Gambaran umum keamanan Microsoft Azure Virtual Machines

Artikel ini menyediakan gambaran umum fitur keamanan Azure inti yang dapat digunakan dengan komputer virtual.

Anda dapat menggunakan Azure Virtual Machines untuk menyebarkan berbagai solusi komputasi dengan cara yang lincah. Layanan ini mendukung Microsoft Windows, Linux, Microsoft SQL Server, Oracle, IBM, SAP, dan Azure BizTalk Services. Jadi, Anda dapat menyebarkan beban kerja dan bahasa apa pun pada hampir semua sistem operasi.

Komputer virtual Azure memberi Anda fleksibilitas virtualisasi tanpa harus membeli dan memelihara perangkat keras fisik yang menjalankan komputer virtual. Anda dapat membangun dan menyebarkan aplikasi dengan jaminan bahwa data Anda dilindungi dan aman di pusat data yang sangat aman.

Dengan Azure, Anda dapat membangun solusi yang disempurnakan dan mematuhi keamanan yang:

• Lindungi komputer virtual Anda dari virus dan malware.
• Enkripsi data sensitif Anda.
• Mengamankan lalu lintas jaringan.
• Identifikasi dan deteksi ancaman.
• Memenuhi persyaratan kepatuhan.

Antimalware

Dengan Azure, Anda dapat menggunakan perangkat lunak antimalware dari vendor keamanan seperti Microsoft, Symantec, Trend Micro, dan Kaspersky. Perangkat lunak ini membantu melindungi komputer virtual Anda dari file berbahaya, peranti iklan, dan ancaman lainnya.

Microsoft Antimalware untuk Layanan Azure Cloud dan Komputer Virtuals adalah kemampuan perlindungan waktu nyata yang membantu mengidentifikasi dan menghapus virus, spyware, dan perangkat lunak berbahaya lainnya. Microsoft Antimalware untuk Azure memberikan pemberitahuan yang dapat dikonfigurasi ketika perangkat lunak berbahaya atau tidak diinginkan yang tidak diketahui mencoba untuk menginstal sendiri atau berjalan di sistem Azure Anda.

Microsoft Antimalware for Azure adalah solusi agen tunggal untuk aplikasi dan lingkungan penyewa. Ini dirancang untuk berjalan di latar belakang tanpa intervensi manusia. Anda dapat menyebarkan perlindungan berdasarkan kebutuhan beban kerja aplikasi Anda, dengan konfigurasi kustom dasar aman secara default atau tingkat lanjut, termasuk pemantauan antimalware.

Pelajari selengkapnya tentang Microsoft Antimalware for Azure dan fitur inti yang tersedia.

Pelajari selengkapnya tentang perangkat lunak antimalware untuk membantu melindungi komputer virtual Anda:

• Menyebarkan Solusi Antimalware Solutions di Azure Virtual Machines
• Cara menginstal dan mengonfigurasi Trend Micro Deep Security sebagai Layanan pada Windows VM
• Solusi keamanan di Azure Marketplace

Untuk perlindungan yang lebih kuat, pertimbangkan untuk menggunakan Microsoft Defender untuk Titik Akhir. Dengan Defender for Endpoint, Anda mendapatkan:

• Pengurangan permukaan serangan
• Perlindungan generasi berikutnya
• Perlindungan dan respons titik akhir
• Investigasi dan remediasi otomatis
• Skor aman
• Perburuan tingkat lanjut
• Manajemen dan API
• Perlindungan Ancaman Microsoft

Pelajari selengkapnya: Mulai menggunakan Microsoft Defender untuk Titik Akhir

Modul keamanan perangkat keras

Meningkatkan keamanan utama dapat meningkatkan enkripsi dan perlindungan autentikasi. Anda dapat menyederhanakan manajemen dan keamanan rahasia dan kunci penting dengan menyimpannya di Azure Key Vault.

Key Vault menyediakan opsi untuk menyimpan kunci Anda dalam modul keamanan perangkat keras (HSM) yang disertifikasi ke standar yang divalidasi FIPS 140. Kunci enkripsi SQL Server untuk cadangan atau enkripsi data transparan semuanya dapat disimpan di Key Vault dengan kunci atau rahasia apa pun dari aplikasi Anda. Izin dan akses ke item yang dilindungi ini dikelola melalui ID Microsoft Entra.

Pelajari lebih lanjut:

• Apa itu Azure Key Vault?
• Blog Azure Key Vault

Enkripsi disk komputer virtual

Azure Disk Encryption adalah kemampuan baru untuk mengenkripsi disk komputer virtual Windows dan Linux Anda. Azure Disk Encryption menggunakan fitur BitLocker standar industri Windows dan fitur dm-crypt Linux untuk menyediakan enkripsi volume untuk OS dan disk data.

Solusinya terintegrasi dengan Azure Key Vault untuk membantu Anda mengontrol dan mengelola kunci dan rahasia enkripsi disk dalam langganan brankas kunci. Solusi ini juga memastikan bahwa semua data pada disk komputer virtual dienkripsi saat tidak aktif di Azure Storage.

Pelajari lebih lanjut:

• Azure Disk Encryption untuk VM Linux dan Azure Disk Encryption untuk VM Windows
• Mulai cepat: Mengenkripsi VM IaaS Linux dengan Azure PowerShell

Cadangan komputer virtual

Azure Backup adalah solusi terukur yang membantu melindungi data aplikasi Anda dengan investasi modal nol dan biaya pengoperasian minimal. Kesalahan aplikasi dapat merusak data Anda, dan kesalahan manusia dapat memberikan bug ke dalam aplikasi Anda. Dengan Azure Backup, komputer virtual Anda yang menjalankan Windows dan Linux dilindungi.

Pelajari lebih lanjut:

• Apa itu Microsoft Azure Backup?
• Tanya Jawab Umum layanan Azure Backup

Azure Site Recovery

Bagian penting dari strategi BCDR organisasi Anda adalah mencari tahu cara menjaga beban kerja dan aplikasi perusahaan tetap berjalan ketika pemadaman yang direncanakan dan tidak direncanakan terjadi. Azure Site Recovery membantu mengatur replikasi, failover, dan pemulihan beban kerja dan aplikasi sehingga tersedia dari lokasi sekunder jika lokasi utama Anda turun.

Azure Site Recovery:

• Menyederhanakan strategi BCDR Anda: Azure Site Recovery memudahkan untuk menangani replikasi, failover, dan pemulihan beberapa beban kerja bisnis dan aplikasi dari satu lokasi. Site Recovery mengatur replikasi dan failover tetapi tidak mencegat data aplikasi Anda atau memiliki informasi tentang hal itu.
• Menyediakan replikasi fleksibel: Dengan menggunakan Site Recovery, Anda dapat mereplikasi beban kerja yang berjalan pada komputer virtual Hyper-V, komputer virtual VMware, dan server fisik Windows/Linux.
• Mendukung failover dan pemulihan: Site Recovery menyediakan failover pengujian untuk mendukung latihan pemulihan bencana tanpa memengaruhi lingkungan produksi. Anda juga dapat menjalankan failover yang direncanakan dengan kehilangan data nol untuk pemadaman yang diharapkan, atau failover yang tidak direncanakan dengan kehilangan data minimal (bergantung pada frekuensi replikasi) untuk bencana tak terduga. Setelah failover, Anda dapat gagal kembali ke situs utama. Site Recovery menyediakan paket pemulihan yang dapat menyertakan skrip dan buku kerja Azure Automation agar Anda dapat menyesuaikan failover dan pemulihan aplikasi multitingkat.
• Menghilangkan pusat data sekunder: Anda dapat mereplikasi ke situs sekunder lokal, atau ke Azure. Menggunakan Azure sebagai tujuan pemulihan bencana menghilangkan biaya dan kompleksitas mempertahankan situs sekunder. Data yang direplikasi disimpan di Microsoft Azure Storage.
• Terintegrasi dengan teknologi BCDR yang ada: Site Recovery bermitra dengan fitur BCDR aplikasi lainnya. Misalnya, Anda dapat menggunakan Azure Site Recovery untuk membantu melindungi SQL Server kembali akhir beban kerja perusahaan. Ini termasuk dukungan asli untuk SQL Server Always On untuk mengelola kegagalan grup ketersediaan.

Pelajari lebih lanjut:

• Apa itu Azure Site Recovery?
• Bagaimana cara kerja Azure Site Recovery?
• Beban kerja apa yang dilindungi oleh Azure Site Recovery?

Jaringan virtual

Komputer virtual membutuhkan konektivitas jaringan. Untuk mendukung persyaratan itu, Azure mengharuskan komputer virtual terhubung ke Azure Virtual Network.

Azure Virtual Network adalah konstruksi logis yang dibangun di atas struktur jaringan Azure fisik. Setiap Azure Virtual Network logis diisolasi dari semua Azure Virtual Network lainnya. Isolasi ini membantu memastikan bahwa lalu lintas jaringan dalam penyebaran Anda tidak dapat diakses oleh pelanggan Microsoft Azure lainnya.

Pelajari lebih lanjut:

• Ringkasan keamanan jaringan Azure
• Ringkasan Virtual Network
• Fitur jaringan dan kemitraan untuk skenario perusahaan

Manajemen dan pelaporan kebijakan keamanan

Pertahanan Microsoft untuk Cloud membantu Anda mencegah, mendeteksi, dan merespons ancaman. Microsoft Defender for Cloud memberi Anda peningkatan visibilitas ke dalam, dan kontrol atas, keamanan sumber daya Azure. Ini menyediakan pemantauan keamanan terintegrasi dan manajemen kebijakan di seluruh langganan Azure Anda. Ini membantu mendeteksi ancaman yang mungkin sebaliknya luput dari perhatian, dan bekerja dengan ekosistem solusi keamanan yang luas.

Microsoft Defender for Cloud membantu Anda mengoptimasi dan memantau keamanan komputer virtual Anda dengan:

• Memberikan rekomendasi keamanan untuk komputer virtual. Contoh rekomendasi meliputi: menerapkan pembaruan sistem, mengonfigurasi titik akhir ACL, mengaktifkan antimalware, mengaktifkan kelompok keamanan jaringan, dan menerapkan enkripsi disk.
• Memantau status komputer virtual Anda.

Pelajari lebih lanjut:

• Pengantar Pertahanan Microsoft untuk Cloud
• Pertanyaan umum tentang Microsoft Defender for Cloud
• Perencanaan dan operasi Microsoft Defender for Cloud

Kepatuhan

Microsoft Azure Virtual Machines disertifikasi untuk FISMA, FedRAMP, HIPAA, PCI DSS Level 1, dan program kepatuhan utama lainnya. Sertifikasi ini memudahkan aplikasi Azure Anda sendiri untuk memenuhi persyaratan kepatuhan dan bagi bisnis Anda untuk memenuhi berbagai persyaratan peraturan domestik dan internasional.

Pelajari lebih lanjut:

• Pusat Kepercayaan Microsoft: Kepatuhan
• Cloud Tepercaya: Keamanan, Privasi, dan Kepatuhan Microsoft Azure

Komputasi Rahasia

Meskipun komputasi rahasia secara teknis bukan bagian dari keamanan komputer virtual, topik keamanan komputer virtual milik subjek tingkat yang lebih tinggi dari keamanan “komputasi”. Komputasi rahasia termasuk dalam kategori keamanan “komputasi”.

Komputasi rahasia memastikan bahwa saat data "terlihat jelas", yang diperlukan untuk pemrosesan yang efisien, data dilindungi di dalam Trusted Execution Environment https://en.wikipedia.org/wiki/Trusted_execution_environment (TEE - juga dikenal sebagai enklave), contoh yang ditunjukkan pada gambar di bawah ini.

Trusted Execution Environment memastikan tidak ada cara untuk menampilkan data atau operasi di dalam dari luar, bahkan dengan debugger. Mereka bahkan memastikan bahwa hanya kode yang berwenang yang diizinkan untuk mengakses data. Jika kode diubah atau dirusak, operasi ditolak dan lingkungan dinonaktifkan. Trusted Execution Environment menegakkan perlindungan ini sepanjang eksekusi kode di dalamnya.

Pelajari lebih lanjut:

• Memperkenalkan komputasi rahasia Azure
• Komputasi rahasia Azure

Langkah berikutnya

Pelajari tentang praktik terbaik keamanan untuk VM dan sistem operasi.