Deskripsi studi kasus

Selesai

Unit ini menyajikan skenario studi kasus, persyaratan desain, pertanyaan konseptual dan teknis.

Skenario latar belakang

Contoso adalah konglomerat layanan keuangan besar yang berbasis di AS dengan beberapa anak perusahaan, termasuk Tailwind Traders yang baru saja diakuisisi. Strategi bisnis yang sukses dikombinasikan dengan akuisisi perusahaan berkontribusi pada pertumbuhan dramatis Contoso, memperluas kehadirannya ke semua hub keuangan utama di Amerika Serikat. Namun, pertumbuhan pesat juga mengekspos banyak masalah dengan lanskap teknologi informasinya. Beberapa masalah ini terkait dengan infrastruktur pusat data lokal yang mencapai akhir masa pakainya. Lainnya dihasilkan dari perubahan berbasis bisnis yang menghindari kontrol tata kelola dan keamanan yang ada demi keluasan. Pendekatan lax untuk menegakkan standar di seluruh perusahaan, bersama dengan banyak akuisisi bisnis, menyebabkan lingkungan operasional terfragmentasi, dengan berbagai perangkat keras dan perangkat lunak pihak ketiga, menantang dan memakan waktu untuk dipertahankan.

Secara efektif, karena fokus pada pertumbuhan bisnis, perusahaan induk gagal memodernisasi dan mengoptimalkan lingkungan komputasinya. Namun, ada beberapa pengecualian. Secara khusus, tim TI dalam Tailwind Traders telah mengalihkan aplikasi penting bisnisnya ke arsitektur layanan mikro dan menyebarkannya di Amazon Web Services (AWS) pada platform Elastic Kubernetes Service (EKS). Ini juga memigrasikan beberapa beban kerja berbasis servernya ke instans AWS Elastic Compute Cloud (EC2). Anak perusahaan juga mempertahankan banyak kluster Kubernetes yang baru disebarkan di pusat datanya sendiri. Gambar kontainer disimpan dalam registri Docker privat. Mereka dipindai secara manual, dipindai secara berkala, dan diperbarui untuk mengatasi kerentanan yang baru ditemukan dalam komponen perangkat lunak sumber terbuka.

Tantangan lain yang dihadapi Contoso adalah keadaan tenaga kerja jarak jauhnya. Karena pandemi, Contoso beralih ke model work-from-home untuk semua karyawan menengah dan belakangnya. Untuk mengakomodasi model kerja baru, perusahaan memperluas secara signifikan infrastruktur desktop virtual (VDI) yang berjalan pada platform Windows Server 2019. Lingkungan VDI terdiri dari campuran desktop virtual pribadi dan terkumpul dan tidak konsisten. Karyawan jarak jauh terhubung melalui jaringan privat virtual (VPN) dari komputer berbasis Windows rumah mereka, yang sering tidak diamankan dengan benar. Ini membuat mereka menjadi target mudah untuk malware dan serangan cyber, yang mewakili potensi ancaman terhadap jaringan internal Contoso. Desktop virtual yang tidak konsisten rentan karena kurangnya perlindungan malware yang tepat.

Terakhir, fragmentasi lingkungan IT-nya saat ini membuatnya menantang bagi Contoso untuk mendapatkan penilaian komprehensif terhadap postur keamanan di seluruh perusahaan dan memberikan perlindungan ancaman yang memadai. Tim operasi keamanan perusahaan telah mengandalkan terutama pada sistem Security Information and Event Management (SIEM) lokal untuk pemantauan, audit, dan pelaporan mereka.

Sebagai bagian dari strategi modernisasi yang baru-baru ini disusun yang dimaksudkan untuk mengatasi masalah saat ini, CIO baru perusahaan memutuskan untuk memigrasikan sebagian besar beban kerja yang ada ke cloud publik. Beban kerja termasuk layanan yang dihosting server Windows dan Linux, termasuk ratusan instans Microsoft SQL Server, situs web .NET yang berjalan di platform Layanan Informasi Internet (IIS), situs web PHP dan Ruby yang berjalan di server web Apache, serta puluhan database relasional dan nonrelasional sumber terbuka, termasuk MySQL, PostgreSQL, MariaDB, dan Apache Cassandra. Selain itu, niatnya adalah untuk menonaktifkan server file yang menua dan menggunakan cloud untuk penyimpanan data jangka panjang. Untuk meminimalkan overhead administratif, layanan terkelola harus digunakan jika memungkinkan. Karena kemitraan yang lama antara Contoso dan Microsoft, Azure menjadi target migrasi utama. Sebelum strategi migrasi diselesaikan, tim teknologi yang melaporkan ke CIO harus mengidentifikasi pendekatan optimal untuk mengatasi kebutuhan untuk mengamankan infrastruktur lokal dan berbasis cloud dengan benar.

Arsitektur awal

Diagram showing Contoso's initial architecture.

Persyaratan desain

CIO Contoso mendefinisikan serangkaian persyaratan berikut yang harus ditangani tim teknologi dalam desain solusi berbasis Azure untuk mengamankan infrastruktur perusahaan:

  • Menerapkan penilaian komprehensif dan berkelanjutan terhadap postur keamanan di seluruh perusahaan untuk infrastruktur lokal dan cloud.
  • Menerapkan perlindungan ancaman berkelanjutan yang komprehensif terhadap lingkungan teknologi perusahaan untuk infrastruktur lokal dan cloud.
  • Berikan solusi untuk mengatasi kerentanan perangkat klien yang digunakan untuk akses jarak jauh ke lingkungan VDI lokal.
  • Berikan solusi taktis dan strategis untuk mengatasi kerentanan lingkungan VDI lokal.
  • Merekomendasikan pendekatan untuk mengamankan sumber daya komputasi lokal dan cloud Tailwind Traders.
  • Merekomendasikan solusi untuk instans SIEM lokal yang akan menyediakan panel kaca tunggal untuk tim operasi keamanan perusahaan.
  • Identifikasi manfaat terkait keamanan yang dihasilkan dari integrasi sumber daya cloud lokal dan pihak ketiga dengan Azure.

Pertanyaan konseptual tingkat tinggi

Sebelum Anda mulai merancang solusi berdasarkan persyaratan Contoso, pertimbangkan pertanyaan konseptual tingkat tinggi berikut:

  • Apa saja produk dan layanan Pertahanan Microsoft utama yang menawarkan solusi keamanan untuk infrastruktur?
  • Bagaimana Microsoft Defender untuk Cloud menguntungkan pelanggan Azure?
  • Bagaimana dan sejauh mana manfaat Microsoft Defender untuk Cloud dapat diperluas ke skenario hibrid dan multicloud?
  • Apa saja kemampuan integrasi Microsoft Defender untuk Cloud dengan layanan berbasis cloud Microsoft lainnya yang berfokus pada keamanan?
  • Bagaimana kemampuan Microsoft Defender untuk Cloud asli dan integrasi membantu meminimalkan dampak ancaman cyber?
  • Apa saja pertimbangan dan persyaratan yang harus diperhitungkan saat onboarding ke Microsoft Defender untuk Cloud sumber daya yang berada di Azure, lokal, dan di lingkungan cloud pihak ketiga?
  • Langkah-langkah keamanan apa yang disediakan oleh Microsoft membantu mengamankan penyebaran Azure Virtual Desktop?

Pertanyaan desain

Saat Anda merancang solusi berdasarkan persyaratan Contoso, jawab pertanyaan desain berikut:

  • Bagaimana Anda menggunakan kemampuan utama Microsoft Defender untuk Cloud untuk memenuhi kebutuhan perusahaan?
  • Rencana dan komponen Microsoft Defender untuk Cloud mana yang paling signifikan untuk dipertimbangkan dalam konteks studi kasus?
  • Manfaat mana dari fitur keamanan Microsoft Defender untuk Cloud yang ditingkatkan yang akan membantu perusahaan mengoptimalkan sikap keamanannya dan melindungi infrastrukturnya?
  • Apa pertimbangan dan persyaratan utama yang akan Anda sertakan dalam desain onboarding sumber daya perusahaan ke Microsoft Defender untuk Cloud?
  • Bagaimana Anda akan meminimalkan upaya dan waktu yang terlibat dalam mengimplementasikan solusi Anda?
  • Layanan berbasis cloud Microsoft berfokus pada keamanan lainnya yang akan Anda pertimbangkan termasuk dalam desain Anda?
  • Elemen mana dari desain Anda yang harus diimplementasikan sesegera mungkin dan mana yang cocok sebagai bagian dari solusi jangka panjang?