Lakukan adopsi cloud Anda dengan aman
Saat Anda menerapkan estat cloud dan memigrasikan beban kerja, penting untuk membangun mekanisme dan praktik keamanan yang kuat. Pendekatan ini memastikan bahwa beban kerja Anda aman sejak awal dan mencegah kebutuhan untuk mengatasi kesenjangan keamanan setelah beban kerja dalam produksi. Prioritaskan keamanan selama fase Adopsi untuk memastikan bahwa beban kerja dibangun secara konsisten dan sesuai dengan praktik terbaik. Praktik keamanan yang ditetapkan juga menyiapkan tim TI untuk operasi cloud melalui kebijakan dan prosedur yang dirancang dengan baik.
Baik Anda memigrasikan beban kerja ke cloud atau membangun estat cloud yang sama sekali baru, Anda dapat menerapkan panduan dalam artikel ini. Metodologi Adopsi Cloud Adoption Framework menggabungkan skenario Migrasi, Modernisasi, Berinovasi, dan Relokasi. Terlepas dari jalur yang Anda ambil selama fase Adopsi perjalanan cloud Anda, penting untuk mempertimbangkan rekomendasi dalam artikel ini saat Anda menetapkan elemen dasar dari estat cloud Anda dan membangun atau memigrasikan beban kerja.
Artikel ini adalah panduan pendukung untuk metodologi Adopsi . Ini menyediakan area pengoptimalan keamanan yang harus Anda pertimbangkan saat Anda melewati fase tersebut dalam perjalanan Anda.
Adopsi modernisasi postur keamanan
Pertimbangkan rekomendasi berikut saat Anda bekerja untuk memodernisasi postur keamanan Anda sebagai bagian dari fase Adopsi:
Garis besar keamanan: Tentukan garis besar keamanan yang mencakup persyaratan ketersediaan untuk menetapkan fondasi yang jelas dan kuat untuk pengembangan. Untuk menghemat waktu Anda dan mengurangi risiko kesalahan manusia dalam menganalisis lingkungan Anda, gunakan alat analisis garis besar keamanan di luar rak.
Merangkul otomatisasi: Gunakan alat otomatisasi untuk mengelola tugas rutin untuk mengurangi risiko kesalahan manusia dan meningkatkan konsistensi. Manfaatkan layanan cloud yang dapat mengotomatiskan prosedur failover dan pemulihan. Tugas yang mungkin Anda pertimbangkan untuk mengotomatiskan meliputi:
- Penyebaran dan manajemen infrastruktur
- Aktivitas siklus hidup pengembangan perangkat lunak
- Pengujian
- Pemantauan dan Pemberitahuan
- Penskalaan
Kontrol akses dan otorisasi Zero Trust: Terapkan kontrol akses yang kuat dan sistem manajemen identitas untuk memastikan bahwa hanya personel yang berwenang yang memiliki akses ke sistem dan data penting. Pendekatan ini mengurangi risiko aktivitas berbahaya yang dapat mengganggu layanan. Standarisasi kontrol akses berbasis peran (RBAC) yang diberlakukan secara ketat dan memerlukan autentikasi multifaktor untuk mencegah akses tidak sah yang dapat mengganggu ketersediaan layanan. Untuk informasi selengkapnya, lihat Mengamankan identitas dengan Zero Trust.
Mengubah institusi manajemen
Metodologi adopsi dan perubahan (ACM) yang efektif sangat penting untuk memastikan keberhasilan implementasi dan institusionalisasi kontrol akses. Beberapa praktik dan metodologi terbaik meliputi:
Model ADKAR Prosci: Model ini berfokus pada lima blok penyusun kunci agar perubahan berhasil. Komponen-komponen ini adalah Kesadaran, Keinginan, Pengetahuan, Kemampuan, dan Penguatan. Dengan mengatasi setiap elemen, organisasi dapat memastikan bahwa karyawan memahami kebutuhan akan kontrol akses, termotivasi untuk mendukung perubahan, memiliki pengetahuan dan keterampilan yang diperlukan, dan menerima penguatan berkelanjutan untuk mempertahankan perubahan.
