Kontrol Keamanan v3: Keamanan jaringan

Keamanan Jaringan mencakup kontrol untuk mengamankan dan melindungi jaringan Azure, termasuk mengamankan jaringan virtual, membangun koneksi privat, mencegah, dan mengurangi serangan eksternal, dan mengamankan DNS.

NS-1: Menetapkan batas segmentasi jaringan

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID (identifikasi) ID PCI-DSS v3.2.1
3.12, 13.4, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Prinsip Keamanan: Pastikan penyebaran jaringan virtual Anda selaras dengan strategi segmentasi perusahaan Anda yang ditentukan dalam kontrol keamanan GS-2. Beban kerja apa pun yang dapat menimbulkan risiko lebih tinggi bagi organisasi harus berada dalam jaringan virtual yang terisolasi. Contoh beban kerja berisiko tinggi meliputi:

  • Aplikasi menyimpan atau memproses data yang sangat sensitif.
  • Aplikasi eksternal yang menghadap jaringan dapat diakses oleh publik atau pengguna di luar organisasi Anda.
  • Aplikasi yang menggunakan arsitektur yang tidak aman atau berisi kerentanan yang tidak dapat dengan mudah diperbaiki.

Untuk meningkatkan strategi segmentasi perusahaan Anda, batasi atau pantau lalu lintas antara sumber daya internal menggunakan kontrol jaringan. Untuk aplikasi tertentu yang terdefinisi dengan baik (seperti aplikasi 3 tingkat), ini bisa menjadi pendekatan "tolak secara default, izinkan dengan pengecualian" yang sangat aman dengan membatasi port, protokol, sumber, dan IP tujuan lalu lintas jaringan. Jika Anda memiliki banyak aplikasi dan titik akhir yang berinteraksi satu sama lain, memblokir lalu lintas mungkin tidak menskalakan dengan baik, dan Anda mungkin hanya dapat memantau lalu lintas.

Panduan Azure: Buat jaringan virtual (VNet) sebagai pendekatan segmentasi mendasar di jaringan Azure Anda, sehingga sumber daya seperti VM dapat disebarkan ke VNet dalam batas jaringan. Untuk menyegmentasi jaringan lebih lanjut, Anda dapat membuat subnet di dalam VNet untuk sub-jaringan yang lebih kecil.

Gunakan kelompok keamanan jaringan (NSG) sebagai kontrol lapisan jaringan untuk membatasi atau memantau lalu lintas berdasarkan port, protokol, alamat IP sumber, atau alamat IP tujuan.

Anda juga dapat menggunakan kelompok keamanan aplikasi (ASG) untuk menyederhanakan konfigurasi yang kompleks. Alih-alih menentukan kebijakan berdasarkan alamat IP eksplisit dalam grup keamanan jaringan, ASG memungkinkan Anda mengonfigurasi keamanan jaringan sebagai ekstensi alami dari struktur aplikasi, memungkinkan Anda mengelompokkan komputer virtual dan menentukan kebijakan keamanan jaringan berdasarkan grup tersebut.

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

NS-2: Mengamankan layanan cloud dengan kontrol jaringan

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID (identifikasi) ID PCI-DSS v3.2.1
3.12, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Prinsip Keamanan: Mengamankan layanan cloud dengan membuat titik akses privat untuk sumber daya. Anda juga harus menonaktifkan atau membatasi akses dari jaringan publik jika memungkinkan.

Panduan Azure: Sebarkan titik akhir privat untuk semua sumber daya Azure yang mendukung fitur Private Link, untuk membuat titik akses privat untuk sumber daya. Anda juga harus menonaktifkan atau membatasi akses jaringan publik ke layanan jika memungkinkan.

Untuk layanan tertentu, Anda juga memiliki opsi untuk menyebarkan integrasi VNet untuk layanan tempat Anda dapat membatasi VNET untuk membuat titik akses privat untuk layanan.

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

NS-3: Menyebarkan firewall pada tepi jaringan perusahaan

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID (identifikasi) ID PCI-DSS v3.2.1
4.4, 4.8, 13.10 AC-4, SC-7, CM-7 1.1, 1.2, 1.3

Prinsip Keamanan: Sebarkan firewall untuk melakukan pemfilteran tingkat lanjut pada lalu lintas jaringan ke dan dari jaringan eksternal. Anda juga dapat menggunakan firewall antar segmen internal untuk mendukung strategi segmentasi. Jika diperlukan, gunakan rute kustom untuk subnet Anda untuk mengambil alih rute sistem saat Anda perlu memaksa lalu lintas jaringan melalui appliance jaringan untuk tujuan kontrol keamanan.

Minimal, blokir alamat IP buruk yang diketahui dan protokol berisiko tinggi, seperti manajemen jarak jauh (misalnya, RDP dan SSH) dan protokol intranet (misalnya, SMB dan Kerberos).

Panduan Azure: Gunakan Azure Firewall untuk menyediakan pembatasan lalu lintas lapisan aplikasi yang berstatus penuh (seperti pemfilteran URL) dan/atau manajemen terpusat atas sejumlah besar segmen atau titik penghubung perusahaan (dalam topologi hub/spoke).

Jika Anda memiliki topologi jaringan yang kompleks, seperti penyiapan hub/spoke, Anda mungkin perlu membuat rute yang ditentukan pengguna (UDR) untuk memastikan lalu lintas melewati rute yang diinginkan. Misalnya, Anda memiliki opsi untuk menggunakan UDR untuk mengalihkan lalu lintas internet keluar melalui Firewall Azure yang spesifik atau perangkat virtual jaringan.

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

NS-4: Menyebarkan sistem deteksi intrusi/sistem pencegahan intrusi (IDS/IPS)

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID (identifikasi) ID PCI-DSS v3.2.1
13.2, 13.3, 13.7, 13.8 SC-7, SI-4 11.4

Prinsip Keamanan: Gunakan sistem deteksi intrusi jaringan dan pencegahan intrusi (IDS/IPS) untuk memeriksa lalu lintas jaringan dan payload ke atau dari beban kerja Anda. Pastikan IDS/IPS selalu disetel untuk memberikan pemberitahuan berkualitas tinggi ke solusi SIEM Anda.

Untuk kemampuan deteksi dan pencegahan tingkat host yang lebih mendalam, gunakan IDS/IPS berbasis host atau solusi deteksi dan respons titik akhir berbasis host (EDR) bersama dengan IDS/IPS jaringan.

Panduan Azure: Gunakan kemampuan IDPS Azure Firewall di jaringan Anda untuk memperingatkan dan/atau memblokir lalu lintas ke dan dari alamat IP dan domain berbahaya yang diketahui.

Untuk kemampuan deteksi dan pencegahan tingkat host yang lebih mendalam, sebarkan IDS/IPS berbasis host atau solusi deteksi dan respons titik akhir berbasis host (EDR), seperti Pertahanan Microsoft untuk Titik Akhir, di tingkat VM bersama dengan IDS/IPS jaringan.

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

NS-5: Menyebarkan perlindungan DDOS

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID (identifikasi) ID PCI-DSS v3.2.1
13.10 SC-5, SC-7 1.1, 1.2, 1.3, 6.6

Prinsip Keamanan: Sebarkan perlindungan penolakan layanan terdistribusi (DDoS) untuk melindungi jaringan dan aplikasi Anda dari serangan.

Panduan Azure: Aktifkan paket perlindungan standar DDoS di VNet Anda untuk melindungi sumber daya yang terekspos ke jaringan publik.

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

NS-6: Menyebarkan firewall aplikasi web

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID (identifikasi) ID PCI-DSS v3.2.1
13.10 SC-7 1.1, 1.2, 1.3

Prinsip Keamanan: Sebarkan firewall aplikasi web (WAF) dan konfigurasikan aturan yang sesuai untuk melindungi aplikasi web dan API Anda dari serangan khusus aplikasi.

Panduan Azure: Gunakan kemampuan firewall aplikasi web (WAF) di Azure Application Gateway, Azure Front Door, dan Azure Content Delivery Network (CDN) untuk melindungi aplikasi, layanan, dan API Anda dari serangan lapisan aplikasi di tepi jaringan Anda. Atur WAF Anda dalam "deteksi" atau "mode pencegahan", tergantung pada kebutuhan dan lanskap ancaman Anda. Pilih set aturan bawaan, seperti kerentanan OWASP Top 10, dan sesuaikan dengan aplikasi Anda.

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

NS-7: Menyederhanakan konfigurasi keamanan jaringan

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID (identifikasi) ID PCI-DSS v3.2.1
4.4, 4.8 AC-4, SC-2, SC-7 1.1, 1.2, 1.3

Prinsip Keamanan: Saat mengelola lingkungan jaringan yang kompleks, gunakan alat untuk menyederhanakan, mempusatkan, dan meningkatkan manajemen keamanan jaringan.

Panduan Azure: Gunakan fitur berikut untuk menyederhanakan implementasi dan manajemen aturan NSG dan Azure Firewall:

  • Gunakan Microsoft Defender for Cloud Adaptive Network Hardening untuk merekomendasikan aturan penguatan NSG yang membatasi port, protokol, dan IP sumber lebih lanjut berdasarkan inteligensi ancaman dan hasil analisis lalu lintas.
  • Gunakan Azure Firewall Manager untuk mempusatkan kebijakan firewall dan manajemen rute jaringan virtual. Untuk menyederhanakan aturan firewall dan implementasi grup keamanan jaringan, Anda juga dapat menggunakan templat AZURE Firewall Manager ARM (Azure Resource Manager).

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

NS-8: Mendeteksi dan menonaktifkan layanan dan protokol yang tidak aman

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID (identifikasi) ID PCI-DSS v3.2.1
4.4, 4.8 CM-2, CM-6, CM-7 4.1, A2.1, A2.2, A2.3

Prinsip Keamanan: Mendeteksi dan menonaktifkan layanan dan protokol yang tidak aman di lapisan OS, aplikasi, atau paket perangkat lunak. Menyebarkan kontrol kompensasi jika menonaktifkan layanan dan protokol yang tidak aman tidak dimungkinkan.

Panduan Azure: Gunakan Buku Kerja Protokol Tidak Aman bawaan Azure Sentinel untuk menemukan penggunaan layanan dan protokol yang tidak aman seperti SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, Unsigned LDAP Binds, dan cipher lemah di Kerberos. Nonaktifkan layanan dan protokol yang tidak aman yang tidak memenuhi standar keamanan yang sesuai.

Catatan: Jika menonaktifkan layanan atau protokol yang tidak aman tidak dimungkinkan, gunakan kontrol kompensasi seperti memblokir akses ke sumber daya melalui grup keamanan jaringan, Azure Firewall, atau Azure Web Application Firewall untuk mengurangi permukaan serangan.

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

NS-9: Menyambungkan jaringan lokal atau cloud secara privat

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID (identifikasi) ID PCI-DSS v3.2.1
12.7 CA-3, AC-17, AC-4 Tidak tersedia

Prinsip Keamanan: Gunakan koneksi privat untuk komunikasi yang aman antara jaringan yang berbeda, seperti pusat data penyedia layanan cloud dan infrastruktur lokal di lingkungan kolokasi.

Panduan Azure: Gunakan koneksi privat untuk komunikasi yang aman antara jaringan yang berbeda, seperti pusat data penyedia layanan cloud dan infrastruktur lokal di lingkungan kolokasi.

Untuk konektivitas ringan antara situs-ke-situs atau titik-ke-situs, gunakan jaringan privat virtual (VPN) Azure untuk membuat koneksi aman antara situs lokal atau perangkat pengguna akhir Anda ke jaringan virtual Azure.

Untuk koneksi performa tinggi tingkat perusahaan, gunakan Azure ExpressRoute (atau Virtual WAN) untuk menyambungkan pusat data Azure dan infrastruktur lokal di lingkungan lokasi bersama.

Saat menyambungkan dua atau beberapa jaringan virtual Azure bersama-sama, gunakan peering jaringan virtual. Lalu lintas jaringan antara jaringan virtual yang di-peering bersifat privat dan disimpan di jaringan backbone Azure.

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

NS-10: Memastikan keamanan Sistem Nama Domain (DNS)

CIS Controls v8 ID dan ID-ID NIST SP 800-53 r4 ID (identifikasi) ID PCI-DSS v3.2.1
4.9, 9.2 SC-20, SC-21 Tidak tersedia

Prinsip Keamanan: Pastikan konfigurasi keamanan Domain Name System (DNS) melindungi dari risiko yang diketahui:

  • Gunakan layanan DNS otoritatif dan rekursif tepercaya di seluruh lingkungan cloud Anda untuk memastikan klien (seperti sistem operasi dan aplikasi) menerima hasil resolusi yang benar.
  • Pisahkan resolusi DNS publik dan privat sehingga proses resolusi DNS untuk jaringan privat dapat diisolasi dari jaringan publik.
  • Pastikan strategi keamanan DNS Anda juga mencakup mitigasi terhadap serangan umum, seperti DNS menggantung, serangan amplifikasi DNS, pembajakan dan penipuan DNS, dan sebagainya.

Panduan Azure: Gunakan DNS rekursif Azure atau server DNS eksternal tepercaya dalam penyiapan DNS rekursif beban kerja Anda, seperti di sistem operasi VM atau dalam aplikasi.

Gunakan Azure Private DNS untuk penyiapan zona DNS privat di mana proses resolusi DNS tidak meninggalkan jaringan virtual. Gunakan DNS kustom untuk membatasi resolusi DNS yang hanya memungkinkan resolusi tepercaya untuk klien Anda.

Gunakan Azure Defender untuk DNS untuk perlindungan tingkat lanjut terhadap ancaman keamanan berikut terhadap beban kerja atau layanan DNS Anda:

  • Penyelundupan data dari sumber daya Azure Anda menggunakan penerowongan DNS
  • Malware berkomunikasi dengan server komando dan kontrol
  • Komunikasi dengan domain berbahaya terkait phishing dan penambangan kripto
  • Serangan DNS dalam komunikasi dengan resolver DNS berbahaya

Anda juga dapat menggunakan Azure Defender untuk App Service untuk mendeteksi catatan DNS yang menggantung jika Anda menonaktifkan situs web App Service tanpa menghapus domain khususnya dari pencatat nama domain Anda.

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

  • Last updated on