktor (MFA). MFA dapat diberlakukan pada semua pengguna, pengguna tertentu, atau di tingkat per pengguna berdasarkan kondisi yang ditentukan. Untuk melindungi akun admin super Cloud Identity (dan Workspace), pertimbangkan untuk menggunakan kunci keamanan dan Program Perlindungan Lanjutan Google untuk keamanan maksimum.
Jika Anda menggunakan akun perusahaan dari direktori pihak ketiga (seperti Windows Active Directory) dengan identitas Google Cloud, ikuti panduan keamanan masing-masing untuk menerapkan autentikasi yang kuat. Lihat Panduan Azure untuk kontrol ini jika Anda menggunakan Azure AD untuk mengelola akses Google Cloud.
Gunakan Identity-Aware Proxy untuk membuat lapisan otorisasi pusat untuk aplikasi yang diakses oleh HTTPS, sehingga Anda dapat menggunakan model kontrol akses tingkat aplikasi alih-alih mengandalkan firewall tingkat jaringan.
Catatan: Untuk aplikasi pihak ketiga dan layanan GCP yang mungkin memiliki ID dan kata sandi default, Anda harus menonaktifkan atau mengubahnya selama pengaturan layanan awal.
Implementasi GCP dan konteks tambahan:
- Menerapkan MFA seragam ke sumber daya milik perusahaan
- Program Perlindungan Lanjutan Google
- Gambaran umum Proksi Sadar Identitas
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
IM-7: Membatasi akses sumber daya berdasarkan kondisi
| CIS Mengontrol ID v8 | NIST SP 800-53 r4 ID(s) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.3, 6.4, 13.5 | AC-2, AC-3, AC-6 | 7.2 |
Prinsip keamanan: Memvalidasi sinyal tepercaya secara eksplisit untuk mengizinkan atau menolak akses pengguna ke sumber daya, sebagai bagian dari model akses zero-trust. Sinyal untuk memvalidasi harus mencakup autentikasi yang kuat dari akun pengguna, analisis perilaku akun pengguna, kepercayaan perangkat, keanggotaan pengguna atau kelompok, lokasi dan sebagainya.
Panduan Azure: Gunakan akses bersyarat Azure AD untuk kontrol akses yang lebih terperinci berdasarkan kondisi yang ditentukan pengguna, seperti mengharuskan login pengguna dari rentang IP (atau perangkat) tertentu untuk menggunakan MFA. Akses Bersyarat Azure AD memungkinkan Anda memberlakukan kontrol akses pada aplikasi organisasi Anda berdasarkan kondisi tertentu.
Tentukan kondisi dan kriteria yang berlaku untuk akses bersyarat Azure AD di beban kerja. Pertimbangkan kasus penggunaan umum berikut:
- Memerlukan autentikasi multifaktor untuk pengguna dengan peran administratif
- Memerlukan autentikasi multifaktor untuk tugas manajemen Azure
- Memblokir proses masuk untuk pengguna yang mencoba menggunakan protokol autentikasi yang lama
- Memerlukan lokasi tepercaya untuk pendaftaran Autentikasi MultiFaktor Azure AD
- Memblokir atau memberikan akses dari lokasi tertentu
- Memblokir perilaku proses masuk riskan
- Memerlukan perangkat yang dikelola organisasi untuk aplikasi tertentu
Catatan: Kontrol manajemen sesi autentikasi terperinci juga dapat diterapkan melalui kebijakan akses bersyarat Azure AD, seperti frekuensi masuk dan sesi browser persisten.
Implementasi Azure dan konteks tambahan:
- Ringkasan Akses Bersyarat Azure
- Kebijakan Akses Bersyarat Umum
- Wawasan dan pelaporan Akses Bersyarat
- Mengonfigurasikan pengelolaan sesi autentikasi dengan Akses Bersyarat
Panduan AWS: Buat kebijakan IAM dan tentukan kondisi untuk kontrol akses yang lebih terperinci berdasarkan kondisi yang ditentukan pengguna, seperti mengharuskan login pengguna dari rentang IP tertentu (atau perangkat) untuk menggunakan autentikasi multifaktor. Pengaturan kondisi dapat mencakup satu atau beberapa kondisi serta logika.
Kebijakan dapat ditentukan dari enam dimensi berbeda: kebijakan berbasis identitas, kebijakan berbasis sumber daya, batas izin, kebijakan kontrol layanan (SCP) ORGANISASI AWS, Daftar Access Control (ACL), dan kebijakan sesi.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Membuat dan menentukan Kondisi IAM untuk kontrol akses berbasis atribut yang lebih terperinci berdasarkan kondisi yang ditentukan pengguna, seperti mengharuskan login pengguna dari rentang IP (atau perangkat) tertentu untuk menggunakan autentikasi multifaktor. Pengaturan kondisi dapat mencakup satu atau beberapa kondisi serta logika.
Kondisi ditentukan dalam pengikatan peran kebijakan izinkan sumber daya. Atribut kondisi didasarkan pada sumber daya yang diminta—misalnya, jenis atau namanya—atau pada detail tentang permintaan—misalnya, tanda waktu atau alamat IP tujuannya.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
IM-8: Membatasi paparan kredensial dan rahasia
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 16.9, 16.12 | IA-5 | 3.5, 6.3, 8.2 |
Prinsip keamanan: Pastikan pengembang aplikasi menangani kredensial dan rahasia dengan aman:
- Hindari menyematkan info masuk dan rahasia ke dalam kode dan file konfigurasi
- Gunakan brankas kunci atau layanan penyimpanan kunci yang aman untuk menyimpan info masuk dan rahasia
- Pindai info masuk dalam kode sumber.
Catatan: Manajemen ini sering diatur dan ditegakkan melalui siklus hidup pengembangan perangkat lunak yang aman (SDLC) dan proses keamanan Azure DevOps.
Panduan Azure: Saat menggunakan identitas terkelola bukanlah opsi, pastikan bahwa rahasia dan kredensial disimpan di lokasi yang aman seperti Azure Key Vault, alih-alih menyematkannya ke dalam kode dan file konfigurasi.
Jika Anda menggunakan Azure DevOps dan GitHub untuk platform manajemen kode Anda:
- Terapkan Pemindai Info Masuk Azure DevOps untuk mengidentifikasi info masuk dalam kode.
- Untuk GitHub, gunakan fitur pemindaian rahasia asli untuk mengidentifikasi info masuk atau bentuk rahasia lain dalam kode.
Klien seperti Azure Functions, layanan Azure Apps, dan mesin virtual dapat menggunakan identitas terkelola untuk mengakses Azure Key Vault dengan aman. Lihat kontrol Perlindungan Data yang terkait dengan penggunaan Azure Key Vault untuk manajemen rahasia.
Catatan: Azure Key Vault menyediakan rotasi otomatis untuk layanan yang didukung. Untuk rahasia yang tidak dapat diputar secara otomatis, pastikan rahasia diputar secara manual secara berkala dan dihapus menyeluruh saat tidak lagi digunakan.
Implementasi Azure dan konteks tambahan:
Panduan AWS: Saat menggunakan peran IAM untuk akses aplikasi bukanlah pilihan, pastikan bahwa rahasia dan kredensial disimpan di lokasi yang aman seperti AWS Secret Manager atau Systems Manager Parameter Store, alih-alih menyematkannya ke dalam kode dan file konfigurasi.
Gunakan Peninjau CodeGuru untuk analisis kode statis yang dapat mendeteksi rahasia yang dikodekan secara permanen dalam kode sumber Anda.
Jika Anda menggunakan Azure DevOps dan GitHub untuk platform manajemen kode Anda:
- Terapkan Pemindai Info Masuk Azure DevOps untuk mengidentifikasi info masuk dalam kode.
- Untuk GitHub, gunakan fitur pemindaian rahasia asli untuk mengidentifikasi info masuk atau bentuk rahasia lain dalam kode.
Catatan: Secrets Manager menyediakan rotasi rahasia otomatis untuk layanan yang didukung. Untuk rahasia yang tidak dapat diputar secara otomatis, pastikan rahasia diputar secara manual secara berkala dan dihapus menyeluruh saat tidak lagi digunakan.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Saat menggunakan akun layanan yang dikelola Google untuk akses aplikasi bukanlah pilihan, pastikan bahwa rahasia dan kredensial disimpan di lokasi yang aman seperti Secret Manager Google Cloud alih-alih menyematkannya ke dalam kode dan file konfigurasi.
Gunakan ekstensi Google Cloud Code di IDE (Lingkungan pengembangan terintegrasi) seperti Visual Studio Code untuk mengintegrasikan rahasia yang dikelola oleh Secret Manager ke dalam kode Anda.
Jika Anda menggunakan Azure DevOps atau GitHub untuk platform manajemen kode Anda:
- Terapkan Pemindai Info Masuk Azure DevOps untuk mengidentifikasi info masuk dalam kode.
- Untuk GitHub, gunakan fitur pemindaian rahasia asli untuk mengidentifikasi info masuk atau bentuk rahasia lain dalam kode.
Catatan: Siapkan jadwal rotasi untuk rahasia yang disimpan di Secret Manager sebagai praktik terbaik.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
IM-9: Mengamankan akses pengguna ke aplikasi yang ada
| CIS Mengontrol ID v8 | NIST SP 800-53 r4 ID(s) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 6.7, 12.5 | AC-2, AC-3, SC-11 | T/A |
Prinsip keamanan: Dalam lingkungan hibrid, di mana Anda memiliki aplikasi lokal atau aplikasi cloud non-asli menggunakan autentikasi lama, pertimbangkan solusi seperti broker keamanan akses cloud (CASB), proksi aplikasi, akses menyeluruh (SSO) untuk mengatur akses ke aplikasi ini untuk manfaat berikut:
- Menerapkan autentikasi kuat terpusat
- Memantau dan mengontrol aktivitas pengguna akhir yang berisiko
- Memantau dan memulihkan aktivitas aplikasi warisan berisiko
- Mendeteksi dan mencegah transmisi data sensitif
Panduan Azure: Lindungi aplikasi cloud lokal dan non-asli Anda menggunakan autentikasi lama dengan menghubungkannya ke:
- Azure AD Proksi Aplikasi dan mengonfigurasi autentikasi berbasis header untuk memungkinkan akses menyeluruh (SSO) ke aplikasi untuk pengguna jarak jauh, sambil secara eksplisit memvalidasi kepercayaan pengguna jarak jauh dan perangkat dengan Akses Bersyarat Azure AD. Jika diperlukan, gunakan solusi Software-Defined Perimeter (SDP) pihak ketiga yang dapat menawarkan fungsionalitas serupa.
- Microsoft Defender for Cloud Apps, yang melayani layanan broker keamanan akses cloud (CASB) untuk memantau dan memblokir akses pengguna ke aplikasi SaaS pihak ketiga yang tidak disetujui.
- Pengontrol dan jaringan pengiriman aplikasi pihak ketiga Anda yang ada.
Catatan: VPN umumnya digunakan untuk mengakses aplikasi warisan, dan sering kali hanya memiliki kontrol akses dasar dan pemantauan sesi terbatas.
Implementasi Azure dan konteks tambahan:
- Proksi Aplikasi Microsoft Azure AD
- Praktik terbaik Microsoft Cloud App Security
- Azure AD mengamankan akses hibrid
Panduan AWS: Ikuti panduan Azure untuk melindungi aplikasi cloud lokal dan non-asli Anda menggunakan autentikasi lama dengan menghubungkannya ke:
- Azure AD Proksi Aplikasi, dan konfigurasikan berbasis header untuk memungkinkan akses menyeluruh (SSO) ke aplikasi untuk pengguna jarak jauh, sambil secara eksplisit memvalidasi kepercayaan pengguna jarak jauh dan perangkat dengan Akses Bersyarat Azure AD. Jika diperlukan, gunakan solusi Software-Defined Perimeter (SDP) pihak ketiga yang dapat menawarkan fungsionalitas serupa.
- Microsoft Defender for Cloud Apps, yang berfungsi sebagai layanan broker keamanan akses cloud (CASB) untuk memantau dan memblokir akses pengguna ke aplikasi SaaS pihak ketiga yang tidak disetujui.
- Pengontrol dan jaringan pengiriman aplikasi pihak ketiga yang ada
Catatan: VPN umumnya digunakan untuk mengakses aplikasi warisan, dan sering kali hanya memiliki kontrol akses dasar dan pemantauan sesi terbatas.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Gunakan Google Cloud Identity-Aware Proxy (IAP) untuk mengelola akses ke aplikasi berbasis HTTP di luar Google Cloud, termasuk aplikasi lokal. IAP berfungsi menggunakan header yang ditandatangani atau API Pengguna dalam lingkungan standar App Engine. Jika diperlukan, gunakan solusi Software-Defined Perimeter (SDP) pihak ketiga yang dapat menawarkan fungsionalitas serupa.
Anda juga memiliki opsi untuk menggunakan Microsoft Defender for Cloud Apps yang berfungsi sebagai layanan broker keamanan akses cloud (CASB) untuk memantau dan memblokir akses pengguna ke aplikasi SaaS pihak ketiga yang tidak disetujui.
Catatan: VPN umumnya digunakan untuk mengakses aplikasi warisan dan sering kali hanya memiliki kontrol akses dasar dan pemantauan sesi terbatas.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):