Kontrol Keamanan V2: Keamanan Jaringan
Catatan
Tolok Ukur Keamanan Azure terbaru tersedia di sini.
Keamanan Jaringan mencakup kontrol untuk mengamankan dan melindungi jaringan Azure. Ini termasuk mengamankan jaringan virtual, membangun koneksi privat, mencegah dan mengurangi serangan eksternal, dan mengamankan DNS.
Untuk melihat Azure Policy bawaan yang berlaku, lihat Perincian inisiatif bawaan Kepatuhan Terhadap Peraturan Tolok Ukur Keamanan Azure: Keamanan Jaringan
NS-1: Menerapkan keamanan untuk lalu lintas internal
| Azure ID | CIS Controls v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| NS-1 | 9.2, 9.4, 14.1, 14.2, 14.3 | AC-4, CA-3, SC-7 |
Pastikan bahwa semua jaringan virtual Azure mengikuti prinsip segmentasi perusahaan yang selaras dengan risiko bisnis. Sistem apa pun yang dapat menimbulkan risiko lebih tinggi bagi organisasi harus diisolasi dalam jaringan virtualnya sendiri dan diamankan dengan baik, dengan kelompok keamanan jaringan (NSG) dan/atau Azure Firewall.
Berdasarkan aplikasi dan strategi segmentasi perusahaan Anda, batasi atau izinkan lalu lintas antara sumber daya internal berdasarkan aturan kelompok keamanan jaringan. Untuk aplikasi tertentu yang didefinisikan dengan baik (seperti aplikasi 3 tingkat), ini bisa menjadi pendekatan yang sangat aman "tolak secara default, izinkan dengan pengecualian". Mungkin tidak menskalakan dengan baik jika Anda memiliki banyak aplikasi dan titik akhir yang berinteraksi satu sama lain. Anda juga dapat menggunakan Azure Firewall dalam keadaan di mana manajemen pusat diperlukan atas sejumlah besar segmen atau spoke perusahaan (dalam topologi hub/spoke).
Gunakan Penguatan Jaringan Adaptif Azure Security Center untuk merekomendasikan konfigurasi grup keamanan jaringan yang membatasi port dan IP sumber berdasarkan aturan lalu lintas jaringan eksternal.
Menggunakan Azure Sentinel untuk menemukan penggunaan protokol tidak aman warisan seperti SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, Ikatan LDAP Tidak Bertanda, dan sandi lemah di Kerberos.
Tanggung Jawab: Pelanggan
Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):
NS-2: Menyambungkan jaringan privat bersama-sama
| Azure ID | CIS Controls v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| NS-2 | T/A | CA-3, AC-17, MA-4 |
Gunakan Azure ExpressRoute atau jaringan privat virtual (VPN) Azure untuk membuat koneksi privat antara pusat data Azure dan infrastruktur lokal di lingkungan kolokasi. Koneksi ExpressRoute tidak melalui internet publik, dan mereka menawarkan lebih banyak keandalan, kecepatan yang lebih cepat, dan latensi yang lebih rendah daripada koneksi internet biasa. Untuk VPN titik-ke-situs dan VPN situs-ke-situs, Anda dapat menyambungkan perangkat atau jaringan lokal ke jaringan virtual menggunakan kombinasi opsi VPN ini dan Azure ExpressRoute.
Untuk menghubungkan dua jaringan virtual atau lebih di Azure bersama-sama, gunakan peering jaringan virtual atau Private Link. Lalu lintas jaringan antara jaringan virtual yang diserekankan bersifat privat dan disimpan di jaringan backbone Azure.
Tanggung Jawab: Pelanggan
Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):
NS-3: Membangun akses jaringan privat ke layanan Azure
| Azure ID | CIS Controls v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| NS-3 | 14.1 | AC-4, CA-3, SC-7 |
Gunakan Azure Private Link untuk mengaktifkan akses privat ke layanan Azure dari jaringan virtual Anda, tanpa melintasi internet. Dalam situasi di mana Azure Private Link belum tersedia, gunakan titik akhir layanan Azure Virtual Network. Titik akhir layanan Azure Virtual Network menyediakan akses aman ke layanan melalui rute yang dioptimalkan melalui jaringan backbone Azure.
Akses privat adalah ukuran mendalam pertahanan tambahan selain autentikasi dan keamanan lalu lintas yang ditawarkan oleh layanan Azure.
Tanggung Jawab: Pelanggan
Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):
NS-4: Melindungi aplikasi dan layanan dari serangan jaringan eksternal
| Azure ID | CIS Controls v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| NS-4 | 9.5, 12.3, 12.9 | SC-5, SC-7 |
Lindungi sumber daya Azure dari serangan dari jaringan eksternal, termasuk Serangan penolakan layanan terdistribusi (DDoS), serangan khusus aplikasi, dan lalu lintas internet yang tidak diinginkan dan berpotensi berbahaya. Azure menyertakan kemampuan asli untuk ini:
Gunakan Azure Firewall untuk melindungi aplikasi dan layanan dari lalu lintas yang berpotensi berbahaya dari internet dan lokasi eksternal lainnya.
Gunakan kemampuan Web Application Firewall (WAF) di Azure Application Gateway, Azure Front Door, dan Azure Content Delivery Network (CDN) untuk melindungi aplikasi, layanan, dan API Anda dari serangan lapisan aplikasi.
Lindungi aset dari serangan DDoS dengan mengaktifkan perlindungan standar DDoS di jaringan virtual Azure Anda.
Gunakan Azure Security Center untuk mendeteksi risiko kesalahan konfigurasi yang terkait dengan hal di atas.
Mengelola Azure DDoS Protection Standard menggunakan portal Microsoft Azure
Tanggung Jawab: Pelanggan
Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):
NS-5: Menyebarkan sistem deteksi intrusi/sistem pencegahan intrusi (IDS/IPS)
| Azure ID | CIS Controls v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| NS-5 | 12.6, 12.7 | SI-4 |
Gunakan pemfilteran berbasis kecerdasan ancaman Azure Firewall untuk pemberitahuan dan/atau memblokir lalu lintas ke dan dari alamat IP dan domain yang diketahui berbahaya. Alamat IP dan domain bersumber dari umpan Inteligensi Ancaman Microsoft. Saat pemeriksaan payload diperlukan, Anda dapat menggunakan fitur IDPS Premium Azure Firewall atau menyebarkan sistem deteksi intrusi/pencegahan intrusi (IDS/IPS) pihak ketiga dari Marketplace Azure dengan kemampuan inspeksi payload. Secara bergantian, Anda dapat menggunakan IDS/IPS berbasis host atau solusi deteksi dan respons titik akhir berbasis host (EDR) bersama dengan atau alih-alih IDS/IPS berbasis jaringan.
Catatan: Jika Anda memiliki peraturan atau persyaratan lain untuk penggunaan IDS/IPS, pastikan selalu disetel untuk memberikan pemberitahuan berkualitas tinggi pada solusi SIEM Anda.
Tanggung Jawab: Pelanggan
Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):
NS-6: Menyederhanakan aturan keamanan jaringan
| Azure ID | CIS Controls v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| NS-6 | 1.5 | IA-4 |
Sederhanakan aturan keamanan jaringan dengan memanfaatkan tag layanan dan kelompok keamanan aplikasi (ASG).
Gunakan tag layanan Virtual Network untuk menentukan kontrol akses jaringan pada kelompok keamanan jaringan atau Azure Firewall. Anda dapat menggunakan tag layanan sebagai pengganti alamat IP tertentu saat membuat aturan keamanan. Dengan menentukan nama tag layanan di bidang sumber atau tujuan aturan, Anda dapat mengizinkan atau menolak lalu lintas untuk layanan yang sesuai. Microsoft mengelola awalan alamat yang dicakup oleh tag layanan dan memperbarui secara otomatis tag layanan saat alamat berubah.
Anda juga dapat menggunakan kelompok keamanan aplikasi untuk membantu menyederhanakan konfigurasi keamanan yang kompleks. Alih-alih mendefinisikan kebijakan berdasarkan alamat IP eksplisit dalam kelompok keamanan jaringan, kelompok keamanan aplikasi memungkinkan Anda untuk mengonfigurasi keamanan jaringan sebagai ekstensi alami struktur aplikasi, memungkinkan Anda untuk mengelompokkan komputer virtual dan menentukan kebijakan keamanan jaringan berdasarkan grup tersebut.
Tanggung Jawab: Pelanggan
Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):
NS-7: Layanan Nama Domain (DNS) yang Aman
| Azure ID | CIS Controls v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| NS-7 | T/A | SC-20, SC-21 |
Ikuti praktik terbaik untuk keamanan DNS untuk mengurangi serangan umum seperti DNS yang menggantung, serangan amplifikasi DNS, peracunan dan spoofing DNS, dll.
Saat Azure DNS digunakan sebagai layanan DNS otoritatif Anda, pastikan zona dan catatan DNS dilindungi dari modifikasi yang tidak disengaja atau berbahaya menggunakan Azure RBAC dan kunci sumber daya.
Tanggung Jawab: Pelanggan
Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):