Menerapkan prinsip Zero Trust ke komputer virtual di Azure

Catatan

Livestream Mendatang Bergabunglah dengan tim Azure FastTrack saat membahas artikel ini. 23 Oktober 2024 | 10.00 - 11.00 (UTC-07.00) Waktu Pasifik (AS & Kanada). Daftar di sini.

Ringkasan: Untuk menerapkan prinsip Zero Trust ke komputer virtual Azure, Anda harus mengonfigurasi isolasi logis dengan grup sumber daya khusus, memanfaatkan Kontrol Akses Berbasis Peran (RBAC), mengamankan komponen boot komputer virtual, mengaktifkan kunci yang dikelola pelanggan dan enkripsi ganda, mengontrol aplikasi yang diinstal, mengonfigurasi akses dan pemeliharaan komputer virtual yang aman, dan mengaktifkan deteksi dan perlindungan ancaman tingkat lanjut.

Artikel ini menyediakan langkah-langkah untuk menerapkan prinsip Zero Trust ke komputer virtual di Azure:

Prinsip Zero Trust	Definisi	Terpenuhi oleh
Memverifikasi secara eksplisit	Selalu autentikasi dan otorisasi berdasarkan semua titik data yang tersedia.	Gunakan akses aman.
Gunakan akses yang paling tidak istimewa	Batasi akses pengguna dengan Just-In-Time dan Just-Enough-Access (JIT/JEA), kebijakan adaptif berbasis risiko, dan perlindungan data.	Manfaatkan Kontrol Akses Berbasis Peran (RBAC) dan kontrol aplikasi yang berjalan di komputer virtual.
Mengasumsikan pembobolan	Minimalkan radius ledakan dan akses segmen. Verifikasi enkripsi menyeluruh dan gunakan analitik untuk mendapatkan visibilitas, mendorong deteksi ancaman, dan meningkatkan pertahanan.	Isolasi komputer virtual dengan grup sumber daya, amankan komponennya, gunakan enkripsi ganda, dan aktifkan deteksi dan perlindungan ancaman tingkat lanjut.

Artikel ini adalah bagian dari serangkaian artikel yang menunjukkan cara menerapkan prinsip Zero Trust di seluruh lingkungan di Azure yang mencakup jaringan virtual spoke (VNet) yang menghosting beban kerja berbasis komputer virtual. Untuk gambaran umum, lihat Menerapkan prinsip Zero Trust ke infrastruktur Azure.

Arsitektur logis untuk komputer virtual

Prinsip Zero Trust untuk komputer virtual diterapkan di seluruh arsitektur logis, dari tingkat penyewa dan direktori hingga lapisan data dan aplikasi dalam setiap komputer virtual.

Diagram berikut menunjukkan komponen arsitektur logis.

Di dalam diagram ini:

• adalah sekumpulan komputer virtual yang diisolasi dalam grup sumber daya khusus yang berada dalam langganan Azure.
• B adalah arsitektur logis untuk satu komputer virtual dengan komponen berikut yang dipanggil: aplikasi, sistem operasi, disk, boot loader, OS Kernel, driver, dan komponen Modul Platform Tepercaya (TPM).

Artikel ini menjelaskan langkah-langkah untuk menerapkan prinsip Zero Trust di seluruh arsitektur logis ini, menggunakan langkah-langkah ini.

Langkah	Tugas	Prinsip Zero Trust diterapkan
1	Konfigurasikan isolasi logis dengan menyebarkan komputer virtual ke grup sumber daya khusus.	Mengasumsikan pembobolan
2	Manfaatkan Kontrol Akses Berbasis Peran (RBAC).	Verifikasi secara eksplisit Gunakan akses yang paling tidak istimewa
3	Komponen boot komputer virtual yang aman termasuk boot loader, kernel OS, dan driver. Lindungi kunci, sertifikat, dan rahasia dengan aman di Modul Platform Tepercaya (TPM).	Mengasumsikan pembobolan
4	Aktifkan kunci yang dikelola pelanggan dan enkripsi ganda.	Mengasumsikan pembobolan
5	Kontrol aplikasi yang diinstal pada komputer virtual.	Gunakan akses yang paling tidak istimewa
6	Mengonfigurasi akses aman (tidak ditampilkan pada gambar arsitektur logis).	Verifikasi secara eksplisit Gunakan akses dengan hak istimewa paling sedikit Mengasumsikan pembobolan
7	Siapkan pemeliharaan aman komputer virtual (tidak ditampilkan pada angka arsitektur logis).	Mengasumsikan pembobolan
8	Aktifkan deteksi dan perlindungan ancaman tingkat lanjut (tidak ditampilkan pada angka arsitektur logis).	Mengasumsikan pembobolan

Langkah 1: Mengonfigurasi isolasi logis untuk komputer virtual

Mulailah dengan mengisolasi komputer virtual dalam grup sumber daya khusus. Anda dapat mengisolasi komputer virtual ke dalam grup sumber daya yang berbeda berdasarkan tujuan, klasifikasi data, dan persyaratan tata kelola, seperti kebutuhan untuk mengontrol izin dan pemantauan.

Menggunakan grup sumber daya khusus memungkinkan Anda mengatur kebijakan dan izin yang berlaku untuk semua komputer virtual dalam grup sumber daya. Anda kemudian dapat menggunakan kontrol akses berbasis peran (RBAC) untuk membuat akses dengan hak istimewa paling sedikit ke sumber daya Azure yang terkandung dalam grup sumber daya.

Untuk informasi selengkapnya tentang membuat dan mengelola grup sumber daya, lihat Mengelola grup sumber daya Azure dengan menggunakan portal Azure.

Anda menetapkan komputer virtual ke grup sumber daya saat pertama kali membuat komputer virtual, seperti yang ditunjukkan di sini.

Langkah 2: Manfaatkan Kontrol Akses Berbasis Peran (RBAC)

Zero Trust memerlukan konfigurasi akses dengan hak istimewa paling sedikit. Untuk melakukannya, Anda perlu membatasi akses pengguna dengan akses just-in-time dan just-enough (JIT/JEA) berdasarkan peran, beban kerja, dan klasifikasi data mereka.

Peran bawaan berikut umumnya digunakan untuk akses komputer virtual:

• Login Pengguna Komputer Virtual: Lihat komputer virtual di portal dan masuk sebagai pengguna biasa.
• Login Administrasi Komputer Virtual: Lihat komputer virtual di portal dan masuk ke komputer virtual sebagai Administrator.
• Kontributor Komputer Virtual: Membuat dan mengelola komputer virtual, termasuk mengatur ulang kata sandi pengguna root dan disk terkelola. Tidak memberikan akses ke jaringan virtual manajemen (VNet) atau kemampuan untuk menetapkan izin ke sumber daya.

Untuk menggabungkan komputer virtual ke VNet, Anda dapat menggunakan izin kustom Microsoft.Network/virtualNetworks/subnets/join/action untuk membuat peran kustom.

Ketika peran kustom ini digunakan dengan Identitas Terkelola dan Kebijakan Akses Bersyar, Anda dapat menggunakan status perangkat, klasifikasi data, anomali, lokasi, dan identitas untuk memaksa autentikasi multifaktor dan secara terperinci mengizinkan akses berdasarkan kepercayaan terverifikasi.

Untuk memperluas realm kontrol Anda di luar sistem dan memungkinkan penyewa ID Microsoft Entra Anda dengan Microsoft Intelligent Security Graph untuk mendukung akses yang aman, buka bilah Manajemen komputer virtual dan aktifkan Identitas Terkelola yang Ditetapkan Sistem, seperti yang ditunjukkan di sini.

Catatan

Fitur ini hanya tersedia untuk Azure Virtual Desktop, Windows Server 2019, Windows 10, dan Linux Distro menggunakan akses berbasis sertifikat.

Langkah 3: Komponen boot komputer virtual yang aman

Ikuti langkah-langkah ini:

• Saat Anda membuat komputer virtual, pastikan Anda mengonfigurasi keamanan untuk komponen boot. Penyebaran komputer virtual yang ditingkatkan memungkinkan Anda memilih jenis keamanan dan menggunakan Boot aman dan vTPM.
• Sebarkan komputer virtual dengan aman dengan boot loader terverifikasi, kernel OS, dan driver yang ditandatangani oleh penerbit tepercaya untuk membuat "root ." Jika gambar tidak ditandatangani oleh penerbit tepercaya, komputer virtual tidak akan melakukan booting.
• Lindungi kunci, sertifikat, dan rahasia dengan aman di komputer virtual dalam Modul Platform Tepercaya.
• Dapatkan wawasan dan kepercayaan diri dari seluruh integritas rantai boot.
• Pastikan beban kerja tepercaya dan dapat diverifikasi. vTPM memungkinkan pengesahan dengan mengukur seluruh rantai boot komputer virtual Anda (UEFI, OS, sistem, dan driver).

Penyebaran komputer virtual yang ditingkatkan memungkinkan Anda memilih jenis keamanan dan menggunakan boot aman dan vTPM saat Anda membuatnya, seperti yang ditunjukkan di sini.

Langkah 4: Aktifkan kunci yang dikelola pelanggan dan enkripsi ganda

Menggunakan kunci yang dikelola pelanggan dan enkripsi ganda memastikan bahwa jika disk diekspor, itu tidak dapat dibaca atau dapat berfungsi. Dengan memastikan bahwa kunci disimpan secara privat dan disk dienkripsi ganda, Anda melindungi dari pelanggaran yang mencoba mengekstrak informasi disk.

Untuk informasi tentang cara mengonfigurasi kunci enkripsi yang dikelola pelanggan dengan Azure Key Vault, lihat Menggunakan portal Azure untuk mengaktifkan enkripsi sisi server dengan kunci yang dikelola pelanggan untuk disk terkelola. Ada biaya tambahan untuk menggunakan Azure Key Vault.

Aktifkan enkripsi sisi server Azure Disk Storage untuk:

• Enkripsi transparan yang sesuai dengan FIPS 140-2 dengan enkripsi AES 256.
• Fleksibilitas yang lebih besar untuk mengelola kontrol.
• Enkripsi perangkat keras (HSM) atau perangkat lunak yang ditentukan.

Aktifkan enkripsi sisi server di host untuk enkripsi end-to-end data komputer virtual Anda.

Setelah menyelesaikan prosedur ini, Anda menggunakan kunci enkripsi yang dikelola pelanggan untuk mengenkripsi disk dalam komputer virtual Anda.

Anda memilih jenis enkripsi pada bilah Disk untuk konfigurasi komputer virtual. Untuk Jenis enkripsi, pilih Enkripsi ganda dengan kunci yang dikelola platform dan dikelola pelanggan, seperti yang ditunjukkan di sini.

Langkah 5: Mengontrol aplikasi yang diinstal pada komputer virtual

Penting untuk mengontrol aplikasi yang diinstal pada komputer virtual Anda:

• Ekstensi browser (API) sulit diamankan yang dapat menyebabkan pengiriman URL berbahaya.
• Aplikasi yang tidak disanksi dapat dibuka karena mereka adalah objek IT bayangan (tim TI tidak disiapkan atau tidak memiliki pengetahuan bahwa ini diinstal).

Anda dapat menggunakan fitur Aplikasi Komputer Virtual untuk mengontrol aplikasi yang diinstal pada komputer virtual. Dengan fitur ini, Anda memilih aplikasi komputer virtual mana yang akan diinstal. Fitur ini menggunakan Azure Compute Gallery untuk menyederhanakan manajemen aplikasi untuk komputer virtual. Saat digunakan bersama dengan RBAC, Anda dapat memastikan bahwa hanya aplikasi tepercaya yang tersedia untuk pengguna.

Anda memilih aplikasi komputer virtual pada bilah Tingkat Lanjut untuk konfigurasi komputer virtual, seperti yang ditunjukkan di sini.

Langkah 6: Mengonfigurasi akses aman

Untuk mengonfigurasi akses aman:

• Mengonfigurasi komunikasi aman dalam lingkungan Azure antar komponen yang mengakses komputer virtual secara langsung
• Menyiapkan autentikasi multifaktor dengan akses bersyarkat
• Menggunakan stasiun kerja akses istimewa (PAW)

Dalam diagram:

• autentikasi multifaktor dengan akses bersyarkat disiapkan dalam ID Microsoft Entra dan portal terkait.
• Admin menggunakan stasiun kerja akses istimewa (PAW) untuk mengakses komputer virtual secara langsung.

Mengonfigurasi komunikasi aman dalam lingkungan Azure untuk komputer virtual

Pertama, pastikan bahwa komunikasi antara komponen di lingkungan Azure aman.

Dalam arsitektur referensi, Azure Bastion menyediakan koneksi aman ke komputer virtual. Azure Bastion bertindak sebagai broker RDP/SSH dan tidak berinteraksi dengan protokol RDP sistem fisik Anda. Ini juga memungkinkan Anda mengurangi jumlah alamat IP yang menghadap publik.

Diagram berikut menunjukkan komponen komunikasi yang aman untuk komputer virtual.

Menyiapkan autentikasi multifaktor dengan akses bersyarkat

Di Langkah 2. Manfaatkan Kontrol Akses Berbasis Peran, Anda mengonfigurasi integrasi Microsoft Entra dan identitas terkelola. Ini memungkinkan Anda menyiapkan autentikasi multifaktor Azure untuk Azure Virtual Desktop atau untuk server yang menjalankan Windows Server 2019 atau yang lebih baru. Anda juga dapat Masuk ke VM Linux dengan kredensial Microsoft Entra. Manfaat tambahan dari ini adalah komputer yang terhubung ke komputer virtual juga harus didaftarkan ke penyewa ID Microsoft Entra Anda agar diizinkan untuk terhubung.

Saat mengonfigurasi autentikasi multifaktor dengan akses bersyarkat dan kebijakan terkait, gunakan kebijakan yang direkomendasikan yang ditetapkan untuk Zero Trust sebagai panduan. Ini termasuk Kebijakan titik awal yang tidak memerlukan pengelolaan perangkat. Idealnya, perangkat yang mengakses komputer virtual Anda dikelola dan Anda dapat menerapkan kebijakan Enterprise , yang direkomendasikan untuk Zero Trust. Untuk informasi selengkapnya, lihat Identitas Common Zero Trust dan kebijakan akses perangkat.

Diagram berikut menunjukkan kebijakan yang direkomendasikan untuk Zero Trust.

Ingatlah bahwa nama pengguna dan kata sandi dapat disusupi 100%. Dengan menggunakan autentikasi multifaktor, Anda mengurangi risiko penyusupan sebesar 99,9%. Ini memerlukan lisensi Microsoft Entra ID P1.

Catatan

Anda juga dapat menggunakan VPN yang digunakan untuk menyambungkan ke komputer virtual di Azure. Namun, Anda harus yakin untuk menggunakan metode untuk memverifikasi secara eksplisit. Membuat terowongan yang "tepercaya" terlepas dari bagaimana mereka digunakan dapat lebih berisiko daripada memiliki koneksi tertentu yang sangat diverifikasi.

Tidak ada jumlah keamanan di lapisan Jaringan, Transportasi, atau Aplikasi yang penting jika Anda tidak berasal dari sumber tepercaya, terverifikasi, dan aman.

Menggunakan PAW

Gunakan Stasiun Kerja Akses Istimewa (PAW) untuk memastikan perangkat yang mengakses komputer virtual sehat. PAW dikonfigurasi khusus untuk akses istimewa sehingga admin menggunakan perangkat yang memiliki:

• Kontrol dan kebijakan keamanan yang membatasi akses administratif lokal.
• Alat produktivitas untuk meminimalkan permukaan serangan hanya untuk apa yang benar-benar diperlukan untuk melakukan tugas administratif sensitif.

Untuk informasi selengkapnya tentang opsi penyebaran, lihat Penyebaran akses istimewa.

Langkah 7: Menyiapkan pemeliharaan komputer virtual yang aman

Pemeliharaan komputer virtual yang aman meliputi:

• Menggunakan anti-malware
• Mengotomatiskan pembaruan komputer virtual

Menggunakan anti-malware pada komputer virtual

Anti-malware membantu melindungi komputer virtual Anda dari ancaman seperti file berbahaya dan adware, dll. Anda dapat menggunakan perangkat lunak anti-malware dari opsi vendor seperti Microsoft, Symantec, Trend Micro, dan Kaspersky.

Microsoft Antimalware adalah sumber daya tanpa biaya yang menyediakan kemampuan perlindungan real-time untuk membantu deteksi, karantina, dan pemberantasan perangkat lunak berbahaya, spyware, dan virus:

• Berjalan di latar belakang dengan kebutuhan interaksi pengguna
• Menyediakan peringatan ketika perangkat lunak yang tidak diinginkan atau berbahaya diunduh, diinstal, atau dijalankan
• Menawarkan konfigurasi aman secara default dan pemantauan anti-malware
• Pemindaian terjadwal
• Pembaruan tanda tangan
• Pembaruan Mesin dan Platform Antimalware
• Perlindungan Aktif
• Pelaporan sampel
• Pengecualian
• Pengumpulan peristiwa antimalware

Mengotomatiskan pembaruan komputer virtual

Mengotomatiskan pembaruan pada sistem memastikan mereka terlindungi dari eksploitasi malware dan kesalahan konfigurasi terbaru. Ada pembaruan otomatis dengan bantuan dalam proses verifikasi platform tepercaya.

Berkonsentrasi pada Pemeliharaan dan Pembaruan Komputer Virtual Azure untuk memastikan sistem Anda diperkuat terhadap ketidakamanan konfigurasi:

• Manajemen Pembaruan Azure Automation dapat membantu dalam pengelolaan proses pembaruan Anda. Dengan utilitas ini, Anda dapat memeriksa status pembaruan sistem Anda, mengelola, menjadwalkan, dan me-reboot server.
• Azure Virtual Machine Agent digunakan untuk mengelola komputer virtual Anda dan memberi Anda kemampuan untuk menggunakan ekstensi untuk manajemen.

Sistem operasi yang didukung oleh Manajemen Pembaruan meliputi hal-hal berikut:

• Setiap komputer virtual Windows - Manajemen Pembaruan melakukan pemindaian dua kali sehari untuk setiap komputer.
• Setiap komputer virtual Linux - Manajemen Pembaruan melakukan pemindaian setiap jam.

Lihat panduan tambahan ini:

• Merencanakan penyebaran untuk memperbarui VM Windows di Azure
• Gunakan Azure Private Link untuk menyambungkan jaringan dengan aman ke Azure Automation Memastikan komputer virtual terhubung dengan cara terisolasi dan bukan melalui internet untuk pembaruan.

Langkah 8: Aktifkan deteksi dan perlindungan ancaman tingkat lanjut

Perlindungan ancaman untuk infrastruktur Azure disediakan oleh Microsoft Defender untuk Cloud. Perlindungan ini diperluas ke komputer virtual saat Anda menyediakan Pertahanan Microsoft untuk Server, seperti yang ditunjukkan dalam diagram berikut.

Dalam diagram:

• Seperti yang dijelaskan dalam artikel Terapkan prinsip Zero Trust ke gambaran umum Azure IaaS, Defender untuk Cloud diaktifkan pada tingkat langganan Azure atau di tingkat grup manajemen Azure yang menyertakan beberapa langganan Azure.
• Selain mengaktifkan Defender untuk Cloud, Defender untuk Server disediakan.

Perlindungan ancaman tingkat lanjut memverifikasi aktivitas yang terjadi pada komputer virtual berdasarkan inteligensi ancaman Microsoft. Ini mencari konfigurasi dan aktivitas tertentu yang menunjukkan bahwa mungkin ada pelanggaran. Ini memungkinkan prinsip Verifikasi secara eksplisit dan Asumsikan pelanggaran Zero Trust.

Pertahanan Microsoft untuk Server mencakup hal berikut:

• Akses ke data Microsoft Defender untuk Titik Akhir yang terkait dengan kerentanan, perangkat lunak yang diinstal, dan pemberitahuan untuk titik akhir Anda untuk deteksi dan respons titik akhir (EDR).
• Defender untuk Cloud pemindai penilaian kerentanan terintegrasi untuk server.
• Temukan kerentanan dan kesalahan konfigurasi secara real time dengan Microsoft Defender untuk Titik Akhir, dan tanpa perlu agen lain atau pemindaian berkala.
• pemindai Qualys terintegrasi Defender untuk Cloud untuk Azure dan mesin hibrid memungkinkan Anda menggunakan alat terkemuka dalam identifikasi kerentanan real time tanpa memerlukan lisensi Qualys.
• Terapkan akses komputer virtual just-in-time di Defender untuk Cloud. Ini membuat aturan tolak eksplisit untuk RDP/SSH dan memberi Anda akses JIT di tingkat server saat Anda membutuhkannya dan memungkinkan Anda membatasi periode akses.
• Pemantauan integritas file di Defender untuk Cloud memberi Anda untuk mengubah pemantauan file dan registri sistem operasi, perangkat lunak aplikasi, dan perubahan lain yang memungkinkan Anda memvalidasi integritas sistem file Anda.
• Kontrol aplikasi adaptif dalam Defender untuk Cloud menyediakan solusi otomatis untuk membuat dan mendefinisikan daftar izin untuk aplikasi aman yang diketahui dan menghasilkan pemberitahuan keamanan jika aplikasi baru berjalan selain yang Anda tentukan sebagai aman untuk digunakan.
• Penguatan jaringan adaptif dalam Defender untuk Cloud menggunakan algoritma pembelajaran mesin yang menghitung lalu lintas Anda saat ini, inteligensi ancaman, indikator kompromi, dan konfigurasi tepercaya yang diketahui untuk memberikan rekomendasi untuk memperkuat Kelompok Keamanan Jaringan Anda.

Ilustrasi teknis

Ilustrasi ini adalah replika ilustrasi referensi dalam artikel ini. Unduh dan sesuaikan ini untuk organisasi dan pelanggan Anda sendiri. Ganti logo Contoso dengan logo Anda sendiri.

Item	Deskripsi
Unduh Visio Diperbarui Oktober 2024	Menerapkan prinsip Zero Trust ke Azure IaaS Gunakan ilustrasi ini dengan artikel ini: - Ringkasan - Penyimpanan Azure - Mesin virtual - Jaringan virtual spoke Azure - Jaringan virtual hub Azure
Unduh Visio Diperbarui Oktober 2024	Menerapkan prinsip Zero Trust ke Azure IaaS — Poster satu halaman Gambaran umum satu halaman tentang proses untuk menerapkan prinsip Zero Trust ke lingkungan IaaS Azure.

Untuk ilustrasi teknis tambahan, lihat Ilustrasi Zero Trust untuk arsitek dan pelaksana TI.

Pelatihan yang direkomendasikan

Mengamankan disk komputer virtual Azure

Pelatihan

Mengamankan disk komputer virtual Azure Anda

Pelajari cara menggunakan Azure Disk Encryption (ADE) untuk mengenkripsi OS dan disk data pada komputer virtual yang ada dan baru. Dalam modul ini, Anda mempelajari cara: Tentukan metode enkripsi mana yang terbaik untuk komputer virtual Anda. Enkripsi disk komputer virtual yang ada menggunakan portal Azure. Mengenkripsi disk komputer virtual yang ada menggunakan PowerShell. Ubah templat Azure Resource Manager untuk mengotomatiskan enkripsi disk pada komputer virtual baru.

Mulai >

Untuk pelatihan selengkapnya tentang Azure, lihat seluruh katalog Microsoft:
Telusuri semua - Pelatihan | Microsoft Learn

Menerapkan keamanan host mesin virtual di Azure

Pelatihan	Menerapkan keamanan host komputer virtual di Azure
	Dalam jalur pembelajaran ini, pelajari cara melindungi dan mengeraskan komputer virtual Anda di Azure.

Mulai >

Untuk pelatihan selengkapnya tentang komputer virtual di Azure, lihat sumber daya ini di katalog Microsoft:
Komputer virtual di Azure | Microsoft Learn

Langkah berikutnya

Lihat artikel tambahan ini untuk menerapkan prinsip Zero Trust ke Azure:

• Gambaran umum Azure IaaS
  • Penyimpanan Azure
  • Jaringan virtual spoke
  • Jaringan virtual spoke dengan layanan Azure PaaS
  • Jaringan virtual hub
• Azure Virtual Desktop
• Azure Virtual WAN
• Aplikasi IaaS di Amazon Web Services
• Microsoft Sentinel dan Microsoft Defender XDR

Referensi

• Mengelola grup sumber daya Azure dengan portal Azure
• Boot aman
• Gambaran umum vTPM
• Pengesahan
• Mengaktifkan enkripsi sisi server Azure Disk Storage
• Enkripsi AES 256
• Azure Bastion
• Autentikasi multifaktor Azure untuk Azure Virtual Desktop
• Windows Servers 2019 atau yang lebih baru
• Masuk ke VM Linux dengan kredensial Microsoft Entra
• Identitas Zero Trust umum dan kebijakan akses perangkat
• Stasiun Kerja Akses Istimewa (PAW)
• Penyebaran akses istimewa
• Microsoft Anti-malware
• Agen Komputer Virtual
• Merencanakan penyebaran untuk memperbarui VM Windows di Azure - Skenario Contoh Azure
• Menggunakan Azure Private Link untuk menyambungkan jaringan dengan aman ke Azure Automation
• Microsoft Defender for Servers
• Microsoft Defender untuk Titik Akhir
• penilaian kerentanan terintegrasi Defender untuk Cloud