Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Manajemen Identitas mencakup kontrol untuk membangun identitas yang aman dan kontrol akses menggunakan sistem manajemen identitas dan akses, termasuk penggunaan akses menyeluruh, autentikasi yang kuat, identitas terkelola (dan perwakilan layanan) untuk aplikasi, akses bersyarat, dan pemantauan anomali akun.
IM-1: Gunakan sistem identitas dan autentikasi terpusat
| CIS Controls v8 ID dan ID-ID | NIST SP 800-53 r4 ID (identifikasi) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 6.7, 12.5 | AC-2, AC-3, IA-2, IA-8 | 7.2, 8.3 |
Prinsip keamanan: Gunakan sistem identitas dan autentikasi terpusat untuk mengatur identitas dan autentikasi organisasi Anda untuk sumber daya cloud dan non-cloud.
Panduan Azure: Azure Active Directory (Azure AD) adalah layanan manajemen identitas dan autentikasi Azure. Anda harus menstandarkan di Azure AD untuk mengatur identitas dan autentikasi organisasi Anda di:
- Sumber daya cloud Microsoft, seperti Azure Storage, Azure Virtual Machines (Linux dan Windows), Azure Key Vault, PaaS, dan aplikasi SaaS.
- Sumber daya organisasi Anda, seperti aplikasi di Azure, aplikasi pihak ketiga yang berjalan di sumber daya jaringan perusahaan Anda, dan aplikasi SaaS pihak ketiga.
- Identitas perusahaan Anda di Direktori Aktif dengan sinkronisasi ke Microsoft Azure AD untuk memastikan strategi identitas yang konsisten dan dikelola secara terpusat.
Untuk layanan Azure yang berlaku, hindari penggunaan metode autentikasi lokal dan sebagai gantinya gunakan Azure Active Directory untuk mempusatkan autentikasi layanan Anda.
Catatan: Segera setelah secara teknis layak, Anda harus memigrasikan aplikasi berbasis Active Directory lokal ke Azure AD. Ini bisa berupa Azure AD Enterprise Directory, konfigurasi Bisnis ke Bisnis, atau Konfigurasi bisnis ke konsumen.
Implementasi Azure dan konteks tambahan:
- Penyewa di Azure AD
- Cara membuat dan mengonfigurasi instans Azure AD
- Mengatur penyewa Azure AD
- Menggunakan penyedia identitas eksternal untuk aplikasi
Panduan AWS: AWS IAM (Manajemen Identitas dan Akses) adalah layanan manajemen identitas dan autentikasi default AWS. Gunakan AWS IAM untuk mengatur identitas AWS dan manajemen akses Anda. Atau, melalui AWS dan Azure Single Sign-On (SSO), Anda juga dapat menggunakan Azure AD untuk mengelola identitas dan kontrol akses AWS untuk menghindari pengelolaan akun duplikat secara terpisah di dua platform cloud.
AWS mendukung Single Sign-On yang memungkinkan Anda menjenguk identitas pihak ketiga perusahaan Anda (seperti Windows Active Directory, atau penyimpanan identitas lainnya) dengan identitas AWS untuk menghindari pembuatan akun duplikat untuk mengakses sumber daya AWS.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Sistem Manajemen Identitas dan Akses (IAM) Google Cloud adalah layanan manajemen identitas dan autentikasi default Google Cloud yang digunakan untuk akun Google Cloud Identity. Gunakan Google Cloud IAM untuk mengatur identitas GCP dan manajemen akses Anda. Atau, melalui Google Cloud Identity dan Azure Sigle Sign-On (SSO), Anda juga dapat menggunakan Azure AD untuk mengelola identitas dan kontrol akses GCP untuk menghindari pengelolaan akun duplikat secara terpisah di lingkungan mutli-cloud.
Google Cloud Identity adalah penyedia identitas untuk semua layanan Google. Ini mendukung single Sign-On yang memungkinkan Anda untuk menjenguk identitas pihak ketiga perusahaan Anda (seperti Windows Active Directory, atau penyimpanan identitas lainnya) dengan identitas Google Cloud untuk menghindari pembuatan akun duplikat untuk mengakses sumber daya GCP.
Catatan: Menggunakan Google Cloud Directory Sync. Google menyediakan alat konektor yang terintegrasi dengan sebagian besar sistem manajemen LDAP perusahaan dan menyinkronkan identitas sesuai jadwal. Dengan mengonfigurasi akun Identitas Cloud dan menggunakan Google Cloud Directory Sync, Anda dapat menentukan akun pengguna mana, termasuk pengguna, grup, profil pengguna, alias, dan lainnya, yang akan disinkronkan sesuai jadwal antara sistem manajemen identitas lokal dan sistem GCP Anda.
Implementasi GCP dan konteks tambahan:
- Gambaran umum IAM GCP
- Provisi pengguna Azure Active Directory dan pengesahan tunggal
- Akses menyeluruh
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
- Manajemen identitas dan kunci
- Arsitektur keamanan
- Keamanan aplikasi dan DevSecOps
- Pengelolaan Postur
IM-2: Melindungi sistem identitas dan autentikasi
| CIS Controls v8 ID dan ID-ID | NIST SP 800-53 r4 ID (identifikasi) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 5.4, 6.5 | AC-2, AC-3, IA-2, IA-8, SI-4 | 8.2, 8.3 |
Prinsip keamanan: Amankan identitas dan sistem autentikasi Anda sebagai prioritas tinggi dalam praktik keamanan cloud organisasi Anda. Kontrol keamanan umum meliputi:
- Membatasi peran dan akun istimewa
- Memerlukan autentikasi yang kuat untuk semua akses istimewa
- Memantau dan mengaudit aktivitas berisiko tinggi
Panduan Azure: Gunakan garis besar keamanan Azure AD dan Skor Aman Identitas Azure AD untuk mengevaluasi postur keamanan identitas Azure AD Anda, dan memulihkan kesenjangan keamanan dan konfigurasi. Skor Aman Identitas Azure AD mengevaluasi Microsoft Azure AD untuk konfigurasi berikut:
- Menggunakan peran administratif terbatas
- Mengaktifkan kebijakan risiko pengguna
- Menunjuk lebih dari satu admin global
- Aktifkan kebijakan untuk memblokir autentikasi lama
- Pastikan semua pengguna dapat menyelesaikan autentikasi multifaktor untuk akses aman
- Memerlukan MFA untuk peran administratif
- Mengaktifkan pengaturan ulang kata sandi mandiri
- Jangan biarkan kata sandi kedaluwarsa
- Mengaktifkan kebijakan risiko masuk pengguna
- Jangan izinkan pengguna untuk memberikan persetujuan ke aplikasi yang tidak dikelola
Gunakan Azure AD Identity Protection untuk mendeteksi, menyelidiki, dan memulihkan risiko berbasis identitas. Untuk melindungi domain Active Directory lokal Anda secara serupa, gunakan Defender for Identity.
Catatan: Ikuti praktik terbaik yang diterbitkan untuk semua komponen identitas lainnya, termasuk Active Directory lokal Anda dan kemampuan pihak ketiga apa pun, dan infrastruktur (seperti sistem operasi, jaringan, database) yang menghostingnya.
Implementasi Azure dan konteks tambahan:
- Apa itu skor keamanan identitas di Azure AD
- Praktik Terbaik untuk Mengamankan Direktori Aktif
- Apa itu Perlindungan Identitas?
- Apa itu Pertahanan Microsoft untuk Identitas?
Panduan AWS: Gunakan praktik terbaik keamanan berikut untuk mengamankan AWS IAM Anda:
- Menyiapkan kunci akses pengguna root akun AWS untuk akses darurat seperti yang dijelaskan dalam PA-5 (Menyiapkan akses darurat)
- Ikuti prinsip hak istimewa terkecil untuk penetapan akses
- Manfaatkan grup IAM untuk menerapkan kebijakan alih-alih pengguna individual.
- Ikuti panduan autentikasi yang kuat di IM-6 (Gunakan kontrol autentikasi yang kuat) untuk semua pengguna
- Gunakan AWS Organizations SCP (Kebijakan Kontrol Layanan) dan batas izin
- Menggunakan IAM Access Advisor untuk mengaudit akses layanan
- Menggunakan laporan kredensial IAM untuk melacak akun pengguna dan status kredensial
Catatan: Ikuti praktik terbaik yang diterbitkan jika Anda memiliki identitas dan sistem autentikasi lain, misalnya, ikuti baseline keamanan Azure AD jika Anda menggunakan Azure AD untuk mengelola identitas dan akses AWS.
Implementasi AWS dan konteks tambahan:
- Praktik Terbaik Keamanan di IAM
- IAM Access Advisor
- Laporan Kredensial IAM
Panduan GCP: Gunakan praktik terbaik keamanan berikut untuk mengamankan layanan Google Cloud IAM dan Cloud Identity untuk organisasi Anda:
- Siapkan akun admin super untuk akses darurat dengan mengikuti rekomendasi di PA-5 ("Siapkan akses darurat").
- Buat alamat email admin super (sebagai akun admin super Google Workspace atau Cloud Identity) dan akun ini tidak boleh spesifik untuk pengguna tertentu jika diperlukan pemulihan darurat.
- Ikuti prinsip hak akses minimum dan pemisahan tugas
- Hindari menggunakan akun admin super untuk aktivitas harian
- Manfaatkan grup Google Cloud Identity untuk menerapkan kebijakan alih-alih menerapkan kebijakan ke pengguna individual.
- Ikuti panduan autentikasi yang kuat seperti yang dijelaskan dalam IM-6 ("Gunakan kontrol autentikasi yang kuat") untuk semua pengguna yang memiliki hak istimewa yang ditingkatkan.
- Menggunakan kebijakan IAM untuk membatasi akses ke sumber daya
- Menggunakan Layanan Kebijakan Organisasi untuk mengontrol dan mengonfigurasi batasan pada sumber daya
- Menggunakan pencatatan audit IAM dalam Cloud Audit logs untuk meninjau aktivitas berhak
Catatan: Ikuti praktik terbaik yang diterbitkan jika Anda memiliki sistem identitas dan autentikasi lain, misalnya, ikuti garis besar keamanan Azure AD jika Anda menggunakan Microsoft Azure AD untuk mengelola identitas dan akses GCP.
Implementasi GCP dan konteks tambahan:
- Praktik terbaik akun administrator utama
- Praktik terbaik keamanan untuk akun administrator
- Gunakan IAM dengan aman
- Mengelola akses ke sumber daya lain
- Pengantar Layanan Kebijakan Organisasi
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
- Manajemen identitas dan kunci
- Arsitektur keamanan
- Keamanan aplikasi dan DevSecOps
- Pengelolaan Postur
IM-3: Mengelola identitas aplikasi dengan aman dan otomatis
| CIS Controls v8 ID dan ID-ID | NIST SP 800-53 r4 ID (identifikasi) | ID PCI-DSS v3.2.1 |
|---|---|---|
| Tidak tersedia | AC-2, AC-3, IA-4, IA-5, IA-9 | Tidak tersedia |
Prinsip keamanan: Gunakan identitas aplikasi terkelola alih-alih membuat akun manusia untuk aplikasi guna mengakses sumber daya dan menjalankan kode. Identitas aplikasi terkelola memberikan manfaat seperti mengurangi paparan kredensial. Mengotomatiskan rotasi kredensial untuk memastikan keamanan identitas.
Panduan Azure: Gunakan identitas terkelola Azure, yang dapat mengautentikasi ke layanan dan sumber daya Azure yang mendukung autentikasi Azure AD. Kredensial identitas terkelola diurus sepenuhnya, diperbarui secara berkala, dan dilindungi oleh platform, menghindari kredensial yang dibuatkan kode secara tetap dalam kode sumber atau file konfigurasi.
Untuk layanan yang tidak mendukung identitas terkelola, gunakan Azure AD untuk membuat perwakilan layanan dengan izin terbatas di tingkat sumber daya. Disarankan untuk mengonfigurasi perwakilan layanan dengan kredensial sertifikat dan menggunakan rahasia klien sebagai alternatif untuk otentikasi.
Implementasi Azure dan konteks tambahan:
- Identitas terkelola Azure
- Layanan yang mendukung identitas terkelola untuk sumber daya Azure
- Perwakilan layanan Azure
- Membuat perwakilan layanan dengan sertifikat
Panduan AWS: Gunakan peran AWS IAM alih-alih membuat akun pengguna untuk sumber daya yang mendukung fitur ini. Peran IAM dikelola oleh platform di backend dan kredensial bersifat sementara dan diputar secara otomatis. Ini menghindari pembuatan kunci akses jangka panjang atau nama pengguna/kata sandi untuk aplikasi dan kredensial yang dikodekan secara permanen dalam kode sumber atau file konfigurasi.
Anda dapat menggunakan peran tertaut layanan yang dilampirkan dengan kebijakan izin yang telah ditentukan sebelumnya untuk akses antara layanan AWS alih-alih menyesuaikan izin peran Anda sendiri untuk peran IAM.
Catatan: Untuk layanan yang tidak mendukung peran IAM, gunakan kunci akses tetapi ikuti praktik terbaik keamanan seperti IM-8 Batasi paparan kredensial dan rahasia untuk mengamankan kunci Anda.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Gunakan akun layanan yang dikelola Google alih-alih membuat akun yang dikelola pengguna untuk sumber daya yang mendukung fitur ini. Akun layanan yang dikelola Google dikelola oleh platform di backend dan kunci akun layanan bersifat sementara dan diputar secara otomatis. Ini menghindari pembuatan kunci akses jangka panjang atau nama pengguna dan kata sandi untuk aplikasi, serta kredensial yang dicoding secara permanen dalam kode sumber atau file konfigurasi.
