Dapatkan rekomendasi keamanan jaringan dengan Microsoft Defender untuk Cloud
Keamanan jaringan mencakup berbagai teknologi, perangkat, dan proses. Ini juga dilengkapi dengan seperangkat aturan dan konfigurasi yang dirancang untuk melindungi integritas, kerahasiaan dan aksesibilitas jaringan dan data komputer. Setiap organisasi, terlepas dari ukurannya, industri, atau infrastruktur, membutuhkan tingkat solusi keamanan jaringan yang diterapkan untuk melindunginya dari risiko serangan yang terus berkembang.
Bagi Microsoft Azure, mengamankan atau menyediakan kemampuan untuk mengamankan sumber daya seperti layanan mikro, VM, data, dan lainnya adalah hal terpenting. Microsoft Azure menjaminnya melalui firewall virtual terdistribusi.
Jaringan virtual di Microsoft Azure dipisahkan dari jaringan lain, saat berkomunikasi melalui alamat IP privat.
Keamanan Jaringan
Keamanan Jaringan mencakup kontrol untuk mengamankan dan melindungi jaringan Azure, termasuk mengamankan jaringan virtual, membangun koneksi privat, mencegah dan mengurangi serangan eksternal, serta mengamankan DNS. Deskripsi lengkap kontrol dapat ditemukan di Security Control V3: Network Security di Microsoft Docs.
NS-1: Membangun batas segmentasi jaringan
Prinsip Keamanan: Pastikan penyebaran jaringan virtual Anda selaras dengan strategi segmentasi perusahaan Anda yang ditentukan dalam kontrol keamanan GS-2. Beban kerja apa pun yang dapat menimbulkan risiko lebih tinggi bagi organisasi harus berada di jaringan virtual yang terisolasi. Contoh beban kerja berisiko tinggi meliputi:
- Aplikasi yang menyimpan atau memproses data yang sangat sensitif.
- Aplikasi eksternal yang menghadap jaringan yang dapat diakses oleh publik atau pengguna di luar organisasi Anda.
- Aplikasi yang menggunakan arsitektur tidak aman atau mengandung kerentanan yang tidak dapat dengan mudah dipulihkan.
Untuk meningkatkan strategi segmentasi perusahaan Anda, batasi atau pantau lalu lintas antar sumber daya internal menggunakan kontrol jaringan. Untuk aplikasi spesifik yang terdefinisi dengan baik (seperti aplikasi tingkat 3), ini bisa menjadi pendekatan "tolak secara default, izin dengan pengecualian" yang sangat aman dengan membatasi port, protokol, sumber, dan IP tujuan lalu lintas jaringan. Jika Anda memiliki banyak aplikasi dan titik akhir yang berinteraksi satu sama lain, memblokir lalu lintas mungkin tidak menskalakan dengan baik, dan Anda mungkin hanya dapat memantau lalu lintas.
Panduan Azure: Buat jaringan virtual (VNet) sebagai pendekatan segmentasi mendasar di jaringan Azure Anda, sehingga sumber daya seperti mesin virtual dapat disebarkan ke VNet dalam batas jaringan. Untuk mengelompokkan jaringan lebih lanjut, Anda dapat membuat subnet di dalam VNet untuk sub-jaringan yang lebih kecil.
Gunakan kelompok keamanan jaringan (NSG) sebagai kontrol lapisan jaringan untuk membatasi atau memantau lalu lintas berdasarkan port, protokol, alamat IP sumber, atau alamat IP tujuan.
Anda juga dapat menggunakan kelompok keamanan aplikasi (ASG) untuk membantu menyederhanakan konfigurasi keamanan yang kompleks. Alih-alih mendefinisikan kebijakan berdasarkan alamat IP eksplisit dalam kelompok keamanan jaringan, ASG memungkinkan Anda untuk mengonfigurasi keamanan jaringan sebagai ekstensi alami struktur aplikasi, memungkinkan Anda untuk mengelompokkan mesin virtual dan menentukan kebijakan keamanan jaringan berdasarkan grup tersebut.
NS-2: Mengamankan layanan cloud dengan kontrol jaringan
Prinsip Keamanan: Amankan layanan cloud dengan menetapkan titik akses privat untuk sumber daya. Anda juga harus menonaktifkan atau membatasi akses dari jaringan publik jika memungkinkan.
Panduan Azure: Sebarkan titik akhir privat untuk semua sumber daya Azure yang mendukung fitur Private Link, guna membangun titik akses privat untuk sumber daya. Anda juga harus menonaktifkan atau membatasi akses jaringan publik ke layanan jika memungkinkan.
Untuk layanan tertentu, Anda juga memiliki opsi untuk menyebarkan integrasi VNet untuk layanan tempat Anda dapat membatasi VNET guna membangun titik akses privat untuk layanan.
NS-3: Menyebarkan firewall pada tepi jaringan perusahaan
Prinsip Keamanan: Sebarkan firewall untuk melakukan pemfilteran lanjutan pada lalu lintas jaringan ke dan dari jaringan eksternal. Anda juga dapat menggunakan firewall antar segmen internal untuk mendukung strategi segmentasi. Jika diperlukan, gunakan rute kustom untuk subnet Anda guna mengambil alih rute sistem saat Anda perlu memaksa lalu lintas jaringan untuk melalui appliance jaringan untuk tujuan kontrol keamanan.
Minimal, blokir alamat IP buruk yang diketahui dan protokol berisiko tinggi, seperti manajemen jarak jauh (misalnya, RDP dan SSH) dan protokol intranet (misalnya, SMB dan Kerberos).
Panduan Azure: Gunakan Azure Firewall untuk menyediakan pembatasan lalu lintas lapisan aplikasi yang sepenuhnya stateful (seperti pemfilteran URL) dan/atau manajemen pusat atas sejumlah besar spoke atau segmen perusahaan (dalam topologi hub/spoke).
Jika Anda memiliki topologi jaringan yang kompleks, seperti pengaturan hub/spoke, Anda mungkin perlu membuat rute yang ditentukan pengguna (UDR) untuk memastikan lalu lintas melewati rute yang diinginkan. Misalnya, Anda memiliki opsi untuk menggunakan UDR guna mengalihkan lalu lintas internet keluar melalui Azure Firewall tertentu atau appliance virtual jaringan.
NS-4: Menyebarkan sistem deteksi intrusi/sistem pencegahan intrusi (IDS/IPS)
Prinsip Keamanan: Gunakan sistem deteksi intrusi dan sistem pencegahan intrusi (IDS/IPS) jaringan untuk memeriksa lalu lintas jaringan dan payload ke atau dari beban kerja Anda. Pastikan IDS/IPS selalu disetel untuk memberikan peringatan berkualitas tinggi ke solusi SIEM Anda.
Untuk kemampuan deteksi dan pencegahan tingkat host yang lebih mendalam, gunakan IDS/IPS berbasis host atau solusi respons dan deteksi titik akhir (EDR) berbasis host bersama dengan IDS/IPS jaringan.
Panduan: Gunakan kemampuan IDP Azure Firewall pada jaringan Anda untuk memberikan peringatan dan/atau memblokir lalu lintas ke dan dari alamat IP serta domain berbahaya yang diketahui.
Untuk kemampuan deteksi dan pencegahan tingkat host yang lebih mendalam, sebarkan IDS/IPS berbasis host atau solusi respons dan deteksi titik akhir (EDR) berbasis host, seperti Pertahanan Microsoft untuk Titik Akhir, di tingkat mesin virtual bersama dengan IDS/IPS jaringan.
NS-5: Menyebarkan perlindungan DDOS
Prinsip Keamanan: Sebarkan perlindungan penolakan layanan terdistribusi (DDoS) untuk melindungi jaringan dan aplikasi Anda dari serangan.
Panduan Azure: Aktifkan paket DDoS Network Protection di VNet Anda untuk melindungi sumber daya yang terekspos ke jaringan publik.
NS-6: Menyebarkan firewall aplikasi web
Prinsip Keamanan: Sebarkan firewall aplikasi web (WAF) dan konfigurasikan aturan yang sesuai untuk melindungi aplikasi web dan API Anda dari serangan khusus aplikasi.
Panduan Azure: Gunakan kemampuan firewall aplikasi web (WAF) di Azure Application Gateway, Azure Front Door, dan Microsoft Azure Content Delivery Network (CDN) untuk melindungi aplikasi, layanan, dan API Anda dari serangan lapisan aplikasi di tepi jaringan Anda. Atur WAF Anda dalam "deteksi" atau "mode pencegahan", tergantung pada kebutuhan dan lanskap ancaman Anda. Pilih ruleset bawaan, seperti 10 kerentanan teratas OWASP, dan sesuaikan dengan aplikasi Anda.
NS-7: Menyederhanakan konfigurasi keamanan jaringan
Prinsip Keamanan: Saat mengelola lingkungan jaringan yang kompleks, gunakan alat untuk menyederhanakan, memusatkan, dan meningkatkan manajemen keamanan jaringan.
Panduan Azure: Gunakan fitur berikut untuk menyederhanakan implementasi dan manajemen aturan NSG dan Azure Firewall:
- Gunakan Penguatan Jaringan Adaptif Microsoft Defender untuk Cloud untuk merekomendasikan aturan penguatan NSG yang membatasi lebih lanjut port, protokol, dan IP sumber berdasarkan inteligensi ancaman dan hasil analisis lalu lintas.
- Gunakan Azure Firewall Manager untuk memusatkan kebijakan firewall dan manajemen rute jaringan virtual. Untuk menyederhanakan implementasi kelompok keamanan jaringan dan aturan firewall, Anda juga dapat menggunakan templat ARM (Azure Resource Manager) Azure Firewall Manager.
NS-8: Mendeteksi dan menonaktifkan layanan dan protokol yang tidak aman
Prinsip Keamanan: Deteksi dan nonaktifkan layanan serta protokol yang tidak aman di OS, aplikasi, atau lapisan paket perangkat lunak. Sebarkan kontrol kompensasi jika menonaktifkan layanan dan protokol yang tidak aman tidak memungkinkan.
Panduan Azure: Gunakan Buku Kerja Protokol Tidak Aman bawaan Azure Sentinel untuk menemukan penggunaan layanan dan protokol yang tidak aman seperti SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, Ikatan LDAP Tidak Bertanda, dan cipher lemah di Kerberos. Nonaktifkan layanan dan protokol tidak aman yang tidak memenuhi standar keamanan yang sesuai.
Catatan
Jika menonaktifkan layanan atau protokol yang tidak aman tidak dimungkinkan, gunakan kontrol kompensasi seperti memblokir akses ke sumber daya melalui grup keamanan jaringan, Azure Firewall, atau Azure Web Application Firewall untuk mengurangi permukaan serangan.
NS-9: Menyambungkan jaringan lokal atau cloud secara privat
Prinsip Keamanan: Gunakan koneksi privat untuk komunikasi yang aman antara jaringan yang berbeda, seperti pusat data penyedia layanan cloud dan infrastruktur lokal di lingkungan colocation.
Panduan Azure: Gunakan koneksi privat untuk komunikasi yang aman antara jaringan yang berbeda, seperti pusat data penyedia layanan cloud dan infrastruktur lokal di lingkungan kolokasi.
Untuk konektivitas ringan antara situs-ke-situs atau titik-ke-situs, gunakan Jaringan Privat Maya (VPN) Azure untuk membuat koneksi yang aman antara situs lokal atau perangkat pengguna akhir ke jaringan virtual Azure.
Untuk koneksi dengan performa tinggi tingkat perusahaan, gunakan Azure ExpressRoute (atau Virtual WAN) untuk menghubungkan pusat data Azure dan infrastruktur lokal di lingkungan lokasi bersama.
Untuk menyambungkan dua atau lebih jaringan virtual Azure bersama-sama, gunakan serekanan jaringan virtual. Lalu lintas jaringan antara jaringan virtual yang disandingkan bersifat privat dan disimpan di jaringan backbone Azure.
NS-10: Memastikan keamanan Sistem Nama Domain (DNS)
Prinsip Keamanan: Pastikan konfigurasi keamanan Sistem Nama Domain (DNS) melindungi terhadap risiko yang diketahui:
- Gunakan layanan DNS berulang dan otoritatif tepercaya di seluruh lingkungan cloud Anda untuk memastikan klien (seperti sistem operasi dan aplikasi) menerima hasil resolusi yang benar.
- Pisahkan resolusi DNS privat dan publik sehingga proses resolusi DNS untuk jaringan privat dapat diisolasi dari jaringan publik.
- Pastikan strategi keamanan DNS Anda juga menyertakan mitigasi terhadap serangan umum, seperti DNS yang menggantung, serangan amplifikasi DNS, peracunan dan spoofing DNS, dan sebagainya.
Panduan Azure: Gunakan DNS berulang Azure atau server DNS eksternal tepercaya dalam penyiapan DNS berulang beban kerja Anda, seperti pada sistem operasi mesin virtual atau pada aplikasi.
Gunakan DNS Privat Azure untuk penyiapan zona DNS privat tempat proses resolusi DNS tidak meninggalkan jaringan virtual. Gunakan DNS kustom untuk membatasi resolusi DNS yang hanya memungkinkan resolusi tepercaya untuk klien Anda.
Gunakan Azure Defender untuk DNS guna perlindungan lanjutan terhadap ancaman keamanan berikut ke beban kerja atau layanan DNS Anda:
- Penyelundupan data dari sumber daya Azure Anda menggunakan penerowongan DNS
- Malware yang berkomunikasi dengan server kontrol-dan-perintah
- Komunikasi dengan domain berbahaya sebagai pengelabuan dan penambangan kripto
- Serangan DNS yang berhubungan dengan pemecah masalah DNS berbahaya
Anda juga dapat menggunakan Azure Defender untuk App Service guna mendeteksi rekaman DNS yang menggantung jika Anda menonaktifkan situs web App Service tanpa menghapus domain kustomnya dari registrar DNS Anda.
Tolok ukur keamanan cloud Microsoft
Microsoft telah menemukan bahwa menggunakan tolok ukur keamanan dapat membantu Anda mengamankan penyebaran cloud dengan cepat. Kerangka kerja praktik terbaik keamanan yang komprehensif dari penyedia layanan cloud dapat memberi Anda titik awal untuk memilih pengaturan konfigurasi keamanan tertentu di lingkungan cloud Anda, di beberapa penyedia layanan dan memungkinkan Anda memantau konfigurasi ini menggunakan satu panel kaca.
Tolok ukur keamanan cloud Microsoft (MCSB) mencakup kumpulan rekomendasi keamanan berdampak tinggi yang dapat Anda gunakan untuk membantu mengamankan layanan cloud Anda di satu lingkungan atau multicloud. Rekomendasi MCSB mencakup dua aspek utama:
- Kontrol keamanan: Rekomendasi ini umumnya berlaku di seluruh beban kerja cloud Anda. Setiap rekomendasi mengidentifikasi daftar pemangku kepentingan yang biasanya terlibat dalam perencanaan, persetujuan, atau implementasi tolok ukur.
- Garis besar layanan: Ini menerapkan kontrol ke layanan cloud individual untuk memberikan rekomendasi tentang konfigurasi keamanan layanan tertentu tersebut. Saat ini kami memiliki garis besar layanan yang hanya tersedia untuk Azure.
Menerapkan tolok ukur keamanan cloud Microsoft
- Rencanakan implementasi MCSB Anda dengan meninjau dokumentasi untuk kontrol perusahaan dan garis besar khusus layanan untuk merencanakan kerangka kerja kontrol Anda dan bagaimana hal itu memetakan panduan seperti Kontrol Center for Internet Security (CIS), National Institute of Standards and Technology (NIST), dan kerangka kerja Payment Card Industry Data Security Standard (PCI-DSS).
- Pantau kepatuhan Anda terhadap status MCSB (dan set kontrol lainnya) menggunakan Microsoft Defender untuk Cloud – Dasbor Kepatuhan Peraturan untuk lingkungan multicloud Anda.
- Buat pagar pembatas untuk mengotomatiskan konfigurasi yang aman dan menerapkan kepatuhan dengan MCSB (dan persyaratan lain di organisasi Anda) menggunakan fitur seperti Azure Blueprints, Azure Policy, atau teknologi yang setara dari platform cloud lainnya.
Terminologi
Kontrol istilah, dan garis besar sering digunakan dalam dokumentasi tolok ukur keamanan cloud Microsoft, dan penting untuk memahami bagaimana Azure menggunakan istilah tersebut.
| Term | Keterangan | Contoh |
|---|---|---|
| Menguasai | Kontrol adalah deskripsi tingkat tinggi dari fitur atau aktivitas yang perlu ditangani dan tidak spesifik untuk teknologi atau implementasi. | Perlindungan Data adalah salah satu keluarga kontrol keamanan. Perlindungan Data berisi tindakan spesifik yang harus ditangani untuk membantu memastikan data dilindungi. |
| Garis besar | Garis besar adalah implementasi kontrol pada layanan Azure individual. Setiap organisasi menentukan rekomendasi tolok ukur dan konfigurasi terkait diperlukan di Azure. Catatan: Hari ini kami memiliki garis besar layanan yang hanya tersedia untuk Azure. | Perusahaan Contoso terlihat mengaktifkan fitur keamanan Azure SQL dengan mengikuti konfigurasi yang direkomendasikan dalam garis besar keamanan Azure SQL. |
Menggunakan Pertahanan Microsoft untuk Cloud untuk kepatuhan terhadap peraturan
Microsoft Defender untuk Cloud membantu merampingkan proses untuk memenuhi persyaratan kepatuhan peraturan, menggunakan dasbor kepatuhan peraturan.
Dasbor kepatuhan terhadap peraturan menunjukkan status semua penilaian dalam lingkungan Anda untuk standar dan peraturan yang Anda pilih. Saat Anda melakukan tindakan terhadap rekomendasi dan mengurangi faktor risiko di lingkungan Anda, postur kepatuhan Anda menjadi lebih baik.
Dasbor kepatuhan peraturan
Dasbor ini memperlihatkan ringkasan status kepatuhan Anda dengan serangkaian peraturan kepatuhan yang didukung. Anda akan melihat skor kepatuhan Anda secara keseluruhan, dan angka penilaian lulus vs gagal yang terkait dengan setiap standar.
Kontrol kepatuhan
- Langganan tempat standar diterapkan.
- Daftar semua kontrol untuk standar tersebut.
- Lihat detail penilaian lulus dan gagal yang terkait dengan kontrol tersebut.
- Jumlah sumber daya terpengaruh.
Beberapa kontrol berwarna abu-abu. Kontrol ini tidak memiliki penilaian Pertahanan Microsoft untuk Cloud yang terkait dengannya. Periksa kebutuhannya dan lakukan penilaian di lingkungan Anda. Beberapa di antaranya mungkin terkait proses dan bukan teknis.
Menjelajahi detail kepatuhan dengan standar tertentu
Untuk membuat laporan PDF beserta ringkasan status kepatuhan Anda saat ini untuk standar tertentu, pilih Unduh laporan.
Laporan ini memberikan ringkasan tingkat tinggi tentang status kepatuhan Anda untuk standar yang dipilih berdasarkan data penilaian Pertahanan Microsoft untuk Cloud. Laporan ini disusun menurut kontrol standar tersebut. Laporan dapat dibagikan kepada pemangku kepentingan terkait dan dapat memberikan bukti kepada auditor internal dan eksternal.
Peringatan di Microsoft Defender untuk Cloud
Pertahanan Microsoft untuk Cloud secara otomatis mengumpulkan, menganalisis, dan mengintegrasikan data log dari sumber daya Azure Anda, jaringan, dan solusi mitra yang terhubung - seperti firewall dan solusi perlindungan titik akhir - untuk mendeteksi ancaman nyata dan mengurangi kesalahan positif. Daftar peringatan keamanan yang diprioritaskan ditampilkan di Pertahanan Microsoft untuk Cloud bersama dengan informasi yang Anda perlukan untuk menyelidiki masalah dengan cepat dan langkah-langkah yang harus diambil untuk memulihkan serangan.
Mengelola pemberitahuan keamanan Anda
Halaman ringkasan Pertahanan Microsoft untuk Cloud menampilkan petak Peringatan keamanan di bagian atas halaman, dan sebagai tautan dari bilah sisi.
Halaman pemberitahuan keamanan memperlihatkan pemberitahuan aktif. Anda dapat mengurutkan daftar menurut Tingkat Keparahan, Judul peringatan, Sumber daya yang terpengaruh, Waktu mulai aktivitas. Taktik MITRE ATTACK, dan status.
Untuk memfilter daftar pemberitahuan, pilih salah satu filter yang relevan. Anda dapat menambahkan filter lebih lanjut dengan opsi Tambahkan filter.
Daftar diperbarui sesuai dengan opsi pemfilteran yang Anda pilih. Pemfilteran bisa sangat membantu. Misalnya, Anda mungkin ingin menangani pemberitahuan keamanan yang terjadi dalam 24 jam terakhir karena Anda sedang menyelidiki potensi pelanggaran dalam sistem.
Merespons pemberitahuan keamanan
Dari daftar Pemberitahuan keamanan, pilih pemberitahuan. Panel samping akan terbuka dan menampilkan deskripsi pemberitahuan dan semua sumber daya yang terpengaruh.
Lihat detail selengkapnya menampilkan informasi lebih lanjut, seperti yang ditunjukkan dalam gambar berikut:
Panel kiri halaman pemberitahuan keamanan memperlihatkan informasi tingkat tinggi mengenai pemberitahuan keamanan: judul, tingkat keparahan, status, waktu aktivitas, deskripsi aktivitas yang mencurigakan, dan sumber daya yang terpengaruh. Selain sumber daya yang terpengaruh adalah tag Azure yang relevan dengan sumber daya. Gunakan ini untuk menyimpulkan konteks organisasi sumber daya saat menyelidiki peringatan.
Panel kanan menyertakan tab Detail pemberitahuan yang berisi detail pemberitahuan lebih lanjut untuk membantu Anda menyelidiki masalah: alamat IP, file, proses, dan lainnya.
Juga di panel kanan adalah tab Ambil tindakan. Gunakan tab ini untuk mengambil tindakan lebih lanjut terkait peringatan keamanan. Tindakan seperti:
- Mitigasi ancaman: Menyediakan langkah-langkah remediasi manual untuk pemberitahuan keamanan ini.
- Mencegah serangan di masa mendatang: Memberikan rekomendasi keamanan untuk membantu mengurangi permukaan serangan, meningkatkan postur keamanan, dan dengan demikian mencegah serangan di masa mendatang.
- Memicu respons otomatis: Menyediakan opsi untuk memicu aplikasi logika sebagai respons terhadap pemberitahuan keamanan ini.
- Menekan pemberitahuan serupa: Menyediakan opsi untuk menekan pemberitahuan di masa mendatang dengan karakteristik serupa jika pemberitahuan tidak relevan untuk organisasi Anda.