Kontrol Keamanan v3: Manajemen identitas
Manajemen Identitas mencakup kontrol untuk membuat identitas yang aman dan kontrol akses menggunakan Azure Active Directory, termasuk penggunaan akses menyeluruh, autentikasi yang kuat, identitas terkelola (dan perwakilan layanan) untuk aplikasi, akses bersyarat, dan pemantauan anomali akun.
IM-1: Menggunakan identitas dan sistem autentikasi terpusat
| CIS Mengontrol ID v8 | NIST SP 800-53 r4 ID(s) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 6.7, 12.5 | AC-2, AC-3, IA-2, IA-8 | 7.2, 8.3 |
Prinsip Keamanan: Gunakan sistem identitas dan autentikasi terpusat untuk mengatur identitas dan autentikasi organisasi Anda untuk sumber daya cloud dan non-cloud.
Panduan Azure: Azure Active Directory (Azure AD) adalah layanan manajemen identitas dan autentikasi Azure. Anda harus membuat standar di Azure AD untuk mengatur identitas dan autentikasi organisasi Anda di:
- Sumber daya Microsoft cloud, seperti Azure Storage, Microsoft Azure Virtual Machines (Linux dan Windows), Azure Key Vault, PaaS, dan aplikasi SaaS.
- Sumber daya organisasi Anda, seperti aplikasi di Azure, aplikasi pihak ketiga yang berjalan pada sumber daya jaringan perusahaan Anda, dan aplikasi SaaS pihak ketiga.
- Identitas perusahaan Anda di AD DS dengan sinkronisasi ke Azure AD untuk memastikan strategi identitas yang konsisten dan dikelola secara terpusat.
Catatan: Sesegera mungkin ketika bisa dilakukan secara teknis, Anda harus memigrasikan aplikasi berbasis Active Directory lokal ke Azure AD. Bisa jadi konfigurasi Direktori Enterprise Azure AD, Bisnis ke Bisnis, atau Bisnis ke pelanggan.
Implementasi dan konteks tambahan:
- Penyewaan di Microsoft Azure AD
- Cara membuat dan mengonfigurasi instans Microsoft Azure AD
- Menetapkan penyewa Microsoft Azure AD
- Menggunakan penyedia identitas eksternal untuk aplikasi
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
IM-2: Melindungi sistem identitas dan autentikasi
| CIS Mengontrol ID v8 | NIST SP 800-53 r4 ID(s) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 5.4, 6.5 | AC-2, AC-3, IA-2, IA-8, SI-4 | 8.2, 8.3 |
Prinsip Keamanan: Amankan identitas dan sistem autentikasi Anda sebagai prioritas tinggi dalam praktik keamanan cloud organisasi Anda. Kontrol keamanan umum meliputi:
- Membatasi peran dan akun istimewa
- Memerlukan autentikasi yang kuat untuk semua akses istimewa
- Memantau dan mengaudit aktivitas berisiko tinggi
Panduan Azure: Gunakan garis besar keamanan Azure AD dan Skor Aman Identitas Azure AD untuk mengevaluasi postur keamanan identitas Azure AD Anda, serta memulihkan celah keamanan dan konfigurasi. Skor Aman Identitas Azure AD mengevaluasi Azure AD untuk konfigurasi berikut: -Gunakan peran administratif terbatas
- Mengaktifkan kebijakan risiko pengguna
- Menetapkan lebih dari satu admin global
- Mengaktifkan kebijakan untuk memblokir autentikasi warisan
- Memastikan semua pengguna dapat menyelesaikan autentikasi multifaktor untuk akses aman
- Mewajibkan MFA untuk peran administratif
- Mengaktifkan reset kata sandi mandiri
- Jangan mebuat kata sandi kedaluwarsa
- Mengaktifkan kebijakan risiko proses masuk
- Jangan izinkan pengguna memberikan persetujuan untuk aplikasi yang tidak dikelola
Catatan: Ikuti praktik terbaik yang dipublikasikan untuk semua komponen identitas lainnya, termasuk Active Directory lokal dan kemampuan pihak ketiga, dan infrastruktur (seperti sistem operasi, jaringan, database) yang menghostingnya.
Implementasi dan konteks tambahan:
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
IM-3: Mengelola identitas aplikasi dengan aman dan otomatis
| CIS Mengontrol ID v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| T/A | AC-2, AC-3, IA-4, IA-5, IA-9 | T/A |
Prinsip Keamanan: Gunakan identitas aplikasi terkelola, bukan membuat akun manusia untuk aplikasi guna mengakses sumber daya dan menjalankan kode. Identitas aplikasi terkelola memberikan manfaat seperti mengurangi pemaparan info masuk. Otomatiskan rotasi info masuk untuk memastikan keamanan info masuk.
Panduan: Gunakan identitas terkelola Azure, yang dapat mengautentikasi ke layanan Azure dan sumber daya yang mendukung autentikasi Microsoft Azure Active Directory. Info masuk identitas terkelola sepenuhnya dikelola, diputar, dan dilindungi oleh platform, menghindari info masuk yang dikodekan secara permanen dalam kode sumber atau file konfigurasi.
Untuk layanan yang tidak mendukung identitas terkelola, gunakan Microsoft Azure Active Directory untuk membuat perwakilan layanan dengan izin terbatas di tingkat sumber daya. Disarankan untuk mengonfigurasi perwakilan layanan dengan info masuk sertifikat dan kembali ke rahasia klien untuk autentikasi.
Implementasi dan konteks tambahan:
- Identitas terkelola Azure
- Layanan yang mendukung identitas terkelola untuk sumber daya Azure
- Perwakilan layanan Azure
- Membuat perwakilan layanan dengan sertifikat
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
IM-4: Mengautentikasi server dan layanan
| CIS Mengontrol ID v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| T/A | IA-9 | T/A |
Prinsip Keamanan: Autentikasi server dan layanan jarak jauh dari sisi klien Anda untuk memastikan Anda terhubung ke server dan layanan tepercaya. Protokol autentikasi server yang paling umum adalah Keamanan Lapisan Transportasi (TLS), di mana sisi klien (sering kali browser atau perangkat klien) memverifikasi server dengan memverifikasi sertifikat server yang dikeluarkan oleh otoritas sertifikat tepercaya.
Catatan: Autentikasi timbal balik dapat digunakan saat server dan klien mengautentikasi satu sama lain.
Panduan Azure: Banyak layanan Azure mendukung autentikasi TLS secara default. Untuk layanan yang mendukung TLS mengaktifkan/menonaktifkan switch oleh pengguna, pastikan selalu diaktifkan untuk mendukung autentikasi server/layanan. Aplikasi klien Anda juga harus dirancang untuk memverifikasi identitas server/layanan (dengan memverifikasi sertifikat server yang dikeluarkan oleh otoritas sertifikat tepercaya) pada tahap jabat tangan.
Implementasi dan konteks tambahan:
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
IM-5: Gunakan akses menyeluruh (SSO) untuk akses aplikasi
| CIS Mengontrol ID v8 | NIST SP 800-53 r4 ID(s) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 12,5 | IA-4, IA-2, IA-8 | T/A |
Prinsip Keamanan: Gunakan akses menyeluruh (SSO) untuk menyederhanakan pengalaman pengguna untuk diautentikasi ke sumber daya termasuk aplikasi dan data di seluruh layanan cloud dan lingkungan lokal.
Panduan Azure: Gunakan Azure AD untuk akses aplikasi beban kerja melalui akses menyeluruh Azure AD (SSO), serta menghilangkan kebutuhan untuk beberapa akun. Azure AD menyediakan manajemen identitas dan akses ke sumber daya Azure (bidang manajemen termasuk CLI, PowerShell, portal), aplikasi cloud, dan aplikasi lokal.
Azure AD mendukung SSO untuk identitas perusahaan seperti identitas pengguna perusahaan, serta identitas pengguna eksternal dari pengguna pihak ketiga dan publik tepercaya.
Implementasi dan konteks tambahan:
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
IM-6: Menggunakan kontrol autentikasi kuat
| CIS Mengontrol ID v8 | NIST SP 800-53 r4 ID(s) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 6.3, 6.4 | AC-2, AC-3, IA-2, IA-5, IA-8 | 7.2, 8.2, 8.3, 8.4 |
Prinsip Keamanan: Terapkan kontrol autentikasi yang kuat (autentikasi tanpa kata sandi yang kuat atau autentikasi multifaktor) dengan sistem manajemen identitas dan autentikasi terpusat Anda untuk semua akses ke sumber daya. Autentikasi berdasarkan info masuk kata sandi saja dianggap sebagai warisan, karena tidak aman dan tidak tahan terhadap metode serangan populer.
Saat menyebarkan autentikasi yang kuat, konfigurasikan administrator dan pengguna istimewa terlebih dahulu, untuk memastikan tingkat tertinggi dari metode autentikasi yang kuat, dengan cepat diikuti dengan meluncurkan kebijakan autentikasi kuat yang sesuai untuk semua pengguna.
Catatan: Jika autentikasi berbasis kata sandi warisan diperlukan untuk aplikasi dan skenario warisan, pastikan untuk mengikuti praktik terbaik keamanan kata sandi seperti persyaratan kompleksitas.
Panduan Azure: Azure AD mendukung kontrol autentikasi yang kuat melalui metode tanpa kata sandi dan autentikasi multifaktor (MFA).
- Autentikasi tanpa kata sandi: Gunakan autentikasi tanpa kata sandi sebagai metode autentikasi default Anda. Ada tiga opsi yang tersedia dalam autentikasi tanpa kata sandi: Windows Hello untuk Bisnis, masuk melalui aplikasi Microsoft Authenticator, dan FIDO 2Keys. Selain itu, pelanggan dapat menggunakan metode autentikasi lokal seperti kartu pintar.
- Autentikasi multifaktor: Azure MFA dapat diterapkan pada semua pengguna, pengguna tertentu, atau pada tingkat per pengguna berdasarkan kondisi masuk dan faktor risiko. Aktifkan Azure MFA dan ikuti rekomendasi identitas dan manajemen akses Azure Defender untuk Cloud untuk penyiapan MFA Anda.
Jika autentikasi berbasis kata sandi warisan masih digunakan untuk autentikasi Microsoft Azure AD, perhatikan bahwa akun khusus cloud (akun pengguna yang dibuat langsung di Azure) memiliki kebijakan kata sandi garis besar default. Dan akun hibrid (akun pengguna yang berasal dari Active Directory lokal) mengikuti kebijakan kata sandi lokal.
Untuk aplikasi dan layanan pihak ketiga yang mungkin memiliki ID dan kata sandi default, Anda harus menonaktifkan atau mengubahnya selama penyiapan layanan awal.
Implementasi dan konteks tambahan:
- Cara mengaktifkan MFA di Azure
- Pengantar opsi autentikasi tanpa kata sandi untuk Microsoft Azure Active Directory
- Kebijakan kata sandi default Microsoft Azure AD
- Menghilangkan kata sandi yang buruk menggunakan Perlindungan Kata Sandi Azure AD
- Memblokir autentikasi warisan
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
IM-7: Membatasi akses sumber daya berdasarkan kondisi
| CIS Mengontrol ID v8 | NIST SP 800-53 r4 ID(s) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.3, 6.4, 13.5 | AC-2, AC-3, AC-6 | 7.2 |
Prinsip Keamanan: Validasi secara eksplisit sinyal tepercaya untuk memungkinkan atau menolak akses pengguna ke sumber daya, sebagai bagian dari model akses zero-trust. Sinyal untuk memvalidasi harus mencakup autentikasi yang kuat dari akun pengguna, analisis perilaku akun pengguna, kepercayaan perangkat, keanggotaan pengguna atau kelompok, lokasi dan sebagainya.
Panduan Azure: Gunakan akses bersyarat Azure AD untuk kontrol akses yang lebih terperinci berdasarkan kondisi yang ditentukan pengguna, seperti mengharuskan pengguna masuk dari rentang IP (atau perangkat) tertentu untuk menggunakan MFA. Akses Bersyarat Azure AD memungkinkan Anda memberlakukan kontrol akses pada aplikasi organisasi Anda berdasarkan kondisi tertentu.
Tentukan kondisi dan kriteria yang berlaku untuk akses bersyarat Azure AD di beban kerja. Pertimbangkan kasus penggunaan umum berikut:
- Memerlukan autentikasi multifaktor untuk pengguna dengan peran administratif
- Memerlukan autentikasi multifaktor untuk tugas manajemen Azure
- Memblokir proses masuk untuk pengguna yang mencoba menggunakan protokol autentikasi yang lama
- Memerlukan lokasi tepercaya untuk pendaftaran Autentikasi MultiFaktor Azure AD
- Memblokir atau memberikan akses dari lokasi tertentu
- Memblokir perilaku proses masuk riskan
- Memerlukan perangkat yang dikelola organisasi untuk aplikasi tertentu
Catatan: Manajemen sesi autentikasi granular juga dapat digunakan melalui kebijakan akses bersyarat Azure AD untuk kontrol seperti frekuensi masuk dan sesi browser persisten.
Implementasi dan konteks tambahan:
- Ringkasan Akses Bersyarat Azure
- Kebijakan Akses Bersyarat Umum
- Wawasan dan pelaporan Akses Bersyarat
- Mengonfigurasikan pengelolaan sesi autentikasi dengan Akses Bersyarat
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
IM-8: Membatasi pemaparan info masuk dan rahasia
| CIS Mengontrol ID v8 | NIST SP 800-53 r4 ID(s) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 16.9, 16.12 | IA-5 | 3.5, 6.3, 8.2 |
Prinsip Keamanan: Pastikan pengembang aplikasi menangani info masuk dan rahasia dengan aman:
- Hindari menyematkan info masuk dan rahasia ke dalam kode dan file konfigurasi
- Gunakan brankas kunci atau layanan penyimpanan kunci yang aman untuk menyimpan info masuk dan rahasia
- Pindai info masuk dalam kode sumber.
Catatan: Manajemen ini sering diatur dan ditegakkan melalui siklus hidup pengembangan perangkat lunak yang aman (SDLC) dan proses keamanan Azure DevOps.
Panduan Azure: Pastikan rahasia dan info masuk disimpan di lokasi aman seperti Azure Key Vault, dan tidak menyematkannya ke dalam kode dan file konfigurasi.
- Terapkan Pemindai Info Masuk Azure DevOps untuk mengidentifikasi info masuk dalam kode.
- Untuk GitHub, gunakan fitur pemindaian rahasia asli untuk mengidentifikasi info masuk atau bentuk rahasia lain dalam kode.
Klien seperti Azure Functions, layanan Azure Apps, dan mesin virtual dapat menggunakan identitas terkelola untuk mengakses Azure Key Vault dengan aman. Lihat kontrol Perlindungan Data yang terkait dengan penggunaan Azure Key Vault untuk manajemen rahasia.
Implementasi dan konteks tambahan:
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
IM-9: Mengamankan akses pengguna ke aplikasi yang ada
| CIS Mengontrol ID v8 | NIST SP 800-53 r4 ID(s) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 6.7, 12.5 | AC-2, AC-3, SC-11 | T/A |
Prinsip Keamanan: Dalam lingkungan hibrid, ketika Anda memiliki aplikasi lokal atau aplikasi cloud tidak asli menggunakan autentikasi lama, pertimbangkan solusi seperti broker keamanan akses cloud (CASB), proksi aplikasi, akses menyeluruh (SSO) untuk mengatur akses ke aplikasi ini untuk keuntungan berikut:
- Menerapkan autentikasi kuat terpusat
- Memantau dan mengontrol aktivitas pengguna akhir yang berisiko
- Memantau dan memulihkan aktivitas aplikasi warisan berisiko
- Mendeteksi dan mencegah transmisi data sensitif
Panduan Azure: Lindungi aplikasi cloud lokal dan tidak asli Anda menggunakan autentikasi lama dengan menghubungkannya ke:
- Proksi Aplikasi Azure AD bersama dengan autentikasi berbasis header untuk menerbitkan aplikasi lokal lama ke pengguna jarak jauh dengan akses menyeluruh (SSO) sambil secara eksplisit memvalidasi kepercayaan pengguna jarak jauh dan perangkat dengan Akses Bersyarat Azure AD. Jika diperlukan, gunakan solusi Software-Defined Perimeter (SDP) pihak ketiga yang dapat menawarkan fungsionalitas serupa.
- Pengontrol dan jaringan pengiriman aplikasi pihak ketiga yang ada
- Microsoft Defender for Cloud Apps, menggunakannya sebagai layanan broker keamanan akses cloud (CASB) untuk menyediakan kontrol untuk memantau sesi aplikasi pengguna dan memblokir tindakan (untuk aplikasi lokal warisan dan aplikasi perangkat lunak cloud sebagai layanan (SaaS).
Catatan: VPN umumnya digunakan untuk mengakses aplikasi lama, sering kali hanya memiliki kontrol akses dasar dan pemantauan sesi terbatas.
Implementasi dan konteks tambahan:
- Proksi Aplikasi Microsoft Azure AD
- Praktik terbaik Defender for Cloud Apps
- Azure AD mengamankan akses hibrid
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):