Menerapkan kontrol keamanan untuk manajemen aset
Kontrol Keamanan: Manajemen aset
Manajemen Aset mencakup kontrol untuk memastikan visibilitas dan tata kelola keamanan atas sumber daya Anda, termasuk rekomendasi tentang izin untuk personel keamanan, akses keamanan ke inventarisasi aset, dan mengelola persetujuan untuk layanan dan sumber daya (inventarisasi, lacak, dan benar).
AM-1: Melacak inventaris aset dan risikonya
| ID Kontrol CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID v3.2.1 |
|---|---|---|
| 1.1, 1.5, 2.1, 2.4 | CM-8, PM-5 | 2.4 |
Prinsip keamanan: Lacak inventaris aset Anda berdasarkan kueri dan temukan semua sumber daya cloud Anda. Atur aset Anda secara logis dengan memberi tag dan mengelompokkan aset Anda berdasarkan sifat layanan, lokasi, atau karakteristik lainnya. Pastikan organisasi keamanan Anda memiliki akses ke inventarisasi aset yang terus diperbarui.
Pastikan organisasi keamanan Anda dapat memantau risiko terhadap aset cloud dengan selalu memiliki wawasan dan risiko keamanan yang dikumpulkan secara terpusat.
Panduan Azure: Fitur inventori Microsoft Defender for Cloud dan Azure Resource Graph dapat meminta dan menemukan semua sumber daya dalam langganan Anda, termasuk layanan Azure, aplikasi, dan sumber daya jaringan. Atur aset secara logis sesuai dengan taksonomi organisasi Anda menggunakan tag serta metadata lain di Azure (Nama, Deskripsi, dan Kategori).
Pastikan bahwa organisasi keamanan memiliki akses ke inventarisasi aset yang terus diperbarui di Azure. Tim keamanan sering membutuhkan inventarisasi ini untuk mengevaluasi potensi paparan organisasi mereka terhadap risiko yang muncul, dan sebagai input untuk peningkatan keamanan berkelanjutan.
Pastikan organisasi keamanan diberikan izin Pembaca Keamanan di penyewa dan langganan Azure Anda sehingga mereka dapat memantau risiko keamanan menggunakan Pertahanan Microsoft untuk Cloud. Izin Pembaca Keamanan dapat diterapkan secara luas ke seluruh penyewa (Grup Manajemen Akar) atau dicakup ke grup manajemen atau langganan tertentu.
Nota
Izin tambahan mungkin diperlukan untuk mendapatkan visibilitas ke dalam beban kerja dan layanan.
Panduan GCP: Gunakan Google Cloud Asset Inventory untuk menyediakan layanan inventori berdasarkan database rangkaian waktu. Database ini menyimpan riwayat metadata aset GCP selama lima minggu. Layanan ekspor Cloud Asset Inventory memungkinkan Anda mengekspor semua metadata aset pada tanda waktu tertentu atau mengekspor riwayat perubahan peristiwa selama jangka waktu.
Selain itu, Google Cloud Security Command Center mendukung konvensi penamaan yang berbeda. Aset adalah sumber daya Google Cloud organisasi. Peran IAM untuk Security Command Center dapat diberikan di tingkat organisasi, folder, atau proyek. Kemampuan Anda untuk melihat, membuat, atau memperbarui temuan, aset, dan sumber keamanan bergantung pada tingkat akses yang anda berikan.
Implementasi GCP dan konteks tambahan:
Implementasi Azure dan konteks tambahan:
- Cara membuat kueri dengan Azure Resource Graph Explorer
- manajemen inventori aset Microsoft Defender for Cloud
- Untuk informasi selengkapnya tentang menandai aset, lihat panduan keputusan penamaan dan pemberian tag sumber daya
- Gambaran Umum Peran Pengamat Keamanan
Panduan AWS: Gunakan fitur Aws Systems Manager Inventory untuk mengkueri dan menemukan semua sumber daya di instans EC2 Anda, termasuk tingkat aplikasi dan detail tingkat sistem operasi. Selain itu, gunakan AWS Resource Groups - Tag Editor untuk menelusuri inventarit sumber daya AWS.
Atur aset secara logis sesuai dengan taksonomi organisasi Anda menggunakan tag serta metadata lain di AWS (Nama, Deskripsi, dan Kategori).
Pastikan organisasi keamanan memiliki akses ke inventarisasi aset yang terus diperbarui di AWS. Tim keamanan sering membutuhkan inventarisasi ini untuk mengevaluasi potensi paparan organisasi mereka terhadap risiko yang muncul, dan sebagai input untuk peningkatan keamanan berkelanjutan.
Nota
Izin tambahan mungkin diperlukan untuk mendapatkan visibilitas ke dalam beban kerja dan layanan.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Gunakan Google Cloud Organization Policy Service untuk mengaudit dan membatasi layanan mana yang dapat disediakan pengguna di lingkungan Anda. Anda juga dapat menggunakan Pemantauan Cloud di Operations Suite dan/atau Kebijakan Organisasi untuk membuat aturan guna memicu pemberitahuan saat layanan yang tidak disetujui terdeteksi.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari lebih lanjut):
AM-2: Hanya gunakan layanan yang disetujui
| ID Kontrol CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID v3.2.1 |
|---|---|---|
| 2.5, 2.6, 2.7, 4.8 | CM-8, PM-5 | 6.3 |
Prinsip keamanan: Pastikan bahwa hanya layanan cloud yang disetujui yang dapat digunakan, dengan mengaudit dan membatasi layanan mana yang dapat disediakan pengguna di lingkungan.
Panduan Azure: Gunakan Azure Policy untuk mengaudit dan membatasi layanan mana yang dapat disediakan pengguna di lingkungan Anda. Gunakan Azure Resource Graph untuk mengkueri dan menemukan sumber daya dalam langganan mereka. Anda juga dapat menggunakan Azure Monitor untuk membuat aturan untuk memicu pemberitahuan saat layanan yang tidak disetujui terdeteksi.
Implementasi Azure dan konteks tambahan:
- Mengonfigurasi dan mengelola Azure Policy
- Cara menolak jenis sumber daya tertentu dengan Azure Policy
- Cara membuat kueri dengan Azure Resource Graph Explorer
Panduan AWS: Gunakan AWS Config untuk mengaudit dan membatasi layanan mana yang dapat disediakan pengguna di lingkungan Anda. Gunakan Grup Sumber Daya AWS untuk mengkueri dan menemukan sumber daya dalam akun mereka. Anda juga dapat menggunakan CloudWatch dan/atau AWS Config untuk membuat aturan guna memicu pemberitahuan saat layanan yang tidak disetujui terdeteksi.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Menetapkan atau memperbarui kebijakan/proses keamanan yang menangani proses manajemen siklus hidup aset untuk modifikasi yang berpotensi berdampak tinggi. Modifikasi ini mencakup perubahan pada penyedia identitas dan akses, data sensitif, konfigurasi jaringan, dan penilaian hak istimewa administratif. Gunakan Google Cloud Security Command Center dan periksa tab Kepatuhan untuk aset yang berisiko.
Selain itu, gunakan Pembersihan Otomatis Proyek Cloud Google yang Tidak Digunakan, dan layanan Cloud Recommender untuk memberikan rekomendasi dan wawasan untuk menggunakan sumber daya di Google Cloud. Rekomendasi dan wawasan ini adalah per produk atau per layanan, dan dihasilkan berdasarkan metode heuristik, pembelajaran mesin, dan penggunaan sumber daya saat ini.
Implementasi GCP dan konteks tambahan:
- Cloud Recommender
- Pembersihan Otomatis Proyek Google Cloud yang Tidak Digunakan.
Pemangku kepentingan keamanan pelanggan (Pelajari lebih lanjut):
AM-3: Memastikan keamanan manajemen siklus hidup aset
| ID Kontrol CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID v3.2.1 |
|---|---|---|
| 1.1, 2.1 | CM-8, CM-7 | 2.4 |
Prinsip keamanan: Pastikan atribut keamanan atau konfigurasi aset selalu diperbarui selama siklus hidup aset.
Panduan Azure: Menetapkan atau memperbarui kebijakan/proses keamanan yang menangani proses manajemen siklus hidup aset untuk modifikasi yang berpotensi berdampak tinggi. Modifikasi ini mencakup perubahan pada penyedia identitas dan akses, tingkat sensitivitas data, konfigurasi jaringan, dan penetapan hak istimewa administratif.
Identifikasi dan hapus sumber daya Azure saat tidak lagi diperlukan.
Implementasi Azure dan konteks tambahan:
Panduan AWS: Menetapkan atau memperbarui kebijakan/proses keamanan yang menangani proses manajemen siklus hidup aset untuk modifikasi yang berpotensi berdampak tinggi. Modifikasi ini mencakup perubahan pada penyedia identitas dan akses, tingkat sensitivitas data, konfigurasi jaringan, dan penetapan hak istimewa administratif.
Identifikasi dan hapus sumber daya AWS saat tidak lagi diperlukan.
Implementasi AWS dan konteks tambahan:
- Bagaimana cara memeriksa sumber daya aktif yang tidak lagi saya butuhkan di akun AWS saya?
- Bagaimana cara mengakhiri sumber daya aktif yang tidak lagi saya butuhkan di akun AWS saya?
Panduan GCP: Gunakan Google Cloud Identity and Access Management (IAM) untuk membatasi akses ke sumber daya tertentu. Anda dapat menentukan tindakan izinkan atau tolak serta kondisi di mana tindakan dipicu. Anda dapat menentukan satu kondisi atau metode gabungan izin tingkat sumber daya, kebijakan berbasis sumber daya, otorisasi berbasis tag, kredensial sementara, atau peran yang ditautkan layanan untuk memiliki kontrol akses kontrol terperinci untuk sumber daya Anda.
Selain itu, Anda dapat menggunakan Kontrol Layanan VPC untuk melindungi dari tindakan yang tidak disengaja atau ditargetkan oleh entitas eksternal atau entitas orang dalam, yang membantu meminimalkan risiko penyelundupan data yang tidak beralasan dari layanan Google Cloud. Anda dapat menggunakan Kontrol Layanan VPC untuk membuat perimeter yang melindungi sumber daya dan data layanan yang Anda tentukan secara eksplisit.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari lebih lanjut):
- Keamanan infrastruktur dan titik akhir
- pengelolaan postur tubuh
- Manajemen Kepatuhan terhadap Keamanan
AM-4: Membatasi akses ke manajemen aset
| ID Kontrol CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.3 | AC-3 | Tidak tersedia |
Prinsip keamanan: Batasi akses pengguna ke fitur manajemen aset, untuk menghindari modifikasi aset yang tidak disengaja atau berbahaya di cloud Anda.
Panduan Azure: Azure Resource Manager adalah layanan penyebaran dan manajemen untuk Azure. Ini menyediakan lapisan manajemen yang memungkinkan Anda membuat, memperbarui, dan menghapus sumber daya (aset) di Azure. Gunakan Akses Bersyar Azure ACTIVE Directory untuk membatasi kemampuan pengguna untuk berinteraksi dengan Azure Resource Manager dengan mengonfigurasi "Blokir akses" untuk Aplikasi "Microsoft Azure Management".
Gunakan Kontrol Akses berbasis Peran Azure (Azure RBAC) untuk menetapkan peran ke identitas untuk mengontrol izin dan akses mereka ke sumber daya Azure. Misalnya, pengguna dengan peran Azure RBAC 'Pembaca' saja yang dapat melihat semua sumber daya, tetapi tidak diizinkan untuk membuat perubahan apa pun.
Gunakan Kunci Sumber Daya untuk mencegah penghapusan atau modifikasi pada sumber daya. Kunci Sumber Daya juga dapat dikelola melalui Azure Blueprints.
Implementasi Azure dan konteks tambahan:
- Cara mengonfigurasi Akses Bersyarah untuk memblokir akses ke Azure Resources Manager
- Mengunci sumber daya Anda untuk melindungi infrastruktur Anda
- Melindungi sumber daya baru dengan kunci sumber daya Azure Blueprints
Panduan AWS: Gunakan AWS IAM untuk membatasi akses ke sumber daya tertentu. Anda dapat menentukan tindakan yang diizinkan atau ditolak serta kondisi di mana tindakan dipicu. Anda dapat menentukan satu kondisi atau menggabungkan metode izin tingkat sumber daya, kebijakan berbasis sumber daya, otorisasi berbasis tag, kredensial sementara, atau peran yang ditautkan layanan untuk memiliki kontrol akses kontrol halus untuk sumber daya Anda.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Gunakan Google Cloud VM Manager untuk menemukan aplikasi yang diinstal pada instans Mesin Komputasi. Inventarisasi OS dan manajemen konfigurasi dapat digunakan untuk memastikan bahwa perangkat lunak yang tidak sah diblokir agar tidak dijalankan pada instans Mesin Komputasi.
Anda juga dapat menggunakan solusi pihak ketiga untuk menemukan dan mengidentifikasi perangkat lunak yang tidak disetujui.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari lebih lanjut):
AM-5: Hanya gunakan aplikasi yang disetujui di komputer virtual
| ID Kontrol CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID v3.2.1 |
|---|---|---|
| 2.5, 2.6, 2.7, 4.8 | CM-8, CM-7, CM-10, CM-11 | 6.3 |
Prinsip keamanan: Pastikan bahwa hanya perangkat lunak resmi yang dijalankan dengan membuat daftar izin dan memblokir perangkat lunak yang tidak sah agar tidak dijalankan di lingkungan Anda.
Panduan Azure: Gunakan kontrol aplikasi adaptif Microsoft Defender for Cloud untuk menemukan dan menghasilkan daftar izin aplikasi. Anda juga dapat menggunakan kontrol aplikasi adaptif ASC untuk memastikan bahwa hanya perangkat lunak yang berwenang yang dapat dijalankan, dan semua perangkat lunak yang tidak sah diblokir agar tidak dijalankan di Azure Virtual Machines.
Gunakan Pelacakan Perubahan dan Inventarisasi Azure Automation untuk mengotomatiskan pengumpulan informasi inventarisasi dari VM Windows dan Linux Anda. Nama perangkat lunak, versi, penerbit, dan informasi waktu refresh tersedia dari portal Microsoft Azure. Untuk mendapatkan tanggal penginstalan perangkat lunak dan informasi lainnya, aktifkan diagnostik tingkat tamu dan arahkan Log Peristiwa Windows ke ruang kerja Analitik Log.
Bergantung pada jenis skrip, Anda dapat menggunakan konfigurasi khusus sistem operasi atau sumber daya pihak ketiga untuk membatasi kemampuan pengguna untuk menjalankan skrip di sumber daya komputasi Azure.
Anda juga dapat menggunakan solusi pihak ketiga untuk menemukan dan mengidentifikasi perangkat lunak yang tidak disetujui.
Implementasi Azure dan konteks tambahan:
- Cara menggunakan kontrol aplikasi adaptif Microsoft Defender for Cloud
- Memahami Pelacakan Perubahan dan Inventarisasi Azure Automation
- Cara mengontrol eksekusi skrip PowerShell di lingkungan Windows
Panduan AWS: Gunakan fitur Aws Systems Manager Inventory untuk menemukan aplikasi yang diinstal di instans EC2 Anda. Gunakan aturan AWS Config untuk memastikan bahwa perangkat lunak yang tidak sah diblokir agar tidak dijalankan pada instans EC2.
Anda juga dapat menggunakan solusi pihak ketiga untuk menemukan dan mengidentifikasi perangkat lunak yang tidak disetujui.
Implementasi AWS dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari lebih lanjut):