Lingkungan Admin Keamanan yang Ditingkatkan
Arsitektur Enhanced Security Admin Environment (ESAE) (sering disebut sebagai hutan merah, hutan admin, atau hutan yang diperkeras) adalah pendekatan warisan untuk menyediakan lingkungan yang aman untuk identitas administrator Windows Server Active Directory (AD).
Rekomendasi Microsoft untuk menggunakan pola arsitektur ini telah digantikan oleh strategi akses istimewa modern dan panduan rencana modernisasi cepat (RAMP) sebagai pendekatan default yang direkomendasikan untuk mengamankan pengguna istimewa. Panduan ini dimaksudkan untuk inklusif dalam mengadaptasi strategi yang lebih luas untuk bergerak menuju arsitektur Zero Trust. Mengingat strategi modern ini, arsitektur forest administratif yang diperkuat ESAE (lokal atau berbasis cloud) sekarang dianggap sebagai konfigurasi kustom yang hanya cocok untuk kasus pengecualian.
Skenario untuk Penggunaan Berkelanjutan
Meskipun bukan lagi arsitektur yang direkomendasikan, ESAE (atau komponen individual di dalamnya) masih dapat berlaku dalam serangkaian skenario terbatas yang dikecualikan. Biasanya, lingkungan lokal ini terisolasi di mana layanan cloud mungkin tidak tersedia. Skenario ini dapat mencakup infrastruktur penting atau lingkungan teknologi operasional (OT) terputus lainnya. Namun, perlu dicatat bahwa segmen Sistem Kontrol Industri/Kontrol Pengawasan dan Akuisisi Data (ICS/SCADA) yang terpasang di udara biasanya tidak menggunakan penyebaran Direktori Aktif mereka sendiri.
Jika organisasi Anda berada dalam salah satu skenario ini, mempertahankan arsitektur ESAE yang saat ini disebarkan secara keseluruhan masih dapat valid. Namun, harus dipahami bahwa organisasi Anda menimbulkan risiko ekstra karena peningkatan kompleksitas teknis dan biaya operasional untuk mempertahankan ESAE. Microsoft menyarankan agar organisasi apa pun yang masih menggunakan ESAE, atau kontrol keamanan identitas warisan lainnya, menerapkan kekakuan ekstra untuk memantau, mengidentifikasi, dan mengurangi risiko terkait.
Catatan
Meskipun Microsoft tidak lagi merekomendasikan model forest yang diperkuat terisolasi untuk sebagian besar skenario di sebagian besar organisasi, Microsoft masih mengoperasikan arsitektur serupa secara internal (dan proses dukungan terkait dan personel) karena persyaratan keamanan ekstrem untuk menyediakan layanan cloud tepercaya kepada organisasi di seluruh dunia.
Panduan untuk Penyebaran yang Ada
Bagi pelanggan yang telah menyebarkan arsitektur ini untuk meningkatkan keamanan dan/atau menyederhanakan manajemen multi-forest, tidak ada urgensi untuk menghentikan atau mengganti implementasi ESAE jika sedang dioperasikan seperti yang dirancang dan dimaksudkan. Seperti halnya sistem perusahaan apa pun, Anda harus mempertahankan perangkat lunak di dalamnya dengan menerapkan pembaruan keamanan dan memastikan perangkat lunak berada dalam siklus hidup dukungan.
Microsoft juga merekomendasikan organisasi dengan ESAE /hardened forest mengadopsi strategi akses istimewa modern menggunakan panduan rencana modernisasi cepat (RAMP). Panduan ini melengkapi implementasi ESAE yang ada dan memberikan keamanan yang sesuai untuk peran yang belum dilindungi oleh ESAE termasuk Administrator Global Microsoft Entra, pengguna bisnis sensitif, dan pengguna perusahaan standar. Untuk informasi selengkapnya, lihat artikel Mengamankan tingkat keamanan akses istimewa.
Ketika ESAE awalnya dirancang lebih dari 10 tahun yang lalu, fokusnya adalah lingkungan lokal dengan Direktori Aktif (AD) yang berfungsi sebagai penyedia identitas lokal. Pendekatan warisan ini didasarkan pada teknik segmentasi makro untuk mencapai hak istimewa paling sedikit dan tidak memadai memperhitungkan lingkungan berbasis hibrid atau cloud. Selain itu, implementasi ESAE dan forest yang diperkuat hanya berfokus pada perlindungan administrator (identitas) Windows Server Active Directory lokal dan tidak memperhitungkan kontrol identitas yang halus dan teknik lain yang terkandung dalam pilar sisa arsitektur Zero-Trust modern. Microsoft telah memperbarui rekomendasinya ke solusi berbasis cloud karena dapat disebarkan lebih cepat untuk melindungi cakupan peran dan sistem administratif dan sensitif bisnis yang lebih luas. Selain itu, mereka kurang kompleks, dapat diskalakan, dan membutuhkan investasi modal yang lebih sedikit untuk dipertahankan.
Catatan
Meskipun ESAE tidak lagi direkomendasikan secara keseluruhan, Microsoft menyadari bahwa banyak komponen individu yang terkandung di dalamnya didefinisikan sebagai kebersihan cyber yang baik (misalnya, Stasiun Kerja Akses Istimewa khusus). Penghentian ESAE tidak dimaksudkan untuk mendorong organisasi meninggalkan praktik kebersihan cyber yang baik, hanya untuk memperkuat strategi arsitektur yang diperbarui untuk melindungi identitas istimewa.
Contoh praktik kebersihan cyber yang baik di ESAE yang berlaku untuk sebagian besar organisasi
- Menggunakan stasiun kerja akses istimewa (PAW) untuk semua aktivitas administratif
- Memberlakukan autentikasi berbasis token atau multifaktor (MFA) untuk kredensial administratif meskipun tidak banyak digunakan di seluruh lingkungan
- Memberlakukan Model Administratif Hak Istimewa Terkecil melalui penilaian reguler keanggotaan grup/peran (diberlakukan oleh kebijakan organisasi yang kuat)
Praktik Terbaik untuk Mengamankan AD lokal
Seperti yang dijelaskan dalam Skenario untuk Penggunaan Berkelanjutan, mungkin ada keadaan di mana migrasi cloud tidak dapat dicapai (baik sebagian, atau penuh) karena berbagai keadaan. Untuk organisasi ini, jika mereka belum memiliki arsitektur ESAE yang ada, Microsoft merekomendasikan untuk mengurangi permukaan serangan AD lokal melalui peningkatan ketelitian keamanan untuk Direktori Aktif dan identitas istimewa. Meskipun bukan daftar lengkap, pertimbangkan rekomendasi prioritas tinggi berikut.
- Gunakan pendekatan berjenjang yang menerapkan model administratif hak istimewa terkecil:
- Memberlakukan hak istimewa minimum absolut.
- Temukan, tinjau, dan audit identitas istimewa (ikatan yang kuat dengan kebijakan organisasi).
- Pemberian hak istimewa yang berlebihan adalah salah satu masalah yang paling diidentifikasi di lingkungan yang dinilai.
- MFA untuk akun administratif (bahkan jika tidak digunakan secara luas di seluruh lingkungan).
- Peran istimewa berbasis waktu (kurangi akun yang berlebihan, perkuat proses persetujuan).
- Aktifkan dan konfigurasikan semua audit yang tersedia untuk identitas istimewa (pemberitahuan aktifkan/nonaktifkan, reset kata sandi, modifikasi lainnya).
- Gunakan Stasiun Kerja Akses Istimewa (PAW):
- Jangan mengelola PAW dari host yang kurang tepercaya.
- Gunakan MFA untuk akses ke PAW.
- Jangan lupa tentang keamanan fisik.
- Selalu pastikan PAW menjalankan sistem operasi terbaru dan/atau yang saat ini didukung.
- Pahami jalur serangan dan akun/aplikasi berisiko tinggi:
- Prioritaskan pemantauan identitas dan sistem yang menimbulkan risiko paling besar (target peluang/dampak tinggi).
- Memberantas penggunaan kembali kata sandi termasuk di seluruh batas sistem operasi (teknik gerakan lateral umum).
- Terapkan kebijakan yang membatasi aktivitas yang meningkatkan risiko (penjelajahan internet dari stasiun kerja yang aman, akun administrator lokal di beberapa sistem, dll.).
- Kurangi aplikasi pada Active Directory / Pengendali Domain (setiap aplikasi yang ditambahkan adalah permukaan serangan ekstra).
- Hilangkan aplikasi yang tidak perlu.
- Memindahkan aplikasi masih diperlukan ke beban kerja lain dari / DC jika memungkinkan.
- Pencadangan direktori aktif yang tidak dapat diubah:
- Komponen penting untuk pemulihan dari infeksi ransomware.
- Jadwal pencadangan reguler.
- Disimpan di lokasi berbasis cloud, atau di luar situs yang ditentukan oleh rencana pemulihan bencana.
- Lakukan Penilaian Keamanan Direktori Aktif:
- Langganan Azure diperlukan untuk melihat hasilnya (dasbor Log Analytics yang disesuaikan).
- Penawaran yang didukung teknisi sesuai permintaan atau Microsoft.
- Validasi/identifikasi panduan dari penilaian.
- Microsoft merekomendasikan untuk melakukan penilaian setiap tahun.
Untuk panduan komprehensif tentang rekomendasi ini, tinjau Praktik Terbaik untuk Mengamankan Direktori Aktif.
Rekomendasi tambahan
Microsoft mengakui bahwa beberapa entitas mungkin tidak mampu sepenuhnya menyebarkan arsitektur zero-trust berbasis cloud karena berbagai batasan. Beberapa batasan ini disebutkan di bagian sebelumnya. Sebagai pengganti penyebaran penuh, organisasi dapat mengatasi risiko dan membuat kemajuan menuju Zero-Trust sambil tetap mempertahankan peralatan atau arsitektur warisan di lingkungan. Selain panduan yang disebutkan sebelumnya, kemampuan berikut dapat membantu meningkatkan keamanan lingkungan Anda dan berfungsi sebagai titik awal untuk mengadopsi arsitektur Zero-Trust.
Pertahanan Microsoft untuk Identitas (MDI)
Microsoft Defender untuk Identitas (MDI) (secara resmi Azure Advanced Threat Protection, atau ATP) mendukung arsitektur Microsoft Zero-Trust dan berfokus pada pilar identitas. Solusi berbasis cloud ini menggunakan sinyal dari AD lokal dan ID Microsoft Entra untuk mengidentifikasi, mendeteksi, dan menyelidiki ancaman yang melibatkan identitas. MDI memantau sinyal ini untuk mengidentifikasi perilaku abnormal dan berbahaya dari pengguna dan entitas. Terutama, MDI memfasilitasi kemampuan untuk memvisualisasikan jalur pergerakan lateral adversary dengan menyoroti bagaimana akun tertentu dapat digunakan jika disusupi. Analitik perilaku MDI dan fitur garis besar pengguna adalah elemen utama untuk menentukan aktivitas abnormal dalam lingkungan AD Anda.
Catatan
Meskipun MDI mengumpulkan sinyal dari AD lokal, MDI memerlukan koneksi berbasis cloud.
Pertahanan Microsoft untuk Internet of Things (D4IoT)
Selain panduan lain yang dijelaskan dalam dokumen ini, organisasi yang beroperasi dalam salah satu skenario yang disebutkan di atas dapat menyebarkan Pertahanan Microsoft untuk IoT (D4IoT). Solusi ini menampilkan sensor jaringan pasif (virtual atau fisik) yang memungkinkan penemuan aset, manajemen inventarisasi, dan analitik perilaku berbasis risiko untuk lingkungan Internet of Things (IoT) dan Teknologi Operasional (OT). Ini dapat disebarkan di lingkungan lokal yang terpasang di udara atau terhubung ke cloud dan memiliki kapasitas untuk melakukan inspeksi paket mendalam pada lebih dari 100 protokol jaringan kepemilikan ICS/OT.
Langkah berikutnya
Lihat artikel berikut: