Gambaran umum keamanan jaringan Azure

Keamanan jaringan dapat ditetapkan sebagai proses melindungi sumber daya dari akses atau serangan yang tidak sah dengan menerapkan kontrol pada lalu lintas jaringan. Tujuannya adalah untuk memastikan hanya lalu lintas yang sah yang diizinkan. Azure menyertakan infrastruktur jaringan yang kuat untuk mendukung persyaratan konektivitas aplikasi dan layanan Anda. Konektivitas jaringan mungkin terjadi antara sumber daya yang terletak di Azure, sumber daya lokal dan sumber daya yang dihosting Azure, serta antara ke dan dari Internet dan Azure.

Artikel ini membahas beberapa opsi yang ditawarkan Azure di area keamanan jaringan. Anda dapat mempelajari tentang:

• Jaringan Azure
• Kontrol akses jaringan
• Azure Firewall
• Akses jarak jauh yang aman dan konektivitas lintas lokasi
• Ketersediaan
• Resolusi Nama
• Arsitektur jaringan perimeter (DMZ)
• Azure DDoS protection
• Azure Front Door
• Traffic manager
• Pemantauan dan deteksi ancaman

Catatan

Untuk beban kerja web, sebaiknya gunakan perlindungan Azure DDoS dan firewall aplikasi web untuk melindungi dari serangan DDoS yang muncul. Opsi lain adalah menyebarkan Azure Front Door bersama dengan firewall aplikasi web. Azure Front Door menawarkan perlindungan tingkat platform terhadap serangan DDoS tingkat jaringan.

Jaringan Azure

Azure mengharuskan komputer virtual terhubung ke Azure Virtual Network. Jaringan virtual adalah konstruksi logis yang dibangun di atas struktur jaringan Azure fisik. Setiap jaringan virtual diisolasi dari semua jaringan virtual lainnya. Ini membantu memastikan lalu lintas jaringan dalam penyebaran Anda tidak dapat diakses oleh pelanggan Azure lainnya.

Pelajari lebih lanjut:

• Gambaran umum virtual network

Kontrol akses jaringan

Kontrol akses jaringan adalah tindakan membatasi konektivitas ke dan dari perangkat atau subnet tertentu dalam jaringan virtual. Tujuan kontrol akses jaringan adalah untuk membatasi akses ke komputer dan layanan virtual Anda ke pengguna dan perangkat yang disetujui. Kontrol akses didasarkan pada keputusan untuk mengizinkan atau menolak koneksi ke dan dari komputer atau layanan virtual Anda.

Azure mendukung beberapa tipe kontrol akses jaringan, seperti:

• Kontrol lapisan jaringan
• Kontrol rute dan penerowongan paksa
• Appliance keamanan jaringan virtual

Kontrol lapisan jaringan

Setiap penyebaran aman memerlukan beberapa tindakan kontrol akses jaringan. Tujuan kontrol akses jaringan adalah untuk membatasi komunikasi komputer virtual ke sistem yang diperlukan. Upaya komunikasi lainnya diblokir.

Catatan

Firewall Penyimpanan tercakup dalam artikel gambaran umum keamanan penyimpanan Azure

Aturan keamanan jaringan (NSG)

Jika Anda memerlukan kontrol akses tingkat jaringan dasar (berdasarkan alamat IP dan protokol TCP atau UDP), Anda dapat menggunakan Kelompok Keamanan Jaringan (NSG). NSG adalah firewall pemfilteran paket dasar stateful dan memungkinkan Anda mengontrol akses berdasarkan 5-tuple. NSG mencakup fungsionalitas untuk menyederhanakan manajemen dan mengurangi kemungkinan kesalahan konfigurasi:

• Aturan keamanan tambahan menyederhanakan definisi aturan NSG dan memungkinkan Anda membuat aturan yang kompleks daripada harus membuat beberapa aturan sederhana untuk mencapai hasil yang sama.
• Tag layanan adalah label yang dibuat Microsoft yang mewakili sekelompok alamat IP. Tag memperbarui secara dinamis untuk menyertakan rentang IP yang memenuhi syarat yang menentukan inklusi dalam label. Misalnya, jika Anda ingin membuat aturan yang berlaku untuk semua penyimpanan Azure di wilayah timur, Anda dapat menggunakan Storage.EastUS
• Kelompok keamanan aplikasi memungkinkan Anda menyebarkan sumber daya ke grup aplikasi dan mengontrol akses ke sumber daya tersebut dengan membuat aturan yang menggunakan grup aplikasi tersebut. Misalnya, jika Anda memiliki server web yang disebarkan ke grup aplikasi 'Webservers', Anda dapat membuat aturan yang menerapkan NSG yang memungkinkan lalu lintas 443 dari Internet ke semua sistem di grup aplikasi 'Webservers'.

NSG tidak menyediakan inspeksi lapisan aplikasi atau kontrol akses terautentikasi.

Pelajari lebih lanjut:

• Kelompok Keamanan Jaringan

Akses mesin virtual just in time Pertahanan Microsoft untuk Cloud

Pertahanan Microsoft untuk Cloud dapat mengelola NSG pada mesin virtual dan mengunci akses ke mesin virtual hingga pengguna dengan izin Azure RBAC kontrol akses berbasis peran Azure yang sesuai meminta akses. Ketika pengguna berhasil mendapatkan otorisasi, Pertahanan Microsoft untuk Cloud membuat modifikasi pada NSG untuk memungkinkan akses ke port yang dipilih untuk waktu yang ditentukan. Ketika waktu berakhir, NSG dipulihkan ke status aman sebelumnya.

Pelajari lebih lanjut:

• Akses Just in Time Pertahanan Microsoft untuk Cloud

Titik akhir layanan

Titik akhir layanan adalah cara lain untuk menerapkan kontrol atas lalu lintas Anda. Anda dapat membatasi komunikasi dengan layanan yang didukung hanya ke VNet Anda melalui koneksi langsung. Lalu lintas dari VNet ke layanan Azure selalu yang ditentukan berada di jaringan backbone Microsoft Azure.

Pelajari lebih lanjut:

• Titik akhir layanan

Kontrol rute dan penerowongan paksa

Kemampuan untuk mengontrol perilaku perutean pada jaringan virtual Anda sangat penting. Jika perutean dikonfigurasi dengan salah, aplikasi dan layanan yang dihosting di komputer virtual Anda mungkin terhubung ke perangkat yang tidak sah, termasuk sistem yang dimiliki dan dioperasikan oleh penyerang potensial.

Jaringan Azure mendukung kemampuan untuk melakukan kustomisasi perilaku perutean untuk lalu lintas jaringan di jaringan virtual Anda. Ini memungkinkan Anda mengubah entri tabel perutean default di jaringan virtual Anda. Kontrol perilaku perutean membantu Anda memastikan semua lalu lintas dari perangkat atau grup perangkat tertentu masuk atau meninggalkan jaringan virtual Anda melalui lokasi tertentu.

Misalnya, Anda mungkin memiliki alat keamanan jaringan virtual di jaringan virtual Anda. Anda ingin memastikan semua lalu lintas ke dan dari jaringan virtual Anda melewati appliance keamanan virtual tersebut. Anda dapat melakukannya dengan mengonfigurasi Rute yang Ditentukan Pengguna (UDR) di Azure.

Penerowongan paksa adalah mekanisme yang dapat Anda gunakan untuk memastikan layanan Anda tidak diizinkan untuk memulai koneksi ke perangkat di Internet. Ingat bahwa ini berbeda dari menerima koneksi masuk, lalu meresponsnya. Server web ujung depan perlu merespons permintaan dari host Internet, sehingga lalu lintas yang bersumber Internet diizinkan masuk ke server web ini dan server web diizinkan untuk merespons.

Yang tidak ingin Anda izinkan adalah server web ujung depan memulai permintaan keluar. Permintaan tersebut mungkin mewakili risiko keamanan karena koneksi ini dapat digunakan untuk mengunduh malware. Bahkan jika Anda ingin server ujung depan ini memulai permintaan keluar ke internet, Anda mungkin ingin memaksanya untuk melalui proksi web lokal Anda. Ini memungkinkan Anda memanfaatkan pemfilteran dan pengelogan URL.

Sebaliknya, Anda ingin menggunakan penerowongan paksa untuk mencegah hal ini. Ketika Anda mengaktifkan penerowongan paksa, semua koneksi ke internet dipaksa melalui gateway lokal Anda. Anda dapat mengonfigurasi penerowongan paksa dengan memanfaatkan UDR.

Pelajari lebih lanjut:

• Apa itu Rute yang Ditentukan Pengguna dan Penerusan IP

Appliance keamanan jaringan virtual

Meskipun NSG, UDR, dan penerowongan paksa memberi Anda tingkat keamanan di jaringan dan lapisan transportasi model OSI, Anda mungkin juga ingin mengaktifkan keamanan pada tingkat yang lebih tinggi dari jaringan.

Misalnya, persyaratan keamanan Anda mungkin meliputi:

• Autentikasi dan otorisasi sebelum mengizinkan akses ke aplikasi Anda
• Deteksi intrusi dan respons intrusi
• Pemeriksaan lapisan aplikasi untuk protokol tingkat tinggi
• Pemfilteran URL
• Antivirus dan Antimalware tingkat jaringan
• Perlindungan anti-bot
• Kontrol akses aplikasi
• Perlindungan DDoS tambahan (di atas perlindungan DDoS yang disediakan oleh struktur Azure itu sendiri)

Anda dapat mengakses fitur keamanan jaringan yang disempurnakan ini menggunakan solusi mitra Azure. Anda dapat menemukan solusi keamanan jaringan mitra Azure terbaru dengan mengunjungi Marketplace Azure, dan mencari "keamanan" dan "keamanan jaringan."

Azure Firewall

Azure Firewall adalah layanan keamanan firewall jaringan cloud-native dan cerdas yang memberikan perlindungan ancaman untuk beban kerja cloud Anda yang berjalan di Azure. Ini adalah layanan firewall stateful penuh yang dilengkapi dengan ketersediaan tinggi bawaan dan skalabilitas cloud tanpa batas. Firewall ini menyediakan inspeksi lalu lintas timur-barat dan utara-selatan.

Azure Firewall ditawarkan dalam tiga SKU: Standar, Premium, dan Dasar. Standar Azure Firewall menyediakan pemfilteran L3-L7 dan umpan inteligensi ancaman langsung dari Microsoft Cyber Security. Azure Firewall Premium menyediakan kemampuan tingkat lanjut termasuk IDPS berbasis tanda tangan untuk memungkinkan deteksi cepat terkait serangan dengan mencari pola tertentu. Azure Firewall Basic adalah SKU yang disederhanakan yang menyediakan tingkat keamanan yang sama dengan SKU Standar tetapi tanpa kemampuan tingkat lanjut.

Pelajari lebih lanjut:

• Apa yang dimaksud dengan Azure Firewall

Akses jarak jauh yang aman dan konektivitas lintas lokasi

Penyiapan, konfigurasi, dan manajemen sumber daya Azure Anda perlu dilakukan dari jarak jauh. Selain itu, Anda mungkin ingin menyebarkan solusi IT hibrid yang memiliki komponen lokal dan di cloud publik Azure. Skenario ini memerlukan akses jarak jauh yang aman.

Jaringan Azure mendukung skenario akses jarak jauh yang aman berikut:

• Menyambungkan stasiun kerja individual ke jaringan virtual
• Menyambungkan jaringan lokal ke jaringan virtual dengan VPN
• Menyambungkan jaringan lokal ke jaringan virtual dengan tautan WAN khusus
• Menyambungkan jaringan virtual satu dengan yang lain

Menyambungkan stasiun kerja individual ke jaringan virtual

Anda mungkin ingin memungkinkan pengembang atau personel operasi individu mengelola komputer dan layanan virtual di Azure. Misalnya, Anda memerlukan akses ke komputer virtual di jaringan virtual. Namun, kebijakan keamanan Anda tidak mengizinkan akses jarak jauh RDP atau SSH ke komputer virtual individu. Dalam hal ini, Anda dapat menggunakan koneksi VPN titik ke situs.

Koneksi VPN titik ke situs memungkinkan Anda menyiapkan koneksi privat dan aman antara pengguna dan jaringan virtual. Ketika koneksi VPN dibuat, pengguna dapat menggunakan RDP atau SSH melalui tautan VPN ke komputer virtual apa pun di jaringan virtual. (Ini mengasumsikan pengguna dapat mengautentikasi dan disahkan.) VPN titik ke situs mendukung:

• Secure Socket Tunneling Protocol (SSTP), protokol VPN berbasis SSL kepemilikan. Solusi VPN SSL dapat menembus firewall, karena sebagian besar firewall membuka port TCP 443, yang digunakan TLS/SSL. SSTP hanya didukung pada perangkat Windows. Azure mendukung semua versi Windows yang memiliki SSTP (Windows 7 dan yang lebih baru).

• IKEv2 VPN, suatu solusi VPN IPsec berbasis standar. VPN IKEv2 dapat digunakan untuk menyambung dari perangkat Mac (OSX versi 10.11 dan yang lebih baru).

• OpenVPN

Pelajari lebih lanjut:

• Konfigurasikan koneksi titik-ke-situs ke jaringan virtual menggunakan PowerShell

Menyambungkan jaringan lokal ke jaringan virtual dengan VPN

Anda mungkin ingin menghubungkan seluruh jaringan perusahaan Anda, atau bagian darinya, ke jaringan virtual. Ini umum dalam skenario IT hibrid, dengan organisasi memperluas pusat data lokal mereka ke Azure. Dalam banyak kasus, organisasi menghosting bagian layanan di Azure, dan bagian secara lokal. Misalnya, organisasi mungkin melakukannya ketika solusi menyertakan server web ujung depan di Azure dan database ujung belakang secara lokal. Jenis koneksi "lintas lokasi" ini juga membuat manajemen sumber daya berlokasi di Azure lebih aman, dan memungkinkan skenario seperti memperluas pengontrol domain Direktori Aktif ke Azure.

Salah satu cara untuk mencapainya adalah menggunakan VPN situs-ke-situs. Perbedaan antara VPN situs ke situs dan VPN titik ke situs adalah yang terakhir menghubungkan satu perangkat ke jaringan virtual. VPN situs ke situs menghubungkan seluruh jaringan (seperti jaringan lokal Anda) ke jaringan virtual. VPN situs ke situs ke jaringan virtual menggunakan protokol VPN mode tunnel IPsec yang sangat aman.

Pelajari lebih lanjut:

• Buat VNet Resource Manager dengan koneksi VPN situs ke situs menggunakan portal Microsoft Azure
• Tentang VPN Gateway

Menyambungkan jaringan lokal ke jaringan virtual dengan tautan WAN khusus

Koneksi VPN titik ke situs dan situs ke situs efektif untuk mengaktifkan konektivitas lintas lokasi. Namun, beberapa organisasi menganggap koneksi tersebut memiliki kekurangan berikut:

• Koneksi VPN memindahkan data melalui internet. Ini mengekspos koneksi ini ke kemungkinan masalah keamanan yang terlibat dengan pemindahan data melalui jaringan publik. Selain itu, keandalan dan ketersediaan koneksi internet tidak dapat dijamin.
• Koneksi VPN ke jaringan virtual mungkin tidak memiliki bandwidth untuk beberapa aplikasi dan tujuan, karena maksimalnya sekitar 200 Mbps.

Organisasi yang membutuhkan tingkat keamanan dan ketersediaan tertinggi untuk koneksi lintas lokasi mereka biasanya menggunakan tautan WAN khusus untuk terhubung ke situs jarak jauh. Azure memberi Anda kemampuan untuk menggunakan tautan WAN khusus yang dapat Anda gunakan untuk menghubungkan jaringan lokal Anda ke jaringan virtual. Azure ExpressRoute, Express route direct, dan Express route global reach memungkinkan ini.

Pelajari lebih lanjut:

• Gambaran umum teknis ExpressRoute
• ExpressRoute direct
• Express route global reach

Menyambungkan jaringan virtual satu dengan yang lain

Dimungkinkan untuk menggunakan banyak jaringan virtual untuk penyebaran Anda. Ada berbagai alasan Anda mungkin melakukan ini. Anda mungkin ingin menyederhanakan manajemen, atau Anda mungkin ingin meningkatkan keamanan. Terlepas dari motivasi untuk menempatkan sumber daya pada jaringan virtual yang berbeda, mungkin ada saat-saat ketika Anda ingin sumber daya di setiap jaringan terhubung satu sama lain.

Salah satu opsinya adalah untuk layanan di satu jaringan virtual untuk terhubung ke layanan di jaringan virtual lain, dengan "perulangan kembali" melalui internet. Koneksi dimulai pada satu jaringan virtual, melalui internet, lalu kembali ke jaringan virtual tujuan. Opsi ini mengekspos koneksi ke masalah keamanan yang melekat dalam komunikasi berbasis internet apa pun.

Opsi yang lebih baik mungkin adalah membuat VPN situs ke situs yang menghubungkan di antara dua jaringan virtual. Metode ini menggunakan protokol mode tunnel IPSec yang sama dengan koneksi VPN situs ke situs lintas lokasi yang disebutkan di atas.

Keuntungan dari pendekatan ini adalah koneksi VPN dibangun melalui struktur jaringan Azure, bukan terhubung melalui internet. Ini memberi Anda lapisan keamanan ekstra, dibandingkan dengan VPN situs ke situs yang terhubung melalui internet.

Pelajari lebih lanjut:

• Mengonfigurasi koneksi VNet ke VNet menggunakan Azure Resource Manager dan PowerShell

Cara lain untuk menyambungkan jaringan virtual Anda adalah peering VNET. Fitur ini memungkinkan Anda menghubungkan dua jaringan Azure sehingga komunikasi di antara keduanya terjadi melalui infrastruktur backbone Microsoft tanpa pernah melalui Internet. Peering VNET dapat menghubungkan dua VNET dalam wilayah yang sama atau dua VNET di seluruh wilayah Azure. NSG dapat digunakan untuk membatasi konektivitas antara subnet atau sistem yang berbeda.

Ketersediaan

Ketersediaan adalah komponen kunci dari program keamanan apa pun. Jika pengguna dan sistem Anda tidak dapat mengakses apa yang perlu mereka akses melalui jaringan, layanan dapat dianggap terganggu. Azure memiliki teknologi jaringan yang mendukung mekanisme ketersediaan tinggi berikut:

• Penyeimbangan beban berbasis HTTP
• Penyeimbangan beban tingkat jaringan
• Penyeimbangan beban global

Penyembangan beban adalah mekanisme yang dirancang untuk mendistribusikan koneksi secara merata di antara beberapa perangkat. Tujuan penyeimbangan beban adalah:

• Untuk meningkatkan ketersediaan. Saat Anda menyeimbangkan beban koneksi di beberapa perangkat, satu atau beberapa perangkat dapat menjadi tidak tersedia tanpa mengorbankan layanan. Layanan yang berjalan pada perangkat online yang tersisa dapat terus menayangkan konten dari layanan.
• Untuk meningkatkan performa. Saat Anda memuat koneksi keseimbangan di beberapa perangkat, satu perangkat tidak harus menangani semua pemrosesan. Sebaliknya, permintaan pemrosesan dan memori untuk menayangkan konten tersebar di beberapa perangkat.

Penyeimbangan beban berbasis HTTP

Organisasi yang menjalankan layanan berbasis web sering kali ingin memiliki penyeimbang muatan berbasis HTTP di depan layanan web tersebut. Ini membantu memastikan tingkat performa yang memadai dan ketersediaan tinggi. Penyeimbang beban tradisional berbasis jaringan mengandalkan protokol lapisan jaringan dan transportasi. Penyeimbang beban berbasis HTTP, di sisi lain, membuat keputusan berdasarkan karakteristik protokol HTTP.

Azure Application Gateway menyediakan penyeimbangan beban berbasis HTTP untuk layanan berbasis web Anda. Application Gateway mendukung:

• Afinitas sesi berbasis cookie. Kemampuan ini memastikan koneksi yang dibuat ke salah satu server di balik penyeimbang beban tersebut tetap utuh antara klien dan server. Hal ini memastikan stabilitas transaksi.
• TLS offload. Ketika klien terhubung dengan penyeimbang beban, sesi tersebut dienkripsi menggunakan protokol HTTPS (TLS). Namun, untuk meningkatkan performa, Anda dapat menggunakan protokol HTTP (tidak terenkripsi) untuk menyambungkan antara penyeimbang beban dan server web di belakang penyeimbang beban. Ini disebut sebagai "TLS offload," karena server web di belakang penyeimbang beban tidak mengalami overhead prosesor yang terlibat dengan enkripsi. Oleh karena itu, server web dapat melayani permintaan lebih cepat.
• Perutean konten berbasis URL. Fitur ini memungkinkan penyeimbang beban membuat keputusan tentang tempat untuk meneruskan koneksi berdasarkan URL target. Ini memberikan lebih banyak fleksibilitas daripada solusi yang membuat keputusan keseimbangan beban berdasarkan alamat IP.

Pelajari lebih lanjut:

• Gambaran umum Application Gateway

Penyeimbangan beban tingkat jaringan

Berbeda dengan penyeimbangan beban berbasis HTTP, penyeimbangan beban tingkat jaringan membuat keputusan berdasarkan nomor alamat IP dan port (TCP atau UDP). Anda dapat memperoleh manfaat penyeimbangan beban tingkat jaringan di Azure menggunakan Azure Load Balancer. Beberapa karakteristik utama Load Balancer meliputi:

• Penyeimbangan beban tingkat jaringan berdasarkan alamat IP dan nomor port.
• Dukungan untuk setiap protokol lapisan aplikasi.
• Keseimbangan beban ke komputer virtual Azure dan instans peran layanan cloud.
• Dapat digunakan untuk aplikasi yang tersedia melalui intenet (penyeimbangan beban eksternal) dan yang tidak tersedia melalui internet (penyeimbangan beban internal) dan komputer virtual.
• Pemantauan titik akhir, yang digunakan untuk menentukan apakah salah satu layanan di belakang penyeimbang muatan sudah menjadi tidak tersedia.

Pelajari lebih lanjut:

• Gambaran umum penyeimbang beban internal

Penyeimbangan beban global

Beberapa organisasi menginginkan tingkat ketersediaan tertinggi. Salah satu cara untuk mencapai tujuan ini adalah dengan menghosting aplikasi di pusat data yang didistribusikan secara global. Ketika aplikasi dihosting di pusat data yang terletak di seluruh dunia, seluruh wilayah geopolitik mungkin menjadi tidak tersedia, serta masih memiliki aplikasi dan berjalan.

Strategi penyeimbangan beban ini juga dapat menghasilkan manfaat performa. Anda dapat mengarahkan permintaan layanan ke pusat data yang terdekat dengan perangkat yang membuat permintaan.

Di Azure, Anda dapat memperoleh manfaat penyeimbangan beban global menggunakan Azure Traffic Manager.

Pelajari lebih lanjut:

• Apa itu Traffic Manager?

Resolusi Nama

Resolusi nama adalah fungsi penting untuk semua layanan yang Anda host di Azure. Dari perspektif keamanan, kompromi fungsi resolusi nama dapat menyebabkan penyerang mengalihkan permintaan dari situs Anda ke situs penyerang. Resolusi nama aman adalah persyaratan untuk semua layanan yang dihosting cloud Anda.

Ada dua jenis resolusi nama yang perlu Anda atasi:

• Resolusi nama internal. Ini digunakan oleh layanan pada jaringan virtual Anda, jaringan lokal Anda, atau keduanya. Nama yang digunakan untuk resolusi nama internal tidak dapat diakses melalui internet. Untuk keamanan optimal, penting bahwa skema resolusi nama internal Anda tidak dapat diakses oleh pengguna eksternal.
• Resolusi nama eksternal. Ini digunakan oleh orang dan perangkat di luar jaringan lokal dan jaringan virtual Anda. Ini adalah nama yang terlihat di internet, dan digunakan untuk mengarahkan koneksi ke layanan berbasis cloud Anda.

Untuk resolusi nama internal, Anda memiliki dua opsi:

• Server DNS jaringan virtual. Saat Anda membuat jaringan virtual baru, server DNS dibuat untuk Anda. Server DNS ini bisa menentukan nama-nama mesin yang ada pada jaringan virtual tersebut. Server DNS ini tidak dapat dikonfigurasi, dikelola oleh manajer struktur Azure, dan karenanya dapat membantu Anda mengamankan solusi resolusi nama Anda.
• Bawa server DNS Anda sendiri. Anda memiliki opsi untuk menempatkan server DNS yang Anda pilih di jaringan virtual Anda. Server DNS ini bisa menjadi server DNS terintegrasi Direktori Aktif, atau solusi server DNS khusus yang disediakan oleh mitra Azure, yang bisa Anda peroleh dari Marketplace Azure.

Pelajari lebih lanjut:

• Gambaran umum virtual network
• Mengelola Server DNS yang digunakan oleh jaringan virtual

Untuk resolusi nama eksternal, Anda memiliki dua opsi:

• Host server DNS eksternal Anda sendiri secara lokal.
• Host server DNS eksternal Anda sendiri dengan penyedia layanan.

Banyak organisasi besar menghosting server DNS mereka sendiri secara lokal. Mereka dapat melakukan ini karena mereka memiliki keahlian jaringan dan kehadiran global untuk melakukannya.

Dalam kebanyakan kasus, lebih baik menghosting layanan resolusi nama DNS Anda dengan penyedia layanan. Penyedia layanan ini memiliki keahlian jaringan dan kehadiran global untuk memastikan ketersediaan yang sangat tinggi untuk layanan resolusi nama Anda. Ketersediaan sangat penting untuk layanan DNS, karena jika layanan resolusi nama Anda gagal, tidak ada yang akan dapat menjangkau layanan Anda yang dapat diakses melalui internet.

Azure memberi Anda solusi DNS eksternal yang sangat tersedia dan berperforma tinggi dalam bentuk Azure DNS. Solusi resolusi nama eksternal ini memanfaatkan infrastruktur Azure DNS di seluruh dunia. Ini memungkinkan Anda menghosting domain Anda di Azure, menggunakan kredensial, API, alat, dan tagihan yang sama dengan layanan Azure lainnya. Sebagai bagian dari Azure, solusi ini juga mewarisi kontrol keamanan yang kuat yang terpasang ke dalam platform.

Pelajari lebih lanjut:

• Gambaran umum Azure DNS
• Zona privat Azure DNS memungkinkan Anda mengonfigurasi nama DNS privat untuk sumber daya Azure, bukan nama yang ditetapkan secara otomatis tanpa perlu menambahkan solusi DNS kustom.

Arsitektur jaringan perimeter

Banyak organisasi besar menggunakan jaringan perimeter untuk menyegmentasi jaringan mereka, dan membuat zona penyangga antara internet dan layanan mereka. Bagian perimeter jaringan dianggap sebagai zona keamanan rendah, dan tidak ada aset bernilai tinggi yang ditempatkan di segmen jaringan tersebut. Biasanya Anda akan melihat perangkat keamanan jaringan yang memiliki antarmuka jaringan di segmen jaringan perimeter. Antarmuka jaringan lain terhubung ke jaringan yang memiliki komputer dan layanan virtual yang menerima koneksi masuk dari internet.

Anda dapat merancang jaringan perimeter dengan berbagai cara. Keputusan untuk menyebarkan jaringan perimeter, lalu jenis jaringan perimeter apa yang akan digunakan jika Anda memutuskan untuk menggunakannya, tergantung pada persyaratan keamanan jaringan Anda.

Pelajari lebih lanjut:

• Jaringan sekitar untuk zona keamanan

Azure DDoS protection

Serangan penolakan layanan terdistribusi (DDoS) adalah beberapa masalah ketersediaan dan keamanan terbesar yang dihadapi pelanggan yang memindahkan aplikasi mereka ke cloud. Serangan DDoS mencoba menghabiskan sumber daya aplikasi, sehingga membuat aplikasi tidak tersedia untuk pengguna yang sah. Serangan DDoS dapat ditargetkan pada titik akhir apa pun yang dapat dijangkau secara publik melalui internet.

Fitur DDoS Protection meliputi:

• Integrasi platform asli: Terintegrasi secara mandiri ke Azure. Termasuk konfigurasi melalui portal Microsoft Azure. DDoS Protection memahami sumber daya dan konfigurasi sumber daya Anda.
• Perlindungan turn-key: Konfigurasi yang disederhanakan segera melindungi semua sumber daya di jaringan virtual segera setelah DDoS Protection diaktifkan. Tidak diperlukan intervensi atau definisi pengguna. DDoS Protection secara instan dan otomatis mengurangi serangan, setelah terdeteksi.
• Pemantauan lalu lintas yang selalu aktif: Pola lalu lintas aplikasi Anda dipantau 24 jam sehari, 7 hari seminggu, untuk mencari indikator serangan DDoS. Mitigasi dilakukan ketika kebijakan perlindungan terlampaui.
• Laporan Mitigasi Serangan Laporan Mitigasi Serangan menggunakan data aliran jaringan gabungan untuk memberikan informasi terperinci tentang serangan yang ditargetkan pada sumber daya Anda.
• Log Alur Mitigasi Serangan Log Alur Mitigasi Serangan memungkinkan Anda mengulas lalu lintas yang dihapus, lalu lintas yang diteruskan, dan data serangan lain secara hampir real time selama serangan DDoS aktif.
• Penyesuaian adaptif: Pembuatan profil lalu lintas cerdas mempelajari lalu lintas aplikasi Anda dari waktu ke waktu, dan memilih serta memperbarui profil yang paling sesuai untuk layanan Anda. Profil disesuaikan saat lalu lintas berubah dari waktu ke waktu. Perlindungan Lapisan 3 hingga lapisan 7: Memberikan perlindungan DDoS tumpukan penuh, saat digunakan dengan firewall aplikasi web.
• Skala mitigasi yang luas: Lebih dari 60 jenis serangan yang berbeda dapat dimitigasi, dengan kapasitas global, untuk melindungi diri dari serangan DDoS terbesar yang diketahui.
• Metrik serangan: Ringkasan metrik dari setiap serangan dapat diakses melalui Azure Monitor.
• Pemberitahuan serangan: Pemberitahuan dapat dikonfigurasi pada awal dan akhir serangan, serta selama durasi serangan, menggunakan metrik serangan bawaan. Pemberitahuan terintegrasi ke dalam perangkat lunak operasional Anda seperti log Microsoft Azure Monitor, Splunk, Azure Storage, Email, dan portal Microsoft Azure.
• Jaminan biaya: Kredit layanan transfer data dan peluasan skala aplikasi untuk serangan DDoS yang terdokumentasi.
• DDoS Rapid responsif Pelanggan DDoS Protection sekarang memiliki akses ke tim Respons Cepat selama serangan aktif. DRR dapat membantu penyelidikan serangan, mitigasi khusus selama analisis serangan dan pasca-serangan.

Pelajari lebih lanjut:

• Gambaran umum perlindungan DDOS

Azure Front Door

Azure Front Door Service memungkinkan Anda menentukan, mengelola, dan memantau perutean global untuk lalu lintas web Anda. Ini mengoptimalkan perutean lalu lintas Anda untuk performa terbaik dan ketersediaan tinggi. Azure Front Door memungkinkan Anda menulis aturan firewall aplikasi web kustom (WAF) untuk kontrol akses guna melindungi beban kerja HTTP/HTTPS Anda dari eksploitasi berdasarkan alamat IP klien, kode negara, dan parameter http. Selain itu, Front Door juga memungkinkan Anda membuat aturan pembatasan tarif untuk memerangi lalu lintas bot berbahaya, termasuk offloading TLS dan permintaan per HTTP/HTTPS, pemrosesan lapisan aplikasi.

Platform Front Door sendiri dilindungi oleh perlindungan DDoS tingkat infrastruktur Azure. Untuk perlindungan lebih lanjut, Azure DDoS Network Protection dapat diaktifkan di VNET Anda dan melindungi sumber daya dari serangan lapisan jaringan (TCP/UDP) melalui penyetelan dan mitigasi otomatis. Front Door adalah proksi terbalik lapisan 7, hanya memungkinkan lalu lintas web melewati server ujung belakang dan memblokir jenis lalu lintas lainnya secara default.

Catatan

Untuk beban kerja web, sebaiknya gunakan perlindungan Azure DDoS dan firewall aplikasi web untuk melindungi dari serangan DDoS yang muncul. Opsi lain adalah menyebarkan Azure Front Door bersama dengan firewall aplikasi web. Azure Front Door menawarkan perlindungan tingkat platform terhadap serangan DDoS tingkat jaringan.

Pelajari lebih lanjut:

• Untuk informasi selengkapnya tentang seluruh set kemampuan Azure Front Door, Anda dapat mengulas Gambaran umum Azure Front Door

Azure Traffic manager

Azure Traffic Manager adalah penyeimbang beban lalu lintas berbasis DNS yang memungkinkan Anda mendistribusikan lalu lintas secara optimal ke layanan di seluruh wilayah Azure global, sekaligus memberikan ketersediaan dan responsivitas tinggi. Traffic Manager menggunakan DNS untuk mengarahkan permintaan klien ke titik akhir layanan yang paling tepat berdasarkan metode perutean lalu lintas dan kesehatan titik akhir. Titik akhir adalah layanan akses internet yang dihosting di dalam atau di luar Azure. Traffic manager memantau titik akhir dan tidak mengarahkan lalu lintas ke titik akhir yang tidak tersedia.

Pelajari lebih lanjut:

• Gambaran Umum Azure Traffic manager

Pemantauan dan deteksi ancaman

Azure menyediakan kemampuan untuk membantu Anda di area kunci ini dengan deteksi dini, pemantauan, dan pengumpulan serta peninjauan lalu lintas jaringan.

Azure Network Watcher

Azure Network Watcher dapat membantu Anda memecahkan masalah, dan menyediakan satu set alat baru untuk membantu identifikasi masalah keamanan.

Tampilan Kelompok Keamanan membantu mengaudit dan kepatuhan keamanan Virtual Machines. Gunakan fitur ini untuk melakukan audit terprogram, membandingkan kebijakan dasar yang ditentukan oleh organisasi Anda dengan aturan yang efektif untuk setiap VM Anda. Ini dapat membantu Anda mengidentifikasi penyimpangan konfigurasi apa pun.

Penangkapan paket memungkinkan Anda menangkap lalu lintas jaringan ke dan dari komputer virtual. Anda dapat mengumpulkan statistik jaringan dan memecahkan masalah aplikasi, yang dapat sangat berharga dalam penyelidikan gangguan jaringan. Anda juga dapat menggunakan fitur ini bersama-sama dengan Azure Functions untuk memulai tangkapan jaringan sebagai respons terhadap pemberitahuan Azure tertentu.

Untuk informasi selengkapnya tentang Network Watcher dan cara mulai menguji beberapa fungsionalitas di laboratorium Anda, lihat Gambaran umum pemantauan Azure network watcher.

Catatan

Untuk pemberitahuan terbaru tentang ketersediaan dan status layanan ini, periksa halaman pembaruan Azure.

Microsoft Defender for Cloud

Pertahanan Microsoft untuk Cloud membantu Anda mencegah, mendeteksi, dan menanggapi ancaman, serta memberi Anda peningkatan visibilitas ke, dan kontrol atas, keamanan sumber daya Azure Anda. Azure Security Center menyediakan pemantauan keamanan terpadu dan manajemen kebijakan di seluruh langganan Azure Anda, membantu mendeteksi ancaman yang mungkin luput dari perhatian, dan bekerja dengan serangkaian solusi keamanan yang besar.

Pertahanan Microsoft untuk Cloud membantu Anda mengoptimalkan dan memantau keamanan jaringan dengan:

• Memberikan rekomendasi keamanan jaringan.
• Memantau status konfigurasi keamanan jaringan Anda.
• Memberi tahu Anda tentang ancaman berbasis jaringan, baik di tingkat titik akhir maupun jaringan.

Pelajari lebih lanjut:

• Pengantar Pertahanan Microsoft untuk Cloud

Virtual Network TAP

TAP (Terminal Access Point) jaringan virtual Azure memungkinkan Anda terus mengalirkan lalu lintas jaringan komputer virtual Anda ke alat analitik atau pengumpul paket jaringan. Alat analitik atau pengumpul disediakan oleh mitra appliance virtual jaringan. Anda dapat menggunakan sumber daya TAP jaringan virtual yang sama untuk menggabungkan lalu lintas dari beberapa antarmuka jaringan dalam langganan yang sama atau berbeda.

Pelajari lebih lanjut:

• Virtual network TAP

Pengelogan

Pengelogan pada tingkat jaringan adalah fungsi utama untuk skenario keamanan jaringan apa pun. Di Azure, Anda dapat mencatat informasi yang diperoleh untuk NSG untuk mendapatkan informasi pengelogan tingkat jaringan. Dengan pengelogan NSG, Anda mendapatkan informasi dari:

• Log aktivitas. Gunakan log ini untuk menampilkan semua operasi yang dikirimkan ke langganan Azure Anda. Log ini diaktifkan secara default, dan dapat digunakan dalam portal Microsoft Azure. Log ini sebelumnya dikenal sebagai log audit atau operasional.
• Log peristiwa. Log ini menyediakan informasi tentang aturan NSG apa yang diterapkan.
• Log penghitung. Log ini memberi tahu Anda berapa kali setiap aturan NSG diterapkan untuk menolak atau mengizinkan lalu lintas.

Anda juga bisa menggunakan Microsoft Power BI, alat visualisasi data canggih, untuk menampilkan dan menganalisis log ini. Pelajari lebih lanjut:

• Azure Monitor Logs untuk Kelompok Keamanan Jaringan (NSG)