Model Perubahan 8 Langkah Kotter: Model ini menguraikan delapan langkah untuk perubahan terdepan. Langkah-langkah ini termasuk menciptakan rasa urgensi, membentuk koalisi yang kuat, mengembangkan visi dan strategi, mengkomunikasikan visi, memberdayakan karyawan untuk tindakan berbasis luas, menghasilkan kemenangan jangka pendek, mengonsolidasikan keuntungan, dan menjangkar pendekatan baru ke dalam budaya. Dengan mengikuti langkah-langkah ini, organisasi dapat mengelola adopsi kontrol akses secara efektif.
Model Manajemen Perubahan Lewin: Model ini memiliki tiga tahap, yaitu Unfreeze, Change, dan Refreeze. Pada tahap Unfreeze, organisasi bersiap untuk perubahan dengan mengidentifikasi kebutuhan akan kontrol akses dan menciptakan rasa urgensi. Pada tahap Perubahan, proses dan praktik baru diimplementasikan. Pada tahap Refreeze, praktik baru dipadatkan dan diintegrasikan ke dalam budaya organisasi.
Kerangka kerja manajemen Adopsi dan perubahan Microsoft: Kerangka kerja ini menyediakan pendekatan terstruktur untuk mendorong adopsi dan perubahan dengan menentukan kriteria keberhasilan, melibatkan pemangku kepentingan, dan menyiapkan organisasi. Kerangka kerja ini juga mengukur keberhasilan untuk memastikan efektivitas implementasi. Ini menekankan pentingnya komunikasi, pelatihan, dan dukungan untuk memastikan bahwa kontrol akses diadopsi dan dilembagakan secara efektif.
Organisasi dapat memastikan bahwa kontrol akses diimplementasikan dan dirangkul oleh karyawan dengan menggabungkan metodologi ACM dan praktik terbaik ini. Pendekatan ini menghasilkan lingkungan perusahaan yang lebih aman dan sesuai.
Fasilitasi Azure
Menetapkan garis besar keamanan: Skor Aman Microsoft dapat membantu Anda membuat garis besar dengan rekomendasi nyata untuk peningkatan. Ini disediakan sebagai bagian dari rangkaian Microsoft Defender XDR dan dapat menganalisis keamanan banyak produk Microsoft dan non-Microsoft.
Otomatisasi penyebaran infrastruktur: Templat Azure Resource Manager (templat ARM) dan Bicep adalah alat asli Azure untuk menyebarkan infrastruktur sebagai kode (IaC) dengan menggunakan sintaks deklaratif. Templat ARM ditulis dalam JSON, sedangkan Bicep adalah bahasa khusus domain. Anda dapat dengan mudah mengintegrasikan keduanya ke alur Azure Pipelines atau GitHub Actions dan pengiriman berkelanjutan (CI/CD).
Terraform adalah alat IaC deklaratif lain yang didukung penuh di Azure. Anda dapat menggunakan Terraform untuk menyebarkan dan mengelola infrastruktur, dan Anda dapat mengintegrasikannya ke dalam alur CI/CD Anda.
Anda dapat menggunakan Microsoft Defender untuk Cloud untuk menemukan kesalahan konfigurasi di IaC.
Lingkungan Penyebaran Azure: Lingkungan Penyebaran memungkinkan tim pengembangan membuat infrastruktur aplikasi yang konsisten dengan cepat menggunakan templat berbasis proyek. Templat ini meminimalkan waktu penyiapan dan memaksimalkan keamanan, kepatuhan, dan efisiensi biaya. Lingkungan penyebaran adalah kumpulan sumber daya Azure yang disebarkan dalam langganan yang telah ditentukan sebelumnya. Administrator infrastruktur pengembangan dapat memberlakukan kebijakan keamanan perusahaan dan menyediakan serangkaian templat IaC yang telah ditentukan sebelumnya.
Administrator infrastruktur pengembangan mendefinisikan lingkungan penyebaran sebagai item katalog. Item katalog dihosting di repositori GitHub atau Azure DevOps, yang disebut katalog. Item katalog terdiri dari templat IaC dan file manifest.yml.
Anda dapat membuat skrip pembuatan lingkungan penyebaran dan mengelola lingkungan secara terprogram. Untuk panduan terperinci yang berfokus pada beban kerja, lihat pendekatan IaC Azure Well-Architected Framework.
Otomatisasi tugas rutin:
Azure Functions: Azure Functions adalah alat tanpa server yang dapat Anda gunakan untuk mengotomatiskan tugas dengan menggunakan bahasa pengembangan pilihan Anda. Functions menyediakan serangkaian pemicu dan pengikatan berbasis peristiwa yang komprehensif yang menghubungkan fungsi Anda ke layanan lain. Anda tidak perlu menulis kode tambahan.
Azure Automation: PowerShell dan Python adalah bahasa pemrograman populer untuk mengotomatiskan tugas operasional. Gunakan bahasa ini untuk melakukan operasi seperti memulai ulang layanan, mentransfer log antara penyimpanan data, dan menskalakan infrastruktur untuk memenuhi permintaan. Anda dapat mengekspresikan operasi ini dalam kode dan menjalankannya sesuai permintaan. Secara individual, bahasa ini tidak memiliki platform untuk manajemen terpusat, kontrol versi, atau riwayat eksekusi pelacakan. Bahasa ini juga tidak memiliki mekanisme asli untuk merespons peristiwa seperti pemberitahuan berbasis pemantauan. Untuk menyediakan kemampuan ini, Anda memerlukan platform otomatisasi. Automation menyediakan platform yang dihosting Azure untuk menghosting dan menjalankan kode PowerShell dan Python di seluruh lingkungan cloud dan lokal, termasuk sistem Azure dan non-Azure. Kode PowerShell dan Python disimpan dalam runbook Automation. Gunakan Automation untuk:
Memicu runbook sesuai permintaan, sesuai jadwal, atau melalui webhook.
Jalankan riwayat dan pengelogan.
Mengintegrasikan penyimpanan rahasia.
Mengintegrasikan kontrol sumber.
Azure Update Manager: Update Manager adalah layanan terpadu yang dapat Anda gunakan untuk mengelola dan mengatur pembaruan untuk komputer virtual. Anda dapat memantau kepatuhan pembaruan Windows dan Linux di seluruh beban kerja Anda. Anda juga dapat menggunakan Manajer Pembaruan untuk membuat pembaruan real-time atau menjadwalkannya dalam rentang pemeliharaan yang ditentukan. Gunakan Manajer Pembaruan untuk:
Mengawasi kepatuhan pada seluruh armada mesin Anda.
Jadwalkan pembaruan berulang.
Menyebarkan pembaruan penting.
Azure Logic Apps dan Microsoft Power Automate: Saat Anda membangun otomatisasi proses digital (DPA) kustom untuk menangani tugas beban kerja seperti alur persetujuan atau membangun integrasi ChatOps, pertimbangkan untuk menggunakan Logic Apps atau Power Automate. Anda dapat membuat alur kerja dari konektor dan templat bawaan. Logic Apps dan Power Automate dibangun berdasarkan teknologi yang mendasar yang sama dan sangat cocok untuk tugas berbasis pemicu atau berbasis waktu.
Penskalakan otomatis: Banyak teknologi Azure memiliki kemampuan penskalakan otomatis bawaan. Anda juga dapat memprogram layanan lain untuk menskalakan secara otomatis dengan menggunakan API. Untuk informasi selengkapnya, lihat Penskalaan otomatis.
Grup tindakan Azure Monitor: Untuk menjalankan operasi penyembuhan mandiri secara otomatis saat pemberitahuan dipicu, gunakan grup tindakan Azure Monitor. Anda dapat menentukan operasi ini dengan menggunakan runbook, fungsi Azure, atau webhook.
Kesiapsiagaan insiden dan adopsi respons
Setelah Anda membangun zona pendaratan atau desain platform lainnya dengan segmentasi jaringan yang aman dan langganan dan organisasi sumber daya yang dirancang dengan baik, Anda dapat memulai implementasi dengan fokus pada kesiapsiagaan dan respons insiden. Selama fase ini, mengembangkan mekanisme kesiapsiagaan dan respons Anda, termasuk rencana respons insiden Anda, memastikan bahwa estat cloud dan praktik operasional Anda selaras dengan tujuan bisnis. Keselarasan ini sangat penting untuk menjaga efisiensi dan mencapai tujuan strategis. Fase adopsi harus mendekati kesiapsiagaan insiden dan respons dari dua perspektif. Perspektif ini adalah kesiapan dan mitigasi ancaman, serta keamanan infrastruktur dan aplikasi.
Kesiapan dan mitigasi ancaman
Deteksi ancaman: Terapkan alat dan praktik pemantauan tingkat lanjut untuk mendeteksi ancaman secara real time. Implementasi ini termasuk menyiapkan sistem pemberitahuan untuk aktivitas yang tidak biasa dan mengintegrasikan solusi deteksi dan respons yang diperluas (XDR) dan informasi keamanan dan manajemen peristiwa (SIEM). Untuk informasi selengkapnya, lihat Perlindungan ancaman Zero Trust dan XDR.
Manajemen kerentanan: Identifikasi dan mitigasi kerentanan secara teratur melalui manajemen patch dan pembaruan keamanan untuk memastikan bahwa sistem dan aplikasi dilindungi dari ancaman yang diketahui.
Respons insiden: Kembangkan dan pertahankan rencana respons insiden yang mencakup langkah-langkah deteksi, analisis, dan remediasi untuk mengatasi dan memulihkan insiden keamanan dengan cepat. Untuk panduan yang berfokus pada beban kerja, lihat Rekomendasi untuk respons insiden keamanan. Mengotomatiskan aktivitas mitigasi sebanyak mungkin untuk membuat aktivitas ini lebih efisien dan kurang rentan terhadap kesalahan manusia. Misalnya, jika Anda mendeteksi injeksi SQL, Anda dapat memiliki runbook atau alur kerja yang secara otomatis mengunci semua koneksi ke SQL untuk berisi insiden.
Keamanan infrastruktur dan aplikasi
Alur penyebaran yang aman: Membangun alur CI/CD dengan pemeriksaan keamanan terintegrasi untuk memastikan bahwa aplikasi dikembangkan, diuji, dan disebarkan dengan aman. Solusi ini mencakup analisis kode statis, pemindaian kerentanan, dan pemeriksaan kepatuhan. Untuk informasi selengkapnya, lihat Panduan pengembang Zero Trust.
Penyebaran IaC: Sebarkan semua infrastruktur melalui kode, tanpa pengecualian. Kurangi risiko infrastruktur yang salah dikonfigurasi dan penyebaran yang tidak sah dengan mengamanatkan standar ini. Kolokasikan semua aset IaC dengan aset kode aplikasi dan terapkan praktik penyebaran aman yang sama dengan penyebaran perangkat lunak.
Fasilitasi Azure
Deteksi ancaman dan otomatisasi respons: Mengotomatiskan deteksi dan respons ancaman dengan fungsionalitas investigasi dan respons otomatis di Microsoft Defender XDR.
Keamanan penyebaran IaC: Gunakan tumpukan penyebaran untuk mengelola sumber daya Azure sebagai satu unit kohesif. Mencegah pengguna melakukan modifikasi yang tidak sah dengan menggunakan pengaturan tolak.
Mengadopsi prinsip kerahasiaan
Setelah strategi menyeluruh dan rencana implementasi untuk mengadopsi prinsip kerahasiaan CIA Triad sudah ada, langkah selanjutnya adalah fokus pada ACM. Langkah ini termasuk memastikan bahwa enkripsi dan kontrol akses yang aman diterapkan secara efektif dan dilembagakan di seluruh lingkungan cloud perusahaan. Dalam fase adopsi, langkah-langkah pencegahan kehilangan data (DLP) diterapkan untuk melindungi data sensitif saat transit dan data tidak aktif. Implementasi ini melibatkan penyebaran solusi enkripsi, mengonfigurasi kontrol akses, dan melatih semua karyawan tentang pentingnya kerahasiaan data dan kepatuhan terhadap kebijakan DLP.
Menerapkan enkripsi dan kontrol akses aman
Untuk melindungi informasi sensitif dari akses yang tidak sah, sangat penting bagi Anda untuk menerapkan enkripsi yang kuat dan kontrol akses yang aman. Enkripsi memastikan bahwa data tidak dapat dibaca oleh pengguna yang tidak sah, sementara kontrol akses mengatur siapa yang dapat mengakses data dan sumber daya tertentu. Pahami kemampuan enkripsi layanan cloud yang Anda sebarkan dan aktifkan mekanisme enkripsi yang sesuai untuk memenuhi kebutuhan bisnis Anda.
Menggabungkan dan mengadopsi standar terkait
Untuk memastikan implementasi kontrol enkripsi dan akses yang konsisten, penting untuk mengembangkan dan mengadopsi standar terkait. Organisasi harus menetapkan pedoman yang jelas dan praktik terbaik untuk menggunakan enkripsi dan kontrol akses, dan memastikan bahwa standar ini dikomunikasikan kepada semua karyawan. Misalnya, standar mungkin menentukan bahwa semua data sensitif harus dienkripsi dengan menggunakan enkripsi AES-256, dan akses ke data ini harus dibatasi hanya untuk personel yang berwenang. Organisasi dapat memastikan bahwa enkripsi dan kontrol akses diterapkan secara konsisten di seluruh perusahaan dengan menggabungkan standar ini ke dalam kebijakan dan prosedur mereka. Memberikan pelatihan dan dukungan rutin semakin memperkuat praktik ini di antara karyawan. Beberapa contoh termasuk:
Enkripsi yang kuat: Aktifkan enkripsi pada penyimpanan data jika memungkinkan dan pertimbangkan untuk mengelola kunci Anda sendiri. Penyedia cloud Anda mungkin menawarkan enkripsi saat tidak aktif untuk penyimpanan tempat penyimpanan data Anda dihosting, dan memberi Anda opsi untuk mengaktifkan enkripsi database seperti enkripsi data transparan di Azure SQL Database. Terapkan lapisan enkripsi tambahan jika memungkinkan.
Kontrol akses: Terapkan RBAC, kontrol akses bersyarah, akses just-in-time, dan akses cukup ke semua penyimpanan data. Menstandarkan praktik meninjau izin secara teratur. Batasi akses tulis ke sistem konfigurasi, yang hanya memungkinkan perubahan melalui akun otomatisasi yang ditunjuk. Akun ini menerapkan modifikasi setelah proses peninjauan menyeluruh, biasanya sebagai bagian dari Azure Pipelines.
Adopsi standar: Organisasi mungkin mengembangkan standar yang mengharuskan semua email yang berisi informasi sensitif untuk dienkripsi dengan menggunakan Perlindungan Informasi Microsoft Purview. Persyaratan ini memastikan bahwa data sensitif dilindungi selama transmisi dan hanya dapat diakses oleh penerima yang berwenang.
Fasilitasi Azure
Solusi SIEM dan SOAR: Microsoft Sentinel adalah SIEM cloud-native yang dapat diskalakan yang memberikan solusi cerdas dan komprehensif untuk SIEM dan orkestrasi keamanan, otomatisasi, dan respons (SOAR). Microsoft Azure Sentinel menyediakan deteksi ancaman, investigasi, respons, dan perburuan proaktif, dengan gambaran umum tingkat tinggi tentang perusahaan Anda.
Enkripsi Azure: Azure menyediakan enkripsi untuk layanan seperti Azure SQL Database, Azure Cosmos DB, dan Azure Data Lake. Model enkripsi yang didukung termasuk enkripsi sisi server dengan kunci yang dikelola layanan, kunci yang dikelola pelanggan di Azure Key Vault, dan kunci yang dikelola pelanggan pada perangkat keras yang dikendalikan pelanggan. Model enkripsi sisi klien mendukung enkripsi data oleh aplikasi sebelum dikirim ke Azure. Untuk informasi selengkapnya, lihat Ikhtisar enkripsi Azure.
Manajemen kontrol akses: Sebelumnya dikenal sebagai Azure Active Directory, ID Microsoft Entra menyediakan kemampuan manajemen identitas dan akses yang komprehensif. Ini mendukung autentikasi multifaktor, kebijakan akses bersyarat, dan akses menyeluruh untuk memastikan bahwa hanya pengguna yang berwenang yang dapat mengakses data sensitif.
Microsoft Entra ID Protection menggunakan pembelajaran mesin tingkat lanjut untuk mengidentifikasi risiko masuk dan perilaku pengguna yang tidak biasa untuk memblokir, menantang, membatasi, atau memberikan akses. Ini membantu mencegah penyusupan identitas, melindungi dari pencurian kredensial, dan memberikan wawasan tentang postur keamanan identitas Anda.
Microsoft Defender untuk Identitas adalah solusi deteksi ancaman identitas keamanan berbasis cloud yang membantu mengamankan pemantauan identitas Anda di seluruh organisasi Anda. Ini dapat membantu Anda mengidentifikasi, mendeteksi, dan menyelidiki ancaman tingkat lanjut yang diarahkan ke organisasi Anda melalui deteksi ancaman otomatis dan mekanisme respons.
Komputasi rahasia Azure: Layanan ini melindungi data saat sedang diproses. Ini menggunakan lingkungan eksekusi tepercaya berbasis perangkat keras untuk mengisolasi dan melindungi data yang digunakan, memastikan bahwa bahkan administrator cloud tidak dapat mengakses data.
Mengadopsi prinsip integritas
Dalam fase Adopsi, perencanaan dan desain diubah menjadi implementasi dunia nyata. Untuk memastikan integritas data dan sistem, bangun sistem Anda sesuai dengan standar yang Anda kembangkan pada fase sebelumnya. Selain itu, melatih teknisi, administrator, dan operator pada protokol dan prosedur yang relevan.
Adopsi integritas data
Klasifikasi data: Terapkan kerangka kerja klasifikasi data Anda melalui otomatisasi jika memungkinkan dan secara manual jika diperlukan. Gunakan alat off-the-shelf untuk mengotomatiskan klasifikasi data Anda dan mengidentifikasi informasi sensitif. Beri label dokumen dan kontainer secara manual untuk memastikan klasifikasi yang akurat. Kurasi himpunan data untuk analitik dengan memanfaatkan keahlian pengguna yang berpengetahuan luas untuk membangun sensitivitas.
Verifikasi dan validasi data: Manfaatkan fungsionalitas verifikasi dan validasi bawaan dalam layanan yang Anda sebarkan. Misalnya, Azure Data Factory memiliki fungsionalitas bawaan untuk memverifikasi konsistensi data saat Anda memindahkan data dari sumber ke penyimpanan tujuan. Pertimbangkan untuk mengadopsi praktik seperti:
Menggunakan fungsi CHECKSUM dan BINARY_CHECKSUM di SQL untuk memastikan bahwa data tidak rusak saat transit.
Menyimpan hash dalam tabel dan membuat subroutine yang memodifikasi hash saat tanggal terakhir diubah berubah.
Pemantauan dan pemberitahuan: Pantau penyimpanan data Anda untuk perubahan dengan informasi riwayat perubahan terperinci untuk membantu peninjauan. Konfigurasikan pemberitahuan untuk memastikan bahwa Anda memiliki visibilitas yang sesuai dan dapat mengambil tindakan yang efisien jika ada insiden yang mungkin memengaruhi integritas data.
Kebijakan pencadangan: Terapkan kebijakan pencadangan pada semua sistem yang sesuai. Pahami kemampuan pencadangan platform sebagai layanan dan perangkat lunak sebagai layanan layanan. Misalnya, Azure SQL Database menyertakan cadangan otomatis, dan Anda dapat mengonfigurasi kebijakan penyimpanan seperlunya.
Berbagi standar desain: Menerbitkan dan berbagi standar desain aplikasi yang menggabungkan mekanisme integritas data di seluruh organisasi. Standar desain harus mencakup persyaratan nonfungsi, seperti konfigurasi pelacakan asli dan perubahan data di tingkat aplikasi dan merekam riwayat ini dalam skema data. Pendekatan ini mengamanatkan bahwa skema data mempertahankan detail tentang riwayat data dan riwayat konfigurasi sebagai bagian dari datastore, selain mekanisme pengelogan standar untuk memperkuat pemantauan integritas Anda.
Adopsi integritas sistem
Pemantauan keamanan: Gunakan solusi pemantauan yang kuat untuk secara otomatis mendaftarkan semua sumber daya di estat cloud Anda dan memastikan bahwa pemberitahuan diaktifkan dan dikonfigurasi untuk memberi tahu tim yang sesuai ketika insiden terjadi.
Manajemen konfigurasi otomatis: Menyebarkan dan mengonfigurasi sistem manajemen konfigurasi yang secara otomatis mendaftarkan sistem baru dan mengelola konfigurasi Anda terus menerus.
Manajemen patch otomatis: Menyebarkan dan mengonfigurasi sistem manajemen patch yang secara otomatis mendaftarkan sistem baru dan mengelola patching sesuai dengan kebijakan Anda. Lebih suka alat asli ke platform cloud Anda.
Fasilitasi Azure
Klasifikasi dan pelabelan data: Microsoft Purview adalah serangkaian solusi kuat yang dapat membantu organisasi Anda mengatur, melindungi, dan mengelola data, di mana pun data berada. Ini menawarkan klasifikasi data manual dan otomatis dan pelabelan sensitivitas.
Manajemen konfigurasi: Azure Arc adalah platform tata kelola dan manajemen infrastruktur terpusat dan terpadu yang dapat Anda gunakan untuk mengelola konfigurasi untuk sistem berbasis cloud dan lokal. Dengan menggunakan Azure Arc, Anda dapat memperluas garis besar keamanan dari Azure Policy, kebijakan Defender untuk Cloud Anda, dan evaluasi Skor Aman, serta mencatat dan memantau semua sumber daya Anda di satu tempat.
Manajemen patch: Azure Update Manager adalah solusi manajemen pembaruan terpadu untuk komputer Windows dan Linux yang dapat Anda gunakan untuk lingkungan Azure, lokal, dan multicloud. Ini memiliki dukungan bawaan untuk Azure Policy dan komputer terkelola Azure Arc .
Mengadopsi prinsip ketersediaan
Setelah pola desain tangguh ditentukan, organisasi Anda dapat melanjutkan ke fase adopsi. Untuk panduan terperinci tentang ketersediaan beban kerja, lihat pilar Keandalan Kerangka Kerja Yang Dirancang Dengan Baik dan dokumentasi keandalan Azure. Dalam konteks adopsi cloud, fokusnya adalah menetapkan dan mengkodifikasi praktik operasional yang mendukung ketersediaan.
Menetapkan praktik operasional untuk mendukung ketersediaan
Untuk mempertahankan estat cloud yang sangat tersedia, tim yang mengoperasikan sistem cloud harus mematuhi praktik yang standar dan matang. Praktik ini harus mencakup:
Kelangsungan operasional: Organisasi harus merencanakan operasi berkelanjutan bahkan dalam kondisi serangan. Pendekatan ini termasuk menetapkan proses untuk pemulihan yang cepat dan mempertahankan layanan penting pada tingkat yang terdegradasi hingga pemulihan penuh dimungkinkan.
Pengamatan yang kuat dan berkelanjutan: Kemampuan organisasi untuk mendeteksi insiden keamanan saat terjadi memungkinkan mereka untuk memulai rencana respons insiden mereka dengan cepat. Strategi ini membantu meminimalkan efek bisnis sebanyak mungkin. Deteksi insiden hanya dimungkinkan melalui sistem pemantauan dan peringatan yang dirancang dengan baik, yang mengikuti praktik terbaik untuk deteksi ancaman. Untuk informasi selengkapnya, lihat panduan pengamatan dan Panduan pemantauan keamanan dan deteksi ancaman.
Pemeliharaan proaktif: Menstandarkan dan menerapkan pembaruan sistem melalui kebijakan. Jadwalkan jendela pemeliharaan reguler untuk menerapkan pembaruan dan patch ke sistem tanpa mengganggu layanan. Lakukan pemeriksaan kesehatan dan kegiatan pemeliharaan rutin untuk memastikan bahwa semua komponen berfungsi secara optimal.
Kebijakan tata kelola standar: Terapkan semua standar keamanan melalui kebijakan yang didukung alat. Gunakan alat manajemen kebijakan untuk memastikan bahwa semua sistem Anda mematuhi persyaratan bisnis Anda secara default dan bahwa kebijakan Anda mudah diaudit.
Kesiapsiagaan pemulihan bencana: Kembangkan dan uji rencana pemulihan bencana secara teratur untuk beban kerja Anda untuk memastikan bahwa mereka dapat dipulihkan jika bencana terjadi. Untuk informasi selengkapnya, lihat Pemulihan bencana. Mengotomatiskan aktivitas pemulihan sebanyak mungkin. Misalnya, gunakan kemampuan failover otomatis dalam layanan seperti Azure SQL Database.
Perjanjian tingkat layanan: Perjanjian tingkat layanan (SLA) yang disediakan platform cloud Anda untuk layanan mereka membantu Anda memahami waktu aktif yang dijamin untuk komponen beban kerja Anda. Gunakan SLA tersebut sebagai dasar Anda untuk kemudian mengembangkan metrik target Anda sendiri untuk SLA yang Anda berikan kepada pelanggan Anda. Microsoft menerbitkan SLA untuk semua layanan cloud di SLA untuk layanan online.
Persyaratan kepatuhan: Mematuhi peraturan seperti Peraturan Perlindungan Data Umum (GDPR) dan HIPAA untuk memastikan bahwa sistem dirancang dan dikelola dengan standar tinggi, termasuk standar yang terkait dengan ketersediaan. Ketidakpatuhuran dapat mengakibatkan tindakan hukum dan denda yang mungkin mengganggu operasi bisnis. Kepatuhan sering kali tidak terbatas pada konfigurasi sistem. Sebagian besar kerangka kerja kepatuhan juga memerlukan manajemen risiko dan standar respons insiden. Pastikan standar operasional Anda memenuhi persyaratan kerangka kerja dan staf tersebut dilatih secara teratur.
Fasilitasi Azure
Manajemen kebijakan dan kepatuhan:
Azure Policy adalah solusi manajemen kebijakan yang membantu menegakkan standar organisasi dan menilai kepatuhan dalam skala besar. Untuk mengotomatiskan penegakan kebijakan untuk banyak layanan Azure, manfaatkan definisi kebijakan bawaan.
Defender untuk Cloud menyediakan kebijakan keamanan yang dapat mengotomatiskan kepatuhan dengan standar keamanan Anda.
Kelangsungan operasional dan pemulihan bencana: Banyak layanan Azure memiliki kemampuan pemulihan bawaan yang dapat Anda masukkan ke dalam rencana kelangsungan operasional dan pemulihan bencana Anda. Untuk informasi selengkapnya, lihat Panduan keandalan layanan Azure.
Mengadopsi keberlanjutan keamanan
Pertimbangkan rekomendasi berikut untuk membantu memastikan bahwa mekanisme dan praktik keamanan yang Anda terapkan sebagai bagian dari adopsi cloud Anda dapat dipertahankan dan terus ditingkatkan saat Anda melanjutkan perjalanan Anda:
Melembagakan dewan peninjau keamanan: Buat papan tinjauan keamanan yang terus meninjau proyek dan mengamanatkan kontrol keamanan. Tinjau proses Anda secara teratur untuk menemukan area peningkatan. Kembangkan proses untuk memastikan bahwa keamanan selalu menjadi perhatian utama bagi semua orang.
Menerapkan solusi pengelolaan kerentanan: Gunakan solusi pengelolaan kerentanan untuk memantau skor risiko kerentanan keamanan dan memiliki proses yang ditentukan untuk bertindak pada skor risiko tertinggi hingga terendah untuk meminimalkan risiko. Lacak kerentanan umum terbaru dan risiko paparan. Memiliki kebijakan untuk menerapkan mitigasi tersebut secara teratur untuk remediasi.
Memperkuat infrastruktur produksi: Amankan estat cloud Anda dengan memperkuat infrastruktur Anda. Untuk memperkuat infrastruktur Anda sesuai dengan praktik terbaik industri, ikuti panduan tolok ukur seperti tolok ukur Center for Internet Security (CIS).
Gunakan basis pengetahuan MITRE ATT&CK: Gunakan basis pengetahuan MITRE ATT&CK untuk membantu mengembangkan model ancaman dan metodologi untuk taktik dan teknik serangan dunia nyata umum.
Geser ke kiri: Gunakan lingkungan yang dipisahkan dengan tingkat akses yang berbeda untuk praproduksi versus produksi. Pendekatan ini membantu Anda bergeser ke kiri, yang menambahkan masalah keamanan ke semua fase pengembangan dan memberikan fleksibilitas di lingkungan yang lebih rendah.
Fasilitasi Azure
Manajemen kerentanan: Pengelolaan Kerentanan Microsoft Defender adalah solusi pengelolaan kerentanan berbasis risiko komprehensif yang dapat Anda gunakan untuk mengidentifikasi, menilai, memulihkan, dan melacak semua kerentanan terbesar Anda di seluruh aset paling penting Anda, semuanya dalam satu solusi.