Bagikan melalui


Kontrol Keamanan v3: Tata kelola dan strategi

Tata Kelola dan Strategi menyediakan panduan untuk memastikan strategi keamanan yang koheren dan pendekatan tata kelola yang terdokumentasi untuk memandu dan mempertahankan jaminan keamanan, termasuk menetapkan peran dan tanggung jawab untuk berbagai fungsi keamanan cloud, strategi teknis terpadu, serta mendukung kebijakan dan standar.

GS-1: Menyelaraskan peran, tanggung jawab, dan akuntabilitas organisasi

ID CIS Controls v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS v3.2.1
+14.9 PL-9, PM-10, PM-13, AT-1, AT-3 02/04/2021

Panduan Azure: Pastikan Anda menentukan dan mengomunikasikan strategi yang jelas untuk peran dan tanggung jawab dalam organisasi keamanan Anda. Prioritaskan memberikan akuntabilitas yang jelas untuk keputusan keamanan, mendidik semua orang tentang model tanggung jawab bersama, dan mendidik tim teknis tentang teknologi untuk mengamankan cloud.

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):

GS-2: Menentukan dan menerapkan strategi segmentasi/pemisahan tugas perusahaan

ID CIS Controls v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS v3.2.1
3.12 AC-4, SC-7, SC-2 1.2, 6.4

Panduan Azure: Bangun strategi seluruh perusahaan untuk mengelompokkan akses ke aset menggunakan kombinasi identitas, jaringan, aplikasi, langganan, grup manajemen, dan kontrol lainnya.

Lakukan penyeimbangan kebutuhan pemisahan keamanan dengan kebutuhan yang memungkinkan operasi sistem harian dapat berkomunikasi satu sama lain dan mengakses data secara cermat.

Pastikan bahwa strategi segmentasi diterapkan secara konsisten pada beban kerja termasuk keamanan jaringan, model akses dan identitas, serta model akses/izin aplikasi, juga kontrol proses manusia.

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):

GS-3: Menentukan dan menerapkan strategi perlindungan data

ID CIS Controls v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS v3.2.1
3.1, 3.7, 3.12 AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2

Panduan Azure: Bangun strategi di seluruh perusahaan untuk perlindungan data di Azure:

  • Tentukan dan terapkan standar klasifikasi dan perlindungan data sesuai dengan standar manajemen data perusahaan dan kepatuhan terhadap peraturan untuk menentukan kontrol keamanan yang diperlukan bagi setiap tingkat klasifikasi data.
  • Siapkan hierarki manajemen sumber daya cloud yang selaras dengan strategi segmentasi perusahaan. Strategi segmentasi perusahaan juga harus diinformasikan oleh lokasi data dan sistem penting sensitif atau bisnis.
  • Tentukan dan terapkan prinsip zero-trust yang berlaku di lingkungan cloud Anda untuk menghindari penerapan kepercayaan berdasarkan lokasi jaringan dalam perimeter. Sebagai gantinya, gunakan klaim kepercayaan perangkat dan pengguna untuk mengalihkan akses ke data dan sumber daya.
  • Lacak dan minimalkan jejak data sensitif (penyimpanan, transmisi, dan pemrosesan) di seluruh perusahaan untuk mengurangi serangan permukaan dan biaya perlindungan data. Pertimbangkan teknik seperti hash satu arah, pemotongan, dan tokenisasi dalam beban kerja jika memungkinkan, untuk menghindari menyimpan dan mentransmisikan data sensitif dalam bentuk aslinya.
  • Pastikan Anda memiliki strategi kontrol siklus hidup penuh untuk memberikan jaminan keamanan data dan kunci akses.

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):

GS-4: Mendefinisikan dan menerapkan strategi keamanan jaringan

ID CIS Controls v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS v3.2.1
12.2, 12.4 AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2

Panduan Azure: Bangun strategi keamanan jaringan Azure sebagai bagian dari strategi keamanan kontrol akses organisasi Anda secara keseluruhan. Strategi ini harus mencakup panduan, kebijakan, dan standar yang didokumentasikan untuk beberapa elemen berikut:

  • Rancang manajemen jaringan terpusat/terdesentralisasi dan model tanggung jawab keamanan untuk menyebarkan dan memelihara sumber daya jaringan.
  • Model segmentasi jaringan virtual yang selaras dengan strategi segmentasi perusahaan.
  • Strategi ingress dan egress serta tepi internet.
  • Strategi interkonektivitas lokal dan cloud hibrida.
  • Strategi pengelogan dan pemantauan jaringan.
  • Artefak keamanan jaringan terkini (seperti diagram jaringan, arsitektur jaringan referensi).

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):

GS-5: Menentukan dan menerapkan strategi manajemen postur keamanan

ID CIS Controls v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS v3.2.1
4.1, 4.2 CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5

Panduan Azure: Bangun kebijakan, prosedur, dan standar untuk memastikan manajemen konfigurasi keamanan dan manajemen kerentanan ada di mandat keamanan cloud Anda.

Manajemen konfigurasi keamanan di Azure harus mencakup area berikut:

  • Tentukan garis besar konfigurasi yang aman untuk berbagai jenis sumber daya di cloud, seperti portal Microsoft Azure, bidang manajemen dan sarana kontrol, serta sumber daya yang berjalan di layanan IaaS, PaaS, dan SaaS.
  • Pastikan garis besar keamanan mengatasi risiko di berbagai area kontrol seperti keamanan jaringan, manajemen identitas, akses hak istimewa, perlindungan data, dan sebagainya.
  • Gunakan alat untuk terus mengukur, mengaudit, dan menerapkan konfigurasi guna mencegah konfigurasi menyimpang dari garis besar.
  • Kembangkan pola untuk tetap mendapatkan informasi terkini terkait fitur keamanan Azure, misalnya, berlangganan pembaruan layanan.
  • Manfaatkan Skor Aman di Azure Defender untuk Cloud guna meninjau postur konfigurasi keamanan Azure secara teratur dan memulihkan celah yang diidentifikasi.

Manajemen kerentanan di Azure harus mencakup aspek keamanan berikut:

  • Secara teratur menilai dan memulihkan kerentanan di semua jenis sumber daya cloud, seperti layanan asli Azure, sistem operasi, dan komponen aplikasi.
  • Gunakan pendekatan berbasis risiko untuk memprioritaskan penilaian dan remediasi.
  • Berlangganan pemberitahuan dan blog nasihat keamanan Microsoft/Azure yang relevan untuk menerima pembaruan keamanan terbaru terkait Azure.
  • Pastikan remediasi dan penilaian kerentanan (seperti jadwal, cakupan, dan teknik) memenuhi persyaratan kepatuhan secara teratur untuk organisasi Anda.

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):

GS-6: Menentukan dan menerapkan strategi akses hak istimewa dan identitas

ID CIS Controls v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS v3.2.1
5.6, 6.5, 6.7 AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4

Panduan: Bangun pendekatan akses hak istimewa dan identitas Azure sebagai bagian dari strategi kontrol akses keamanan organisasi Anda secara keseluruhan. Strategi ini akan mencakup panduan, kebijakan, dan standar yang terdokumentasi untuk beberapa elemen berikut:

  • Sistem autentikasi dan identitas terpusat (Microsoft Azure AD) serta interkonektivitasnya dengan sistem identitas internal dan eksternal lainnya
  • Tata kelola akses dan identitas hak istimewa (seperti permintaan akses, peninjauan, dan persetujuan)
  • Akun dengan hak istimewa dalam situasi darurat (break-glass)
  • Metode autentikasi yang kuat (autentikasi tanpa kata sandi dan autentikasi multifaktor) dalam berbagai kasus dan kondisi penggunaan
  • Amankan akses berdasarkan operasi administratif melalui portal Microsoft Azure, CLI, dan API.

Untuk kasus pengecualian, jika sistem perusahaan tidak digunakan, pastikan kontrol keamanan yang memadai berlaku untuk identitas, manajemen akses dan autentikasi, serta tata kelola. Pengecualian ini harus disetujui dan ditinjau secara berkala oleh tim perusahaan. Pengecualian ini biasanya dalam kasus-kasus seperti:

  • Penggunaan sistem autentikasi dan identitas yang ditunjuk non-perusahaan, seperti sistem pihak ketiga berbasis cloud (dapat memberikan risiko yang tidak diketahui)
  • Pengguna istimewa yang diautentikasi secara lokal dan/atau menggunakan metode autentikasi yang tidak kuat

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):

GS-7: Menentukan dan menerapkan strategi pengelogan, deteksi ancaman, dan respons insiden

ID CIS Controls v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS v3.2.1
8.1, 13.1, 17.2, 17.4,17.7 AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5

Panduan Azure: Bangun strategi pengelogan, deteksi ancaman, dan respons ancaman untuk mendeteksi dan memulihkan ancaman dengan cepat serta memenuhi persyaratan kepatuhan. Tim operasi keamanan (SecOps /SOC) harus memprioritaskan peringatan berkualitas tinggi dan pengalaman tanpa batas sehingga mereka dapat fokus pada ancaman daripada integrasi log dan langkah-langkah manual.

Strategi ini akan mencakup panduan, kebijakan, dan standar yang terdokumentasi untuk beberapa elemen berikut:

  • Peran dan tanggung jawab organisasi operasi keamanan (SecOps)
  • Proses penanganan dan rencana respons insiden yang terdefinisi dengan baik dan diuji secara teratur yang selaras dengan NIST atau kerangka kerja industri lainnya.
  • Rencana komunikasi dan notifikasi dengan pelanggan, pemasok, dan pihak publik yang berkepentingan.
  • Preferensi menggunakan kemampuan deteksi dan respons yang diperluas (XDR) seperti kemampuan Azure Defender untuk mendeteksi ancaman di berbagai area.
  • Penggunaan platform pihak ketiga dan kemampuan asli Azure (misalnya, Microsoft Defender untuk Cloud) untuk penanganan insiden, seperti pengelogan dan deteksi ancaman, forensik, serta remediasi dan pemberantasan serangan.
  • Menentukan skenario utama (seperti deteksi ancaman, respons insiden, dan kepatuhan) dan menyiapkan pengambilan dan retensi log untuk memenuhi persyaratan skenario.
  • Visibilitas terpusat dan informasi korelasi terkait ancaman, menggunakan SIEM, kemampuan deteksi ancaman Azure asli, dan sumber lainnya.
  • Aktivitas pasca-insiden, seperti pelajaran yang dipelajari dan retensi bukti.

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):

GS-8: Menentukan dan Menerapkan strategi pencadangan dan pemulihan

ID CIS Controls v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS v3.2.1
11.1 CP-1, CP-9, CP-10 3.4

Panduan Azure: Bangun strategi pencadangan dan pemulihan Azure untuk organisasi Anda. Strategi ini akan mencakup panduan, kebijakan, dan standar yang terdokumentasi untuk beberapa elemen berikut:

  • Definisi tujuan waktu pemulihan (RTO) dan tujuan titik pemulihan (RPO) sesuai dengan tujuan ketahanan bisnis Anda dan persyaratan kepatuhan terhadap peraturan.
  • Desain redundansi (termasuk pencadangan, pemulihan, dan replikasi) dalam aplikasi dan infrastruktur Anda baik di cloud maupun lokal. Pertimbangkan pemulihan regional, pasangan wilayah, lintas regional dan lokasi penyimpanan di luar situs sebagai bagian dari strategi Anda.
  • Perlindungan pencadangan dari tempering dan akses yang tidak sah menggunakan kontrol seperti kontrol akses data, enkripsi, dan keamanan jaringan.
  • Penggunaan pencadangan dan pemulihan untuk mengurangi risiko dari ancaman yang muncul, seperti serangan ransomware. Dan juga mengamankan data cadangan dan pemulihan itu sendiri dari serangan ini.
  • Memantau operasi dan data pemulihan serta pencadangan untuk tujuan audit dan peringatan.

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):

GS-9: Mendefinisikan dan menerapkan strategi keamanan titik akhir

ID CIS Controls v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS v3.2.1
4.4, 10.1 SI-2, SI-3, SC-3 5.1, 5.2, 5.3, 5.4, 11.5

Panduan Azure: Bangun strategi keamanan titik akhir cloud yang mencakup aspek-aspek berikut:

  • Terapkan kemampuan antimalware dan respons serta deteksi titik akhir ke titik akhir Anda dan integrasikan dengan deteksi ancaman dan solusi SIEM serta proses operasi keamanan.
  • Ikuti Azure Security Benchmark untuk memastikan pengaturan keamanan terkait titik akhir di area lain masing-masing (seperti keamanan jaringan, manajemen kerentanan postur, identitas, dan akses hak istimewa, serta deteksi ancaman dan pengelogan) juga tersedia untuk memberikan perlindungan mendalam terhadap titik akhir Anda.
  • Prioritaskan keamanan titik akhir di lingkungan produksi Anda, tetapi pastikan lingkungan non-produksi (seperti lingkungan pengujian dan build yang digunakan dalam proses DevOps) juga aman dan dipantau, karena lingkungan ini juga dapat digunakan untuk memberikan malware dan kerentanan ke dalam produksi.

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):

GS-10: Mendefinisikan dan menerapkan strategi keamanan DevOps

ID CIS Controls v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS v3.2.1
4.1, 4.2, 16.1, 16.2 SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2

Panduan Azure: Mandatkan kontrol keamanan sebagai bagian dari standar operasi dan rekayasa DevOps organisasi. Tentukan tujuan keamanan, persyaratan kontrol, dan spesifikasi alat sesuai dengan standar keamanan perusahaan dan cloud di organisasi Anda.

Dorong penggunaan DevOps sebagai model operasi penting dalam organisasi Anda untuk manfaatnya dalam mengidentifikasi dan memulihkan kerentanan dengan cepat menggunakan berbagai jenis otomatisasi (seperti infrastruktur sebagai penyediaan kode, dan pemindaian SAST serta DAST secara otomatis) di seluruh alur kerja CI/CD. Pendekatan 'shift left' ini juga meningkatkan visibilitas dan kemampuan untuk menerapkan pemeriksaan keamanan yang konsisten pada alur penyebaran Anda, secara efektif menyebarkan pagar pengaman keamanan ke lingkungan terlebih dahulu guna menghindari kejutan keamanan di menit terakhir ketika menyebarkan beban kerja ke dalam produksi.

Saat menggeser kontrol keamanan yang tersisa ke fase pra-penerapan, terapkan pagar pengaman keamanan untuk memastikan kontrol disebarkan dan diterapkan di seluruh proses DevOps Anda. Teknologi ini dapat mencakup templat ARM Azure untuk menentukan pagar pembatas di IaC (infrastruktur sebagai kode), provisi sumber daya, dan Azure Policy untuk mengaudit serta membatasi layanan atau konfigurasi mana yang dapat diprovisikan ke lingkungan.

Untuk kontrol keamanan run-time beban kerja Anda, ikuti Azure Security Benchmark untuk merancang dan menerapkan kontrol yang efektif, seperti identitas dan akses istimewa, keamanan jaringan, keamanan titik akhir, dan perlindungan data di dalam aplikasi dan layanan beban kerja Anda.

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):