Kontrol Keamanan: Keamanan jaringan

Keamanan Jaringan mencakup kontrol untuk mengamankan dan melindungi jaringan, termasuk mengamankan jaringan virtual, membangun koneksi privat, mencegah, dan mengurangi serangan eksternal, dan mengamankan DNS.

NS-1: Menetapkan batas segmentasi jaringan

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID (identifikasi) ID PCI-DSS v3.2.1
3.12, 13.4, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Prinsip keamanan: Pastikan bahwa penyebaran jaringan virtual Anda selaras dengan strategi segmentasi perusahaan Anda yang ditentukan dalam kontrol keamanan GS-2. Beban kerja apa pun yang dapat menimbulkan risiko lebih tinggi bagi organisasi harus berada dalam jaringan virtual yang terisolasi.

Contoh beban kerja berisiko tinggi meliputi:

  • Aplikasi menyimpan atau memproses data yang sangat sensitif.
  • Aplikasi eksternal yang menghadap jaringan dapat diakses oleh publik atau pengguna di luar organisasi Anda.
  • Aplikasi yang menggunakan arsitektur yang tidak aman atau berisi kerentanan yang tidak dapat dengan mudah diperbaiki.

Untuk meningkatkan strategi segmentasi perusahaan Anda, batasi atau pantau lalu lintas antara sumber daya internal menggunakan kontrol jaringan. Untuk aplikasi tertentu yang terdefinisi dengan baik (seperti aplikasi 3 tingkat), ini bisa menjadi pendekatan "tolak secara default, izinkan dengan pengecualian" yang sangat aman dengan membatasi port, protokol, sumber, dan IP tujuan lalu lintas jaringan. Jika Anda memiliki banyak aplikasi dan titik akhir yang berinteraksi satu sama lain, memblokir lalu lintas mungkin tidak menskalakan dengan baik, dan Anda mungkin hanya dapat memantau lalu lintas.

Panduan Azure: Buat jaringan virtual (VNet) sebagai pendekatan segmentasi mendasar di jaringan Azure Anda, sehingga sumber daya seperti VM dapat disebarkan ke dalam VNet dalam batas jaringan. Untuk menyegmentasi jaringan lebih lanjut, Anda dapat membuat subnet di dalam VNet untuk sub-jaringan yang lebih kecil.

Gunakan kelompok keamanan jaringan (NSG) sebagai kontrol lapisan jaringan untuk membatasi atau memantau lalu lintas berdasarkan port, protokol, alamat IP sumber, atau alamat IP tujuan. Lihat NS-7: Sederhanakan konfigurasi keamanan jaringan untuk menggunakan Pengerasan Jaringan Adaptif untuk merekomendasikan aturan pengerasan NSG berdasarkan intelijen ancaman dan hasil analisis lalu lintas.

Anda juga dapat menggunakan kelompok keamanan aplikasi (ASG) untuk menyederhanakan konfigurasi yang kompleks. Alih-alih menentukan kebijakan berdasarkan alamat IP eksplisit dalam grup keamanan jaringan, ASG memungkinkan Anda mengonfigurasi keamanan jaringan sebagai ekstensi alami dari struktur aplikasi, memungkinkan Anda mengelompokkan komputer virtual dan menentukan kebijakan keamanan jaringan berdasarkan grup tersebut.

Implementasi Azure dan konteks tambahan:

Panduan AWS: Buat Virtual Private Cloud (VPC) sebagai pendekatan segmentasi mendasar di jaringan AWS Anda, sehingga sumber daya seperti instans EC2 dapat diterapkan ke VPC dalam batas jaringan. Untuk mengelompokkan jaringan lebih lanjut, Anda dapat membuat subnet di dalam VPC untuk sub-jaringan yang lebih kecil.

Untuk instans EC2, gunakan Grup Keamanan sebagai firewall stateful untuk membatasi lalu lintas berdasarkan port, protokol, alamat IP sumber, atau alamat IP tujuan. Di tingkat subnet VPC, gunakan Daftar Kontrol Akses Jaringan (NACL) sebagai firewall tanpa status untuk memiliki aturan eksplisit untuk lalu lintas masuk dan keluar ke subnet.

Catatan: Untuk mengontrol lalu lintas VPC, Internet dan NAT Gateway harus dikonfigurasi untuk memastikan lalu lintas dari/ke internet dibatasi.

Implementasi AWS dan konteks tambahan:

Panduan GCP: Buat jaringan cloud privat virtual (VPC) sebagai pendekatan segmentasi mendasar di jaringan GCP Anda, sehingga sumber daya seperti instans mesin virtual (VM) mesin komputasi dapat disebarkan ke jaringan VPC dalam batas jaringan. Untuk mengelompokkan jaringan lebih lanjut, Anda dapat membuat subnet di dalam VPC untuk sub-jaringan yang lebih kecil.

Gunakan aturan firewall VPC sebagai kontrol lapisan jaringan terdistribusi untuk mengizinkan atau menolak koneksi ke atau dari instans target Anda di jaringan VPC, yang mencakup VM, kluster Google Kubernetes Engine (GKE), dan instans lingkungan fleksibel App Engine.

Anda juga dapat mengonfigurasi aturan firewall VPC untuk menargetkan semua instans di jaringan VPC, instans dengan tag jaringan yang cocok, atau instans yang menggunakan akun layanan tertentu, memungkinkan Anda mengelompokkan instans dan menentukan kebijakan keamanan jaringan berdasarkan grup tersebut.

Implementasi GCP dan konteks tambahan:

Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):

NS-2: Mengamankan layanan cloud native dengan kontrol jaringan

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID (identifikasi) ID PCI-DSS v3.2.1
3.12, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Prinsip keamanan: Amankan layanan cloud dengan membuat titik akses pribadi untuk sumber daya. Anda juga harus menonaktifkan atau membatasi akses dari jaringan publik jika memungkinkan.

Panduan Azure: Menyebarkan titik akhir privat untuk semua sumber daya Azure yang mendukung fitur Private Link untuk membuat titik akses privat untuk sumber daya. Menggunakan Private Link akan menjaga koneksi pribadi agar tidak merutekan melalui jaringan publik.

Catatan: Layanan Azure tertentu juga dapat mengizinkan komunikasi pribadi melalui fitur titik akhir layanan, meskipun disarankan untuk menggunakan Azure Private Link untuk akses aman dan pribadi ke layanan yang dihosting di platform Azure.

Untuk layanan tertentu, Anda dapat memilih untuk menyebarkan integrasi VNet untuk layanan tempat Anda dapat membatasi VNET untuk membuat titik akses privat untuk layanan.

Anda juga memiliki opsi untuk mengonfigurasi aturan ACL jaringan asli layanan atau cukup menonaktifkan akses jaringan publik untuk memblokir akses dari jaringan publik.

Untuk Azure VM, kecuali ada kasus penggunaan yang kuat, Anda harus menghindari menetapkan IP/subnet publik langsung ke antarmuka VM dan sebagai gantinya menggunakan layanan gateway atau penyeimbang beban sebagai front-end untuk akses oleh jaringan publik.

Implementasi Azure dan konteks tambahan:

Panduan AWS: Terapkan VPC PrivateLink untuk semua sumber daya AWS yang mendukung fitur PrivateLink, untuk memungkinkan koneksi privat ke layanan atau layanan AWS yang didukung yang dihosting oleh akun AWS lain (layanan endpoint VPC). Menggunakan PrivateLink akan menjaga koneksi pribadi agar tidak merutekan melalui jaringan publik.

Untuk layanan tertentu, Anda dapat memilih untuk menyebarkan instans layanan ke VPC Anda sendiri untuk mengisolasi lalu lintas.

Anda juga memiliki opsi untuk mengonfigurasi aturan ACL asli layanan untuk memblokir akses dari jaringan publik. Misalnya, Amazon S3 memungkinkan Anda memblokir akses publik di tingkat bucket atau akun.

Saat menetapkan IP ke sumber daya layanan Anda di VPC Anda, kecuali ada kasus penggunaan yang kuat, Anda harus menghindari menetapkan IP/subnet publik langsung ke sumber daya Anda dan sebagai gantinya menggunakan IP/subnet privat.

Implementasi AWS dan konteks tambahan:

Panduan GCP: Menerapkan penerapan Google Access Privat VPC untuk semua resource GCP yang mendukungnya untuk membuat titik akses privat untuk resource. Opsi akses pribadi ini akan menjaga koneksi pribadi agar tidak merutekan melalui jaringan publik. Google Access Privat memiliki instance VM yang hanya memiliki alamat IP internal (tidak ada alamat IP eksternal)

Untuk layanan tertentu, Anda dapat memilih untuk menyebarkan instans layanan ke VPC Anda sendiri untuk mengisolasi lalu lintas. Anda juga memiliki opsi untuk mengonfigurasi aturan ACL asli layanan untuk memblokir akses dari jaringan publik. Misalnya, firewall App Engine memungkinkan Anda mengontrol lalu lintas jaringan mana yang diizinkan atau ditolak saat berkomunikasi dengan sumber daya App Engine. Cloud Storage adalah resource lain tempat Anda dapat menerapkan pencegahan akses publik pada bucket individual atau di tingkat organisasi.

Untuk VM GCP Compute Engine, kecuali ada kasus penggunaan yang kuat, Anda harus menghindari menetapkan IP/subnet publik langsung ke antarmuka VM dan sebagai gantinya menggunakan layanan gateway atau penyeimbang beban sebagai front-end untuk akses oleh jaringan publik.

Implementasi GCP dan konteks tambahan:

Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):

NS-3: Menyebarkan firewall pada tepi jaringan perusahaan

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID (identifikasi) ID PCI-DSS v3.2.1
4.4, 4.8, 13.10 AC-4, SC-7, CM-7 1.1, 1.2, 1.3

Prinsip keamanan: Sebarkan firewall untuk melakukan pemfilteran lanjutan pada lalu lintas jaringan ke dan dari jaringan eksternal. Anda juga dapat menggunakan firewall antar segmen internal untuk mendukung strategi segmentasi. Jika diperlukan, gunakan rute kustom untuk subnet Anda untuk mengganti rute sistem saat Anda perlu memaksa lalu lintas jaringan untuk melewati appliance jaringan untuk tujuan kontrol keamanan.

Minimal, blokir alamat IP buruk yang diketahui dan protokol berisiko tinggi, seperti manajemen jarak jauh (misalnya, RDP dan SSH) dan protokol intranet (misalnya, SMB dan Kerberos).

Panduan Azure: Gunakan Azure Firewall untuk menyediakan pembatasan lalu lintas lapisan aplikasi yang sepenuhnya stateful (seperti pemfilteran URL) dan/atau manajemen pusat pada sejumlah besar segmen atau spokes perusahaan (dalam topologi hub/spoke).

Jika Anda memiliki topologi jaringan yang kompleks, seperti penyiapan hub/spoke, Anda mungkin perlu membuat rute yang ditentukan pengguna (UDR) untuk memastikan lalu lintas melewati rute yang diinginkan. Misalnya, Anda memiliki opsi untuk menggunakan UDR untuk mengalihkan lalu lintas internet keluar melalui Azure Firewall tertentu atau appliance virtual jaringan.

Implementasi Azure dan konteks tambahan:

Panduan AWS: Gunakan AWS Network Firewall untuk menyediakan pembatasan lalu lintas lapisan aplikasi yang sepenuhnya stateful (seperti pemfilteran URL) dan/atau manajemen pusat di sejumlah besar segmen atau spokes perusahaan (dalam topologi hub/spoke).

Jika Anda memiliki topologi jaringan yang kompleks, seperti penyiapan hub/spoke, Anda mungkin perlu membuat tabel rute VPC kustom untuk memastikan lalu lintas melewati rute yang diinginkan. Misalnya, Anda memiliki opsi untuk menggunakan rute khusus untuk mengalihkan lalu lintas internet keluar melalui AWS Firewall tertentu atau appliance virtual jaringan.

Implementasi AWS dan konteks tambahan:

Panduan GCP: Gunakan kebijakan keamanan Google Cloud Armor untuk menyediakan pemfilteran Lapisan 7 dan perlindungan terhadap serangan web umum. Selain itu, gunakan aturan firewall VPC untuk menyediakan pembatasan lalu lintas lapisan jaringan yang terdistribusi dan sepenuhnya stateful, dan kebijakan firewall untuk manajemen pusat di sejumlah besar segmen atau jari-jari perusahaan (dalam topologi hub/spoke).

Jika Anda memiliki topologi jaringan yang kompleks, seperti penyiapan hub/spoke, buat kebijakan firewall yang mengelompokkan aturan firewall dan bersifat hierarkis sehingga dapat diterapkan ke beberapa jaringan VPC.

Implementasi GCP dan konteks tambahan:

Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):

NS-4: Menyebarkan sistem deteksi intrusi/sistem pencegahan intrusi (IDS/IPS)

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID (identifikasi) ID PCI-DSS v3.2.1
13.2, 13.3, 13.7, 13.8 SC-7, SI-4 11.4

Prinsip keamanan: Gunakan deteksi intrusi jaringan dan sistem pencegahan intrusi (IDS/IPS) untuk memeriksa jaringan dan lalu lintas muatan ke atau dari beban kerja Anda. Pastikan IDS/IPS selalu disetel untuk memberikan pemberitahuan berkualitas tinggi ke solusi SIEM Anda.

Untuk kemampuan deteksi dan pencegahan tingkat host yang lebih mendalam, gunakan IDS/IPS berbasis host atau solusi deteksi dan respons titik akhir berbasis host (EDR) bersama dengan IDS/IPS jaringan.

Panduan Azure: Gunakan kemampuan IDPS Azure Firewall untuk melindungi jaringan virtual Anda untuk memperingatkan dan/atau memblokir lalu lintas ke dan dari alamat IP dan domain berbahaya yang diketahui.

Untuk kemampuan deteksi dan pencegahan tingkat host yang lebih mendalam, sebarkan IDS/IPS berbasis host atau solusi deteksi dan respons titik akhir berbasis host (EDR), seperti Pertahanan Microsoft untuk Titik Akhir, di tingkat VM bersama dengan IDS/IPS jaringan.

Implementasi Azure dan konteks tambahan:

Panduan AWS: Gunakan kemampuan IPS AWS Network Firewall untuk melindungi VPC Anda untuk memperingatkan dan/atau memblokir lalu lintas ke dan dari alamat IP dan domain berbahaya yang diketahui.

Untuk kemampuan deteksi dan pencegahan tingkat host yang lebih mendalam, terapkan IDS/IPS berbasis host atau solusi deteksi dan respons titik akhir (EDR) berbasis host, seperti solusi pihak ketiga untuk IDS/IPS berbasis host, di tingkat VM bersama dengan IDS/IPS jaringan.

Catatan: Jika menggunakan IDS/IPS pihak ketiga dari marketplace, gunakan Transit Gateway dan Gateway Balancer untuk mengarahkan lalu lintas untuk inspeksi in-line.

Implementasi AWS dan konteks tambahan:

Panduan GCP: Gunakan kemampuan Google Cloud IDS untuk memberikan deteksi ancaman untuk intrusi, malware, spyware, dan serangan perintah dan kontrol di jaringan Anda. Cloud IDS bekerja dengan membuat jaringan peered yang dikelola Google dengan instance virtual machine (VM) cermin. Lalu lintas di jaringan peered dicerminkan dan kemudian diperiksa oleh teknologi perlindungan ancaman Palo Alto Networks yang disematkan untuk memberikan deteksi ancaman tingkat lanjut. Anda dapat mencerminkan semua lalu lintas masuk dan keluar berdasarkan protokol, atau rentang alamat IP.

Untuk kemampuan deteksi dan pencegahan tingkat host yang lebih mendalam, sebarkan titik akhir IDS sebagai sumber daya zona yang dapat memeriksa lalu lintas dari zona mana pun di wilayahnya. Setiap titik akhir IDS menerima lalu lintas cermin dan melakukan analisis deteksi ancaman.

Implementasi GCP dan konteks tambahan:

Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):

NS-5: Menyebarkan perlindungan DDOS

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID (identifikasi) ID PCI-DSS v3.2.1
13.10 SC-5, SC-7 1.1, 1.2, 1.3, 6.6

Prinsip keamanan: Sebarkan perlindungan penolakan layanan terdistribusi (DDoS) untuk melindungi jaringan dan aplikasi Anda dari serangan.

Panduan Azure: DDoS Protection Basic secara otomatis diaktifkan untuk melindungi infrastruktur platform dasar Azure (misalnya Azure DNS) dan tidak memerlukan konfigurasi dari pengguna.

Untuk tingkat perlindungan yang lebih tinggi dari serangan lapisan aplikasi Anda (Lapisan 7) seperti banjir HTTP dan banjir DNS, aktifkan paket perlindungan standar DDoS di VNet Anda untuk melindungi sumber daya yang terekspos ke jaringan publik.

Implementasi Azure dan konteks tambahan:

Panduan AWS: AWS Shield Standard secara otomatis diaktifkan dengan mitigasi standar untuk melindungi beban kerja Anda dari serangan DDoS jaringan dan lapisan transportasi umum (Lapisan 3 dan 4)

Untuk tingkat perlindungan aplikasi Anda yang lebih tinggi terhadap serangan lapisan aplikasi (Lapisan 7) seperti banjir HTTPS dan banjir DNS, aktifkan perlindungan AWS Shield Advanced di Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator, dan Amazon Route 53.

Implementasi AWS dan konteks tambahan:

Panduan GCP: Google Cloud Armor menawarkan opsi berikut untuk membantu melindungi sistem dari serangan DDoS:

  • Perlindungan DDoS jaringan standar: perlindungan dasar selalu aktif untuk penyeimbang beban jaringan, penerusan protokol, atau VM dengan alamat IP publik.
  • Perlindungan DDoS jaringan tingkat lanjut: perlindungan tambahan untuk pelanggan Perlindungan Terkelola Plus yang menggunakan penyeimbang beban jaringan, penerusan protokol, atau VM dengan alamat IP publik.
  • Perlindungan DDoS jaringan standar selalu diaktifkan. Anda mengonfigurasi perlindungan DDoS jaringan tingkat lanjut per wilayah.

Implementasi GCP dan konteks tambahan:

Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):

NS-6: Menyebarkan firewall aplikasi web

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID (identifikasi) ID PCI-DSS v3.2.1
13.10 SC-7 1.1, 1.2, 1.3

Prinsip keamanan: Sebarkan firewall aplikasi web (WAF) dan konfigurasikan aturan yang sesuai untuk melindungi aplikasi web dan API Anda dari serangan khusus aplikasi.

Panduan Azure: Gunakan kemampuan firewall aplikasi web (WAF) di Azure Application Gateway, Azure Front Door, dan Azure Content Delivery Network (CDN) untuk melindungi aplikasi, layanan, dan API Anda dari serangan lapisan aplikasi di tepi jaringan Anda.

Atur WAF Anda dalam "deteksi" atau "mode pencegahan", tergantung pada kebutuhan dan lanskap ancaman Anda.

Pilih kumpulan aturan bawaan, seperti kerentanan 10 Teratas OWASP, dan sesuaikan dengan kebutuhan aplikasi Anda.

Implementasi Azure dan konteks tambahan:

Panduan AWS: Gunakan AWS Web Application Firewall (WAF) di distribusi Amazon CloudFront, Amazon API Gateway, Application Load Balancer, atau AWS AppSync untuk melindungi aplikasi, layanan, dan API Anda dari serangan lapisan aplikasi di tepi jaringan Anda.

Gunakan AWS Managed Rules for WAF untuk menerapkan grup garis besar bawaan dan menyesuaikannya dengan kebutuhan aplikasi Anda untuk grup aturan kasus pengguna.

Untuk menyederhanakan penerapan aturan WAF, Anda juga dapat menggunakan solusi AWS WAF Security Automations untuk secara otomatis menerapkan aturan AWS WAF yang telah ditentukan sebelumnya yang memfilter serangan berbasis web pada ACL web Anda.

Implementasi AWS dan konteks tambahan:

Panduan GCP: Gunakan Google Cloud Armor untuk membantu melindungi aplikasi dan situs Anda dari penolakan layanan dan serangan web.

Gunakan aturan siap pakai Google Cloud Armor berdasarkan standar industri untuk mengurangi kerentanan aplikasi web umum dan membantu memberikan perlindungan dari 10 Teratas OWASP.

Siapkan aturan WAF yang telah dikonfigurasi sebelumnya, masing-masing terdiri dari beberapa tanda tangan yang bersumber dari ModSecurity Core Rules (CRS). Setiap tanda tangan sesuai dengan aturan deteksi serangan dalam kumpulan aturan.

Cloud Armor bekerja bersama dengan penyeimbang beban eksternal dan melindungi dari penolakan layanan terdistribusi (DDoS) dan serangan berbasis web lainnya, baik aplikasi yang diterapkan di Google Cloud, dalam penerapan hybrid, atau dalam arsitektur multi-cloud. Kebijakan keamanan dapat dikonfigurasi secara manual, dengan kondisi kecocokan yang dapat dikonfigurasi, dan tindakan dalam kebijakan keamanan. Cloud Armor juga menampilkan kebijakan keamanan yang telah dikonfigurasi sebelumnya, yang mencakup berbagai kasus penggunaan.

Perlindungan Adaptif di Cloud Armor membantu Anda mencegah, mendeteksi, dan melindungi aplikasi dan layanan Anda dari serangan terdistribusi L7 dengan menganalisis pola lalu lintas ke layanan backend Anda, mendeteksi dan memperingatkan serangan yang dicurigai, dan membuat aturan WAF yang disarankan untuk mengurangi serangan tersebut. Aturan ini dapat disesuaikan untuk memenuhi kebutuhan Anda.

Implementasi GCP dan konteks tambahan:

Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):

NS-7: Menyederhanakan konfigurasi keamanan jaringan

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID (identifikasi) ID PCI-DSS v3.2.1
4.4, 4.8 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Prinsip keamanan: Saat mengelola lingkungan jaringan yang kompleks, gunakan alat untuk menyederhanakan, memusatkan, dan meningkatkan manajemen keamanan jaringan.

Panduan Azure: Gunakan fitur berikut untuk menyederhanakan implementasi dan pengelolaan jaringan virtual, aturan NSG, dan aturan Azure Firewall:

  • Gunakan Azure Virtual Network Manager untuk mengelompokkan, mengonfigurasi, menyebarkan, dan mengelola jaringan virtual dan aturan NSG di seluruh wilayah dan langganan.
  • Gunakan Microsoft Defender for Cloud Adaptive Network Hardening untuk merekomendasikan aturan penguatan NSG yang membatasi port, protokol, dan IP sumber lebih lanjut berdasarkan inteligensi ancaman dan hasil analisis lalu lintas.
  • Gunakan Azure Firewall Manager untuk mempusatkan kebijakan firewall dan manajemen rute jaringan virtual. Untuk menyederhanakan aturan firewall dan implementasi grup keamanan jaringan, Anda juga dapat menggunakan templat Azure Firewall Manager Azure Resource Manager (ARM).

Implementasi Azure dan konteks tambahan:

Panduan AWS: Gunakan AWS Firewall Manager untuk memusatkan manajemen kebijakan perlindungan jaringan di seluruh layanan berikut:

  • Kebijakan AWS WAF
  • Kebijakan AWS Shield Advanced
  • Kebijakan grup keamanan VPC
  • Kebijakan Network Firewall

AWS Firewall Manager dapat secara otomatis menganalisis kebijakan terkait firewall Anda dan membuat temuan untuk sumber daya yang tidak sesuai dan untuk serangan yang terdeteksi dan mengirimkannya ke AWS Security Hub untuk penyelidikan.

Implementasi AWS dan konteks tambahan:

Panduan GCP: Gunakan fitur berikut untuk menyederhanakan penerapan dan pengelolaan jaringan cloud privat virtual (VPC), aturan firewall, dan aturan WAF:

  • Gunakan Jaringan VPC untuk mengelola dan mengonfigurasi masing-masing jaringan VPC dan aturan firewall VPC.
  • Gunakan kebijakan Firewall Hierarkis untuk mengelompokkan aturan firewall dan menerapkan aturan kebijakan secara hierarkis pada skala global atau regional.
  • Gunakan Google Cloud Armor untuk menerapkan kebijakan keamanan kustom, aturan WAF yang telah dikonfigurasi sebelumnya, dan perlindungan DDoS.

Anda juga dapat Pusat Intelijen Jaringan untuk menganalisis jaringan Anda dan mendapatkan wawasan tentang topologi jaringan virtual, aturan firewall, dan status konektivitas jaringan untuk meningkatkan efisiensi manajemen.

Implementasi GCP dan konteks tambahan:

Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):

NS-8: Mendeteksi dan menonaktifkan layanan dan protokol yang tidak aman

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID (identifikasi) ID PCI-DSS v3.2.1
4.4, 4.8 CM-2, CM-6, CM-7 4.1, A2.1, A2.2, A2.3

Prinsip keamanan: Mendeteksi dan menonaktifkan layanan dan protokol yang tidak aman di lapisan OS, aplikasi, atau paket perangkat lunak. Menyebarkan kontrol kompensasi jika menonaktifkan layanan dan protokol yang tidak aman tidak dimungkinkan.

Panduan Azure: Gunakan Buku Kerja Protokol Tidak Aman bawaan Microsoft Sentinel untuk menemukan penggunaan layanan dan protokol yang tidak aman seperti SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, sandi lemah di Kerberos, dan Ikatan LDAP Tidak Ditandatangani. Nonaktifkan layanan dan protokol yang tidak aman yang tidak memenuhi standar keamanan yang sesuai.

Catatan: Jika menonaktifkan layanan atau protokol yang tidak aman tidak dimungkinkan, gunakan kontrol kompensasi seperti memblokir akses ke sumber daya melalui grup keamanan jaringan, Azure Firewall, atau Azure Web Application Firewall untuk mengurangi permukaan serangan.

Implementasi Azure dan konteks tambahan:

Panduan AWS: Aktifkan Log Alur VPC dan gunakan GuardDuty untuk menganalisis Log Alur VPC guna mengidentifikasi kemungkinan layanan dan protokol tidak aman yang tidak memenuhi standar keamanan yang sesuai.

Jika log di lingkungan AWS dapat diteruskan ke Microsoft Sentinel, Anda juga dapat menggunakan Buku Kerja Protokol Tidak Aman bawaan Microsoft Sentinel untuk menemukan penggunaan layanan dan protokol yang tidak aman

Catatan: Jika menonaktifkan layanan atau protokol yang tidak aman tidak memungkinkan, gunakan kontrol kompensasi seperti memblokir akses ke sumber daya melalui grup keamanan, AWS Network Firewall, AWS Web Application Firewall untuk mengurangi permukaan serangan.

Implementasi AWS dan konteks tambahan:

Panduan GCP: Aktifkan Log Alur VPC dan gunakan BigQuery atau Pusat Perintah Keamanan untuk menganalisis Log Alur VPC guna mengidentifikasi kemungkinan layanan dan protokol tidak aman yang tidak memenuhi standar keamanan yang sesuai.

Jika log di lingkungan GCP dapat diteruskan ke Microsoft Sentinel, Anda juga dapat menggunakan Buku Kerja Protokol Tidak Aman bawaan Microsoft Sentinel untuk menemukan penggunaan layanan dan protokol yang tidak aman. Selain itu, Anda dapat meneruskan log ke Google Cloud Chronicle, SIEM, dan SOAR serta membuat aturan kustom untuk tujuan yang sama.

Catatan: Jika menonaktifkan layanan atau protokol yang tidak aman tidak memungkinkan, gunakan kontrol kompensasi seperti memblokir akses ke sumber daya melalui aturan dan kebijakan VPC Firewall, atau Cloud Armor untuk mengurangi permukaan serangan.

Implementasi GCP dan konteks tambahan:

Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):

NS-9: Menyambungkan jaringan lokal atau cloud secara privat

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID (identifikasi) ID PCI-DSS v3.2.1
12.7 CA-3, AC-17, AC-4 Tidak tersedia

Prinsip keamanan: Gunakan koneksi privat untuk komunikasi aman antara jaringan yang berbeda, seperti pusat data penyedia layanan cloud dan infrastruktur lokal di lingkungan kolokasi.

Panduan Azure: Untuk konektivitas situs-ke-situs atau titik-ke-situs yang ringan, gunakan jaringan privat virtual (VPN) Azure untuk membuat koneksi aman antara situs lokal atau perangkat pengguna akhir Anda dan jaringan virtual Azure.

Untuk koneksi performa tinggi tingkat perusahaan, gunakan Azure ExpressRoute (atau Virtual WAN) untuk menyambungkan pusat data Azure dan infrastruktur lokal di lingkungan lokasi bersama.

Saat menyambungkan dua atau beberapa jaringan virtual Azure bersama-sama, gunakan peering jaringan virtual. Lalu lintas jaringan antara jaringan virtual yang di-peering bersifat privat dan disimpan di jaringan backbone Azure.

Implementasi Azure dan konteks tambahan:

Panduan AWS: Untuk konektivitas situs-ke-situs atau titik-ke-situs, gunakan AWS VPN untuk membuat koneksi aman (saat overhead IPsec tidak menjadi masalah) antara situs lokal atau perangkat pengguna akhir Anda ke jaringan AWS.

Untuk koneksi performa tinggi tingkat perusahaan, gunakan AWS Direct Connect untuk menghubungkan AWS VPC dan sumber daya dengan infrastruktur lokal Anda di lingkungan co-location.

Anda memiliki opsi untuk menggunakan Peering VPC atau Transit Gateway untuk membuat konektivitas antara dua atau lebih VPC di dalam atau di seluruh wilayah. Lalu lintas jaringan antara VPC peered bersifat pribadi dan disimpan di jaringan tulang punggung AWS. Saat Anda perlu bergabung dengan beberapa VPC untuk membuat subnet datar besar, Anda juga memiliki opsi untuk menggunakan Berbagi VPC.

Implementasi AWS dan konteks tambahan:

Panduan GCP: Untuk konektivitas situs-ke-situs atau point-to-site yang ringan, gunakan Google Cloud VPN.

Untuk koneksi berperforma tinggi tingkat perusahaan, gunakan Google Cloud Interconnect atau Partner Interconnect, untuk terhubung ke VPC dan resource Google Cloud dengan infrastruktur lokal Anda di lingkungan kolokasi.

Anda memiliki opsi untuk menggunakan Peering Jaringan VPC atau Pusat Konektivitas Jaringan untuk membangun konektivitas antara dua atau lebih VPC di dalam atau di seluruh wilayah. Lalu lintas jaringan antara VPC peered bersifat pribadi dan disimpan di jaringan backbone GCP. Saat Anda perlu menggabungkan beberapa VPC untuk membuat subnet datar besar, Anda juga memiliki opsi untuk menggunakan VPC Bersama

Implementasi GCP dan konteks tambahan:

Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):

NS-10: Memastikan keamanan Sistem Nama Domain (DNS)

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID (identifikasi) ID PCI-DSS v3.2.1
4.9, 9.2 SC-20, SC-21 Tidak tersedia

Prinsip keamanan: Pastikan konfigurasi keamanan Sistem Nama Domain (DNS) melindungi dari risiko yang diketahui:

  • Gunakan layanan DNS otoritatif dan rekursif tepercaya di seluruh lingkungan cloud Anda untuk memastikan klien (seperti sistem operasi dan aplikasi) menerima hasil resolusi yang benar.
  • Pisahkan resolusi DNS publik dan privat sehingga proses resolusi DNS untuk jaringan privat dapat diisolasi dari jaringan publik.
  • Pastikan strategi keamanan DNS Anda juga mencakup mitigasi terhadap serangan umum, seperti DNS menggantung, serangan amplifikasi DNS, pembajakan dan penipuan DNS, dan sebagainya.

Panduan Azure: Gunakan DNS rekursif Azure (biasanya ditetapkan ke VM Anda melalui DHCP atau dikonfigurasi sebelumnya dalam layanan) atau server DNS eksternal tepercaya dalam penyiapan DNS rekursif beban kerja Anda, seperti di sistem operasi VM atau di aplikasi.

Gunakan Azure Private DNS untuk penyiapan zona DNS privat di mana proses resolusi DNS tidak meninggalkan jaringan virtual. Gunakan DNS kustom untuk membatasi resolusi DNS agar hanya mengizinkan resolusi tepercaya ke klien Anda.

Gunakan Microsoft Defender untuk DNS untuk perlindungan lanjutan terhadap ancaman keamanan berikut terhadap beban kerja atau layanan DNS Anda:

  • Penyelundupan data dari sumber daya Azure Anda menggunakan penerowongan DNS
  • Malware berkomunikasi dengan server perintah dan kontrol
  • Komunikasi dengan domain berbahaya, seperti phishing dan penambangan kripto
  • Serangan DNS dalam komunikasi dengan resolver DNS berbahaya

Anda juga dapat menggunakan Microsoft Defender untuk App Service untuk mendeteksi rekaman DNS yang menggantung jika Anda menonaktifkan situs web App Service tanpa menghapus domain kustomnya dari pencatat DNS Anda.

Implementasi Azure dan konteks tambahan:

Panduan AWS: Gunakan Amazon DNS Server (dengan kata lain, server Amazon Route 53 Resolver yang biasanya ditetapkan kepada Anda melalui DHCP atau telah dikonfigurasi sebelumnya dalam layanan) atau server DNS tepercaya terpusat dalam penyiapan DNS rekursif beban kerja Anda, seperti di sistem operasi VM atau di aplikasi.

Gunakan Amazon Route 53 untuk membuat penyiapan zona yang dihosting pribadi di mana proses resolusi DNS tidak meninggalkan VPC yang ditentukan. Gunakan firewall Amazon Route 53 untuk mengatur dan memfilter lalu lintas DNS/UDP keluar di VPC Anda untuk kasus penggunaan berikut:

  • Cegah serangan seperti eksfiltrasi DNS di VPC Anda
  • Menyiapkan daftar izinkan atau tolak untuk domain yang dapat dikueri aplikasi Anda

Konfigurasikan fitur Ekstensi Keamanan Sistem Nama Domain (DNSSEC) di Amazon Route 53 untuk mengamankan lalu lintas DNS guna melindungi domain Anda dari spoofing DNS atau serangan man-in-the-middle.

Amazon Route 53 juga menyediakan layanan pendaftaran DNS di mana Route 53 dapat digunakan sebagai server nama otoritatif untuk domain Anda. Praktik terbaik berikut harus diikuti untuk memastikan keamanan nama domain Anda:

  • Nama domain harus diperpanjang secara otomatis oleh layanan Amazon Route 53.
  • Nama domain harus mengaktifkan fitur Transfer Lock agar tetap aman.
  • Kerangka Kerja Kebijakan Pengirim (SPF) harus digunakan untuk menghentikan spammer memalsukan domain Anda.

Implementasi AWS dan konteks tambahan:

Panduan GCP: Gunakan server DNS GCP (yaitu server metadata yang biasanya ditetapkan ke VM Anda melalui DHCP atau telah dikonfigurasi sebelumnya di layanan) atau server resolver DNS tepercaya terpusat (seperti Google Public DNS) dalam penyiapan DNS rekursif beban kerja Anda, seperti di sistem operasi VM atau di aplikasi.

Gunakan GCP Cloud DNS untuk membuat zona DNS privat tempat proses resolusi DNS tidak meninggalkan VPC yang didesginasikan. Atur dan filter lalu lintas DNS/UDP keluar di VPC Anda kasus penggunaan:

  • Cegah serangan seperti eksfiltrasi DNS di VPC Anda
  • Menyiapkan daftar izinkan atau tolak untuk domain yang dikueri aplikasi Anda

Konfigurasikan fitur Ekstensi Keamanan Sistem Nama Domain (DNSSEC) di Cloud DNS untuk mengamankan lalu lintas DNS guna melindungi domain Anda dari spoofing DNS atau serangan man-in-the-middle.

Google Cloud Domains menyediakan layanan pendaftaran domain. GCP Cloud DNS dapat digunakan sebagai server nama otoritatif untuk domain Anda. Praktik terbaik berikut harus diikuti untuk memastikan keamanan nama domain Anda:

  • Nama domain harus diperpanjang secara otomatis oleh Google Cloud Domains.
  • Nama domain harus mengaktifkan fitur Transfer Lock agar tetap aman
  • Kerangka Kerja Kebijakan Pengirim (SPF) harus digunakan untuk menghentikan spammer memalsukan domain Anda.

Implementasi GCP dan konteks tambahan:

Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):

  • Last updated on