Bagikan melalui

Kontrol Keamanan: Manajemen postur dan kerentanan

Manajemen Postur dan Kerentanan berfokus pada kontrol untuk menilai dan meningkatkan postur keamanan cloud, termasuk pemindaian kerentanan, pengujian dan remediasi penetrasi, serta pelacakan, pelaporan, dan koreksi konfigurasi keamanan dalam sumber daya cloud.

PV-1: Menentukan dan membangun konfigurasi yang aman

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID (identifikasi) ID PCI-DSS v3.2.1
4.1, 4.2 CM-2, CM-6 1.1

Prinsip keamanan: Tentukan garis besar konfigurasi keamanan untuk berbagai jenis sumber daya di cloud. Atau, gunakan alat manajemen konfigurasi untuk membuat garis besar konfigurasi secara otomatis sebelum atau selama penyebaran sumber daya sehingga lingkungan dapat mematuhi secara default setelah penyebaran.

Panduan Azure: Gunakan Microsoft Cloud Security Benchmark dan garis besar layanan untuk menentukan garis besar konfigurasi Anda untuk setiap penawaran atau layanan Azure masing-masing. Lihat arsitektur referensi Azure dan arsitektur zona pendaratan Cloud Adoption Framework untuk memahami kontrol dan konfigurasi keamanan penting yang mungkin diperlukan di seluruh sumber daya Azure.

Gunakan zona pendaratan Azure (dan Cetak Biru) untuk mempercepat penyebaran beban kerja dengan menyiapkan konfigurasi layanan dan lingkungan aplikasi, termasuk templat Azure Resource Manager, kontrol Azure RBAC, dan Azure Policy.

Implementasi Azure dan konteks tambahan:

Panduan AWS: Gunakan Microsoft Cloud Security Benchmark - panduan multi-cloud untuk AWS dan input lainnya untuk menentukan garis besar konfigurasi Anda untuk setiap penawaran atau layanan AWS masing-masing. Lihat pilar keamanan dan pilar lain di AWS Well-Architectured Framework untuk memahami kontrol dan konfigurasi keamanan penting yang mungkin diperlukan di seluruh sumber daya AWS.

Gunakan templat AWS CloudFormation dan aturan AWS Config dalam definisi zona pendaratan AWS untuk mengotomatiskan penyebaran dan konfigurasi layanan dan lingkungan aplikasi.

Implementasi AWS dan konteks tambahan:

Panduan GCP: Gunakan Microsoft Cloud Security Benchmark – panduan multi-cloud untuk GCP dan input lainnya untuk menentukan garis besar konfigurasi Anda untuk setiap penawaran atau layanan GCP masing-masing. Lihat pilar dalam cetak biru fondasi penyebaran Google Cloud, dan desain zona pendaratan.

Gunakan modul cetak biru Terraform untuk Google Cloud dan gunakan Google Cloud Deployment Manager asli untuk mengotomatiskan penyebaran dan konfigurasi layanan dan lingkungan aplikasi.

Implementasi GCP dan konteks tambahan:

Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):

PV-2: Mengaudit dan menerapkan konfigurasi yang aman

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID (identifikasi) ID PCI-DSS v3.2.1
4.1, 4.2 CM-2, CM-6 2.2

Prinsip keamanan: Terus memantau dan memperingatkan ketika ada penyimpangan dari garis besar konfigurasi yang ditentukan. Terapkan konfigurasi yang diinginkan sesuai dengan konfigurasi dasar dengan menolak konfigurasi yang tidak sesuai atau menyebarkan konfigurasi.

Panduan Azure: Gunakan Microsoft Defender for Cloud untuk mengonfigurasi Azure Policy untuk mengaudit dan menerapkan konfigurasi sumber daya Azure Anda. Gunakan Azure Monitor untuk membuat pemberitahuan saat ada penyimpangan konfigurasi yang terdeteksi pada sumber daya.

Gunakan aturan Azure Policy [tolak] dan [sebarkan jika tidak ada] untuk menerapkan konfigurasi aman di seluruh sumber daya Azure.

Untuk audit dan penegakan konfigurasi sumber daya yang tidak didukung oleh Azure Policy, Anda mungkin perlu menulis skrip kustom atau menggunakan alat pihak ketiga untuk mengimplementasikan audit dan penerapan konfigurasi.

Implementasi Azure dan konteks tambahan:

Panduan AWS: Gunakan aturan AWS Config untuk mengaudit konfigurasi sumber daya AWS Anda. Dan Anda dapat memilih untuk menyelesaikan penyimpangan konfigurasi menggunakan AWS Systems Manager Automation yang terkait dengan aturan AWS Config. Gunakan Amazon CloudWatch untuk membuat pemberitahuan ketika ada penyimpangan konfigurasi yang terdeteksi pada sumber daya.

Untuk audit dan penegakan konfigurasi sumber daya yang tidak didukung oleh AWS Config, Anda mungkin perlu menulis skrip kustom atau menggunakan alat pihak ketiga untuk menerapkan audit dan penegakan konfigurasi.

Anda juga dapat memantau penyimpangan konfigurasi secara terpusat dengan onboarding akun AWS Anda ke Microsoft Defender for Cloud.

Implementasi AWS dan konteks tambahan:

Panduan GCP: Gunakan Google Cloud Security Command Center untuk mengonfigurasi GCP. Gunakan Google Cloud Monitoring di Operations Suite untuk membuat pemberitahuan saat ada penyimpangan konfigurasi yang terdeteksi pada sumber daya.

Untuk mengatur organisasi Anda, gunakan Kebijakan Organisasi untuk mempusatkan dan mengontrol sumber daya cloud organisasi Anda secara terprogram. Sebagai administrator kebijakan organisasi, Anda akan dapat mengonfigurasi batasan di seluruh hierarki sumber daya Anda.

Untuk audit dan penegakan konfigurasi sumber daya yang tidak didukung oleh Kebijakan Organisasi, Anda mungkin perlu menulis skrip kustom, atau menggunakan alat pihak ketiga untuk menerapkan audit dan penegakan konfigurasi.

Implementasi GCP dan konteks tambahan:

Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):

PV-3: Menentukan dan menetapkan konfigurasi aman untuk sumber daya komputasi

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID (identifikasi) ID PCI-DSS v3.2.1
4.1 CM-2, CM-6 2.2

Prinsip keamanan: Tentukan garis besar konfigurasi aman untuk sumber daya komputasi Anda, seperti VM dan kontainer. Gunakan alat manajemen konfigurasi untuk membuat garis besar konfigurasi secara otomatis sebelum atau selama penyebaran sumber daya komputasi sehingga lingkungan dapat mematuhi secara default setelah penyebaran. Atau, gunakan gambar yang telah dikonfigurasi sebelumnya untuk membangun garis besar konfigurasi yang diinginkan ke dalam templat gambar sumber daya komputasi.

Panduan Azure: Gunakan garis besar keamanan sistem operasi yang direkomendasikan Azure (untuk Windows dan Linux) sebagai tolok ukur untuk menentukan garis besar konfigurasi sumber daya komputasi Anda.

Selain itu, Anda dapat menggunakan gambar VM kustom (menggunakan Azure Image Builder) atau gambar kontainer dengan Konfigurasi Mesin Azure Automanage (sebelumnya disebut Konfigurasi Tamu Azure Policy) dan Konfigurasi Status Azure Automation untuk membuat konfigurasi keamanan yang diinginkan.

Implementasi Azure dan konteks tambahan:

Panduan AWS: Gunakan GAMBAR MESIN AWS EC2 (AMI) dari sumber tepercaya di marketplace sebagai tolok ukur untuk menentukan garis besar konfigurasi EC2 Anda.

Selain itu, Anda dapat menggunakan EC2 Image Builder untuk membangun templat AMI kustom dengan agen Systems Manager untuk membuat konfigurasi keamanan yang diinginkan. Catatan: Agen AWS Systems Manager telah diinstal sebelumnya pada beberapa Amazon Machine Images (ADI) yang disediakan oleh AWS.

Untuk aplikasi beban kerja yang berjalan dalam instans EC2, AWS Lambda, atau lingkungan kontainer, Anda dapat menggunakan AWS System Manager AppConfig untuk membuat garis besar konfigurasi yang diinginkan.

Implementasi AWS dan konteks tambahan:

Panduan GCP: Gunakan garis besar keamanan sistem operasi yang direkomendasikan Google Cloud (untuk Windows dan Linux) sebagai tolok ukur untuk menentukan garis besar konfigurasi sumber daya komputasi Anda.

Selain itu, Anda dapat menggunakan gambar VM kustom menggunakan Packer Image Builder, atau gambar kontainer dengan gambar kontainer Google Cloud Build untuk membuat garis besar konfigurasi yang diinginkan.

Implementasi GCP dan konteks tambahan:

Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):

PV-4: Mengaudit dan menerapkan konfigurasi aman untuk sumber daya komputasi

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID (identifikasi) ID PCI-DSS v3.2.1
4.1 CM-2, CM-6 2.2

Prinsip keamanan: Terus memantau dan memperingatkan ketika ada penyimpangan dari garis besar konfigurasi yang ditentukan di sumber daya komputasi Anda. Terapkan konfigurasi yang diinginkan sesuai dengan konfigurasi dasar dengan menolak konfigurasi yang tidak sesuai atau menyebarkan konfigurasi dalam sumber daya komputasi.

Panduan Azure: Gunakan Microsoft Defender for Cloud dan Azure Automanage Machine Configuration (sebelumnya disebut Azure Policy Guest Configuration) untuk menilai dan memulihkan penyimpangan konfigurasi secara teratur pada sumber daya komputasi Azure Anda, termasuk VM, kontainer, dan lainnya. Selain itu, Anda dapat menggunakan templat Azure Resource Manager, gambar sistem operasi kustom, atau Konfigurasi Status Azure Automation untuk mempertahankan konfigurasi keamanan sistem operasi. Templat Microsoft VM bersama dengan Konfigurasi Status Azure Automation dapat membantu memenuhi dan memelihara persyaratan keamanan. Gunakan Pelacakan Perubahan dan Inventarisasi di Azure Automation untuk melacak perubahan pada komputer virtual yang dihosting di Azure, lokal, dan lingkungan cloud lainnya untuk membantu Anda menentukan masalah operasional dan lingkungan dengan perangkat lunak yang dikelola oleh Manajer Paket Distribusi. Instal agen Pengesahan Tamu pada komputer virtual untuk memantau integritas boot pada komputer virtual rahasia.

Catatan: Gambar VM Marketplace Azure yang diterbitkan oleh Microsoft dikelola dan dirawat oleh Microsoft.

Implementasi Azure dan konteks tambahan:

Panduan AWS: Gunakan fitur State Manager AWS System Manager untuk menilai dan memulihkan penyimpangan konfigurasi secara teratur pada instans EC2 Anda. Selain itu, Anda dapat menggunakan templat CloudFormation, gambar sistem operasi kustom untuk mempertahankan konfigurasi keamanan sistem operasi. Templat AMI bersama dengan Systems Manager dapat membantu memenuhi dan memelihara persyaratan keamanan.

Anda juga dapat memantau dan mengelola penyimpangan konfigurasi sistem operasi secara terpusat melalui Konfigurasi Status Azure Automation dan onboard sumber daya yang berlaku ke tata kelola keamanan Azure menggunakan metode berikut:

  • Onboard akun AWS Anda ke Microsoft Defender for Cloud
  • Menggunakan Azure Arc untuk server untuk menyambungkan instans EC2 Anda ke Microsoft Defender for Cloud

Untuk aplikasi beban kerja yang berjalan dalam instans EC2 Anda, AWS Lambda atau lingkungan kontainer, Anda dapat menggunakan AWS System Manager AppConfig untuk mengaudit dan menerapkan garis besar konfigurasi yang diinginkan.

Catatan: AMI yang diterbitkan oleh Amazon Web Services di AWS Marketplace dikelola dan dipelihara oleh Amazon Web Services.

Implementasi AWS dan konteks tambahan:

Panduan GCP: Gunakan VM Manager dan Google Cloud Security Command Center untuk secara teratur menilai dan memperbaiki penyimpangan konfigurasi instans Google Compute Engine, kontainer, dan kontrak tanpa server Anda. Selain itu, Anda dapat menggunakan templat VM Deployment Manager, gambar sistem operasi kustom untuk mempertahankan konfigurasi keamanan sistem operasi. Templat templat VM Deployment Manager bersama dengan Manajer VM dapat membantu memenuhi dan memelihara persyaratan keamanan.

Anda juga dapat memantau dan mengelola penyimpangan konfigurasi sistem operasi secara terpusat melalui Konfigurasi Status Azure Automation dan onboard sumber daya yang berlaku ke tata kelola keamanan Azure menggunakan metode berikut:

  • Onboarding proyek GCP Anda ke Microsoft Defender for Cloud
  • Menggunakan Azure Arc untuk server untuk menyambungkan instans VM GCP Anda ke Microsoft Defender for Cloud

Implementasi GCP dan konteks tambahan:

Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):

PV-5: Melakukan penilaian kerentanan

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID (identifikasi) ID PCI-DSS v3.2.1
5.5, 7.1, 7.5, 7.6 RA-3, RA-5 6.1, 6.2, 6.6

Prinsip keamanan: Lakukan penilaian kerentanan untuk sumber daya cloud Anda di semua tingkatan dalam jadwal tetap atau sesuai permintaan. Lacak dan bandingkan hasil pemindaian untuk memverifikasi kerentanan diperbaiki. Penilaian harus mencakup semua jenis kerentanan, seperti kerentanan dalam layanan Azure, jaringan, web, sistem operasi, kesalahan konfigurasi, dan sebagainya.

Ketahui potensi risiko yang terkait dengan akses istimewa yang digunakan oleh pemindai kerentanan. Ikuti praktik terbaik keamanan akses istimewa untuk mengamankan akun administratif apa pun yang digunakan untuk pemindaian.

Panduan Azure: Ikuti rekomendasi dari Pertahanan Microsoft untuk Cloud untuk melakukan penilaian kerentanan pada komputer virtual Azure, gambar kontainer, dan server SQL Anda. Microsoft Defender for Cloud memiliki pemindai kerentanan bawaan untuk komputer virtual. Gunakan solusi pihak ketiga untuk melakukan penilaian kerentanan pada perangkat dan aplikasi jaringan (misalnya, aplikasi web)

Ekspor hasil pemindaian pada interval yang konsisten dan bandingkan hasil dengan pemindaian sebelumnya untuk memverifikasi bahwa kerentanan telah diperbaiki. Saat menggunakan rekomendasi manajemen kerentanan yang disarankan oleh Pertahanan Microsoft untuk Cloud, Anda dapat melakukan pivot ke portal solusi pemindaian yang dipilih untuk melihat data pemindaian historis.

Saat melakukan pemindaian jarak jauh, jangan gunakan satu akun administratif, abadi, dan abadi. Pertimbangkan untuk menerapkan metodologi provisi JIT (Just In Time) untuk akun pemindaian. Kredensial untuk akun pemindaian harus dilindungi, dipantau, dan digunakan hanya untuk pemindaian kerentanan.

Catatan: Layanan Pertahanan Microsoft (termasuk Defender untuk server, kontainer, App Service, Database, dan DNS) menyematkan kemampuan penilaian kerentanan tertentu. Pemberitahuan yang dihasilkan dari layanan Azure Defender harus dipantau dan ditinjau bersama dengan hasil dari alat pemindaian kerentanan Pertahanan Microsoft untuk Cloud.

Catatan: Pastikan Anda menyiapkan pemberitahuan email di Microsoft Defender for Cloud.

Implementasi Azure dan konteks tambahan:

Panduan AWS: Gunakan Amazon Inspector untuk memindai instans Amazon EC2 dan gambar kontainer Anda yang berada di Amazon Elastic Container Registry (Amazon ECR) untuk kerentanan perangkat lunak dan paparan jaringan yang tidak diinginkan. Gunakan solusi pihak ketiga untuk melakukan penilaian kerentanan pada perangkat dan aplikasi jaringan (misalnya, aplikasi web)

Lihat mengontrol ES-1, "Gunakan Deteksi dan Respons Titik Akhir (EDR)", untuk onboarding akun AWS Anda ke Microsoft Defender for Cloud dan sebarkan Pertahanan Microsoft untuk server (dengan Pertahanan Microsoft untuk Titik Akhir terintegrasi) di instans EC2 Anda. Pertahanan Microsoft untuk server menyediakan kemampuan manajemen ancaman dan kerentanan asli untuk VM Anda. Hasil pemindaian kerentanan akan dikonsolidasikan di dasbor Pertahanan Microsoft untuk Cloud.

Lacak status temuan kerentanan untuk memastikan temuan tersebut diremediasi atau ditekan dengan benar jika dianggap positif palsu.

Saat melakukan pemindaian jarak jauh, jangan gunakan satu akun administratif, abadi, dan abadi. Pertimbangkan untuk menerapkan metodologi provisi sementara untuk akun pemindaian. Kredensial untuk akun pemindaian harus dilindungi, dipantau, dan digunakan hanya untuk pemindaian kerentanan.

Implementasi AWS dan konteks tambahan:

Panduan GCP: Ikuti rekomendasi dari Microsoft Defender for Cloud atau/dan Google Cloud Security Command Center untuk melakukan penilaian kerentanan pada instans Mesin Komputasi Anda. Security Command Center memiliki penilaian kerentanan bawaan pada perangkat dan aplikasi jaringan (misalnya, Pemindai Keamanan Web)

Ekspor hasil pemindaian pada interval yang konsisten dan bandingkan hasil dengan pemindaian sebelumnya untuk memverifikasi bahwa kerentanan telah diperbaiki. Saat menggunakan rekomendasi manajemen kerentanan yang disarankan oleh Security Command Center, Anda dapat mempivot ke portal solusi pemindaian yang dipilih untuk melihat data pemindaian historis.

Implementasi GCP dan konteks tambahan:

Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):

PV-6: Memulihkan kerentanan dengan cepat dan otomatis

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID (identifikasi) ID PCI-DSS v3.2.1
7.2, 7.3, 7.4, 7.7 RA-3, RA-5, SI-2: REMEDIASI CACAT 6.1, 6.2, 6.5, 11.2

Prinsip keamanan: Menyebarkan patch dan pembaruan dengan cepat dan otomatis untuk memulihkan kerentanan di sumber daya cloud Anda. Gunakan pendekatan berbasis risiko yang sesuai untuk memprioritaskan remediasi kerentanan. Misalnya, kerentanan yang lebih parah dalam aset nilai yang lebih tinggi harus ditangani sebagai prioritas yang lebih tinggi.

Panduan Azure: Gunakan Manajemen Pembaruan Azure Automation atau solusi pihak ketiga untuk memastikan bahwa pembaruan keamanan terbaru diinstal pada VM Windows dan Linux Anda. Untuk VM Windows, pastikan Windows Update telah diaktifkan dan diatur untuk diperbarui secara otomatis.

Untuk perangkat lunak pihak ketiga, gunakan solusi manajemen patch pihak ketiga atau Penerbit Pembaruan Pusat Sistem Microsoft untuk Configuration Manager.

Implementasi Azure dan konteks tambahan:

Panduan AWS: Gunakan AWS Systems Manager - Patch Manager untuk memastikan bahwa pembaruan keamanan terbaru diinstal pada sistem operasi dan aplikasi Anda. Patch Manager mendukung garis besar patch untuk memungkinkan Anda menentukan daftar patch yang disetujui dan ditolak untuk sistem Anda.

Anda juga dapat menggunakan Azure Automation Update Management untuk mengelola patch dan pembaruan instans Windows dan Linux AWS EC2 Anda secara terpusat.

Untuk perangkat lunak pihak ketiga, gunakan solusi manajemen patch pihak ketiga atau Penerbit Pembaruan Pusat Sistem Microsoft untuk Configuration Manager.

Implementasi AWS dan konteks tambahan:

Panduan GCP: Gunakan manajemen patch OS Google Cloud VM Manager atau solusi pihak ketiga untuk memastikan bahwa pembaruan keamanan terbaru diinstal pada VM Windows dan Linux Anda. Untuk Windows VM, pastikan Windows Update telah diaktifkan dan diatur untuk diperbarui secara otomatis.

Untuk perangkat lunak pihak ketiga, gunakan solusi manajemen patch pihak ketiga atau Penerbit Pembaruan Pusat Sistem Microsoft untuk manajemen konfigurasi.

Implementasi GCP dan konteks tambahan:

Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):

PV-7: Menjalankan operasi tim merah reguler

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID (identifikasi) ID PCI-DSS v3.2.1
18.1, 18.2, 18.3, 18.4, 18.5 CA-8, RA-5 6.6, 11.2, 11.3

Prinsip keamanan: Simulasikan serangan dunia nyata untuk memberikan tampilan yang lebih lengkap tentang kerentanan organisasi Anda. Operasi tim merah dan pengujian penetrasi melengkapi pendekatan pemindaian kerentanan tradisional untuk menemukan risiko.

Ikuti praktik terbaik industri untuk merancang, menyiapkan, dan melakukan pengujian semacam ini untuk memastikannya tidak akan menyebabkan kerusakan atau gangguan pada lingkungan Anda. Ini harus selalu mencakup mendiskusikan cakupan pengujian dan batasan dengan pemangku kepentingan dan pemilik sumber daya yang relevan.

Panduan Azure: Sesuai kebutuhan, lakukan pengujian penetrasi atau aktivitas tim merah pada sumber daya Azure Anda dan pastikan remediasi semua temuan keamanan penting.

Ikuti Aturan Keterlibatan Pengujian Penetrasi Cloud Microsoft untuk memastikan pengujian penetrasi Anda tidak melanggar kebijakan Microsoft. Gunakan strategi microsoft dan eksekusi Red Teaming dan pengujian penetrasi situs langsung terhadap infrastruktur, layanan, dan aplikasi cloud yang dikelola Microsoft.

Implementasi Azure dan konteks tambahan:

Panduan AWS: Sesuai kebutuhan, lakukan pengujian penetrasi atau aktivitas tim merah pada sumber daya AWS Anda dan pastikan remediasi semua temuan keamanan penting.

Ikuti Kebijakan Dukungan Pelanggan AWS untuk Pengujian Penetrasi untuk memastikan pengujian penetrasi Anda tidak melanggar kebijakan AWS.

Implementasi AWS dan konteks tambahan:

Panduan GCP: Sesuai kebutuhan, lakukan pengujian penetrasi atau aktivitas tim merah pada sumber daya GCP Anda dan pastikan remediasi semua temuan keamanan penting.

Ikuti Kebijakan Dukungan Pelanggan GCP untuk Pengujian Penetrasi untuk memastikan pengujian penetrasi Anda tidak melanggar kebijakan GCP.

Implementasi GCP dan konteks tambahan:

Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):