Gunakan Kecerdasan Kebijakan untuk memahami dan mengenali aktivitas mencurigakan untuk akun layanan.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
IM-4: Mengautentikasi server dan layanan
| CIS Controls v8 ID dan ID-ID | NIST SP 800-53 r4 ID (identifikasi) | ID PCI-DSS v3.2.1 |
|---|---|---|
| Tidak tersedia | IA-9 | Tidak tersedia |
Prinsip keamanan: Autentikasi server dan layanan jarak jauh dari sisi klien Anda untuk memastikan Anda terhubung ke server dan layanan tepercaya. Protokol autentikasi server yang paling umum adalah Keamanan Lapisan Transportasi (TLS), di mana sisi klien (seringkali browser atau perangkat klien) memverifikasi server dengan memverifikasi sertifikat server dikeluarkan oleh otoritas sertifikat tepercaya.
id-ID: Catatan: Autentikasi mutual dapat digunakan saat server dan klien mengautentikasi satu sama lain.
Panduan Azure: Banyak layanan Azure mendukung autentikasi TLS secara default. Untuk layanan yang tidak mendukung autentikasi TLS secara default, atau mendukung penonaktifan TLS, pastikan selalu diaktifkan untuk mendukung autentikasi server/klien. Aplikasi klien Anda juga harus dirancang untuk memverifikasi identitas server/klien (dengan memverifikasi sertifikat server yang dikeluarkan oleh otoritas sertifikat tepercaya) pada tahap jabat tangan.
Catatan: Layanan seperti API Management dan API Gateway mendukung autentikasi bersama TLS.
Implementasi Azure dan konteks tambahan:
Panduan AWS: Banyak layanan AWS mendukung autentikasi TLS secara default. Untuk layanan yang tidak mendukung autentikasi TLS secara default, atau mendukung penonaktifan TLS, pastikan selalu diaktifkan untuk mendukung autentikasi server/klien. Aplikasi klien Anda juga harus dirancang untuk memverifikasi identitas server/klien (dengan memverifikasi sertifikat server yang dikeluarkan oleh otoritas sertifikat tepercaya) pada tahap jabat tangan.
Catatan: Layanan seperti API Gateway mendukung autentikasi bersama TLS.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Banyak layanan GCP mendukung autentikasi TLS secara default. Untuk layanan yang tidak mendukung ini secara default atau mendukung penonaktifan TLS, pastikan selalu diaktifkan untuk mendukung autentikasi server/klien. Aplikasi klien Anda juga harus dirancang untuk memverifikasi identitas server/klien (dengan memverifikasi sertifikat server yang dikeluarkan oleh otoritas sertifikat tepercaya) pada tahap jabat tangan.
Catatan: Layanan seperti Cloud Load Balancing mendukung autentikasi bersama TLS.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
IM-5: Gunakan single sign-on (SSO) untuk mengakses aplikasi
| CIS Controls v8 ID dan ID-ID | NIST SP 800-53 r4 ID (identifikasi) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 12.5 | IA-4, IA-2, IA-8 | Tidak tersedia |
Prinsip keamanan: Gunakan akses menyeluruh (SSO) untuk menyederhanakan pengalaman pengguna untuk mengautentikasi ke sumber daya termasuk aplikasi dan data di seluruh layanan cloud dan lingkungan lokal.
Panduan Azure: Gunakan Azure AD untuk akses aplikasi untuk beban kerja (yang berhadapan dengan pelanggan) dengan single sign-on (SSO) Azure AD, mengurangi kebutuhan akan akun duplikat. Azure AD menyediakan manajemen identitas dan akses ke sumber daya Azure (di bidang manajemen, termasuk CLI, PowerShell, portal), aplikasi cloud, dan aplikasi lokal.
Azure AD juga mendukung SSO untuk identitas perusahaan seperti identitas pengguna perusahaan, serta identitas pengguna eksternal dari pengguna pihak ketiga dan publik tepercaya.
Implementasi Azure dan konteks tambahan:
Panduan AWS: Gunakan AWS Cognito untuk mengelola akses ke beban kerja aplikasi yang dihadapi pelanggan Anda melalui satu kali masuk (SSO), memungkinkan pelanggan menghubungkan identitas pihak ketiga mereka dari berbagai penyedia identitas.
Untuk akses SSO ke sumber daya asli AWS (termasuk akses konsol AWS atau manajemen layanan dan akses tingkat sarana data), gunakan AWS Sigle Sign-On untuk mengurangi kebutuhan akun duplikat.
AWS SSO juga memungkinkan Anda untuk menggabungkan identitas perusahaan (seperti identitas dari Azure Active Directory) dengan identitas AWS, serta identitas pengguna eksternal dari identitas pengguna pihak ketiga dan pengguna publik tepercaya.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Gunakan Google Cloud Identity untuk mengelola akses ke aplikasi beban kerja yang dihadapi pelanggan Anda melalui Akses Menyeluruh Google Cloud Identity, mengurangi kebutuhan akan akun duplikat. Google Cloud Identity menyediakan manajemen identitas dan akses ke GCP (di bidang manajemen termasuk Google Cloud CLI, akses Konsol), aplikasi cloud, dan aplikasi lokal.
Google Cloud Identity juga mendukung SSO untuk identitas perusahaan seperti identitas pengguna perusahaan dari Microsoft Azure AD atau Direktori Aktif, serta identitas pengguna eksternal dari pengguna pihak ketiga dan publik tepercaya. Implementasi GCP dan konteks tambahan:
- Akses menyeluruh Google Cloud Identity
- Provisi pengguna Azure Active Directory dan pengesahan tunggal
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
IM-6: Menggunakan kontrol autentikasi yang kuat
| CIS Controls v8 ID dan ID-ID | NIST SP 800-53 r4 ID (identifikasi) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 6.3, 6.4 | AC-2, AC-3, IA-2, IA-5, IA-8 | 7.2, 8.2, 8.3, 8.4 |
Prinsip keamanan: Terapkan kontrol autentikasi yang kuat (autentikasi tanpa kata sandi yang kuat atau autentikasi multifaktor) dengan sistem manajemen identitas dan autentikasi terpusat Anda untuk semua akses ke sumber daya. Autentikasi berdasarkan kredensial kata sandi saja dianggap ketinggalan zaman, karena tidak aman dan tidak efektif melawan metode serangan populer.
Saat menyebarkan autentikasi yang kuat, konfigurasikan administrator dan pengguna istimewa terlebih dahulu, untuk memastikan tingkat tertinggi dari metode autentikasi yang kuat, dengan cepat diikuti dengan meluncurkan kebijakan autentikasi kuat yang sesuai untuk semua pengguna.
Catatan: Jika autentikasi berbasis kata sandi warisan diperlukan untuk aplikasi dan skenario warisan, pastikan praktik terbaik keamanan kata sandi seperti persyaratan kompleksitas, diikuti.
Panduan Azure: Azure AD mendukung kontrol autentikasi yang kuat melalui metode tanpa kata sandi dan autentikasi multifaktor (MFA).
- Autentikasi tanpa kata sandi: Gunakan autentikasi tanpa kata sandi sebagai metode autentikasi default Anda. Ada tiga opsi yang tersedia dalam autentikasi tanpa kata sandi: Windows Hello for Business, masuk melalui aplikasi Microsoft Authenticator, dan kunci keamanan FIDO2. Selain itu, pelanggan dapat menggunakan metode autentikasi lokal seperti kartu pintar.
- Autentikasi multifaktor: Azure MFA dapat diberlakukan pada semua pengguna, memilih pengguna, atau di tingkat per pengguna berdasarkan kondisi masuk dan faktor risiko. Aktifkan Azure MFA dan ikuti rekomendasi manajemen identitas dan akses Microsoft Defender for Cloud untuk penyiapan MFA Anda.
Jika autentikasi berbasis kata sandi warisan masih digunakan untuk autentikasi Azure AD, ketahuilah bahwa akun khusus cloud (akun pengguna yang dibuat langsung di Azure) memiliki kebijakan kata sandi dasar default. Dan akun hibrid (akun pengguna yang berasal dari Active Directory lokal) mengikuti kebijakan kata sandi lokal.
Untuk aplikasi dan layanan pihak ketiga yang mungkin memiliki ID dan kata sandi default, Anda harus menonaktifkan atau mengubahnya selama penyiapan layanan awal.
Implementasi Azure dan konteks tambahan:
- Cara mengaktifkan MFA di Azure
- Pengantar opsi autentikasi tanpa kata sandi untuk Azure Active Directory
- Kebijakan kata sandi default Azure AD
- Menghilangkan kata sandi yang buruk menggunakan Perlindungan Kata Sandi Azure AD
- Memblokir autentikasi lama
Panduan AWS: AWS IAM mendukung kontrol autentikasi yang kuat melalui autentikasi multifaktor (MFA). MFA dapat diberlakukan pada semua pengguna, pengguna tertentu, atau di tingkat per pengguna berdasarkan kondisi yang ditentukan.
Jika Anda menggunakan akun perusahaan dari direktori pihak ketiga (seperti Windows Active Directory) dengan identitas AWS, ikuti panduan keamanan masing-masing untuk menerapkan autentikasi yang kuat. Lihat Panduan Azure untuk kontrol ini jika Anda menggunakan Microsoft Azure AD untuk mengelola akses AWS.
Catatan: Untuk aplikasi pihak ketiga dan layanan AWS yang mungkin memiliki ID dan kata sandi default, Anda harus menonaktifkan atau mengubahnya selama penyiapan layanan awal.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Google Cloud Identity mendukung kontrol autentikasi yang kuat melalui autentikasi multifaktor (MFA). MFA dapat diberlakukan pada semua pengguna, pengguna tertentu, atau di tingkat per pengguna berdasarkan kondisi yang ditentukan. Untuk melindungi akun admin super Identitas Cloud (dan Ruang Kerja), pertimbangkan untuk menggunakan kunci keamanan dan Program Perlindungan Lanjutan Google untuk keamanan maksimum.
Jika Anda menggunakan akun perusahaan dari direktori pihak ketiga (seperti Windows Active Directory) dengan identitas Google Cloud, ikuti panduan keamanan masing-masing untuk menerapkan autentikasi yang kuat. Lihat Panduan Azure untuk kontrol ini jika Anda menggunakan Microsoft Azure AD untuk mengelola akses Google Cloud.
Gunakan Identity-Aware Proxy untuk membuat lapisan otorisasi pusat untuk aplikasi yang diakses oleh HTTPS, sehingga Anda dapat menggunakan model kontrol akses tingkat aplikasi alih-alih mengandalkan firewall tingkat jaringan.
Catatan: Untuk aplikasi pihak ketiga dan layanan GCP yang mungkin memiliki ID dan kata sandi default, Anda harus menonaktifkan atau mengubahnya selama pengaturan layanan awal.
Implementasi GCP dan konteks tambahan:
- Menerapkan otentikasi multi-faktor yang seragam pada sumber daya milik perusahaan
- Program Perlindungan Lanjutan Google
- ringkasan ProksiIdentity-Aware
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
IM-7: Membatasi akses sumber daya berdasarkan kondisi
| CIS Controls v8 ID dan ID-ID | NIST SP 800-53 r4 ID (identifikasi) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.3, 6.4, 13.5 | AC-2, AC-3, AC-6 | 7.2 |
Prinsip keamanan: Memvalidasi sinyal tepercaya secara eksplisit untuk mengizinkan atau menolak akses pengguna ke sumber daya, sebagai bagian dari model akses tanpa kepercayaan. Sinyal untuk memvalidasi harus mencakup autentikasi akun pengguna yang kuat, analitik perilaku akun pengguna, kepercayaan perangkat, keanggotaan pengguna atau grup, lokasi dan sebagainya.
Panduan Azure: Gunakan akses bersyarat Azure ACTIVE Directory untuk kontrol akses yang lebih terperinci berdasarkan kondisi yang ditentukan pengguna, seperti mengharuskan masuk pengguna dari rentang IP tertentu (atau perangkat) untuk menggunakan MFA. Akses Bersyarat Azure Active Directory memungkinkan Anda menerapkan kontrol akses pada aplikasi organisasi Anda berdasarkan kondisi tertentu.
Tentukan kondisi dan kriteria yang berlaku untuk akses bersyarat Azure AD dalam penugasan. Pertimbangkan kasus penggunaan umum berikut:
- Memerlukan autentikasi multifaktor untuk pengguna dengan peran administratif
- Membutuhkan autentikasi multifaktor untuk tugas manajemen Azure
- Memblokir masuk untuk pengguna yang mencoba menggunakan protokol autentikasi lama
- Membutuhkan lokasi tepercaya untuk pendaftaran Azure AD Multi-Factor Authentication
- Memblokir atau memberikan akses dari lokasi tertentu
- Memblokir perilaku masuk berisiko
- Memerlukan perangkat yang dikelola organisasi untuk aplikasi tertentu
Catatan: Kontrol manajemen sesi autentikasi terperinci juga dapat diterapkan melalui kebijakan akses bersyarat Azure AD, seperti frekuensi masuk dan sesi browser persisten.
Implementasi Azure dan konteks tambahan:
- Gambaran umum Akses Bersyarat Azure
- Kebijakan Akses Bersyarat Umum
- Wawasan dan pelaporan Akses Kondisional
- Mengonfigurasi manajemen sesi autentikasi dengan Akses Bersyarat
Panduan AWS: Buat kebijakan IAM dan tentukan kondisi untuk kontrol akses yang lebih terperinci berdasarkan kondisi yang ditentukan pengguna, seperti mengharuskan login pengguna dari rentang IP tertentu (atau perangkat) untuk menggunakan autentikasi multifaktor. Pengaturan kondisi dapat mencakup satu atau beberapa kondisi serta logika.
Kebijakan dapat ditentukan dari enam dimensi berbeda: kebijakan berbasis identitas, kebijakan berbasis sumber daya, batas izin, kebijakan kontrol layanan AWS Organizations (SCP), Daftar Kontrol Akses (ACL), dan kebijakan sesi.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Membuat dan menentukan Kondisi IAM untuk kontrol akses berbasis atribut yang lebih terperinci berdasarkan kondisi yang ditentukan pengguna, seperti mengharuskan login pengguna dari rentang IP (atau perangkat) tertentu untuk menggunakan autentikasi multifaktor. Pengaturan kondisi dapat mencakup satu atau beberapa kondisi serta logika.
Kondisi ditentukan dalam pengikatan peran kebijakan izinkan sumber daya. Atribut kondisi didasarkan pada sumber daya yang diminta—misalnya, jenis atau namanya—atau pada detail tentang permintaan—misalnya, tanda waktu atau alamat IP tujuannya.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
- Manajemen identitas dan kunci
- Keamanan aplikasi dan DevSecOps
- Pengelolaan Postur
- Inteligensi ancaman
IM-8: Membatasi paparan kredensial dan rahasia
| CIS Controls v8 ID dan ID-ID | NIST SP 800-53 r4 ID (identifikasi) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 16.9, 16.12 | IA-5 | 3.5, 6.3, 8.2 |
Prinsip keamanan: Pastikan pengembang aplikasi menangani kredensial dan rahasia dengan aman:
- Hindari menyematkan kredensial dan rahasia ke dalam file kode dan konfigurasi
- Gunakan brankas kunci atau layanan penyimpanan kunci aman untuk menyimpan kredensial dan rahasia
- Memindai kredensial dalam kode sumber.
Catatan: Ini sering diatur dan diberlakukan melalui siklus hidup pengembangan perangkat lunak yang aman (SDLC) dan proses keamanan DevOps.
Panduan Azure: Saat menggunakan identitas terkelola bukanlah opsi, pastikan bahwa rahasia dan kredensial disimpan di lokasi yang aman seperti Azure Key Vault, alih-alih menyematkannya ke dalam kode dan file konfigurasi.
Jika Anda menggunakan Azure DevOps dan GitHub untuk platform manajemen kode Anda:
- Terapkan Azure DevOps Credential Scanner untuk mengidentifikasi kredensial dalam kode.
- Untuk GitHub, gunakan fitur pemindaian rahasia asli untuk mengidentifikasi kredensial atau bentuk rahasia lain dalam kode.
Klien seperti Azure Functions, layanan Azure Apps, dan VM dapat menggunakan identitas terkelola untuk mengakses Azure Key Vault dengan aman. Lihat Kontrol Perlindungan Data yang terkait dengan penggunaan Azure Key Vault untuk manajemen rahasia.
Catatan: Azure Key Vault menyediakan rotasi otomatis untuk layanan yang didukung. Untuk rahasia yang tidak dapat diperbarui secara otomatis, pastikan diperbarui secara manual dan berkala, serta dihapus ketika sudah tidak digunakan lagi.
Implementasi Azure dan konteks tambahan:
- Cara menyiapkan Pemindai Kredensial
- pemindaian rahasia GitHub
Panduan AWS: Saat menggunakan peran IAM untuk akses aplikasi bukanlah opsi, pastikan bahwa rahasia dan kredensial disimpan di lokasi yang aman seperti AWS Secret Manager atau Systems Manager Parameter Store, alih-alih menyematkannya ke dalam kode dan file konfigurasi.
Gunakan Peninjau CodeGuru untuk analisis kode statis yang dapat mendeteksi rahasia yang dikodekan secara permanen dalam kode sumber Anda.
Jika Anda menggunakan Azure DevOps dan GitHub untuk platform manajemen kode Anda:
- Terapkan Azure DevOps Credential Scanner untuk mengidentifikasi kredensial dalam kode.
- Untuk GitHub, gunakan fitur pemindaian rahasia asli untuk mengidentifikasi kredensial atau bentuk rahasia lain dalam kode.
Catatan: Secrets Manager menyediakan rotasi rahasia otomatis untuk layanan yang didukung. Untuk rahasia yang tidak dapat dirotasi secara otomatis, pastikan rahasia dirotasi secara manual secara berkala dan dihapus ketika tidak lagi digunakan.
Implementasi AWS dan konteks tambahan:
- Peranan AWS IAM pada EC2
- Layanan terintegrasi AWS Secrets Manager
- Deteksi Rahasia oleh CodeGuru Reviewer
Panduan GCP: Saat menggunakan akun layanan yang dikelola Google untuk akses aplikasi bukanlah pilihan, pastikan bahwa rahasia dan kredensial disimpan di lokasi aman seperti Secret Manager Google Cloud alih-alih menyematkannya ke dalam kode dan file konfigurasi.
Gunakan ekstensi Google Cloud Code di IDE (Lingkungan pengembangan terintegrasi) seperti Visual Studio Code untuk mengintegrasikan rahasia yang dikelola oleh Secret Manager ke dalam kode Anda.
Jika Anda menggunakan Azure DevOps atau GitHub untuk platform manajemen kode Anda:
- Terapkan Azure DevOps Credential Scanner untuk mengidentifikasi kredensial dalam kode.
- Untuk GitHub, gunakan fitur pemindaian rahasia asli untuk mengidentifikasi kredensial atau bentuk rahasia lain dalam kode.
Catatan: Siapkan jadwal rotasi untuk rahasia yang disimpan di Secret Manager sebagai praktik terbaik.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
IM-9: Mengamankan akses pengguna ke aplikasi yang ada
| CIS Controls v8 ID dan ID-ID | NIST SP 800-53 r4 ID (identifikasi) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 6.7, 12.5 | AC-2, AC-3, SC-11 | Tidak tersedia |
Prinsip keamanan: Dalam lingkungan hibrid, di mana Anda memiliki aplikasi lokal atau aplikasi cloud non-asli menggunakan autentikasi lama, pertimbangkan solusi seperti broker keamanan akses cloud (CASB), proksi aplikasi, akses menyeluruh (SSO) untuk mengatur akses ke aplikasi ini untuk manfaat berikut:
- Menerapkan autentikasi kuat terpusat
- Memantau dan mengontrol aktivitas pengguna akhir berisiko
- Memantau dan memulihkan aktivitas aplikasi warisan berisiko
- Mendeteksi dan mencegah transmisi data sensitif
Panduan Azure: Lindungi aplikasi cloud lokal dan non-asli Anda menggunakan autentikasi lama dengan menyambungkannya ke:
- Proksi Aplikasi Azure AD dan konfigurasikan autentikasi berbasis header untuk mengizinkan Single Sign-On (SSO) ke aplikasi bagi pengguna jarak jauh, sambil secara eksplisit memvalidasi kepercayaan pengguna jarak jauh dan perangkat dengan Akses Bersyarat Azure AD. Jika diperlukan, gunakan solusi Software-Defined Perimeter (SDP) pihak ketiga yang dapat menawarkan fungsionalitas serupa.
- Microsoft Defender for Cloud Apps, yang melayani layanan broker keamanan akses cloud (CASB) untuk memantau dan memblokir akses pengguna ke aplikasi SaaS pihak ketiga yang tidak disetujui.
- Pengontrol dan jaringan pengiriman aplikasi pihak ketiga Anda yang ada.
Catatan: VPN umumnya digunakan untuk mengakses aplikasi warisan, dan seringkali hanya memiliki kontrol akses dasar dan pemantauan sesi terbatas.
Implementasi Azure dan konteks tambahan:
- Proksi Aplikasi Azure Active Directory
- Praktik terbaik Microsoft Cloud App Security
- Akses hibrid aman Azure AD
Panduan AWS: Ikuti panduan Azure untuk melindungi aplikasi cloud lokal dan non-asli Anda menggunakan autentikasi lama dengan menghubungkannya ke:
- Azure AD Application Proxy, dan konfigurasikan berbasis header untuk memungkinkan akses sekali masuk (SSO) ke aplikasi bagi pengguna jarak jauh, sambil secara eksplisit memvalidasi kepercayaan pengguna dan perangkat jarak jauh dengan Azure AD Conditional Access. Jika diperlukan, gunakan solusi Software-Defined Perimeter (SDP) pihak ketiga yang dapat menawarkan fungsionalitas serupa.
- Microsoft Defender for Cloud Apps, yang berfungsi sebagai layanan broker keamanan akses cloud (CASB) untuk memantau dan memblokir akses pengguna ke aplikasi SaaS pihak ketiga yang tidak disetujui.
- Pengontrol dan jaringan pengiriman aplikasi pihak ketiga Anda yang ada
Catatan: VPN umumnya digunakan untuk mengakses aplikasi warisan, dan seringkali hanya memiliki kontrol akses dasar dan pemantauan sesi terbatas.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Gunakan Google Cloud Identity-Aware Proxy (IAP) untuk mengelola akses ke aplikasi berbasis HTTP di luar Google Cloud, termasuk aplikasi lokal. IAP berfungsi menggunakan header yang ditandatangani atau API Pengguna dalam lingkungan standar App Engine. Jika diperlukan, gunakan solusi Software-Defined Perimeter (SDP) pihak ketiga yang dapat menawarkan fungsionalitas serupa.
Anda juga memiliki opsi untuk menggunakan Microsoft Defender for Cloud Apps yang berfungsi sebagai layanan broker keamanan akses cloud (CASB) untuk memantau dan memblokir akses pengguna ke aplikasi SaaS pihak ketiga yang tidak disetujui.
Catatan: VPN umumnya digunakan untuk mengakses aplikasi warisan dan seringkali hanya memiliki kontrol akses dasar dan pemantauan sesi terbatas.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):