Bagikan melalui

Pertimbangan keamanan Azure Stack HCI

  • Artikel

Berlaku untuk: Azure Stack HCI, versi 22H2 dan 21H2; Windows Server 2022, Windows Server 2019

Penting

Azure Stack HCI sekarang menjadi bagian dari Azure Local. Namun, versi Azure Stack HCI yang lebih lama, misalnya 22H2 akan terus mereferensikan Azure Stack HCI dan tidak akan mencerminkan perubahan nama. Pelajari selengkapnya.

Artikel ini memberikan pertimbangan dan rekomendasi keamanan yang terkait dengan sistem operasi Azure Stack HCI:

  • Bagian 1 mencakup alat dan teknologi keamanan dasar untuk menguatkan sistem operasi, serta melindungi data dan identitas agar secara efisien membangun fondasi yang aman bagi organisasi Anda.
  • Bagian 2 mencakup sumber daya yang tersedia melalui Microsoft Defender untuk Cloud. Lihat Pengantar Microsoft Defender untuk Cloud.
  • Bagian 3 mencakup pertimbangan keamanan yang lebih canggih untuk lebih memperkuat postur keamanan organisasi Anda di bidang ini.

Mengapa pertimbangan keamanan penting?

Keamanan memengaruhi semua orang di organisasi Anda mulai dari manajemen tingkat atas hingga pekerja informasi. Keamanan yang tidak memadai adalah risiko nyata bagi organisasi karena pelanggaran keamanan berpotensi mengganggu semua bisnis normal dan membuat organisasi Anda berhenti. Semakin cepat Anda dapat mendeteksi potensi serangan, semakin cepat Anda dapat mengurangi bahaya pada keamanan.

Setelah meneliti titik lemah lingkungan yang akan dieksploitasi, dalam waktu 24 hingga 48 jam setelah serangan awal, penyerang biasanya dapat meningkatkan izin untuk mengendalikan sistem di jaringan. Langkah-langkah keamanan yang baik menguatkan sistem dalam lingkungan dengan memperpanjang waktu yang dibutuhkan penyerang untuk mengambil kendali dari jam ke minggu atau bahkan berbulan-bulan dengan memblokir gerakan penyerang. Menerapkan rekomendasi keamanan dalam artikel ini memposisikan organisasi Anda untuk mendeteksi dan merespons serangan tersebut secepat mungkin.

Tahap 1: Bangun fondasi yang aman

Bagian berikut merekomendasikan alat dan teknologi keamanan untuk membangun fondasi yang aman bagi server yang menjalankan sistem operasi Azure Stack HCI di lingkungan Anda.

Menguatkan lingkungan

Bagian ini membahas cara melindungi layanan dan mesin virtual (VM) yang berjalan pada sistem operasi:

  • Perangkat keras yang bersertifikat Azure Stack HCI menyediakan pengaturan Boot Aman, UEFI, dan TPM yang konsisten secara bawaan. Menggabungkan keamanan berbasis virtualisasi dan perangkat keras bersertifikat membantu melindungi beban kerja yang sensitif terhadap keamanan. Anda juga dapat menghubungkan infrastruktur tepercaya ini ke Microsoft Defender untuk Cloud untuk mengaktifkan analitik perilaku dan pelaporan untuk memperhitungkan beban kerja dan ancaman yang berubah dengan cepat.

    • Secure boot adalah standar keamanan yang dikembangkan oleh industri PC untuk membantu memastikan bahwa perangkat hanya menggunakan perangkat lunak yang dipercaya oleh Original Equipment Manufacturer (OEM) saat proses booting. Untuk mempelajari selengkapnya, lihat Secure boot.
    • United Extensible Firmware Interface (UEFI) mengontrol proses booting server dan kemudian meneruskan kontrol ke Windows atau sistem operasi lainnya. Untuk mempelajari selengkapnya, lihat persyaratan firmware UEFI.
    • Teknologi Trusted Platform Module (TPM) menyediakan fungsi berbasis perangkat keras dan terkait keamanan. Chip TPM adalah cryptoprocessor aman yang menghasilkan, menyimpan, dan membatasi penggunaan kunci kriptografi. Untuk mempelajari selengkapnya, lihat Gambaran Umum Teknologi Trusted Platform Module.

    Untuk mempelajari selengkapnya tentang penyedia perangkat keras bersertifikat Azure Stack HCI, lihat situs web solusi Azure Stack HCI.

  • Alat Keamanantersedia secara asli di Windows Admin Center untuk kluster server tunggal dan Azure Stack HCI untuk mempermudah manajemen dan kontrol keamanan. Alat ini memusatkan beberapa pengaturan keamanan utama untuk server dan kluster, termasuk kemampuan untuk melihat status sistem Secured-core.

    Untuk mempelajari selengkapnya, lihat Server Secured-core.

  • Device Guard dan Credential Guard. Device Guard melindungi pengguna dari malware tanpa tanda tangan yang diketahui, kode yang tidak ditandatangani, dan malware yang mendapatkan akses ke kernel untuk menangkap informasi sensitif atau merusak sistem. Windows Defender Credential Guard menggunakan keamanan berbasis virtualisasi untuk mengisolasi rahasia sehingga hanya perangkat lunak sistem dengan hak istimewa yang dapat mengaksesnya.

    Untuk mempelajari selengkapnya, lihat Mengelola Windows Defender Credential Guard dan mengunduh alat kesiapan perangkat keras Device Guard dan Credential Guard.

  • Pembaruan Windows dan firmware sangat penting pada kluster, server (termasuk VM tamu), dan PC untuk membantu memastikan bahwa sistem operasi dan perangkat keras sistem terlindungi dari penyerang. Anda dapat menggunakan alat Pembaruan Windows Admin Center untuk menerapkan pembaruan ke masing-masing sistem. Jika penyedia perangkat keras Anda menyertakan dukungan Pusat Admin Windows untuk mendapatkan pembaruan driver, firmware, dan solusi, Anda bisa mendapatkan pembaruan ini secara bersamaan dengan pembaruan Windows; jika tidak, dapatkan langsung dari vendor Anda.

    Untuk mempelajari selengkapnya, lihat Memperbarui kluster.

    Untuk mengelola pembaruan pada beberapa kluster dan server sekaligus, pertimbangkan untuk berlangganan layanan opsional Azure Update Management, yang terintegrasi dengan Windows Admin Center. Untuk informasi selengkapnya, lihat Manajemen Pembaruan Azure menggunakan Windows Admin Center.

Melindungi data

Bagian ini membahas cara menggunakan Windows Admin Center untuk melindungi data dan beban kerja pada sistem operasi:

  • BitLocker untuk Storage Spaces melindungi data yang tersimpan. Anda dapat menggunakan BitLocker untuk mengenkripsi konten volume data Storage Spaces pada sistem operasi. Menggunakan BitLocker untuk melindungi data dapat membantu organisasi tetap mematuhi standar pemerintah, regional, dan khusus industri seperti FIPS 140-2 dan HIPAA.

    Untuk mempelajari selengkapnya tentang menggunakan BitLocker di Windows Admin Center, lihat Mengaktifkan enkripsi volume, deduplikasi, dan pemadatan

  • Enkripsi SMB untuk jaringan Windows melindungi data dalam perjalanan. Blok Pesan Server (SMB) adalah protokol berbagi file jaringan yang memungkinkan aplikasi di komputer membaca dan menulis ke file dan untuk meminta layanan dari program server di jaringan komputer.

    Untuk mengaktifkan enkripsi SMB, lihat peningkatan keamanan SMB.

  • Antivirus Pertahanan Windows melindungi sistem operasi pada klien dan server dari virus, malware, spyware, dan ancaman lainnya. Untuk mempelajari selengkapnya, lihat Antivirus Microsoft Defender di Windows Server.

Melindungi identitas

Bagian ini membahas cara menggunakan Windows Admin Center untuk melindungi identitas dengan hak istimewa:

  • Kontrol akses dapat meningkatkan keamanan lanskap manajemen Anda. Jika Anda menggunakan server Windows Admin Center (vs. operasi pada PC Windows 10), Anda dapat mengontrol dua tingkat akses ke Windows Admin Center itu sendiri: pengguna gateway dan administrator gateway. Opsi penyedia identitas administrator gateway meliputi:

    • Active Directory atau grup komputer lokal untuk menerapkan autentikasi kartu pintar.
    • ID Microsoft Entra untuk menerapkan akses bersyarkat dan autentikasi multifaktor.

    Untuk mempelajari selengkapnya, lihat Opsi akses pengguna dengan Windows Admin Center dan Konfigurasikan Kontrol dan Izin Akses Pengguna.

  • Lalu lintas browser ke Windows Admin Center menggunakan HTTPS. Komunikasi dari Windows Admin Center ke server yang dikelola menggunakan PowerShell dan Windows Management Instrumentation (WMI) standar melalui Windows Remote Management (WinRM). Pusat Admin Windows mendukung Solusi Kata Sandi Administrator Lokal (LAPS), delegasi yang dibatasi berbasis sumber daya, kontrol akses gateway menggunakan Active Directory (AD) atau ID Microsoft Entra, dan kontrol akses berbasis peran (RBAC) untuk mengelola gateway Pusat Admin Windows.

    Windows Admin Center mendukung Microsoft Edge (Windows 10, versi 1709 atau lebih baru), Google Chrome, dan Microsoft Edge Insider di Windows 10. Anda dapat menginstal Windows Admin Center di PC Windows 10 atau server Windows.

    Jika Anda menginstal Pusat Admin Windows di server, ia berjalan sebagai gateway, tanpa UI di server host. Dalam skenario ini, administrator dapat masuk ke server melalui sesi HTTPS, diamankan oleh sertifikat keamanan yang ditandatangani sendiri pada host. Namun, lebih baik menggunakan sertifikat SSL yang sesuai dari otoritas sertifikat tepercaya untuk proses masuk karena browser yang didukung memperlakukan koneksi yang ditandatangani sendiri sebagai tidak aman, bahkan jika koneksi ke alamat IP lokal melalui VPN tepercaya.

    Untuk mempelajari selengkapnya tentang opsi penginstalan untuk organisasi Anda, lihat Jenis penginstalan apa yang tepat untuk Anda?.

  • CredSSP adalah penyedia autentikasi yang digunakan Pusat Admin Windows dalam beberapa kasus untuk meneruskan kredensial ke komputer di luar server tertentu yang Anda targetkan untuk dikelola. Windows Admin Center saat ini memerlukan CredSSP untuk:

    • Membuat kluster baru.
    • Akses alat Pembaruan untuk menggunakan fitur pengelompokan Failover atau Pembaruan yang Sadar Cluster.
    • Mengelola penyimpanan SMB yang dipisahkan di VM.

    Untuk mempelajari selengkapnya, lihat Apakah Windows Admin Center menggunakan CredSSP?

  • Alat keamanan di Windows Admin Center yang dapat Anda gunakan untuk mengelola dan melindungi identitas, meliputi Active Directory, Sertifikat, Firewall, Pengguna dan Grup Lokal, dan banyak lagi.

    Untuk mempelajari selengkapnya, lihat Mengelola Server dengan Windows Admin Center.

Bagian 2: Gunakan Microsoft Defender untuk Cloud (MDC)

Microsoft Defender untuk Cloud adalah sistem manajemen keamanan infrastruktur terpadu yang memperkuat postur keamanan pusat data Anda dan memberikan perlindungan ancaman tingkat lanjut di seluruh beban kerja hibrid Anda di cloud dan lokal. Defender untuk Cloud memberi Anda alat untuk menilai status keamanan jaringan Anda, melindungi beban kerja, meningkatkan pemberitahuan keamanan, dan mengikuti rekomendasi tertentu untuk memulihkan serangan dan mengatasi ancaman di masa mendatang. Defender for Cloud melaksanakan semua layanan ini dengan kecepatan tinggi di cloud tanpa pengeluaran tambahan untuk penyebaran melalui penyediaan otomatis dan perlindungan dengan layanan Azure.

Defender untuk Cloud melindungi VM untuk server Windows dan server Linux dengan menginstal agen Analitik Log pada sumber daya ini. Azure menghubungkan peristiwa yang dikumpulkan agen menjadi rekomendasi (tugas penguatan) yang Anda lakukan untuk membuat beban kerja Anda aman. Tugas penguatan berdasarkan praktik keamanan terbaik termasuk mengelola dan menerapkan kebijakan keamanan. Anda kemudian dapat melacak hasilnya dan mengelola kepatuhan dan tata kelola dari waktu ke waktu melalui pemantauan Defender untuk Cloud sekaligus mengurangi permukaan serangan di semua sumber daya Anda.

Mengelola siapa yang dapat mengakses sumber daya dan langganan Azure Anda adalah bagian penting dari strategi tata kelola Azure Anda. Azure RBAC adalah metode utama untuk mengelola akses di Azure. Untuk mempelajari selengkapnya, lihat Mengelola akses ke lingkungan Azure Anda dengan kontrol akses berbasis peran.

Bekerja dengan Defender untuk Cloud melalui Pusat Admin Windows memerlukan langganan Azure. Untuk memulai, lihat Melindungi Sumber Daya Pusat Admin Windows dengan Microsoft Defender untuk Cloud. Untuk memulai, lihat Rencana Penerapan Defender untuk Server Anda. Untuk lisensi Defender untuk Server (paket server), lihat Memilih Paket Defender untuk Server.

Setelah mendaftar, akses MDC di Pusat Admin Windows: Pada halaman Semua Koneksi, pilih server atau VM, di bawah Alat, pilih Microsoft Defender untuk Cloud, lalu pilih Masuk ke Azure.

Untuk informasi selengkapnya, lihat Apa itu Microsoft Defender untuk Cloud?.

Bagian 3: Tambahkan keamanan tingkat lanjut

Bagian berikut merekomendasikan alat dan teknologi keamanan canggih untuk lebih menguatkan server yang menjalankan sistem operasi Azure Stack HCI di lingkungan Anda.

Menguatkan lingkungan

  • Garis besar keamanan Microsoft didasarkan pada rekomendasi keamanan dari Microsoft yang diperoleh melalui kemitraan dengan organisasi komersial dan pemerintah AS, seperti Departemen Pertahanan. Garis besar keamanan mencakup pengaturan keamanan yang direkomendasikan untuk Windows Firewall, Windows Defender, dan banyak lainnya.

    Garis besar keamanan disediakan sebagai cadangan Objek Kebijakan Grup (GPO) yang dapat Anda impor ke Active Directory Domain Services (AD DS) lalu disebarkan ke server yang bergabung dengan domain untuk memperkuat lingkungan. Anda juga dapat menggunakan alat Skrip Lokal untuk mengonfigurasi server mandiri (non-domain-join) dengan garis besar keamanan. Untuk mulai menggunakan garis besar keamanan, unduh Microsoft Security Compliance Toolkit 1.0.

    Untuk mempelajari selengkapnya, lihat Garis Besar Keamanan Microsoft.

Perlindungan data

  • Penguatan lingkungan Hyper-V membutuhkan penguatan Windows Server yang berjalan pada VM seperti saat Anda akan menguatkan sistem operasi yang berjalan pada server fisik. Karena lingkungan virtual biasanya memiliki beberapa VM yang berbagi host fisik yang sama, sangat penting untuk melindungi host fisik dan VM yang berjalan di atasnya. Penyerang yang membahayakan host dapat memengaruhi beberapa VM dengan dampak yang lebih besar pada beban kerja dan layanan. Bagian ini membahas metode-metode berikut yang dapat Anda gunakan untuk menguatkan Server Windows di lingkungan Hyper-V:

    • Virtual Trusted Platform Module (vTPM) di Windows Server mendukung TPM untuk VM, yang memungkinkan Anda menggunakan teknologi keamanan canggih, seperti BitLocker di VM. Anda dapat mengaktifkan dukungan TPM pada VM Hyper-V Generasi 2 apa pun dengan menggunakan Hyper-V Manager atau Enable-VMTPM cmdlet Windows PowerShell.

      Catatan

      Mengaktifkan vTPM akan berdampak pada mobilitas VM: tindakan manual diperlukan untuk memungkinkan VM memulai pada Host yang berbeda dari yang Anda aktifkan vTPM awalnya.

      Untuk mempelajari selengkapnya, lihat Aktifkan-VMTPM.

    • Software Defined Networking (SDN) di Azure Stack HCI dan Windows Server secara terpusat melakukan konfigurasi dan mengelola perangkat jaringan virtual seperti penyeimbang beban perangkat lunak, firewall pusat data, gateway, dan sakelar virtual pada infrastruktur Anda. Elemen jaringan virtual, seperti Hyper-V Virtual Switch, Hyper-V Network Virtualization, dan RAS Gateway dirancang untuk menjadi elemen integral dari infrastruktur SDN Anda.

      Untuk mempelajari selengkapnya, lihat Software Defined Networking (SDN).

      Catatan

      VM terlindungi yang dilindungi oleh Host Guardian Service tidak didukung di Azure Stack HCI.

Melindungi identitas

  • Local Administrator Password Solution (LAPS) adalah mekanisme ringan untuk sistem gabungan domain Active Directory yang secara berkala menetapkan kata sandi akun admin lokal masing-masing komputer menjadi nilai acak dan unik yang baru. Kata sandi disimpan dalam atribut rahasia aman pada objek komputer yang sesuai di Direktori Aktif, di mana hanya pengguna yang berwenang yang khusus dapat mengambilnya. LAPS menggunakan akun lokal untuk manajemen komputer jarak jauh ditambah dengan beberapa keuntungan dibandingkan menggunakan akun domain. Untuk mempelajari selengkapnya, lihat Penggunaan Akun Lokal Jarak Jauh: LAPS Mengubah Segalanya.

    Untuk mulai menggunakan LAPS, unduh Solusi Kata Sandi Administrator Lokal (LAPS).

  • Microsoft Advanced Threat Analytics (ATA) adalah produk lokal yang dapat Anda gunakan untuk membantu mendeteksi penyerang yang mencoba membahayakan identitas dengan hak istimewa. ATA mengurai lalu lintas jaringan untuk autentikasi, otorisasi, dan protokol pengumpulan informasi, seperti Kerberos dan DNS. ATA menggunakan data untuk membangun profil perilaku pengguna dan entitas lain di jaringan untuk mendeteksi anomali dan pola serangan yang diketahui.

    Untuk mempelajari lebih lanjut, lihat Apa itu Analitik Ancaman Tingkat Lanjut?

  • Windows Defender Remote Credential Guard melindungi informasi masuk melalui koneksi Desktop Jauh dengan mengalihkan permintaan Kerberos kembali ke perangkat yang meminta koneksi. Ini juga menyediakan single sign-on (SSO) untuk sesi Desktop Remote. Selama sesi Desktop Jauh, jika perangkat target disusupi, kredensial Anda tidak terekspos karena baik kredensial maupun turunan dari kredensial tidak pernah diteruskan melalui jaringan ke perangkat target.

    Untuk mempelajari selengkapnya, lihat Mengelola Windows Defender Credential Guard.

  • Pertahanan Microsoft untuk Identitas membantu Anda melindungi identitas istimewa dengan memantau perilaku dan aktivitas pengguna, mengurangi permukaan serangan, melindungi Layanan Federal Direktori Aktif (AD FS) di lingkungan hibrid, dan mengidentifikasi aktivitas mencurigakan dan serangan lanjutan di seluruh rantai pembunuhan serangan cyber.

    Untuk mempelajari selengkapnya, lihat Apa itu Microsoft Defender untuk Identitas?.

Langkah berikutnya

Untuk informasi selengkapnya tentang keamanan dan kepatuhan terhadap peraturan, lihat: