Bagikan melalui

Menerapkan prinsip Zero Trust ke aplikasi IaaS di Amazon Web Services

  • Artikel

Artikel ini menyediakan langkah-langkah untuk menerapkan prinsip Zero Trust ke aplikasi IaaS di Amazon Web Services (AWS):

Prinsip Zero Trust Definisi Terpenuhi oleh
Memverifikasi secara eksplisit Selalu autentikasi dan otorisasi berdasarkan semua titik data yang tersedia. Keamanan di DevOps (DevSecOps), menggunakan keamanan tingkat lanjut GitHub dan DevOps, memindai dan mengamankan infrastruktur Anda sebagai kode.
Gunakan akses hak istimewa terkecil Batasi akses pengguna dengan Just-In-Time dan Just-Enough-Access (JIT/JEA), kebijakan adaptif berbasis risiko, dan perlindungan data.
  • Manajemen Izin Microsoft Entra mendeteksi, ukuran yang tepat, dan memantau izin yang tidak digunakan dan berlebihan.
  • Privileged Identity Management (PIM), layanan di Microsoft Entra ID P2, memungkinkan Anda mengelola, mengontrol, dan memantau akses ke sumber daya penting di organisasi Anda.
  • Tetapkan kontrol akses berbasis peran (RBAC) pengguna ke sumber daya di tingkat repositori, tingkat tim, atau tingkat organisasi.
Mengasumsikan pembobolan Minimalkan radius ledakan dan akses segmen. Verifikasi enkripsi menyeluruh dan gunakan analitik untuk mendapatkan visibilitas, mendorong deteksi ancaman, dan meningkatkan pertahanan.
  • Microsoft Defender untuk Cloud dan Microsoft Defender untuk Titik Akhir (Microsoft 365) terus memindai lingkungan untuk ancaman dan kerentanan.
  • Microsoft Sentinel menganalisis data yang dikumpulkan, tren perilaku entitas, anomali, dan ancaman multi-tahap di seluruh perusahaan untuk mendeteksi aktivitas yang mencurigakan, dan dapat merespons dengan otomatisasi.

Untuk informasi selengkapnya tentang cara menerapkan prinsip Zero Trust di seluruh lingkungan Azure IaaS, lihat gambaran umum Menerapkan Zero Trust ke Azure IaaS.

Komponen AWS dan AWS

AWS adalah salah satu penyedia cloud publik yang tersedia di pasar, bersama dengan Microsoft Azure, Google Cloud Platform, dan lainnya. Umum bagi perusahaan untuk memiliki arsitektur multicloud yang terdiri dari lebih dari satu penyedia cloud. Dalam artikel ini, kami berfokus pada arsitektur multicloud di mana:

  • Azure dan AWS terintegrasi untuk menjalankan beban kerja dan solusi bisnis TI.
  • Anda mengamankan beban kerja AWS IaaS menggunakan produk Microsoft.

Komputer virtual AWS, yang disebut Amazon Elastic Compute Cloud (Amazon EC2), berjalan di atas jaringan virtual AWS, yang disebut Amazon Virtual Private Cloud (Amazon VPC). Pengguna dan administrator cloud menyiapkan Amazon VPC di lingkungan AWS mereka dan menambahkan komputer virtual Amazon EC2.

AWS CloudTrail mencatat aktivitas akun AWS di lingkungan AWS. Amazon EC2, Amazon VPC, dan AWS CloudTrail umum di lingkungan AWS. Mengumpulkan log dari layanan ini sangat penting untuk memahami apa yang terjadi di lingkungan AWS Anda dan tindakan yang harus diambil untuk menghindari atau mengurangi serangan.

Amazon GuardDuty adalah layanan deteksi ancaman yang membantu melindungi beban kerja AWS dengan memantau lingkungan AWS untuk aktivitas berbahaya dan perilaku yang tidak sah.

Dalam artikel ini, Anda mempelajari cara mengintegrasikan pemantauan dan pengelogan sumber daya dan layanan AWS ini dengan solusi pemantauan Azure dan tumpukan keamanan Microsoft.

Arsitektur referensi

Diagram arsitektur berikut menunjukkan layanan dan sumber daya umum yang diperlukan untuk menjalankan beban kerja IaaS di lingkungan AWS. Diagram ini juga menunjukkan layanan Azure yang diperlukan untuk menyerap log dan data dari lingkungan AWS ke Azure dan untuk memberikan pemantauan dan perlindungan ancaman.

Diagram arsitektur referensi untuk mengamankan aplikasi IaaS di Amazon Web Services (AWS).

Diagram menunjukkan penyerapan log ke Azure untuk sumber daya dan layanan berikut di lingkungan AWS:

  • Amazon Elastic Compute Cloud (Amazon EC2)
  • Amazon Virtual Private Cloud (Amazon VPC)
  • Amazon Web Services CloudTrail (AWS CloudTrail)
  • Amazon GuardDuty

Untuk menyerap log ke Azure untuk sumber daya dan layanan di lingkungan AWS, Anda harus memiliki Amazon Simple Storage Service (Amazon S3) dan Amazon Simple Queue Service (SQS) yang ditentukan.

Log dan data diserap ke dalam Analitik Log di Azure Monitor.

Produk Microsoft berikut menggunakan data yang diserap untuk memantau:

  • Microsoft Defender for Cloud
  • Microsoft Sentinel
  • Pertahanan Microsoft untuk Titik Akhir

Catatan

Anda tidak perlu menyerap log ke semua produk Microsoft yang tercantum untuk memantau sumber daya dan layanan AWS Anda. Namun, menggunakan semua produk Microsoft bersama-sama, memberikan manfaat yang lebih besar dari log AWS dan penyerapan data ke Azure.

Artikel ini mengikuti diagram arsitektur dan menjelaskan cara:

  • Instal dan konfigurasikan produk Microsoft untuk menyerap log dari sumber daya AWS Anda.
  • Konfigurasikan metrik untuk data keamanan yang ingin Anda pantau.
  • Tingkatkan postur keamanan Anda secara keseluruhan dan amankan beban kerja AWS.
  • Amankan Infrastruktur sebagai kode.

Langkah 1: Menginstal dan menyambungkan produk Microsoft untuk menyerap log dan data

Bagian ini memandikan Anda melalui cara menginstal dan menghubungkan produk Microsoft dalam arsitektur yang dirujuk untuk menyerap log dari layanan dan sumber daya AWS dan Amazon Anda. Untuk mematuhi verifikasi Zero Trust secara eksplisit, Anda perlu menginstal produk Microsoft dan terhubung ke lingkungan AWS Anda untuk mengambil tindakan proaktif sebelum serangan.

Langkah-langkah Tugas
A Instal agen Azure Koneksi ed Machine ke komputer virtual Amazon Elastic Compute Cloud (Amazon EC2) Anda untuk menyerap data sistem operasi dan log ke Azure.
B Instal Agen Azure Monitor ke komputer virtual Amazon EC2 untuk mengirim log ke ruang kerja Analitik Log Anda.
C Koneksi akun AWS untuk Microsoft Defender untuk Cloud.
D Koneksi Microsoft Sentinel ke AWS untuk menyerap data log AWS.
E Gunakan konektor AWS untuk menarik log layanan AWS ke Microsoft Sentinel.

J. Instal agen Azure Koneksi ed Machine ke komputer virtual Amazon EC2 Anda untuk menyerap data sistem operasi dan log ke Azure

Server berkemampuan Azure Arc memungkinkan Anda mengelola server fisik Windows dan Linux dan komputer virtual yang dihosting di luar Azure, di jaringan perusahaan Anda, atau penyedia cloud lainnya. Untuk keperluan Azure Arc, komputer yang dihosting di luar Azure dianggap sebagai mesin hibrid. Untuk menyambungkan komputer virtual Amazon EC2 Anda (juga dikenal sebagai komputer hibrid) ke Azure, Anda menginstal agen Azure Koneksi ed Machine di setiap komputer.

Untuk informasi selengkapnya, lihat Koneksi komputer hibrid ke Azure.

B. Instal Agen Azure Monitor ke komputer virtual Amazon EC2 untuk mengirim log ke ruang kerja Analitik Log Anda

Azure Monitor menyediakan pemantauan lengkap untuk sumber daya dan aplikasi Anda yang berjalan di Azure dan cloud lainnya, termasuk AWS. Azure Monitor mengumpulkan, menganalisis, dan bertindak berdasarkan telemetri dari lingkungan cloud dan lokal Anda. Wawasan VM di Azure Monitor menggunakan server berkemampuan Azure Arc untuk memberikan pengalaman yang konsisten antara komputer virtual Azure dan komputer virtual Amazon EC2 Anda. Anda dapat melihat komputer virtual Amazon EC2 Anda tepat di samping komputer virtual Azure Anda. Anda dapat melakukan onboarding komputer virtual Amazon EC2 menggunakan metode yang identik. Ini termasuk menggunakan konstruksi Azure standar seperti Azure Policy dan menerapkan tag.

Saat Anda mengaktifkan wawasan VM untuk komputer, Azure Monitor Agent (AMA) diinstal. AMA mengumpulkan data pemantauan dari komputer virtual Amazon EC2 dan mengirimkannya ke Azure Monitor untuk digunakan oleh fitur, wawasan, dan layanan lainnya, seperti Microsoft Sentinel dan Microsoft Defender untuk Cloud.

Penting

Log Analytics adalah alat di portal Azure yang Anda gunakan untuk mengedit dan menjalankan kueri log terhadap data di penyimpanan Log Azure Monitor. Analitik Log diinstal secara otomatis.

Komputer virtual Amazon EC2 mungkin memiliki agen Analitik Log warisan yang terinstal. Agen ini akan ditolak pada Bulan September 2024. Microsoft merekomendasikan penginstalan Agen Azure Monitor baru.

Agen Analitik Log atau Agen Azure Monitor untuk Windows dan Linux diperlukan untuk:

  • Pantau sistem operasi dan beban kerja yang berjalan di komputer secara proaktif.
  • Kelola mesin menggunakan runbook atau solusi Automation seperti Manajemen Pembaruan.
  • Gunakan layanan Azure lainnya seperti Pertahanan Microsoft untuk Cloud.

Saat Anda mengumpulkan log dan data, informasi disimpan di ruang kerja Analitik Log. Anda memerlukan ruang kerja Analitik Log jika Anda mengumpulkan data dari sumber daya Azure di langganan Anda.

Buku kerja Azure Monitor adalah alat visualisasi yang tersedia di portal Azure. Buku kerja menggabungkan teks, kueri log, metrik, dan parameter ke dalam laporan interaktif yang kaya. Menyiapkan buku kerja membantu Anda menggunakan analitik untuk mematuhi Prinsip pelanggaran asumsikan Zero Trust.

Buku kerja dibahas di artikel berikutnya di bawah Pantau log Microsoft Azure Sentinel dari Amazon Virtual Private Cloud (Amazon VPC), AWS CloudTrail, dan Amazon GuardDuty.

Untuk informasi selengkapnya, lihat:

C. Koneksi akun AWS untuk Microsoft Defender untuk Cloud

Microsoft Defender untuk Cloud adalah Cloud Security Posture Management (CSPM) dan Cloud Workload Protection Platform (CWPP) untuk semua sumber daya Azure, lokal, dan multicloud Anda, termasuk AWS. Defender for Cloud mengisi tiga kebutuhan penting selagi Anda mengelola keamanan sumber daya dan beban kerja Anda di cloud dan secara lokal:

  • Terus menilai - Ketahui postur keamanan Anda. Mengidentifikasi dan melacak kerentanan.
  • Aman - Memperkuat sumber daya dan layanan dengan standar Tolok Ukur Keamanan Cloud Microsoft (MCSB) dan Aws Foundational Security Best Practices.
  • Defend - Deteksi dan atasi ancaman terhadap sumber daya dan layanan.

Pertahanan Microsoft untuk Server adalah salah satu paket berbayar yang disediakan oleh Microsoft Defender untuk Cloud. Defender untuk Server memperluas perlindungan ke komputer Windows dan Linux Anda yang berjalan di Azure, AWS, Google Cloud Platform, dan lokal. Defender for Server terintegrasi dengan Microsoft Defender untuk Titik Akhir untuk menyediakan deteksi dan respons titik akhir (EDR) dan fitur perlindungan ancaman lainnya.

Untuk informasi selengkapnya, lihat:

Catatan

Jika Belum menyebarkan AMA di server, Anda dapat menyebarkan Agen Azure Monitor di server saat mengaktifkan Defender untuk Server.

D. Koneksi Microsoft Sentinel ke AWS untuk menyerap data log AWS

Microsoft Sentinel adalah solusi cloud-native yang dapat diskalakan yang menyediakan layanan berikut:

  • Informasi keamanan dan manajemen acara (SIEM)
  • Orkestrasi keamanan, otomatisasi, dan respons (SOAR)

Microsoft Sentinel memberikan analisis keamanan dan ancaman secara cerdas di seluruh perusahaan. Dengan Microsoft Sentinel, Anda mendapatkan satu solusi untuk deteksi serangan, visibilitas ancaman, perburuan proaktif, dan respons ancaman.

Untuk instruksi penyiapan, lihat Onboard Microsoft Azure Sentinel.

E. Menggunakan konektor AWS untuk menarik log layanan AWS ke Microsoft Azure Sentinel

Untuk menarik log layanan AWS ke Microsoft Azure Sentinel, Anda perlu menggunakan konektor AWS Microsoft Sentinel. Konektor berfungsi dengan memberikan akses Microsoft Azure Sentinel ke log sumber daya AWS Anda. Menyiapkan konektor membangun hubungan kepercayaan antara AWS dan Microsoft Sentinel. Di AWS, peran dibuat yang memberikan izin kepada Microsoft Sentinel untuk mengakses log AWS Anda.

Konektor AWS tersedia dalam dua versi: konektor Amazon Simple Storage Service (Amazon S3) baru yang menyerap log dengan menariknya dari wadah Amazon S3 dan konektor warisan untuk manajemen CloudTrail dan log data. Konektor Amazon S3 dapat menyerap log dari Amazon Virtual Private Cloud (Amazon VPC), AWS CloudTrail, dan Amazon GuardDuty. Konektor Amazon S3 sedang dalam pratinjau. Sebaiknya gunakan konektor Amazon S3.

Untuk menyerap log dari Amazon VPC, AWS CloudTrail, dan Amazon GuardDuty menggunakan konektor Amazon S3, lihat Koneksi Microsoft Sentinel ke AWS.

Catatan

Microsoft merekomendasikan penggunaan skrip penyiapan otomatis untuk menyebarkan konektor Amazon S3. Jika Anda lebih suka melakukan setiap langkah secara manual, ikuti penyiapan manual untuk menyambungkan Microsoft Sentinel ke AWS.

Langkah 2: Mengonfigurasi metrik untuk data keamanan Anda

Setelah Azure menyerap log dari sumber daya AWS, Anda dapat membuat aturan deteksi ancaman di lingkungan Anda dan memantau pemberitahuan. Artikel ini memancarkan Anda melalui langkah-langkah untuk mengumpulkan log dan data dan memantau aktivitas yang mencurigakan. Zero Trust mengasumsikan prinsip pelanggaran dicapai dengan memantau lingkungan Anda untuk ancaman dan kerentanan.

Langkah-langkah Tugas
A Kumpulkan log Amazon Elastic Compute Cloud (Amazon EC2) di Azure Monitor.
B Melihat dan mengelola pemberitahuan dan rekomendasi keamanan Microsoft Defender untuk Cloud untuk Amazon EC2.
C Integrasikan Microsoft Defender untuk Titik Akhir dengan Defender untuk Cloud.
D Pantau data Amazon EC2 di Microsoft Azure Sentinel.
E Pantau di log Microsoft Azure Sentinel dari Amazon Virtual Private Cloud (Amazon VPC), AWS CloudTrail, dan Amazon GuardDuty.
F Gunakan aturan deteksi bawaan Microsoft Sentinel untuk membuat dan menyelidiki aturan deteksi ancaman di lingkungan Anda.

J. Mengumpulkan log Amazon Elastic Compute Cloud (Amazon EC2) di Azure Monitor

Agen Azure Koneksi ed Machine yang diinstal pada VM Amazon EC2 memungkinkan Anda memantau sumber daya AWS seolah-olah mereka sumber daya Azure. Misalnya, Anda dapat menggunakan kebijakan Azure untuk mengatur dan mengelola pembaruan untuk VM Amazon EC2 Anda.

Azure Monitor Agent (AMA) yang diinstal pada VM Amazon EC2 Anda mengumpulkan data pemantauan dan mengirimkannya ke Azure Monitor. Log ini menjadi input untuk Microsoft Azure Sentinel dan Defender untuk Cloud.

Untuk mengumpulkan log dari VM Amazon EC2 Anda, lihat membuat aturan pengumpulan data.

B. Melihat dan mengelola pemberitahuan dan rekomendasi keamanan Microsoft Defender untuk Cloud untuk Amazon EC2

Microsoft Defender untuk Cloud menggunakan log sumber daya untuk menghasilkan pemberitahuan dan rekomendasi keamanan. Defender untuk Cloud dapat memberikan pemberitahuan untuk memperingatkan Anda tentang kemungkinan ancaman pada VM Amazon EC2 Anda. Pemberitahuan diprioritaskan oleh tingkat keparahan. Setiap peringatan menyediakan detail sumber daya, masalah, serta rekomendasi remediasi yang terpengaruh.

Ada dua cara untuk melihat rekomendasi di portal Azure. Di halaman ringkasan Defender untuk Cloud, Anda melihat rekomendasi untuk lingkungan yang ingin Anda tingkatkan. Pada halaman inventaris aset Defender untuk Cloud, rekomendasi ditampilkan sesuai dengan sumber daya yang terpengaruh.

Untuk melihat dan mengelola pemberitahuan dan rekomendasi Amazon EC2:

Catatan

Microsoft cloud security Benchmark (MCSB) menyertakan kumpulan rekomendasi keamanan berdampak tinggi yang dapat Anda gunakan untuk membantu mengamankan layanan cloud Anda dalam satu lingkungan atau multicloud. Microsoft merekomendasikan penggunaan tolok ukur keamanan untuk membantu Anda mengamankan penyebaran cloud dengan cepat. Pelajari selengkapnya tentang MCSB.

C. Mengintegrasikan Microsoft Defender untuk Titik Akhir dengan Defender untuk Cloud

Lindungi titik akhir Anda dengan solusi deteksi dan respons titik akhir terintegrasi Defender untuk Cloud, Microsoft Defender untuk Titik Akhir. Microsoft Defender untuk Titik Akhir melindungi komputer Windows dan Linux Anda baik dihosting di Azure, lokal, atau lingkungan multicloud. Microsoft Defender for Endpoint adalah solusi keamanan titik akhir yang holistik, berbasis cloud. Fitur utamanya meliputi:

  • Pengelolaan dan penilaian kerentanan berbasis risiko
  • Pengurangan permukaan serangan
  • Perlindungan berbasis perilaku dan didukung cloud
  • Deteksi dan respons Endpoint (EDR)
  • Investigasi dan remediasi otomatis
  • Layanan berburu terkelola

Untuk informasi selengkapnya, lihat Mengaktifkan integrasi Microsoft Defender untuk Titik Akhir.

D. Memantau data Amazon EC2 di Microsoft Azure Sentinel

Setelah Anda menginstal agen Azure Koneksi ed Machine dan AMA, sistem operasi Amazon EC2 mulai mengirim log ke tabel Azure Log Analytics yang secara otomatis tersedia untuk Microsoft Azure Sentinel.

Gambar berikut menunjukkan bagaimana log sistem operasi Amazon EC2 diserap oleh Microsoft Azure Sentinel. Agen Azure Koneksi ed Machine menjadikan VM Amazon EC2 Anda sebagai bagian dari Azure. Peristiwa Keamanan Windows melalui konektor data AMA mengumpulkan data dari VM Amazon EC2 Anda.

Diagram log sistem operasi yang diserap oleh Microsoft Sentinel.

Catatan

Anda tidak memerlukan Microsoft Azure Sentinel untuk menyerap log dari Amazon EC2 tetapi Anda memerlukan ruang kerja Analitik Log yang sebelumnya disiapkan.

Untuk panduan langkah demi langkah, lihat Amazon EC2 Sentinel Ingestion menggunakan Arc dan AMA, yang merupakan dokumen di GitHub. Dokumen GitHub membahas penginstalan AMA, yang dapat Anda lewati karena Anda menginstal AMA sebelumnya dalam panduan solusi ini.

E. Memantau log Microsoft Azure Sentinel dari Amazon Virtual Private Cloud (Amazon VPC), AWS CloudTrail, dan Amazon GuardDuty

Sebelumnya Anda menghubungkan Microsoft Sentinel ke AWS menggunakan konektor Amazon Simple Storage Service (Amazon S3). Wadah Amazon S3 mengirimkan log ke ruang kerja Analitik Log Anda, alat yang mendasar yang digunakan untuk mengkuerinya. Tabel berikut ini dibuat di ruang kerja:

  • AWSCloudTrail - Log AWS CloudTrail menyimpan semua data dan peristiwa manajemen akun AWS Anda.
  • AWSGuardDuty - Amazon GuardDuty Findings mewakili potensi masalah keamanan yang terdeteksi dalam jaringan Anda. Amazon GuardDuty menghasilkan temuan setiap kali mendeteksi aktivitas yang tidak terduga dan berpotensi berbahaya di lingkungan AWS Anda.
  • AWSVPCFlow - Log Alur Amazon Virtual Private Cloud (Amazon VPC) memungkinkan Anda menangkap lalu lintas IP ke dan dari antarmuka jaringan Amazon VPC Anda.

Anda dapat mengkueri Amazon VPC Flow Logs, AWS CloudTrail, dan Amazon GuardDuty di Microsoft Azure Sentinel. Berikut ini adalah contoh kueri untuk setiap layanan dan tabel terkait di Analitik Log:

Untuk log Amazon GuardDuty:

AWSGuardDuty | where Severity > 7 | summarize count() by ActivityType

Untuk log Alur Amazon VPC:

AWSVPCFlow | where Action == "REJECT" | where Type == "Ipv4" | ambil 10

Untuk log AWS CloudTrail:

AWSCloudTrail | where EventName == "CreateUser" | meringkas count() menurut AWSRegion

Di Microsoft Azure Sentinel, Anda menggunakan buku kerja Amazon S3 untuk menganalisis detail selengkapnya.

Untuk AWS CloudTrail, Anda dapat menganalisis:

  • Aliran data dari waktu ke waktu
  • ID Akun
  • Daftar Sumber Kejadian

Untuk Amazon GuardDuty, Anda dapat menganalisis:

  • Amazon GuardDuty menurut peta
  • Amazon GuardDuty menurut wilayah
  • Amazon GuardDuty oleh IP

F. Menggunakan aturan deteksi bawaan Microsoft Sentinel untuk membuat dan menyelidiki aturan deteksi ancaman di lingkungan Anda

Sekarang setelah Anda menyambungkan sumber data ke Microsoft Azure Sentinel, gunakan templat aturan deteksi bawaan Microsoft Sentinels untuk membantu Anda membuat dan menyelidiki aturan deteksi ancaman di lingkungan Anda. Microsoft Sentinel menyediakan templat bawaan yang siap pakai untuk membantu Anda membuat aturan deteksi ancaman.

Tim pakar keamanan dan analis Microsoft merancang templat aturan berdasarkan ancaman yang diketahui, vektor serangan umum, dan rantai eskalasi aktivitas yang mencurigakan. Aturan yang dibuat dari templat ini secara otomatis mencari di seluruh lingkungan Anda untuk setiap aktivitas yang terlihat mencurigakan. Banyak templat dapat disesuaikan untuk mencari aktivitas, atau memfilternya, sesuai dengan kebutuhan Anda. Pemberitahuan yang dihasilkan oleh aturan ini membuat insiden yang dapat Anda tetapkan dan selidiki di lingkungan Anda.

Untuk informasi selengkapnya, lihat mendeteksi ancaman dengan aturan analitik bawaan di Microsoft Azure Sentinel.

Langkah 3: Tingkatkan postur keamanan Anda secara keseluruhan

Di bagian ini, Anda mempelajari bagaimana Manajemen Izin Microsoft Entra membantu Anda memantau izin yang tidak digunakan dan berlebihan. Anda menelusuri cara mengonfigurasi, onboarding, dan melihat data kunci. Prinsip akses hak istimewa terkecil penggunaan Zero Trust dicapai dengan mengelola, mengontrol, dan memantau akses ke sumber daya Anda.

Langkah-langkah Tugas
A Mengonfigurasi Manajemen Izin dan Privileged Identity Management.
B Onboard akun AWS.
C Lihat statistik dan data utama.

Mengonfigurasi Manajemen Izin

Manajemen Izin adalah solusi pengelolaan pemberian hak infrastruktur cloud (CIEM) yang mendeteksi, secara otomatis berukuran tepat, dan terus memantau izin yang tidak digunakan dan berlebihan di seluruh infrastruktur multicloud Anda.

Manajemen Izin memperdalam strategi keamanan Zero Trust dengan menambah prinsip akses paling sedikit hak istimewa penggunaan, memungkinkan pelanggan untuk:

  • Mendapatkan visibilitas komprehensif: Mengetahui identitas mana yang melakukan apa, di mana, dan kapan.
  • Mengotomatiskan akses hak istimewa terkecil: Gunakan analitik akses untuk memastikan identitas memiliki izin yang tepat, pada waktu yang tepat.
  • Menyatukan kebijakan akses di seluruh platform IaaS: Terapkan kebijakan keamanan yang konsisten di seluruh infrastruktur cloud Anda.

Manajemen Izin menyediakan ringkasan statistik dan data utama untuk AWS dan Azure. Data mencakup metrik yang terkait dengan risiko yang dapat dihindari. Metrik ini memungkinkan administrator Manajemen Izin mengidentifikasi area di mana risiko yang terkait dengan Zero Trust menggunakan prinsip akses hak istimewa terkecil dapat dikurangi.

Data dapat disalurkan ke Microsoft Sentinel untuk analisis dan otomatisasi lebih lanjut.

Untuk menerapkan tugas, lihat:

Langkah 4: Amankan infrastruktur sebagai kode

Bagian ini mencakup pilar utama DevSecOps, memindai, dan mengamankan infrastruktur Anda sebagai kode. Untuk infrastruktur sebagai kode, tim keamanan dan DevOps harus memantau kesalahan konfigurasi yang dapat menyebabkan kerentanan dalam penyebaran infrastruktur Anda.

Dengan menerapkan pemeriksaan berkelanjutan pada templat Azure Resource Manager (ARM), Bicep, atau Terraform, Anda mencegah pelanggaran dan eksploitasi di awal pengembangan, ketika mereka kurang mahal untuk diperbaiki. Anda juga ingin mempertahankan kontrol ketat administrator dan grup akun layanan di seluruh ID Microsoft Entra dan alat DevOps Anda.

Anda menerapkan Zero Trust menggunakan prinsip akses hak istimewa terkecil dengan:

  • Melakukan tinjauan yang kuat tentang konfigurasi infrastruktur Anda dengan akses identitas hak istimewa paling sedikit dan penyiapan jaringan.
  • Menetapkan kontrol akses berbasis peran (RBAC) pengguna ke sumber daya di tingkat repositori, tingkat tim, atau tingkat organisasi.

Prasyarat:

  • Repositori kode ada di Azure DevOps atau GitHub
  • Alur dihosting di Azure DevOps atau GitHub
Langkah-langkah Tugas
A Aktifkan DevSecOps untuk infrastruktur sebagai kode (IaC).
B Menerapkan RBAC untuk alat DevOps.
C Aktifkan GitHub Advanced Security.
D Lihat kode dan hasil pemindaian rahasia.

J. Mengaktifkan DevSecOps untuk IaC

Defender for DevOps memberikan visibilitas ke dalam postur keamanan lingkungan multi-alur Anda, terlepas dari apakah kode dan alur Anda berada di Azure DevOps atau GitHub. Ini memiliki manfaat tambahan untuk menerapkan satu panel kaca di mana tim keamanan dan DevOps dapat melihat hasil pemindaian semua repositori mereka di satu dasbor, dan menyiapkan proses permintaan pull untuk memulihkan masalah apa pun.

Untuk informasi selengkapnya, lihat:

B. Menerapkan RBAC untuk alat DevOps

Anda perlu mengelola dan menerapkan praktik tata kelola yang baik untuk tim Anda, seperti izin kontrol akses berbasis peran. Jika model ini tidak dicerminkan untuk otomatisasi DevOps, organisasi Anda mungkin membiarkan backdoor keamanan terbuka. Pertimbangkan contoh di mana pengembang tidak memiliki akses melalui templat ARM. Pengembang mungkin masih memiliki izin yang memadai untuk mengubah kode aplikasi atau infrastruktur sebagai kode dan memicu alur kerja otomatisasi. Pengembang, secara tidak langsung melalui DevOps, dapat mengakses dan membuat perubahan yang merusak pada template ARM Anda.

Saat Anda menyebarkan solusi berbasis cloud untuk penyebaran infrastruktur Anda, keamanan harus selalu menjadi perhatian terpenting Anda. Microsoft menjaga keamanan infrastruktur cloud yang mendasar. Anda mengonfigurasi keamanan di Azure DevOps atau GitHub.

Untuk mengonfigurasi keamanan:

  • Di Azure DevOps, Anda dapat menggunakan grup keamanan, kebijakan, dan pengaturan di tingkat organisasi/koleksi, proyek, atau objek.
  • Di GitHub, Anda dapat menetapkan akses pengguna ke sumber daya dengan memberi mereka peran di tingkat repositori, tingkat tim, atau tingkat organisasi.

C. Mengaktifkan Keamanan Tingkat Lanjut GitHub

Untuk mengamankan lingkungan secara proaktif, penting untuk terus memantau dan memperkuat keamanan DevOps. GitHub Advanced Security mengotomatiskan pemeriksaan di alur Anda untuk mencari rahasia yang terekspos, kerentanan dependensi, dan banyak lagi. GitHub menyediakan fitur keamanan tambahan untuk pelanggan di bawah lisensi Keamanan Tingkat Lanjut.

Secara default, GitHub Advanced Security diaktifkan untuk repositori publik. Untuk repositori privat Anda, Anda perlu menggunakan lisensi Keamanan Tingkat Lanjut GitHub. Setelah diaktifkan, Anda dapat mulai menggunakan banyak fitur yang disertakan dengan rangkaian GitHub Advanced Security:

  • Pemindaian kode
  • Pemindaian dependensi
  • Pemindaian rahasia
  • Kontrol akses
  • Pemberitahuan kerentanan
  • Log audit
  • Aturan perlindungan cabang
  • Peninjauan permintaan pull

Dengan fitur-fitur ini, Anda dapat memastikan bahwa kode Anda aman dan sesuai dengan standar industri. Anda juga dapat membuat alur kerja otomatis untuk membantu Anda mendeteksi dan mengatasi masalah keamanan dalam kode Anda dengan cepat. Selain itu, Anda dapat menggunakan aturan perlindungan cabang untuk mencegah perubahan yang tidak sah pada basis kode Anda.

Untuk informasi selengkapnya, lihat Mengaktifkan GitHub Advanced Security.

D. Melihat kode dan hasil pemindaian rahasia

Defender for DevOps, layanan yang tersedia di Defender untuk Cloud, memungkinkan tim keamanan mengelola keamanan DevOps di seluruh lingkungan multi-alur. Defender untuk DevOps menggunakan konsol pusat untuk memberdayakan tim keamanan dengan kemampuan untuk melindungi aplikasi dan sumber daya dari kode ke cloud di seluruh lingkungan multialur, seperti GitHub dan Azure DevOps.

Defender for DevOps mengekspos temuan keamanan sebagai anotasi dalam Permintaan Pull (PR). Operator keamanan dapat mengaktifkan anotasi PR di Microsoft Defender untuk Cloud. Masalah yang terekspos dapat diperbaiki oleh pengembang. Proses ini dapat mencegah dan memperbaiki potensi kerentanan keamanan dan kesalahan konfigurasi sebelum memasuki tahap produksi. Anda dapat mengonfigurasi anotasi PR di Azure DevOps. Anda bisa mendapatkan anotasi PR di GitHub jika Anda adalah pelanggan GitHub Advanced Security.

Untuk informasi selengkapnya, lihat:

Langkah berikutnya

Pelajari selengkapnya tentang layanan Azure yang dibahas dalam artikel ini:

Pelajari selengkapnya tentang layanan dan sumber daya AWS dan Amazon yang dibahas dalam artikel ini: