Jaringan produksi Azure

Pengguna jaringan produksi Azure mencakup pelanggan eksternal yang mengakses aplikasi Azure mereka sendiri dan personel dukungan Azure internal yang mengelola jaringan produksi. Artikel ini membahas metode akses keamanan dan mekanisme perlindungan untuk membuat koneksi ke jaringan produksi Azure.

Perutean internet dan toleransi kegagalan

Infrastruktur Azure Domain Name Service (DNS) internal dan eksternal yang redundan secara global, dikombinasikan dengan beberapa kluster server DNS primer dan sekunder, memberikan toleransi kegagalan. Pada saat yang sama, kontrol keamanan jaringan Azure tambahan, seperti NetScaler, digunakan untuk mencegah serangan penolakan layanan terdistribusi (DDoS) dan melindungi integritas layanan Azure DNS.

Server Azure DNS terletak di beberapa fasilitas pusat data. Implementasi Azure DNS menggabungkan hierarki server DNS sekunder dan primer untuk menyelesaikan nama domain pelanggan Azure secara publik. Nama domain biasanya ditetapkan ke alamat CloudApp.net, yang membungkus alamat IP virtual (VIP) untuk layanan pelanggan. Unik untuk Azure, VIP yang sesuai dengan alamat IP khusus (DIP) internal dari terjemahan penyewa dilakukan oleh load balancer Microsoft yang bertanggung jawab untuk VIP tersebut.

Azure dihosting di pusat data Azure yang didistribusikan secara geografis di AS, dan dibangun di atas platform perutean canggih yang menerapkan standar arsitektur yang kuat dan dapat diskalakan. Di antara fitur-fitur penting adalah:

  • Rekayasa lalu lintas berbasis Multiprotocol Label Switching (MPLS), yang memberikan pemanfaatan tautan yang efisien dan degradasi layanan yang bagus jika terjadi pemadaman.
  • Jaringan diimplementasikan dengan arsitektur redundansi “need plus one” (N+1) atau lebih baik.
  • Secara eksternal, pusat data dilayani oleh sirkuit jaringan bandwidth tinggi khusus yang menghubungkan properti secara redundan dengan lebih dari 1.200 penyedia layanan internet secara global di beberapa titik peering. Koneksi ini menyediakan lebih dari 2.000 gigabyte per detik (GBps) kapasitas edge.

Karena Microsoft memiliki sirkuit jaringannya sendiri di antara pusat data, atribut ini membantu penawaran Azure mencapai ketersediaan jaringan 99,9+ persen tanpa perlu penyedia layanan internet pihak ketiga tradisional.

Koneksi ke jaringan produksi dan firewall terkait

Kebijakan arus lalu lintas internet jaringan Azure mengarahkan lalu lintas ke jaringan produksi Azure yang terletak di pusat data regional terdekat di AS. Karena pusat data produksi Azure mempertahankan arsitektur jaringan dan perangkat keras yang konsisten, deskripsi arus lalu lintas berikut berlaku secara konsisten untuk semua pusat data.

Setelah lalu lintas internet untuk Azure dirutekan ke pusat data terdekat, koneksi dibuat ke router akses. Router akses ini berfungsi untuk mengisolasi lalu lintas antara simpul Azure dan VM yang dibuat oleh pelanggan. Perangkat infrastruktur jaringan di lokasi akses dan edge adalah titik batas di mana filter ingress dan egress diterapkan. Router ini dikonfigurasi melalui daftar kontrol akses berjenjang (ACL) untuk menyaring lalu lintas jaringan yang tidak diinginkan dan menerapkan batas tingkat lalu lintas, jika perlu. Lalu lintas yang diizinkan oleh ACL dialihkan ke load balancer. Router distribusi dirancang untuk hanya mengizinkan alamat IP yang disetujui Microsoft, menyediakan anti-spoofing, dan membuat koneksi TCP yang menggunakan ACL.

Perangkat load-balancing eksternal terletak di belakang router akses untuk melakukan terjemahan alamat jaringan (NAT) dari IP yang dapat dirutekan ke internet ke IP internal Azure. Perangkat juga merutekan paket ke IP dan port internal produksi yang valid, dan IP dan port itu bertindak sebagai mekanisme perlindungan untuk membatasi pengeksposan ruang alamat jaringan produksi internal.

Secara default, Microsoft memberlakukan Hypertext Transfer Protocol Secure (HTTPS) untuk semua lalu lintas yang dikirimkan ke browser web pelanggan, termasuk rincian masuk dan semua lalu lintas setelahnya. Penggunaan TLS v1.2 memungkinkan terowongan yang aman untuk lalu lintas mengalir. ACL pada akses dan router inti memastikan bahwa sumber lalu lintas konsisten dengan apa yang diharapkan.

Perbedaan penting dalam arsitektur ini, jika dibandingkan dengan arsitektur keamanan tradisional, adalah bahwa tidak ada firewall perangkat keras khusus, perangkat pencegahan atau deteksi intrusi khusus, atau appliance keamanan lain yang biasanya diharapkan sebelum koneksi dibuat ke lingkungan produksi Azure. Pelanggan biasanya mengharapkan perangkat firewall perangkat keras ini di jaringan Azure; namun, tidak ada yang dipekerjakan dalam Azure. Hampir secara eksklusif, fitur keamanan tersebut dibangun ke dalam perangkat lunak yang menjalankan lingkungan Azure untuk menyediakan mekanisme keamanan berlapis yang kuat, termasuk kemampuan firewall. Selain itu, cakupan batas dan perluasan terkait perangkat keamanan penting lebih mudah untuk dikelola dan diinventarisasi, seperti yang ditunjukkan dalam ilustrasi sebelumnya, karena dikelola oleh perangkat lunak yang menjalankan Azure.

Fitur keamanan inti dan firewall

Azure menerapkan fitur keamanan perangkat lunak dan firewall yang kuat di berbagai tingkat untuk menerapkan fitur keamanan yang biasanya diharapkan dalam lingkungan tradisional untuk melindungi batas Otorisasi Keamanan inti.

Fitur keamanan Azure

Azure menerapkan firewall perangkat lunak berbasis host di dalam jaringan produksi. Beberapa fitur keamanan dan firewall inti berada dalam lingkungan inti Azure. Fitur keamanan ini mencerminkan strategi pertahanan mendalam dalam lingkungan Azure. Data pelanggan di Azure dilindungi oleh firewall berikut:

Firewall hypervisor (filter paket) : Firewall ini diimplementasikan di hypervisor dan dikonfigurasi oleh agen pengontrol fabric (FC). Firewall ini melindungi penyewa yang berjalan di dalam VM dari akses yang tidak sah. Secara default, ketika VM dibuat, semua lalu lintas diblokir lalu agen FC menambahkan aturan dan pengecualian dalam filter untuk mengizinkan lalu lintas resmi.

Dua kategori aturan diprogram di sini:

  • Konfigurasi mesin atau aturan infrastruktur: Secara default, semua komunikasi diblokir. Pengecualian ada yang memungkinkan VM untuk mengirim dan menerima komunikasi Protokol Konfigurasi Host Dinamis (DHCP) dan informasi DNS, dan mengirim lalu lintas ke internet "publik" keluar ke VM lain dalam kluster FC dan server Aktivasi OS. Karena daftar tujuan keluar yang diizinkan VM tidak menyertakan subnet router Azure dan properti Microsoft lainnya, aturan bertindak sebagai lapisan pertahanan untuk VM.
  • Aturan file konfigurasi peran: Menentukan ACL masuk berdasarkan model layanan penyewa. Misalnya, jika penyewa memiliki ujung depan web pada port 80 pada VM tertentu, port 80 dibuka untuk semua alamat IP. Jika VM menjalankan peran pekerja, peran pekerja dibuka hanya untuk VM dalam penyewa yang sama.

Firewall host asli: Azure Service Fabric dan Azure Storage berjalan pada OS asli, yang tidak memiliki hypervisor, oleh karena itu, Windows Firewall dikonfigurasi dengan dua kumpulan aturan sebelumnya.

Firewall host: Firewall host melindungi partisi host, yang menjalankan hypervisor. Aturan diprogram untuk memungkinkan hanya FC dan jump box untuk berbicara dengan partisi host pada port tertentu. Pengecualian lainnya adalah mengizinkan respons DHCP dan balasan DNS. Azure menggunakan file konfigurasi mesin, yang berisi templat aturan firewall untuk partisi host. Pengecualian firewall host juga ada yang memungkinkan VM untuk berkomunikasi dengan komponen host, server kabel, dan server metadata, melalui protokol/port tertentu.

Firewall tamu: Bagian Windows Firewall dari OS tamu, yang dapat dikonfigurasi oleh pelanggan pada VM dan penyimpanan pelanggan.

Fitur keamanan tambahan yang dibangun ke dalam kemampuan Azure meliputi:

  • Komponen infrastruktur yang diberi alamat IP yang berasal dari DIP. Penyerang di internet tidak dapat mengatasi lalu lintas ke alamat tersebut karena tidak akan mencapai Microsoft. Router gateway internet memfilter paket yang ditujukan hanya ke alamat internal, sehingga paket tersebut tidak akan masuk ke jaringan produksi. Satu-satunya komponen yang menerima lalu lintas yang diarahkan ke VIP adalah load balancer.

  • Firewall yang diimplementasikan pada semua simpul internal memiliki tiga pertimbangan arsitektur keamanan utama untuk setiap skenario yang diberikan:

    • Firewall ditempatkan di belakang load balancer dan menerima paket dari mana saja. Paket-paket ini dimaksudkan untuk diekspos secara eksternal dan akan sesuai dengan port terbuka di firewall perimeter tradisional.
    • Firewall hanya menerima paket dari kumpulan alamat terbatas. Pertimbangan ini merupakan bagian dari strategi defensif mendalam terhadap serangan DDoS. Koneksi semacam itu diautentikasi secara kriptografis.
    • Firewall hanya dapat diakses dari simpul internal tertentu. Firewall menerima paket hanya dari daftar alamat IP sumber yang disebutkan, yang semuanya adalah DIP dalam jaringan Azure. Misalnya, serangan pada jaringan perusahaan dapat mengarahkan permintaan ke alamat ini, tetapi serangan akan diblokir kecuali jika alamat sumber paket tersebut adalah salah satu dalam daftar enumerasi dalam jaringan Azure.
      • Router akses di perimeter memblokir paket keluar yang ditujukan ke alamat yang ada di dalam jaringan Azure karena rute statisnya yang dikonfigurasi.

Langkah berikutnya

Untuk mempelajari selengkapnya tentang apa yang dilakukan Microsoft untuk mengamankan infrastruktur Azure, lihat: