Daftar Periksa RaMP — Memvalidasi kepercayaan secara eksplisit untuk semua permintaan akses
Daftar periksa Rencana Modernisasi Cepat (RaMP) ini membantu Anda membuat perimeter keamanan untuk aplikasi cloud dan perangkat seluler yang menggunakan identitas sebagai sarana kontrol dan secara eksplisit memvalidasi kepercayaan untuk akun dan perangkat pengguna sebelum mengizinkan akses, baik untuk jaringan publik maupun privat.
Agar produktif, karyawan (pengguna) Anda harus dapat menggunakan:
- Kredensial akun mereka untuk memverifikasi identitas mereka.
- Titik akhir mereka (perangkat), seperti PC, tablet, atau ponsel.
- Aplikasi yang telah Anda berikan kepada mereka untuk melakukan pekerjaan mereka.
- Jaringan di mana lalu lintas mengalir antara perangkat dan aplikasi, baik di tempat maupun di cloud.
Masing-masing elemen ini adalah target penyerang dan harus dilindungi dengan prinsip pusat "jangan pernah percaya, selalu verifikasi" dari Zero Trust.
Daftar periksa ini mencakup penggunaan Zero Trust untuk memvalidasi kepercayaan secara eksplisit untuk semua permintaan akses untuk:
Setelah menyelesaikan pekerjaan ini, Anda akan membangun bagian arsitektur Zero Trust ini.
Identitas
Verifikasi dan amankan setiap identitas dengan autentikasi yang kuat di seluruh estat digital Anda dengan ID Microsoft Entra, solusi manajemen identitas dan akses lengkap dengan keamanan terintegrasi yang menghubungkan ratusan juta orang ke aplikasi, perangkat, dan data mereka setiap bulan.
Akuntabilitas anggota program dan proyek
Tabel ini menjelaskan perlindungan keseluruhan akun pengguna Anda dalam hal hierarki manajemen proyek manajemen program sponsor untuk menentukan dan mendorong hasil.
| Lead | Pemilik | Akuntabilitas |
|---|---|---|
| CISO, CIO, atau Direktur Keamanan Identitas | Sponsor eksekutif | |
| Prospek program dari Identity Security atau Identity Architect | Mendorong hasil dan kolaborasi lintas tim | |
| Arsitek Keamanan | Saran tentang konfigurasi dan standar | |
| Keamanan Identitas atau Arsitek Identitas | Menerapkan perubahan konfigurasi | |
| Admin Identitas | Memperbarui standar dan dokumen kebijakan | |
| Tata Kelola Keamanan atau Admin Identitas | Memantau untuk memastikan kepatuhan | |
| Tim Pendidikan Pengguna | Memastikan panduan untuk pengguna mencerminkan pembaruan kebijakan |
Tujuan penyebaran
Penuhi tujuan penyebaran ini untuk melindungi identitas istimewa Anda dengan Zero Trust.
| Selesai | Tujuan penyebaran | Pemilik | Dokumentasi |
|---|---|---|---|
| 1. Sebarkan akses istimewa aman untuk melindungi akun pengguna administratif. | Pelaksana TI | Mengamankan akses istimewa untuk penyebaran hibrid dan cloud di ID Microsoft Entra | |
| 2. Sebarkan Microsoft Entra Privileged Identity Management (PIM) untuk proses persetujuan just-in-time yang terikat waktu untuk penggunaan akun pengguna istimewa. | Pelaksana TI | Merencanakan penyebaran Privileged Identity Management |
Penuhi tujuan penyebaran ini untuk melindungi identitas pengguna Anda dengan Zero Trust.
| Selesai | Tujuan penyebaran | Pemilik | Dokumentasi |
|---|---|---|---|
| 1. Aktifkan pengaturan ulang kata sandi mandiri (SSPR), yang memberi Anda kemampuan reset kredensial | Pelaksana TI | Merencanakan penyebaran pengaturan ulang kata sandi mandiri Microsoft Entra | |
| 2. Aktifkan autentikasi multifaktor (MFA) dan pilih metode yang sesuai untuk MFA | Pelaksana TI | Merencanakan penyebaran autentikasi multifaktor Microsoft Entra | |
| 3. Aktifkan Pendaftaran Pengguna gabungan untuk direktori Anda untuk memungkinkan pengguna mendaftar SSPR dan MFA dalam satu langkah | Pelaksana TI | Mengaktifkan pendaftaran informasi keamanan gabungan di ID Microsoft Entra | |
| 4. Konfigurasikan kebijakan Akses Bersyarat untuk memerlukan pendaftaran MFA. | Pelaksana TI | Cara: Mengonfigurasi kebijakan pendaftaran autentikasi multifaktor Microsoft Entra | |
| 5. Aktifkan kebijakan berbasis risiko pengguna dan masuk untuk melindungi akses pengguna ke sumber daya. | Pelaksana TI | Cara: Mengonfigurasikan dan mengaktifkan kebijakan risiko | |
| 6. Deteksi dan blokir kata sandi lemah yang diketahui dan variannya dan blokir istilah lemah tambahan khusus untuk organisasi Anda. | Pelaksana TI | Menghilangkan kata sandi yang buruk menggunakan Perlindungan Kata Sandi Microsoft Entra | |
| 7. Sebarkan Microsoft Defender untuk Identitas dan tinjau dan mitigasi pemberitahuan terbuka apa pun (secara paralel dengan operasi keamanan Anda). | Tim operasi keamanan | Pertahanan Microsoft untuk Identitas | |
| 8. Sebarkan kredensial tanpa kata sandi. | Pelaksana TI | Merencanakan penyebaran autentikasi tanpa kata sandi di ID Microsoft Entra |
Anda sekarang telah membangun bagian Identitas dari arsitektur Zero Trust.
Titik akhir
Pastikan status kepatuhan dan kesehatan sebelum memberikan akses ke titik akhir (perangkat) Anda dan dapatkan visibilitas tentang cara mengakses jaringan.
Akuntabilitas anggota program dan proyek
Tabel ini menjelaskan perlindungan keseluruhan titik akhir Anda dalam hal hierarki manajemen sponsor/manajemen program/manajemen proyek untuk menentukan dan mendorong hasil.
| Lead | Pemilik | Akuntabilitas |
|---|---|---|
| CISO, CIO, atau Direktur Keamanan Identitas | Sponsor eksekutif | |
| Prospek program dari Identity Security atau Identity Architect | Mendorong hasil dan kolaborasi lintas tim | |
| Arsitek Keamanan | Saran tentang konfigurasi dan standar | |
| Keamanan Identitas atau Arsitek Keamanan Infrastruktur | Menerapkan perubahan konfigurasi | |
| Admin manajemen perangkat seluler (MDM) | Memperbarui standar dan dokumen kebijakan | |
| Tata Kelola Keamanan atau Admin MDM | Memantau untuk memastikan kepatuhan | |
| Tim Pendidikan Pengguna | Memastikan panduan untuk pengguna mencerminkan pembaruan kebijakan |
Tujuan penyebaran
Penuhi tujuan penyebaran ini untuk melindungi titik akhir (perangkat) Anda dengan Zero Trust.
| Selesai | Tujuan penyebaran | Pemilik | Dokumentasi |
|---|---|---|---|
| 1. Daftarkan perangkat dengan ID Microsoft Entra. | MDM Admin | Identitas perangkat | |
| 2. Daftarkan perangkat dan buat profil konfigurasi. | MDM Admin | Gambaran umum manajemen perangkat | |
| 3. Sambungkan Pertahanan untuk Titik Akhir ke Intune (secara paralel dengan operasi keamanan Anda). | Admin Keamanan Identitas | Mengonfigurasi Microsoft Defender untuk Titik Akhir di Intune | |
| 4. Pantau kepatuhan dan risiko perangkat untuk Akses Bersyar. | Admin Keamanan Identitas | Gunakan kebijakan kepatuhan untuk mengatur aturan bagi perangkat yang Anda kelola dengan Intune | |
| 5. Terapkan solusi perlindungan informasi Microsoft Purview dan integrasikan dengan kebijakan Akses Bersyar. | Admin Keamanan Identitas | Menggunakan label sensitivitas untuk melindungi konten |
Anda sekarang telah membangun bagian Titik Akhir dari arsitektur Zero Trust.
Aplikasi
Karena aplikasi digunakan oleh pengguna berbahaya untuk menyusup ke organisasi, Anda perlu memastikan bahwa aplikasi Anda menggunakan layanan, seperti ID Microsoft Entra dan Intune, yang memberikan perlindungan Zero Trust atau diperkuat terhadap serangan.
Akuntabilitas anggota program dan proyek
Tabel ini menjelaskan implementasi Zero Trust untuk aplikasi dalam hal hierarki manajemen sponsor/manajemen program/manajemen proyek untuk menentukan dan mendorong hasil.
| Lead | Pemilik | Akuntabilitas |
|---|---|---|
| CISO, CIO, atau Direktur Keamanan Aplikasi | Sponsor eksekutif | |
| Prospek program dari Manajemen Aplikasi | Mendorong hasil dan kolaborasi lintas tim | |
| Arsitek Identitas | Saran tentang konfigurasi Microsoft Entra untuk aplikasi Memperbarui standar autentikasi untuk aplikasi lokal |
|
| Arsitek Pengembang | Saran tentang konfigurasi dan standar untuk aplikasi lokal dan cloud internal | |
| Arsitek Jaringan | Menerapkan perubahan konfigurasi VPN | |
| Arsitek Jaringan Cloud | Menyebarkan proksi aplikasi Microsoft Entra | |
| Tata Kelola Keamanan | Memantau untuk memastikan kepatuhan |
Tujuan penyebaran
Penuhi tujuan penyebaran ini untuk memastikan perlindungan Zero Trust untuk aplikasi cloud Microsoft Anda, aplikasi SaaS pihak ketiga, aplikasi PaaS kustom, dan aplikasi lokal.
| Selesai | Jenis penggunaan aplikasi atau aplikasi | Tujuan penyebaran | Pemilik | Dokumentasi |
|---|---|---|---|---|
| Aplikasi SaaS pihak ketiga dan aplikasi PaaS kustom yang terdaftar di MICROSOFT Entra ID | Pendaftaran aplikasi Microsoft Entra menggunakan kebijakan autentikasi, sertifikasi, dan persetujuan aplikasi Microsoft Entra. Gunakan kebijakan Akses Bersyar Microsoft Entra dan kebijakan Intune MAM dan Kebijakan Perlindungan Aplikasi (APP) untuk memungkinkan penggunaan aplikasi. |
Arsitek Identitas | Manajemen aplikasi di ID Microsoft Entra | |
| Aplikasi cloud yang didukung OAuth dan terdaftar di ID Microsoft Entra, Google, dan Salesforce | Gunakan tata kelola aplikasi di Microsoft Defender untuk Cloud Apps untuk visibilitas perilaku aplikasi, tata kelola dengan penegakan kebijakan, serta deteksi dan remediasi serangan berbasis aplikasi. | Teknisi Keamanan | Ringkasan | |
| Aplikasi SaaS pihak ketiga dan aplikasi PaaS kustom yang TIDAK terdaftar di MICROSOFT Entra ID | Daftarkan mereka dengan ID Microsoft Entra untuk kebijakan autentikasi, sertifikasi, dan persetujuan aplikasi. Gunakan kebijakan Microsoft Entra Conditional Access dan kebijakan Intune MAM dan APP. |
Arsitek Aplikasi | Mengintegrasikan semua aplikasi Anda dengan ID Microsoft Entra | |
| Pengguna lokal yang mengakses aplikasi lokal, yang mencakup aplikasi yang berjalan di server lokal dan berbasis IaaS | Pastikan aplikasi Anda mendukung protokol autentikasi modern seperti OAuth/OIDC dan SAML. Hubungi vendor aplikasi Anda untuk pembaruan guna melindungi masuk pengguna. | Arsitek Identitas | Lihat dokumentasi vendor Anda | |
| Pengguna jarak jauh yang mengakses aplikasi lokal melalui koneksi VPN | Mengonfigurasi appliance VPN Anda sehingga menggunakan ID Microsoft Entra sebagai idP-nya | Arsitek Jaringan | Lihat dokumentasi vendor Anda | |
| Pengguna jarak jauh mengakses aplikasi web lokal melalui koneksi VPN | Terbitkan aplikasi melalui proksi aplikasi Microsoft Entra. Pengguna jarak jauh hanya perlu mengakses aplikasi yang diterbitkan individu, yang dirutekan ke server web lokal melalui konektor proksi aplikasi. Koneksi memanfaatkan autentikasi Microsoft Entra yang kuat dan membatasi pengguna dan perangkat mereka untuk mengakses satu aplikasi sekaligus. Sebaliknya, cakupan VPN akses jarak jauh yang khas adalah semua lokasi, protokol, dan port seluruh jaringan lokal. |
Arsitek Jaringan Cloud | Akses jarak jauh ke aplikasi lokal melalui proksi aplikasi Microsoft Entra |
Setelah menyelesaikan tujuan penyebaran ini, Anda akan membangun bagian Aplikasi dari arsitektur Zero Trust.
Jaringan
Model Zero Trust mengasumsikan pelanggaran dan memverifikasi setiap permintaan seolah-olah berasal dari jaringan yang tidak terkontrol. Meskipun ini adalah praktik umum untuk jaringan publik, ini juga berlaku untuk jaringan internal organisasi Anda yang biasanya di-firewall dari Internet publik.
Untuk mematuhi Zero Trust, organisasi Anda harus mengatasi kerentanan keamanan pada jaringan publik dan privat, baik lokal maupun di cloud, dan memastikan bahwa Anda memverifikasi secara eksplisit, menggunakan akses hak istimewa paling sedikit, dan mengasumsikan pelanggaran. Perangkat, pengguna, dan aplikasi tidak dapat dipercaya secara inheren karena berada di jaringan privat Anda.
Akuntabilitas anggota program dan proyek
Tabel ini menjelaskan implementasi Zero Trust untuk jaringan publik dan privat dalam hal hierarki manajemen sponsor/manajemen program/manajemen proyek untuk menentukan dan mendorong hasil.
| Lead | Pemilik | Akuntabilitas |
|---|---|---|
| CISO, CIO, atau Direktur Keamanan Jaringan | Sponsor eksekutif | |
| Pimpinan program dari Networking Leadership | Mendorong hasil dan kolaborasi lintas tim | |
| Arsitek Keamanan | Saran tentang konfigurasi dan standar kebijakan enkripsi dan akses | |
| Arsitek Jaringan | Saran tentang pemfilteran lalu lintas dan perubahan arsitektur jaringan | |
| Teknisi Jaringan | Mendesain perubahan konfigurasi segmentasi | |
| Pelaksana Jaringan | Mengubah konfigurasi peralatan jaringan dan memperbarui dokumen konfigurasi | |
| Tata Kelola Jaringan | Memantau untuk memastikan kepatuhan |
Tujuan penyebaran
Penuhi tujuan penyebaran ini untuk memastikan perlindungan Zero Trust untuk jaringan publik dan privat Anda, baik untuk lalu lintas lokal maupun berbasis cloud. Tujuan ini dapat dilakukan secara paralel.
| Selesai | Tujuan penyebaran | Pemilik | Dokumentasi |
|---|---|---|---|
| Memerlukan enkripsi untuk semua koneksi lalu lintas, termasuk antara komponen IaaS dan antara pengguna dan aplikasi lokal. | Arsitek Keamanan | Komponen Azure IaaS IPsec untuk perangkat Windows lokal |
|
| Batasi akses ke data dan aplikasi penting berdasarkan kebijakan (identitas pengguna atau perangkat) atau pemfilteran lalu lintas. | Arsitek Keamanan atau Arsitek Jaringan | Kebijakan akses untuk Defender untuk Cloud App Conditional Access App Control Windows Firewall untuk perangkat Windows |
|
| Sebarkan segmentasi jaringan lokal dengan kontrol lalu lintas masuk dan keluar dengan perimeter mikro dan segmentasi mikro. | Arsitek Jaringan atau Insinyur Jaringan | Lihat dokumentasi jaringan lokal dan perangkat edge Anda. | |
| Gunakan deteksi ancaman real time untuk lalu lintas lokal. | Analis SecOps | Perlindungan ancaman Windows Microsoft Defender untuk Titik Akhir |
|
| Sebarkan segmentasi jaringan cloud dengan kontrol lalu lintas masuk dan keluar dengan perimeter mikro dan segmentasi mikro. | Arsitek Jaringan atau Insinyur Jaringan | Rekomendasi untuk jaringan dan konektivitas | |
| Gunakan deteksi ancaman real time untuk lalu lintas cloud. | Arsitek Jaringan atau Insinyur Jaringan | Pemfilteran berbasis inteligensi ancaman Azure Firewall Sistem deteksi dan pencegahan intrusi jaringan (IDPS) Azure Firewall Premium |
Setelah menyelesaikan tujuan penyebaran ini, Anda akan membangun bagian Jaringan dari arsitektur Zero Trust.
Langkah selanjutnya
Lanjutkan inisiatif akses dan produktivitas pengguna dengan Data, Kepatuhan, dan Tata Kelola.