Menerapkan prinsip Zero Trust ke penyimpanan Azure
Catatan
Livestream Mendatang Bergabunglah dengan tim Azure FastTrack saat membahas artikel ini. 23 Oktober 2024 | 10.00 - 11.00 (UTC-07.00) Waktu Pasifik (AS & Kanada). Daftar di sini.
Ringkasan: Untuk menerapkan prinsip Zero Trust ke penyimpanan Azure, Anda harus melindungi data (saat tidak aktif, saat transit, dan sedang digunakan), memverifikasi pengguna dan mengontrol akses, memisahkan atau memisahkan data penting dengan kontrol jaringan, dan menggunakan Defender for Storage untuk deteksi dan perlindungan ancaman otomatis.
Artikel ini menyediakan langkah-langkah untuk menerapkan prinsip Zero Trust ke Azure Storage:
| Prinsip Zero Trust | Definisi | Terpenuhi oleh |
|---|---|---|
| Memverifikasi secara eksplisit | Selalu autentikasi dan otorisasi berdasarkan semua titik data yang tersedia. | Verifikasi kredensial dan akses pengguna. |
| Gunakan akses yang paling tidak istimewa | Batasi akses pengguna dengan Just-In-Time dan Just-Enough-Access (JIT/JEA), kebijakan adaptif berbasis risiko, dan perlindungan data. | Mengontrol akses ke data penyimpanan dengan hak istimewa paling sedikit. |
| Mengasumsikan pembobolan | Minimalkan radius ledakan dan akses segmen. Verifikasi enkripsi menyeluruh dan gunakan analitik untuk mendapatkan visibilitas, mendorong deteksi ancaman, dan meningkatkan pertahanan. | Lindungi data tidak aktif, data saat transit, dan data yang digunakan. Pisahkan data penting dengan kontrol jaringan. Gunakan Defender for Storage untuk deteksi dan perlindungan ancaman otomatis. |
Artikel ini adalah bagian dari serangkaian artikel yang menunjukkan cara menerapkan prinsip Zero Trust di seluruh lingkungan di Azure yang menyertakan layanan Azure Storage untuk mendukung beban kerja IaaS. Untuk gambaran umum, lihat Menerapkan prinsip Zero Trust ke infrastruktur Azure.
Arsitektur penyimpanan di Azure
Anda menerapkan prinsip Zero Trust untuk Azure Storage di seluruh arsitektur, dari tingkat penyewa dan direktori ke kontainer penyimpanan di lapisan data.
Diagram berikut menunjukkan komponen arsitektur logis.
Dalam diagram:
- Akun penyimpanan untuk arsitektur referensi terkandung dalam grup sumber daya khusus. Anda dapat mengisolasi setiap akun penyimpanan dalam grup sumber daya yang berbeda untuk kontrol akses berbasis peran (RBAC) yang lebih terperinci. Anda dapat menetapkan izin RBAC untuk mengelola akun penyimpanan di tingkat grup sumber daya atau grup sumber daya dan mengauditnya dengan pengelogan dan alat ID Microsoft Entra seperti Privileged Identity Management (PIM). Jika Anda menjalankan beberapa aplikasi atau beban kerja dengan beberapa akun penyimpanan terkait dalam satu langganan Azure, penting untuk membatasi izin RBAC setiap akun penyimpanan kepada pemilik, kustodian data, pengontrol, dll yang sesuai.
- Layanan penyimpanan Azure untuk diagram ini terkandung dalam akun penyimpanan khusus. Anda dapat memiliki satu akun penyimpanan untuk setiap jenis beban kerja penyimpanan.
- Untuk melihat arsitektur referensi yang lebih luas, lihat gambaran umum Menerapkan Prinsip Zero Trust ke Azure IaaS.
Diagram tidak menyertakan Azure Queues dan Azure Tables. Gunakan panduan yang sama dalam artikel ini untuk mengamankan sumber daya ini.
Apa yang ada di artikel ini?
Artikel ini membahas langkah-langkah untuk menerapkan prinsip Zero Trust di seluruh arsitektur referensi.
| Langkah | Tugas | Prinsip Zero Trust diterapkan |
|---|---|---|
| 1 | Lindungi data dalam ketiga mode: data tidak aktif, data saat transit, data yang digunakan. | Mengasumsikan pembobolan |
| 2 | Verifikasi pengguna dan kontrol akses ke data penyimpanan dengan hak istimewa paling sedikit. | Verifikasi secara eksplisit Gunakan akses yang paling tidak istimewa |
| 3 | Memisahkan atau memisahkan data penting secara logis dengan kontrol jaringan. | Mengasumsikan pembobolan |
| 4 | Gunakan Defender for Storage untuk deteksi dan perlindungan ancaman otomatis. | Mengasumsikan pembobolan |
Langkah 1: Lindungi data dalam ketiga mode: data tidak aktif, data saat transit, data yang digunakan
Anda mengonfigurasi sebagian besar pengaturan untuk melindungi data tidak aktif, saat transit, dan sedang digunakan, saat Anda membuat akun penyimpanan. Gunakan rekomendasi berikut untuk memastikan Anda mengonfigurasi perlindungan ini. Pertimbangkan juga untuk mengaktifkan Microsoft Defender untuk Cloud untuk mengevaluasi akun penyimpanan Anda secara otomatis terhadap tolok ukur keamanan cloud Microsoft yang menguraikan garis besar keamanan untuk setiap layanan Azure.
Untuk informasi selengkapnya tentang kontrol keamanan penyimpanan ini, lihat di sini.
Menggunakan enkripsi saat transit
Jaga data Anda tetap aman dengan mengaktifkan keamanan tingkat transportasi antara Azure dan klien. Selalu gunakan HTTPS untuk mengamankan komunikasi melalui internet publik. Saat Anda memanggil REST API untuk mengakses objek di akun penyimpanan, Anda dapat memberlakukan penggunaan HTTPS dengan memerlukan Transfer Aman Diperlukan untuk akun penyimpanan. Setiap permintaan yang berasal dari koneksi yang tidak aman ditolak.
Konfigurasi ini diaktifkan secara default saat Anda menyebarkan Akun Azure Storage baru (Aman secara Default).
Pertimbangkan untuk menerapkan kebijakan untuk menolak penyebaran koneksi yang tidak aman untuk Azure Storage (Secure by Design).
Konfigurasi ini juga memerlukan SMB 3.0 dengan Enkripsi.
Mencegah akses baca publik anonim
Secara default, akses blob publik dilarang, tetapi pengguna dengan izin yang tepat dapat mengonfigurasi sumber daya yang dapat diakses. Untuk mencegah pelanggaran data dari akses anonim, Anda harus menentukan siapa yang memiliki akses ke data Anda. Mencegah hal ini di tingkat akun penyimpanan mencegah pengguna mengaktifkan akses ini di tingkat kontainer atau blob.
Untuk informasi selengkapnya, lihat Mencegah akses baca publik anonim untuk kontainer dan blob.
Mencegah otorisasi kunci bersama
Konfigurasi ini memaksa akun penyimpanan untuk menolak semua permintaan yang dibuat dengan kunci bersama dan memerlukan otorisasi Microsoft Entra sebagai gantinya. MICROSOFT Entra ID adalah pilihan yang lebih aman karena Anda dapat menggunakan mekanisme akses berbasis risiko untuk memperkuat akses ke tingkat data. Untuk informasi selengkapnya, lihat Mencegah otorisasi Kunci Bersama untuk akun Azure Storage.
Anda mengonfigurasi perlindungan data untuk ketiga mode dari pengaturan konfigurasi akun penyimpanan, seperti yang ditunjukkan di sini.
Pengaturan ini tidak dapat diubah setelah Anda membuat akun penyimpanan.
Menerapkan versi minimum keamanan lapisan transportasi (TLS) yang diperlukan
Versi tertinggi yang saat ini didukung Azure Storage adalah TLS 1.2. Memberlakukan versi TLS minimum menolak permintaan dari klien menggunakan versi yang lebih lama. Untuk informasi selengkapnya, lihat Menerapkan versi TLS minimum yang diperlukan untuk permintaan ke akun penyimpanan.
Tentukan cakupan untuk operasi salin
Tentukan cakupan operasi salin untuk membatasi operasi salin hanya untuk yang berasal dari akun penyimpanan sumber yang berada dalam penyewa Microsoft Entra yang sama atau yang memiliki Private Link ke jaringan virtual (VNet) yang sama dengan akun penyimpanan tujuan.
Membatasi operasi salin ke akun penyimpanan sumber dengan titik akhir privat adalah opsi yang paling ketat dan mengharuskan akun penyimpanan sumber mengaktifkan titik akhir privat.
Anda mengonfigurasi cakupan untuk operasi salin dari pengaturan konfigurasi akun penyimpanan, seperti yang ditunjukkan di sini.
Memahami cara kerja enkripsi saat tidak aktif
Semua data yang ditulis ke Azure Storage secara otomatis dienkripsi oleh Storage Service Encryption (SSE) dengan cipher Advanced Encryption Standard (AES) 256-bit. SSE mengenkripsi data secara otomatis saat menulisnya ke Azure Storage. Saat Anda membaca data dari Azure Storage, Azure Storage mendekripsi data sebelum menampilkannya. Proses ini terjadi tanpa biaya tambahan dan tidak menurunkan performa. Menggunakan kunci yang dikelola pelanggan (CMK) menyediakan kemampuan tambahan untuk mengontrol rotasi kunci enkripsi kunci atau menghapus data secara kriptografis.
Anda mengaktifkan CMK dari bilah Enkripsi saat membuat akun penyimpanan, seperti yang ditunjukkan di sini.
Anda juga dapat mengaktifkan enkripsi infrastruktur, yang menyediakan enkripsi ganda di tingkat layanan dan infrastruktur. Pengaturan ini tidak dapat diubah setelah Anda membuat akun penyimpanan.
Catatan
Untuk menggunakan kunci yang dikelola pelanggan untuk enkripsi akun penyimpanan, Anda harus mengaktifkannya selama pembuatan akun dan Anda harus memiliki Key Vault dengan Kunci dan Identitas Terkelola dengan izin yang sesuai yang sudah disediakan. Secara opsional, enkripsi AES 256-bit di tingkat infrastruktur Azure Storage juga dapat diaktifkan.
Langkah 2: Memverifikasi pengguna dan mengontrol akses ke data penyimpanan dengan hak istimewa paling sedikit
Pertama, gunakan ID Microsoft Entra untuk mengatur akses ke akun penyimpanan. Menggunakan Kontrol Akses Berbasis Peran dengan Akun Penyimpanan memungkinkan Anda menentukan fungsi pekerjaan berbasis akses secara terperinci menggunakan OAuth 2.0. Anda dapat menyelaraskan akses terperinci ke Kebijakan Akses Bersyar Anda.
Penting untuk dicatat bahwa peran untuk akun penyimpanan harus ditetapkan di tingkat manajemen atau data. Dengan demikian, jika Anda menggunakan ID Microsoft Entra sebagai metode autentikasi dan otorisasi, pengguna harus diberi kombinasi peran yang sesuai untuk memberi mereka jumlah hak istimewa paling sedikit yang diperlukan untuk menyelesaikan fungsi pekerjaan mereka.
Untuk daftar Peran Akun Penyimpanan untuk akses terperinci, lihat Peran bawaan Azure untuk Penyimpanan. Penugasan RBAC dilakukan melalui opsi Kontrol Akses pada Akun Penyimpanan dan dapat ditetapkan di berbagai cakupan.
Anda mengonfigurasi kontrol akses dari pengaturan Access Control (IAM) akun penyimpanan, seperti yang diperlihatkan di sini.
Anda dapat memeriksa tingkat akses pengguna, grup, perwakilan layanan, atau identitas terkelola dan menambahkan penetapan peran.
Cara lain untuk memberikan izin yang terikat waktu adalah melalui Tanda Tangan Akses Bersama (SAS). Praktik Terbaik saat menggunakan SAS pada tingkat tinggi adalah sebagai berikut:
- Selalu gunakan HTTPS. Jika Anda telah menyebarkan Kebijakan Azure yang disarankan untuk zona pendaratan Azure, transfer aman melalui HTTPS akan diaudit.
- Memiliki rencana pencabutan.
- Mengonfigurasi kebijakan kedaluwarsa SAS.
- Memvalidasi izin.
- Gunakan SAS delegasi pengguna sedapat mungkin. SAS ini ditandatangani dengan kredensial ID Microsoft Entra.
Langkah 3: Memisahkan atau memisahkan data penting secara logis dengan kontrol jaringan
Dalam langkah ini, Anda menggunakan kontrol yang direkomendasikan untuk melindungi koneksi jaringan ke dan dari layanan Azure Storage.
Diagram berikut menyoroti koneksi jaringan ke layanan Azure Storage dalam arsitektur referensi.
| Tugas | Deskripsi |
|---|---|
| Cegah akses publik, buat segmentasi jaringan dengan Titik Akhir Privat dan Private Link. | Titik akhir privat memungkinkan Anda terhubung ke layanan dengan menggunakan satu alamat IP privat di VNet menggunakan Azure Private Link. |
| Menggunakan Azure Private Link | Gunakan Azure Private Link untuk mengakses Azure Storage melalui titik akhir privat di VNet Anda. Gunakan alur kerja persetujuan untuk menyetujui atau meminta secara manual secara otomatis, sebagaimana mewajarinya. |
| Mencegah akses publik ke sumber data Anda menggunakan Titik Akhir Layanan | Anda dapat melakukan segmentasi jaringan menggunakan Titik Akhir Layanan dengan mengaktifkan alamat IP privat di VNet untuk mencapai titik akhir tanpa menggunakan alamat IP publik. |
Anda mengonfigurasi titik akhir privat dari pengaturan Jaringan akun penyimpanan, seperti yang ditunjukkan di sini.
Langkah 4: Gunakan Defender for Storage untuk deteksi dan perlindungan ancaman otomatis
Pertahanan Microsoft untuk Penyimpanan menyediakan tingkat kecerdasan tambahan yang mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengeksploitasi layanan penyimpanan Anda. Pertahanan Microsoft untuk Penyimpanan dibuat di dalam Pertahanan Microsoft untuk Cloud.
Defender for Storage mendeteksi pemberitahuan pola akses anomali seperti:
- Akses dari lokasi yang tidak biasa
- Anomali Aplikasi
- Akses Anonim
- Pemberitahuan ekstrak/unggahan anomali
- Eksfiltrasi data
- Penghapusan tak terduga
- Mengunggah paket Azure Cloud Service
- Pemberitahuan aktivitas penyimpanan yang mencurigakan
- Perubahan izin akses
- Inspeksi Akses
- Eksplorasi data
Untuk informasi selengkapnya tentang perlindungan ancaman di seluruh arsitektur referensi, lihat ringkasan Menerapkan Prinsip Zero Trust ke Azure IaaS.
Setelah diaktifkan, Defender for Storage memberi tahu Anda tentang pemberitahuan dan rekomendasi keamanan untuk meningkatkan postur keamanan akun penyimpanan Azure Anda.
Berikut adalah contoh pemberitahuan keamanan untuk akun penyimpanan dengan deskripsi tindakan pemberitahuan dan pencegahan yang disorot.
Ilustrasi teknis
Ilustrasi ini adalah replika ilustrasi referensi dalam artikel ini. Unduh dan sesuaikan ini untuk organisasi dan pelanggan Anda sendiri. Ganti logo Contoso dengan logo Anda sendiri.
| Item | Deskripsi |
|---|---|
 Unduh Visio Diperbarui Oktober 2024 |
Menerapkan prinsip Zero Trust ke Azure IaaS Gunakan ilustrasi ini dengan artikel ini: - Ringkasan - Penyimpanan Azure - Mesin virtual - Jaringan virtual spoke Azure - Jaringan virtual hub Azure |
 Unduh Visio Diperbarui Oktober 2024 |
Menerapkan prinsip Zero Trust ke Azure IaaS — Poster satu halaman Gambaran umum satu halaman tentang proses untuk menerapkan prinsip Zero Trust ke lingkungan IaaS Azure. |
Untuk ilustrasi teknis tambahan, lihat Ilustrasi Zero Trust untuk arsitek dan pelaksana TI.
Pelatihan yang direkomendasikan
Mengonfigurasi keamanan Penyimpanan
| Pelatihan | Mengonfigurasi keamanan Penyimpanan |
|---|---|
|
Pelajari cara mengonfigurasi fitur keamanan Azure Storage umum seperti tanda tangan akses penyimpanan. Dalam modul ini, Anda mempelajari cara: |
Untuk pelatihan selengkapnya tentang keamanan di Azure, lihat sumber daya ini di katalog Microsoft:
Keamanan di Azure | Microsoft Learn
Langkah berikutnya
Lihat artikel tambahan ini untuk menerapkan prinsip Zero Trust ke Azure:
- Gambaran umum Azure IaaS
- Azure Virtual Desktop
- Azure Virtual WAN
- Aplikasi IaaS di Amazon Web Services
- Microsoft Sentinel dan Microsoft Defender XDR
Referensi
Lihat tautan di bawah ini untuk mempelajari tentang berbagai layanan dan teknologi yang disebutkan dalam artikel ini.
- Transfer aman untuk Akun Azure Storage
- Mencegah akses baca publik anonim ke kontainer dan blob
- Mencegah otorisasi Kunci Bersama untuk Akun Azure Storage
- Keamanan jaringan untuk Akun Penyimpanan
- Titik Akhir Privat dan Private Link untuk Akun Penyimpanan
- Enkripsi Layanan Penyimpanan (SSE)
- Kontrol Akses berbasis peran untuk Akun Penyimpanan
- Azure Blob Backup
- Praktik Terbaik saat menggunakan SAS
- Ulasan Titik Akhir Privat
- Tinjauan Titik Akhir Layanan
- Microsoft Defender untuk Storage