Baca dalam bahasa Inggris

Bagikan melalui

Daftar Periksa RaMP — Memvalidasi kepercayaan secara eksplisit untuk semua permintaan akses

  • Artikel

Daftar periksa Rencana Modernisasi Cepat (RaMP) ini membantu Anda membuat perimeter keamanan untuk aplikasi cloud dan perangkat seluler yang menggunakan identitas sebagai sarana kontrol dan secara eksplisit memvalidasi kepercayaan untuk akun dan perangkat pengguna sebelum mengizinkan akses, baik untuk jaringan publik maupun privat.

Agar produktif, karyawan (pengguna) Anda harus dapat menggunakan:

  • Kredensial akun mereka untuk memverifikasi identitas mereka.
  • Titik akhir mereka (perangkat), seperti PC, tablet, atau ponsel.
  • Aplikasi yang telah Anda berikan kepada mereka untuk melakukan pekerjaan mereka.
  • Jaringan di mana lalu lintas mengalir antara perangkat dan aplikasi, baik di tempat maupun di cloud.

Masing-masing elemen ini adalah target penyerang dan harus dilindungi dengan prinsip pusat "jangan pernah percaya, selalu verifikasi" dari Zero Trust.

Daftar periksa ini mencakup penggunaan Zero Trust untuk memvalidasi kepercayaan secara eksplisit untuk semua permintaan akses untuk:

Setelah menyelesaikan pekerjaan ini, Anda akan membangun bagian arsitektur Zero Trust ini.

Diagram yang menyoroti identitas, titik akhir, aplikasi, dan bagian jaringan arsitektur Zero Trust.

Identitas

Verifikasi dan amankan setiap identitas dengan autentikasi yang kuat di seluruh estat digital Anda dengan ID Microsoft Entra, solusi manajemen identitas dan akses lengkap dengan keamanan terintegrasi yang menghubungkan ratusan juta orang ke aplikasi, perangkat, dan data mereka setiap bulan.

Akuntabilitas anggota program dan proyek

Tabel ini menjelaskan perlindungan keseluruhan akun pengguna Anda dalam hal hierarki manajemen proyek manajemen program sponsor untuk menentukan dan mendorong hasil.

Lead Pemilik Akuntabilitas
CISO, CIO, atau Direktur Keamanan Identitas Sponsor eksekutif
Prospek program dari Identity Security atau Identity Architect Mendorong hasil dan kolaborasi lintas tim
Arsitek Keamanan Saran tentang konfigurasi dan standar
Keamanan Identitas atau Arsitek Identitas Menerapkan perubahan konfigurasi
Admin Identitas Memperbarui standar dan dokumen kebijakan
Tata Kelola Keamanan atau Admin Identitas Memantau untuk memastikan kepatuhan
Tim Pendidikan Pengguna Memastikan panduan untuk pengguna mencerminkan pembaruan kebijakan

Tujuan penyebaran

Penuhi tujuan penyebaran ini untuk melindungi identitas istimewa Anda dengan Zero Trust.

Selesai Tujuan penyebaran Pemilik Dokumentasi
1. Sebarkan akses istimewa aman untuk melindungi akun pengguna administratif. Pelaksana TI Mengamankan akses istimewa untuk penyebaran hibrid dan cloud di ID Microsoft Entra
2. Sebarkan Microsoft Entra Privileged Identity Management (PIM) untuk proses persetujuan just-in-time yang terikat waktu untuk penggunaan akun pengguna istimewa. Pelaksana TI Merencanakan penyebaran Privileged Identity Management

Penuhi tujuan penyebaran ini untuk melindungi identitas pengguna Anda dengan Zero Trust.

Selesai Tujuan penyebaran Pemilik Dokumentasi
1. Aktifkan pengaturan ulang kata sandi mandiri (SSPR), yang memberi Anda kemampuan reset kredensial Pelaksana TI Merencanakan penyebaran pengaturan ulang kata sandi mandiri Microsoft Entra
2. Aktifkan autentikasi multifaktor (MFA) dan pilih metode yang sesuai untuk MFA Pelaksana TI Merencanakan penyebaran autentikasi multifaktor Microsoft Entra
3. Aktifkan Pendaftaran Pengguna gabungan untuk direktori Anda untuk memungkinkan pengguna mendaftar SSPR dan MFA dalam satu langkah Pelaksana TI Mengaktifkan pendaftaran informasi keamanan gabungan di ID Microsoft Entra
4. Konfigurasikan kebijakan Akses Bersyarat untuk memerlukan pendaftaran MFA. Pelaksana TI Cara: Mengonfigurasi kebijakan pendaftaran autentikasi multifaktor Microsoft Entra
5. Aktifkan kebijakan berbasis risiko pengguna dan masuk untuk melindungi akses pengguna ke sumber daya. Pelaksana TI Cara: Mengonfigurasikan dan mengaktifkan kebijakan risiko
6. Deteksi dan blokir kata sandi lemah yang diketahui dan variannya dan blokir istilah lemah tambahan khusus untuk organisasi Anda. Pelaksana TI Menghilangkan kata sandi yang buruk menggunakan Perlindungan Kata Sandi Microsoft Entra
7. Sebarkan Microsoft Defender untuk Identitas dan tinjau dan mitigasi pemberitahuan terbuka apa pun (secara paralel dengan operasi keamanan Anda). Tim operasi keamanan Pertahanan Microsoft untuk Identitas
8. Sebarkan kredensial tanpa kata sandi. Pelaksana TI Merencanakan penyebaran autentikasi tanpa kata sandi di ID Microsoft Entra

Anda sekarang telah membangun bagian Identitas dari arsitektur Zero Trust.

Diagram yang menyoroti bagian Identitas dari arsitektur Zero Trust.

Titik akhir

Pastikan status kepatuhan dan kesehatan sebelum memberikan akses ke titik akhir (perangkat) Anda dan dapatkan visibilitas tentang cara mengakses jaringan.

Akuntabilitas anggota program dan proyek

Tabel ini menjelaskan perlindungan keseluruhan titik akhir Anda dalam hal hierarki manajemen sponsor/manajemen program/manajemen proyek untuk menentukan dan mendorong hasil.

Lead Pemilik Akuntabilitas
CISO, CIO, atau Direktur Keamanan Identitas Sponsor eksekutif
Prospek program dari Identity Security atau Identity Architect Mendorong hasil dan kolaborasi lintas tim
Arsitek Keamanan Saran tentang konfigurasi dan standar
Keamanan Identitas atau Arsitek Keamanan Infrastruktur Menerapkan perubahan konfigurasi
Admin manajemen perangkat seluler (MDM) Memperbarui standar dan dokumen kebijakan
Tata Kelola Keamanan atau Admin MDM Memantau untuk memastikan kepatuhan
Tim Pendidikan Pengguna Memastikan panduan untuk pengguna mencerminkan pembaruan kebijakan

Tujuan penyebaran

Penuhi tujuan penyebaran ini untuk melindungi titik akhir (perangkat) Anda dengan Zero Trust.

Selesai Tujuan penyebaran Pemilik Dokumentasi
1. Daftarkan perangkat dengan ID Microsoft Entra. MDM Admin Identitas perangkat
2. Daftarkan perangkat dan buat profil konfigurasi. MDM Admin Gambaran umum manajemen perangkat
3. Sambungkan Pertahanan untuk Titik Akhir ke Intune (secara paralel dengan operasi keamanan Anda). Admin Keamanan Identitas Mengonfigurasi Microsoft Defender untuk Titik Akhir di Intune
4. Pantau kepatuhan dan risiko perangkat untuk Akses Bersyar. Admin Keamanan Identitas Gunakan kebijakan kepatuhan untuk mengatur aturan bagi perangkat yang Anda kelola dengan Intune
5. Terapkan solusi perlindungan informasi Microsoft Purview dan integrasikan dengan kebijakan Akses Bersyar. Admin Keamanan Identitas Menggunakan label sensitivitas untuk melindungi konten

Anda sekarang telah membangun bagian Titik Akhir dari arsitektur Zero Trust.

Diagram yang menyoroti bagian Titik Akhir dari arsitektur Zero Trust.

Aplikasi

Karena aplikasi digunakan oleh pengguna berbahaya untuk menyusup ke organisasi, Anda perlu memastikan bahwa aplikasi Anda menggunakan layanan, seperti ID Microsoft Entra dan Intune, yang memberikan perlindungan Zero Trust atau diperkuat terhadap serangan.

Akuntabilitas anggota program dan proyek

Tabel ini menjelaskan implementasi Zero Trust untuk aplikasi dalam hal hierarki manajemen sponsor/manajemen program/manajemen proyek untuk menentukan dan mendorong hasil.

Lead Pemilik Akuntabilitas
CISO, CIO, atau Direktur Keamanan Aplikasi Sponsor eksekutif
Prospek program dari Manajemen Aplikasi Mendorong hasil dan kolaborasi lintas tim
Arsitek Identitas Saran tentang konfigurasi Microsoft Entra untuk aplikasi
Memperbarui standar autentikasi untuk aplikasi lokal
Arsitek Pengembang Saran tentang konfigurasi dan standar untuk aplikasi lokal dan cloud internal
Arsitek Jaringan Menerapkan perubahan konfigurasi VPN
Arsitek Jaringan Cloud Menyebarkan proksi aplikasi Microsoft Entra
Tata Kelola Keamanan Memantau untuk memastikan kepatuhan

Tujuan penyebaran

Penuhi tujuan penyebaran ini untuk memastikan perlindungan Zero Trust untuk aplikasi cloud Microsoft Anda, aplikasi SaaS pihak ketiga, aplikasi PaaS kustom, dan aplikasi lokal.

Selesai Jenis penggunaan aplikasi atau aplikasi Tujuan penyebaran Pemilik Dokumentasi
Aplikasi SaaS pihak ketiga dan aplikasi PaaS kustom yang terdaftar di MICROSOFT Entra ID Pendaftaran aplikasi Microsoft Entra menggunakan kebijakan autentikasi, sertifikasi, dan persetujuan aplikasi Microsoft Entra.

Gunakan kebijakan Akses Bersyar Microsoft Entra dan kebijakan Intune MAM dan Kebijakan Perlindungan Aplikasi (APP) untuk memungkinkan penggunaan aplikasi.		 Arsitek Identitas Manajemen aplikasi di ID Microsoft Entra
Aplikasi cloud yang didukung OAuth dan terdaftar di ID Microsoft Entra, Google, dan Salesforce Gunakan tata kelola aplikasi di Microsoft Defender untuk Cloud Apps untuk visibilitas perilaku aplikasi, tata kelola dengan penegakan kebijakan, serta deteksi dan remediasi serangan berbasis aplikasi. Teknisi Keamanan Ringkasan
Aplikasi SaaS pihak ketiga dan aplikasi PaaS kustom yang TIDAK terdaftar di MICROSOFT Entra ID Daftarkan mereka dengan ID Microsoft Entra untuk kebijakan autentikasi, sertifikasi, dan persetujuan aplikasi.

Gunakan kebijakan Microsoft Entra Conditional Access dan kebijakan Intune MAM dan APP.		 Arsitek Aplikasi Mengintegrasikan semua aplikasi Anda dengan ID Microsoft Entra
Pengguna lokal yang mengakses aplikasi lokal, yang mencakup aplikasi yang berjalan di server lokal dan berbasis IaaS Pastikan aplikasi Anda mendukung protokol autentikasi modern seperti OAuth/OIDC dan SAML. Hubungi vendor aplikasi Anda untuk pembaruan guna melindungi masuk pengguna. Arsitek Identitas Lihat dokumentasi vendor Anda
Pengguna jarak jauh yang mengakses aplikasi lokal melalui koneksi VPN Mengonfigurasi appliance VPN Anda sehingga menggunakan ID Microsoft Entra sebagai idP-nya Arsitek Jaringan Lihat dokumentasi vendor Anda
Pengguna jarak jauh mengakses aplikasi web lokal melalui koneksi VPN Terbitkan aplikasi melalui proksi aplikasi Microsoft Entra. Pengguna jarak jauh hanya perlu mengakses aplikasi yang diterbitkan individu, yang dirutekan ke server web lokal melalui konektor proksi aplikasi.

Koneksi memanfaatkan autentikasi Microsoft Entra yang kuat dan membatasi pengguna dan perangkat mereka untuk mengakses satu aplikasi sekaligus. Sebaliknya, cakupan VPN akses jarak jauh yang khas adalah semua lokasi, protokol, dan port seluruh jaringan lokal.		 Arsitek Jaringan Cloud Akses jarak jauh ke aplikasi lokal melalui proksi aplikasi Microsoft Entra

Setelah menyelesaikan tujuan penyebaran ini, Anda akan membangun bagian Aplikasi dari arsitektur Zero Trust.

Diagram yang menyoroti bagian Aplikasi dari arsitektur Zero Trust.

Jaringan

Model Zero Trust mengasumsikan pelanggaran dan memverifikasi setiap permintaan seolah-olah berasal dari jaringan yang tidak terkontrol. Meskipun ini adalah praktik umum untuk jaringan publik, ini juga berlaku untuk jaringan internal organisasi Anda yang biasanya di-firewall dari Internet publik.

Untuk mematuhi Zero Trust, organisasi Anda harus mengatasi kerentanan keamanan pada jaringan publik dan privat, baik lokal maupun di cloud, dan memastikan bahwa Anda memverifikasi secara eksplisit, menggunakan akses hak istimewa paling sedikit, dan mengasumsikan pelanggaran. Perangkat, pengguna, dan aplikasi tidak dapat dipercaya secara inheren karena berada di jaringan privat Anda.

Akuntabilitas anggota program dan proyek

Tabel ini menjelaskan implementasi Zero Trust untuk jaringan publik dan privat dalam hal hierarki manajemen sponsor/manajemen program/manajemen proyek untuk menentukan dan mendorong hasil.

Lead Pemilik Akuntabilitas
CISO, CIO, atau Direktur Keamanan Jaringan Sponsor eksekutif
Pimpinan program dari Networking Leadership Mendorong hasil dan kolaborasi lintas tim
Arsitek Keamanan Saran tentang konfigurasi dan standar kebijakan enkripsi dan akses
Arsitek Jaringan Saran tentang pemfilteran lalu lintas dan perubahan arsitektur jaringan
Teknisi Jaringan Mendesain perubahan konfigurasi segmentasi
Pelaksana Jaringan Mengubah konfigurasi peralatan jaringan dan memperbarui dokumen konfigurasi
Tata Kelola Jaringan Memantau untuk memastikan kepatuhan

Tujuan penyebaran

Penuhi tujuan penyebaran ini untuk memastikan perlindungan Zero Trust untuk jaringan publik dan privat Anda, baik untuk lalu lintas lokal maupun berbasis cloud. Tujuan ini dapat dilakukan secara paralel.

Selesai Tujuan penyebaran Pemilik Dokumentasi
Memerlukan enkripsi untuk semua koneksi lalu lintas, termasuk antara komponen IaaS dan antara pengguna dan aplikasi lokal. Arsitek Keamanan Komponen Azure IaaS

IPsec untuk perangkat Windows lokal
Batasi akses ke data dan aplikasi penting berdasarkan kebijakan (identitas pengguna atau perangkat) atau pemfilteran lalu lintas. Arsitek Keamanan atau Arsitek Jaringan Kebijakan akses untuk Defender untuk Cloud App Conditional Access App Control

Windows Firewall untuk perangkat Windows
Sebarkan segmentasi jaringan lokal dengan kontrol lalu lintas masuk dan keluar dengan perimeter mikro dan segmentasi mikro. Arsitek Jaringan atau Insinyur Jaringan Lihat dokumentasi jaringan lokal dan perangkat edge Anda.
Gunakan deteksi ancaman real time untuk lalu lintas lokal. Analis SecOps Perlindungan ancaman Windows

Microsoft Defender untuk Titik Akhir
Sebarkan segmentasi jaringan cloud dengan kontrol lalu lintas masuk dan keluar dengan perimeter mikro dan segmentasi mikro. Arsitek Jaringan atau Insinyur Jaringan Rekomendasi untuk jaringan dan konektivitas
Gunakan deteksi ancaman real time untuk lalu lintas cloud. Arsitek Jaringan atau Insinyur Jaringan Pemfilteran berbasis inteligensi ancaman Azure Firewall

Sistem deteksi dan pencegahan intrusi jaringan (IDPS) Azure Firewall Premium

Setelah menyelesaikan tujuan penyebaran ini, Anda akan membangun bagian Jaringan dari arsitektur Zero Trust.

Diagram yang menyoroti bagian Jaringan dari arsitektur Zero Trust.

Langkah selanjutnya

Lanjutkan inisiatif akses dan produktivitas pengguna dengan Data, Kepatuhan, dan Tata Kelola.