Rekomendasi untuk jaringan dan konektivitas
Berlaku untuk rekomendasi daftar periksa Azure Well-Architected Framework Security ini:
SE:06 | Mengisolasi, memfilter, dan mengontrol lalu lintas jaringan di alur masuk dan keluar. Terapkan prinsip-prinsip mendalam pertahanan dengan menggunakan kontrol jaringan yang dilokalkan di semua batas jaringan yang tersedia di seluruh lalu lintas timur-barat dan utara-selatan. |
---|
Panduan ini menjelaskan rekomendasi untuk desain jaringan. Fokusnya adalah pada kontrol keamanan yang dapat memfilter, memblokir, dan mendeteksi lawan yang melintasi batas jaringan di berbagai kedalaman arsitektur Anda.
Anda dapat memperkuat kontrol identitas Anda dengan menerapkan langkah-langkah kontrol akses berbasis jaringan. Seiring dengan kontrol akses berbasis identitas, keamanan jaringan adalah prioritas tinggi untuk melindungi aset. Kontrol keamanan jaringan yang tepat dapat menyediakan elemen pertahanan mendalam yang dapat membantu mendeteksi dan berisi ancaman, dan mencegah penyerang mendapatkan entri ke dalam beban kerja Anda.
Definisi
Istilah | Definisi |
---|---|
Lalu lintas timur-barat | Lalu lintas jaringan yang bergerak dalam batas tepercaya. |
Alur keluar | Lalu lintas beban kerja keluar. |
Jaringan bermusuhan | Jaringan yang tidak disebarkan sebagai bagian dari beban kerja Anda. Jaringan bermusuhan dianggap sebagai vektor ancaman. |
Alur masuk | Lalu lintas beban kerja masuk. |
Pemfilteran jaringan | Mekanisme yang memungkinkan atau memblokir lalu lintas jaringan berdasarkan aturan yang ditentukan. |
Segmentasi atau isolasi jaringan | Strategi yang membagi jaringan menjadi segmen kecil yang terisolasi, dengan kontrol keamanan diterapkan pada batas. Teknik ini membantu melindungi sumber daya dari jaringan yang bermusuhan, seperti internet. |
Transformasi jaringan | Mekanisme yang mengubah paket jaringan untuk mengaburkannya. |
Lalu lintas utara-selatan | Lalu lintas jaringan yang berpindah dari batas tepercaya ke jaringan eksternal yang berpotensi bermusuhan, dan sebaliknya. |
Strategi desain utama
Keamanan jaringan menggunakan ketidakbenaran untuk melindungi aset beban kerja dari jaringan yang bermusuhan. Sumber daya yang berada di belakang batas jaringan disembunyikan sampai kontrol batas menandai lalu lintas sebagai aman untuk bergerak maju. Desain keamanan jaringan dibangun berdasarkan tiga strategi utama:
Segmen. Teknik ini mengisolasi lalu lintas pada jaringan terpisah dengan menambahkan batasan. Misalnya, lalu lintas ke dan dari tingkat aplikasi melewati batas untuk berkomunikasi dengan tingkatan lain, yang memiliki persyaratan keamanan yang berbeda. Lapisan segmentasi mengaktualisasikan pendekatan pertahanan mendalam.
Batas keamanan terdepan adalah tepi jaringan antara aplikasi Anda dan jaringan publik. Penting untuk mendefinisikan perimeter ini dengan jelas sehingga Anda menetapkan batas untuk mengisolasi jaringan yang bermusuhan. Kontrol di tepi ini harus sangat efektif, karena batas ini adalah garis pertahanan pertama Anda.
Jaringan virtual menyediakan batas logis. Secara desain, jaringan virtual tidak dapat berkomunikasi dengan jaringan virtual lain kecuali batas telah sengaja dipecah melalui peering. Arsitektur Anda harus memanfaatkan langkah keamanan yang kuat dan disediakan platform ini.
Anda juga dapat menggunakan batas logis lainnya, seperti subnet ukiran dalam jaringan virtual. Manfaat subnet adalah Anda dapat menggunakannya untuk mengelompokkan sumber daya yang berada dalam batas isolasi dan memiliki jaminan keamanan yang sama. Anda kemudian dapat mengonfigurasi kontrol pada batas untuk memfilter lalu lintas.
Filter. Strategi ini membantu memastikan bahwa lalu lintas yang memasuki batas diharapkan, diizinkan, dan aman. Dari perspektif Zero-Trust, pemfilteran secara eksplisit memverifikasi semua titik data yang tersedia di tingkat jaringan. Anda dapat menempatkan aturan pada batas untuk memeriksa kondisi tertentu.
Misalnya, di tingkat header, aturan dapat memverifikasi bahwa lalu lintas berasal dari lokasi yang diharapkan atau memiliki volume yang diharapkan. Tapi pemeriksaan ini tidak cukup. Bahkan jika lalu lintas menunjukkan karakteristik yang diharapkan, payload mungkin tidak aman. Pemeriksaan validasi mungkin mengungkapkan serangan injeksi SQL.
Transformasi. Mutasi paket di batas sebagai langkah keamanan. Misalnya, Anda dapat menghapus header HTTP untuk menghilangkan risiko paparan. Atau Anda dapat menonaktifkan Keamanan Lapisan Transportasi (TLS) pada satu titik dan membangunnya kembali di hop lain dengan sertifikat yang dikelola dengan lebih ketat.
Mengklasifikasikan arus lalu lintas
Langkah pertama dalam mengklasifikasikan alur adalah mempelajari skema arsitektur beban kerja Anda. Dari skema, tentukan niat dan karakteristik alur sehubungan dengan utilitas fungsional dan aspek operasional beban kerja Anda. Gunakan pertanyaan berikut untuk membantu mengklasifikasikan alur:
Jika beban kerja perlu berkomunikasi dengan jaringan eksternal, apa tingkat kedekatan yang diperlukan dengan jaringan tersebut?
Apa karakteristik jaringan alur, seperti protokol yang diharapkan dan sumber dan bentuk paket? Apakah ada persyaratan kepatuhan di tingkat jaringan?
Ada banyak cara untuk mengklasifikasikan arus lalu lintas. Bagian berikut membahas kriteria yang umum digunakan.
Visibilitas dari jaringan eksternal
Publik. Beban kerja dihadapi publik jika aplikasinya dan komponen lain dapat dijangkau dari internet publik. Aplikasi ini diekspos melalui satu atau beberapa alamat IP publik dan server Sistem Nama Domain (DNS) publik.
Privat. Beban kerja bersifat privat jika hanya dapat diakses melalui jaringan privat seperti jaringan privat virtual (VPN). Ini hanya diekspos melalui satu atau beberapa alamat IP privat dan berpotensi melalui server DNS privat.
Dalam jaringan privat, tidak ada garis pandang dari internet publik ke beban kerja. Untuk gateway, Anda dapat menggunakan load balancer atau firewall. Opsi ini dapat memberikan jaminan keamanan.
Bahkan dengan beban kerja publik, berusaha untuk menjaga sebanyak mungkin beban kerja tetap privat. Pendekatan ini memaksa paket untuk melewati batas privat ketika mereka tiba dari jaringan publik. Gateway di jalur tersebut dapat berfungsi sebagai titik transisi dengan bertindak sebagai proksi terbalik.
Arah lalu lintas
Ingress. Ingress adalah lalu lintas masuk yang mengalir menuju beban kerja atau komponennya. Untuk membantu mengamankan ingress, terapkan serangkaian strategi utama sebelumnya. Tentukan apa itu sumber lalu lintas dan apakah itu diharapkan, diizinkan, dan aman. Penyerang yang memindai rentang alamat IP penyedia cloud publik dapat berhasil menembus pertahanan Anda jika Anda tidak memeriksa masuk atau menerapkan langkah-langkah keamanan jaringan dasar.
Keluar. Egress adalah lalu lintas keluar yang mengalir menjauh dari beban kerja atau komponennya. Untuk memeriksa egress, tentukan ke mana lalu lintas menuju dan apakah tujuan diharapkan, diizinkan, dan aman. Tujuan mungkin berbahaya atau terkait dengan risiko eksfiltrasi data.
Anda juga dapat menentukan tingkat paparan Anda dengan mempertimbangkan kedekatan beban kerja Anda dengan internet publik. Misalnya, platform aplikasi biasanya melayani alamat IP publik. Komponen beban kerja adalah wajah solusi.
Cakupan pengaruh
Utara-selatan. Lalu lintas yang mengalir antara jaringan beban kerja dan jaringan eksternal adalah lalu lintas utara-selatan. Lalu lintas ini melintasi tepi jaringan Anda. Jaringan eksternal dapat berupa internet publik, jaringan perusahaan, atau jaringan lain yang berada di luar cakupan kontrol Anda.
Ingress dan egress keduanya bisa menjadi lalu lintas utara-selatan.
Sebagai contoh, pertimbangkan alur keluar topologi jaringan hub-spoke. Anda dapat menentukan tepi jaringan beban kerja Anda sehingga hub adalah jaringan eksternal. Dalam hal ini, lalu lintas keluar dari jaringan virtual spoke adalah lalu lintas utara-selatan. Tetapi jika Anda mempertimbangkan jaringan hub dalam bola kontrol Anda, lalu lintas utara-selatan diperluas ke firewall di hub, karena hop berikutnya adalah internet, yang berpotensi bermusuhan.
Timur-barat. Lalu lintas yang mengalir dalam jaringan beban kerja adalah lalu lintas timur-barat. Jenis lalu lintas ini menghasilkan ketika komponen dalam beban kerja Anda berkomunikasi satu sama lain. Contohnya adalah lalu lintas antara tingkat aplikasi n-tingkat. Dalam layanan mikro, komunikasi layanan-ke-layanan adalah lalu lintas timur-barat.
Untuk memberikan pertahanan secara mendalam, pertahankan kontrol end-to-end atas keterlibatan keamanan yang disertakan dalam setiap hop atau yang Anda gunakan saat paket melintasi segmen internal. Tingkat risiko yang berbeda memerlukan metode remediasi risiko yang berbeda.
Diagram sebelumnya menggambarkan pertahanan jaringan secara mendalam di cloud privat. Dalam diagram ini, batas antara ruang alamat IP publik dan privat secara signifikan lebih jauh dari beban kerja daripada di diagram cloud publik. Beberapa lapisan memisahkan penyebaran Azure dari ruang alamat IP publik.
Catatan
Identitas selalu menjadi perimeter utama. Manajemen akses harus diterapkan ke alur jaringan. Gunakan identitas terkelola saat Anda menggunakan kontrol akses berbasis peran Azure (RBAC) antar komponen jaringan Anda.
Setelah Anda mengklasifikasikan alur, lakukan latihan segmentasi untuk mengidentifikasi titik injeksi firewall pada jalur komunikasi segmen jaringan Anda. Saat Anda merancang pertahanan jaringan Anda secara mendalam di semua segmen dan semua jenis lalu lintas, asumsikan pelanggaran di semua titik. Gunakan kombinasi berbagai kontrol jaringan yang dilokalkan di semua batas yang tersedia. Untuk informasi selengkapnya, lihat Strategi segmentasi.
Menerapkan firewall di tepi
Lalu lintas tepi internet adalah lalu lintas utara-selatan dan mencakup ingress dan egress. Untuk mendeteksi atau memblokir ancaman, strategi tepi harus mengurangi serangan sebanyak mungkin ke dan dari internet.
Untuk keluar, kirim semua lalu lintas yang terikat internet melalui satu firewall yang memberikan pengawasan, tata kelola, dan kontrol lalu lintas yang ditingkatkan. Untuk masuk, paksa semua lalu lintas dari internet untuk melalui appliance virtual jaringan (NVA) atau firewall aplikasi web.
Firewall biasanya adalah singleton yang disebarkan per wilayah dalam organisasi. Akibatnya, mereka dibagikan di antara beban kerja dan dimiliki oleh tim pusat. Pastikan bahwa NVA apa pun yang Anda gunakan dikonfigurasi untuk mendukung kebutuhan beban kerja Anda.
Kami menyarankan agar Anda menggunakan kontrol asli Azure sebanyak mungkin.
Selain kontrol asli, Anda juga dapat mempertimbangkan NVA mitra yang menyediakan fitur lanjutan atau khusus. Firewall mitra dan produk vendor firewall aplikasi web tersedia di Marketplace Azure.
Keputusan untuk menggunakan fitur asli dibandingkan dengan solusi mitra harus didasarkan pada pengalaman dan persyaratan organisasi Anda.
Tradeoff: Kemampuan mitra sering menyediakan fitur canggih yang dapat melindungi dari serangan canggih, tetapi biasanya jarang terjadi. Konfigurasi solusi mitra bisa rumit dan rapuh, karena solusi ini tidak terintegrasi dengan pengontrol fabric cloud. Dari perspektif biaya, kontrol asli lebih disukai karena lebih murah daripada solusi mitra.
Opsi teknologi apa pun yang Anda pertimbangkan harus memberikan kontrol dan pemantauan keamanan untuk alur masuk dan keluar. Untuk melihat opsi yang tersedia untuk Azure, lihat bagian keamanan Edge di artikel ini.
Merancang keamanan jaringan virtual dan subnet
Tujuan utama cloud privat adalah untuk mengaburkan sumber daya dari internet publik. Ada beberapa cara untuk mencapai tujuan ini:
Pindah ke ruang alamat IP privat, yang dapat Anda capai dengan menggunakan jaringan virtual. Minimalkan garis pandang jaringan bahkan dalam jaringan privat Anda sendiri.
Minimalkan jumlah entri DNS publik yang Anda gunakan untuk mengekspos lebih sedikit beban kerja Anda.
Tambahkan kontrol aliran jaringan masuk dan keluar. Jangan izinkan lalu lintas yang tidak tepercaya.
Strategi segmentasi
Untuk meminimalkan visibilitas jaringan, segmentasikan jaringan Anda dan mulai dengan kontrol jaringan dengan hak istimewa paling sedikit. Jika segmen tidak dapat dirutekan, segmen tersebut tidak dapat diakses. Perluas cakupan untuk hanya menyertakan segmen yang perlu berkomunikasi satu sama lain melalui akses jaringan.
Anda dapat mensegmentasi jaringan virtual dengan membuat subnet. Kriteria untuk pembagian harus disengaja. Saat Anda mengalokasikan layanan di dalam subnet, pastikan bahwa layanan tersebut dapat saling melihat.
Anda dapat mendasarkan segmentasi Anda pada banyak faktor. Misalnya, Anda dapat menempatkan tingkat aplikasi yang berbeda di segmen khusus. Pendekatan lain adalah merencanakan subnet Anda berdasarkan peran dan fungsi umum yang menggunakan protokol terkenal.
Untuk informasi selengkapnya, lihat Strategi segmentasi.
Firewall subnet
Penting untuk memeriksa lalu lintas masuk dan keluar setiap subnet. Gunakan tiga strategi utama yang dibahas sebelumnya dalam artikel ini, dalam Strategi desain utama. Periksa apakah alur diharapkan, diizinkan, dan aman. Untuk memverifikasi informasi ini, tentukan aturan firewall yang didasarkan pada protokol, sumber, dan tujuan lalu lintas.
Di Azure, Anda mengatur aturan firewall dalam grup keamanan jaringan. Untuk informasi selengkapnya, lihat bagian Kelompok keamanan jaringan di artikel ini.
Untuk contoh desain subnet, lihat Subnet Azure Virtual Network.
Menggunakan kontrol di tingkat komponen
Setelah Meminimalkan visibilitas jaringan, petakan sumber daya Azure Anda dari perspektif jaringan dan evaluasi alur. Jenis alur berikut dimungkinkan:
Lalu lintas yang direncanakan, atau komunikasi yang disengaja antar layanan sesuai dengan desain arsitektur Anda. Misalnya, Anda telah merencanakan lalu lintas saat arsitektur merekomendasikan agar Azure Functions menarik pesan dari Azure Bus Layanan.
Lalu lintas manajemen, atau komunikasi yang terjadi sebagai bagian dari fungsionalitas layanan. Lalu lintas ini bukan bagian dari desain Anda, dan Anda tidak memiliki kontrol atasnya. Contoh lalu lintas terkelola adalah komunikasi antara layanan Azure dalam arsitektur Anda dan bidang manajemen Azure.
Membedakan antara lalu lintas terencana dan manajemen membantu Anda membangun kontrol yang dilokalkan, atau tingkat layanan. Memiliki pemahaman yang baik tentang sumber dan tujuan di setiap hop. Terutama memahami bagaimana data plane Anda terekspos.
Sebagai titik awal, tentukan apakah setiap layanan terekspos ke internet. Jika ya, rencanakan cara membatasi akses. Jika tidak, letakkan di jaringan virtual.
Firewall layanan
Jika Anda mengharapkan layanan terekspos ke internet, manfaatkan firewall tingkat layanan yang tersedia untuk sebagian besar sumber daya Azure. Ketika Anda menggunakan firewall ini, Anda dapat mengatur aturan berdasarkan pola akses. Untuk informasi selengkapnya, lihat bagian Firewall layanan Azure di artikel ini.
Catatan
Saat komponen Anda bukan layanan, gunakan firewall berbasis host selain firewall tingkat jaringan. Komputer virtual (VM) adalah contoh komponen yang bukan layanan.
Konektivitas ke layanan platform as a service (PaaS)
Pertimbangkan untuk menggunakan titik akhir privat untuk membantu mengamankan akses ke layanan PaaS. Titik akhir privat diberi alamat IP privat dari jaringan virtual Anda. Titik akhir memungkinkan sumber daya lain dalam jaringan untuk berkomunikasi dengan layanan PaaS melalui alamat IP privat.
Komunikasi dengan layanan PaaS dicapai dengan menggunakan alamat IP publik layanan dan catatan DNS. Komunikasi itu terjadi melalui internet. Anda dapat membuat komunikasi itu privat.
Terowongan dari layanan PaaS ke salah satu subnet Anda membuat saluran privat. Semua komunikasi terjadi dari alamat IP privat komponen ke titik akhir privat di subnet tersebut, yang kemudian berkomunikasi dengan layanan PaaS.
Dalam contoh ini, gambar di sebelah kiri menunjukkan alur untuk titik akhir yang diekspos secara publik. Di sebelah kanan, alur tersebut diamankan dengan menggunakan titik akhir privat.
Untuk informasi selengkapnya, lihat bagian Titik akhir privat di artikel ini.
Catatan
Kami menyarankan agar Anda menggunakan titik akhir privat bersama dengan firewall layanan. Firewall layanan memblokir lalu lintas internet masuk dan kemudian mengekspos layanan secara privat ke pengguna internal yang menggunakan titik akhir privat.
Keuntungan lain menggunakan titik akhir privat adalah Anda tidak perlu membuka port pada firewall untuk lalu lintas keluar. Titik akhir privat mengunci semua lalu lintas keluar di port untuk internet publik. Konektivitas terbatas pada sumber daya dalam jaringan.
Tradeoff: Azure Private Link adalah layanan berbayar yang memiliki meter untuk data masuk dan keluar yang diproses. Anda juga dikenakan biaya untuk titik akhir privat.
Melindungi dari serangan penolakan layanan terdistribusi (DDoS)
Serangan DDoS mencoba menghabiskan sumber daya aplikasi untuk membuat aplikasi tidak tersedia untuk pengguna yang sah. Serangan DDoS dapat menargetkan titik akhir apa pun yang dapat dijangkau secara publik melalui internet.
Serangan DDoS biasanya merupakan penyalahgunaan besar, tersebar luas, secara geografis terhadap sumber daya sistem Anda yang membuatnya sulit untuk menentukan dan memblokir sumbernya.
Untuk dukungan Azure guna membantu melindungi dari serangan ini, lihat bagian Azure DDoS Protection di artikel ini.
Fasilitasi Azure
Anda dapat menggunakan layanan Azure berikut untuk menambahkan kemampuan pertahanan mendalam ke jaringan Anda.
Microsoft Azure Virtual Network
Virtual Network membantu sumber daya Azure Anda berkomunikasi satu sama lain dengan aman, internet, dan jaringan lokal.
Secara default, semua sumber daya dalam jaringan virtual dapat terlibat dalam komunikasi keluar dengan internet. Tetapi komunikasi masuk dibatasi secara default.
Virtual Network menawarkan fitur untuk memfilter lalu lintas. Anda dapat membatasi akses di tingkat jaringan virtual dengan menggunakan rute yang ditentukan pengguna (UDR) dan komponen firewall. Di tingkat subnet, Anda dapat memfilter lalu lintas dengan menggunakan grup keamanan jaringan.
Keamanan edge
Secara default, ingress dan egress keduanya mengalir melalui alamat IP publik. Bergantung pada layanan atau topologi, Anda mengatur alamat ini atau Azure menetapkannya. Kemungkinan ingress dan egress lainnya termasuk melewati lalu lintas melalui load balancer atau gateway network address translation (NAT). Tetapi layanan ini ditujukan untuk distribusi lalu lintas dan belum tentu untuk keamanan.
Pilihan teknologi berikut direkomendasikan:
Azure Firewall. Anda dapat menggunakan Azure Firewall di tepi jaringan dan di topologi jaringan populer, seperti jaringan hub-spoke dan WAN virtual. Anda biasanya menyebarkan Azure Firewall sebagai firewall keluar yang bertindak sebagai gerbang keamanan akhir sebelum lalu lintas masuk ke internet. Azure Firewall dapat merutekan lalu lintas yang menggunakan protokol non-HTTP dan non-HTTPS, seperti Remote Desktop Protocol (RDP), Secure Shell Protocol (SSH), dan File Transfer Protocol (FTP). Kumpulan fitur Azure Firewall meliputi:
- Terjemahan alamat jaringan tujuan (DNAT), atau penerusan port.
- Deteksi tanda tangan deteksi intrusi dan sistem pencegahan (IDPS).
- Aturan jaringan lapisan 3, lapisan 4, dan nama domain yang sepenuhnya memenuhi syarat (FQDN).
Catatan
Sebagian besar organisasi memiliki kebijakan penerowongan paksa yang memaksa lalu lintas mengalir melalui NVA.
Jika Anda tidak menggunakan topologi WAN virtual, Anda harus menyebarkan UDR dengan
NextHopType
alamatInternet
IP privat NVA Anda. UDR diterapkan pada tingkat subnet. Secara default, lalu lintas subnet-ke-subnet tidak mengalir melalui NVA.Anda juga dapat menggunakan Azure Firewall secara bersamaan untuk masuk. Ini dapat merutekan lalu lintas HTTP dan HTTPS. Dalam SKU berjenjang lebih tinggi, Azure Firewall menawarkan penghentian TLS sehingga Anda dapat menerapkan inspeksi tingkat payload.
Praktik berikut direkomendasikan:
Aktifkan pengaturan diagnostik di Azure Firewall untuk mengumpulkan log arus lalu lintas, log IDPS, dan log permintaan DNS.
Sesering mungkin dalam aturan.
Jika praktis, hindari tag layanan FQDN. Tetapi ketika Anda menggunakannya, gunakan varian regional, yang memungkinkan komunikasi dengan semua titik akhir layanan.
Gunakan grup IP untuk menentukan sumber yang harus berbagi aturan yang sama selama masa pakai grup IP. Grup IP harus mencerminkan strategi segmentasi Anda.
Mengambil alih infrastruktur FQDN memungkinkan aturan hanya jika beban kerja Anda memerlukan kontrol keluar absolut. Mengambil alih aturan ini dilengkapi dengan tradeoff keandalan, karena persyaratan platform Azure berubah pada layanan.
Tradeoff: Azure Firewall dapat memengaruhi performa Anda. Urutan aturan, kuantitas, inspeksi TLS, dan faktor lainnya dapat menyebabkan latensi yang signifikan.
Mungkin juga ada dampak pada keandalan beban kerja Anda. Ini mungkin mengalami kelelahan port terjemahan alamat jaringan sumber (SNAT). Untuk membantu mengatasi masalah ini, tambahkan alamat IP publik sesuai kebutuhan.
Risiko: Untuk lalu lintas keluar, Azure menetapkan alamat IP publik. Penugasan ini dapat berdampak hilir pada gerbang keamanan eksternal Anda.
Azure Web Application Firewall. Layanan ini mendukung pemfilteran masuk dan hanya menargetkan lalu lintas HTTP dan HTTPS.
Ini menawarkan keamanan dasar untuk serangan umum, seperti ancaman yang diidentifikasi Open Worldwide Application Security Project (OWASP) dalam dokumen OWASP Top 10. Azure Web Application Firewall juga menyediakan fitur keamanan lain yang berfokus pada lapisan 7, seperti pembatasan tarif, aturan injeksi SQL, dan pembuatan skrip lintas situs.
Dengan Azure Web Application Firewall, penghentian TLS diperlukan, karena sebagian besar pemeriksaan didasarkan pada payload.
Anda dapat mengintegrasikan Azure Web Application Firewall dengan router, seperti Azure Application Gateway atau Azure Front Door. Implementasi Azure Web Application Firewall untuk jenis router tersebut dapat bervariasi.
Azure Firewall dan Azure Web Application Firewall bukan pilihan yang saling eksklusif. Untuk solusi keamanan tepi Anda, berbagai opsi tersedia. Misalnya, lihat Firewall dan Application Gateway untuk jaringan virtual.
Grup keamanan jaringan
Grup keamanan jaringan adalah firewall lapisan 3 dan lapisan 4 yang Anda terapkan di tingkat subnet atau kartu antarmuka jaringan (NIC). Grup keamanan jaringan tidak dibuat atau diterapkan secara default.
Aturan grup keamanan jaringan bertindak sebagai firewall untuk menghentikan lalu lintas yang mengalir masuk dan keluar di perimeter subnet. Grup keamanan jaringan memiliki seperangkat aturan default yang terlalu permisif. Misalnya, aturan default tidak mengatur firewall dari perspektif keluar. Untuk masuk, tidak ada lalu lintas internet masuk yang diizinkan.
Untuk membuat aturan, mulailah dengan seperangkat aturan default:
- Untuk lalu lintas masuk , atau ingress:
- Lalu lintas jaringan virtual dari sumber gateway langsung, serekan, dan VPN diizinkan.
- Pemeriksaan kesehatan Azure Load Balancer diizinkan.
- Semua lalu lintas lainnya diblokir.
- Untuk lalu lintas keluar , atau keluar:
- Lalu lintas jaringan virtual ke tujuan gateway direct, peered, dan VPN diizinkan.
- Lalu lintas ke internet diizinkan.
- Semua lalu lintas lainnya diblokir.
Kemudian pertimbangkan lima faktor berikut:
- Protokol
- Alamat IP sumber
- Port Sumber
- Alamat IP tujuan
- Port tujuan
Kurangnya dukungan untuk FQDN membatasi fungsionalitas grup keamanan jaringan. Anda perlu menyediakan rentang alamat IP tertentu untuk beban kerja Anda, dan sulit dipertahankan.
Tetapi untuk layanan Azure, Anda dapat menggunakan tag layanan untuk meringkas rentang alamat IP sumber dan tujuan. Manfaat keamanan tag layanan adalah tag tersebut buram bagi pengguna, dan tanggung jawab dilepaskan ke Azure. Anda juga dapat menetapkan grup keamanan aplikasi sebagai jenis tujuan untuk merutekan lalu lintas. Jenis grup bernama ini berisi sumber daya yang memiliki kebutuhan akses masuk atau keluar serupa.
Risiko: Rentang tag layanan sangat luas sehingga mereka mengakomodasi berbagai pelanggan seluas mungkin. Pembaruan untuk tag layanan tertinggal dari perubahan dalam layanan.
Pada gambar sebelumnya, kelompok keamanan jaringan diterapkan di NIC. Lalu lintas internet dan lalu lintas subnet-ke-subnet ditolak. Grup keamanan jaringan diterapkan dengan VirtualNetwork
tag . Jadi dalam hal ini, subnet jaringan yang di-peering memiliki garis pandang langsung. Definisi luas tag VirtualNetwork
dapat memiliki dampak keamanan yang signifikan.
Saat Anda menggunakan tag layanan, gunakan versi regional jika memungkinkan, seperti Storage.WestUS
alih-alih Storage
. Dengan mengambil pendekatan ini, Anda membatasi cakupan ke semua titik akhir di wilayah tertentu.
Beberapa tag secara eksklusif untuk lalu lintas masuk atau keluar . Yang lain adalah untuk kedua jenis. Tag masuk biasanya memungkinkan lalu lintas dari semua beban kerja hosting, seperti AzureFrontDoor.Backend
, atau dari Azure untuk mendukung runtime layanan, seperti LogicAppsManagement
. Demikian pula, tag keluar memungkinkan lalu lintas ke semua beban kerja hosting atau dari Azure untuk mendukung runtime layanan.
Cakupan aturan sebanyak mungkin. Dalam contoh berikut, aturan diatur ke nilai tertentu. Jenis lalu lintas lainnya ditolak.
Informasi | Contoh |
---|---|
Protokol | Protokol Kontrol Transmisi (TCP), UDP |
Alamat IP sumber | Izinkan ingress ke subnet dari <source-IP-address-range>: 4575/UDP |
Port Sumber | Izinkan ingress ke subnet dari <service-tag>: 443/TCP |
Alamat IP tujuan | Izinkan keluar dari subnet ke <destination-IP-address-range>: 443/TCP |
Port tujuan | Izinkan keluar dari subnet ke <service-tag>: 443/TCP |
Untuk meringkas:
Bersikaplah tepat saat Anda membuat aturan. Hanya izinkan lalu lintas yang diperlukan agar aplikasi Anda berfungsi. Tolak yang lainnya. Pendekatan ini membatasi garis pandang jaringan ke alur jaringan yang diperlukan untuk mendukung pengoperasian beban kerja. Mendukung lebih banyak aliran jaringan daripada yang diperlukan menyebabkan vektor serangan yang tidak perlu dan memperluas area permukaan.
Membatasi lalu lintas tidak menyiratkan bahwa alur yang diizinkan berada di luar cakupan serangan. Karena kelompok keamanan jaringan bekerja pada lapisan 3 dan 4 pada tumpukan Open Systems Interconnection (OSI), grup keamanan jaringan hanya berisi informasi bentuk dan arah. Misalnya, jika beban kerja Anda perlu mengizinkan lalu lintas DNS ke internet, Anda akan menggunakan kelompok keamanan jaringan .
Internet:53:UDP
Dalam hal ini, penyerang mungkin dapat menyelundupkan data melalui UDP pada port 53 ke beberapa layanan lain.Pahami bahwa kelompok keamanan jaringan dapat sedikit berbeda satu sama lain. Sangat mudah untuk mengabaikan niat perbedaan. Untuk memiliki pemfilteran terperinci, lebih aman untuk membuat kelompok keamanan jaringan ekstra. Siapkan setidaknya satu grup keamanan jaringan.
Menambahkan grup keamanan jaringan membuka banyak alat diagnostik, seperti log alur dan analitik lalu lintas jaringan.
Gunakan Azure Policy untuk membantu mengontrol lalu lintas di subnet yang tidak memiliki grup keamanan jaringan.
Jika subnet mendukung grup keamanan jaringan, tambahkan grup, meskipun minimal berdampak.
Firewall layanan Azure
Sebagian besar layanan Azure menawarkan firewall tingkat layanan. Fitur ini memeriksa lalu lintas masuk ke layanan dari rentang perutean antar-domain tanpa kelas (CIDR) tertentu. Firewall ini menawarkan manfaat:
- Mereka memberikan tingkat keamanan dasar.
- Ada dampak performa yang dapat ditoleransi.
- Sebagian besar layanan menawarkan firewall ini tanpa biaya tambahan.
- Firewall memancarkan log melalui diagnostik Azure, yang dapat berguna untuk menganalisis pola akses.
Tetapi ada juga masalah keamanan yang terkait dengan firewall ini, dan ada batasan yang terkait dengan penyediaan parameter. Misalnya, jika Anda menggunakan agen build yang dihosting Microsoft, Anda harus membuka rentang alamat IP untuk semua agen build yang dihosting Microsoft. Rentang kemudian terbuka untuk agen build Anda, penyewa lain, dan iklan yang mungkin menyalahgunakan layanan Anda.
Jika Anda memiliki pola akses untuk layanan, yang dapat dikonfigurasi sebagai seperangkat aturan firewall layanan, Anda harus mengaktifkan layanan. Anda dapat menggunakan Azure Policy untuk mengaktifkannya. Pastikan Anda tidak mengaktifkan opsi layanan Azure tepercaya jika tidak diaktifkan secara default. Melakukannya membawa semua layanan dependen yang berada dalam cakupan aturan.
Untuk informasi selengkapnya, lihat dokumentasi produk layanan Azure individual.
Titik Akhir Privat
Private Link menyediakan cara bagi Anda untuk memberi instans PaaS alamat IP privat. Layanan ini kemudian tidak dapat dijangkau melalui internet. Titik akhir privat tidak didukung untuk semua SKU.
Ingatlah rekomendasi berikut saat Anda menggunakan titik akhir privat:
Konfigurasikan layanan yang terikat ke jaringan virtual untuk menghubungi layanan PaaS melalui titik akhir privat, bahkan jika layanan PaaS tersebut juga perlu menawarkan akses publik.
Promosikan penggunaan grup keamanan jaringan untuk titik akhir privat untuk membatasi akses ke alamat IP titik akhir privat.
Selalu gunakan firewall layanan saat Anda menggunakan titik akhir privat.
Jika memungkinkan, jika Anda memiliki layanan yang hanya dapat diakses melalui titik akhir privat, hapus konfigurasi DNS untuk titik akhir publiknya.
Pertimbangkan masalah garis pandang runtime saat Anda menerapkan titik akhir privat. Tetapi juga pertimbangkan Masalah DevOps dan pemantauan.
Gunakan Azure Policy untuk menerapkan konfigurasi sumber daya.
Tradeoff: SKU layanan dengan titik akhir privat mahal. Titik akhir privat dapat mempersulit operasi karena ketidakjernihan jaringan. Anda perlu menambahkan agen yang dihost sendiri, jump box, VPN, dan komponen lainnya ke arsitektur Anda.
Manajemen DNS bisa kompleks dalam topologi jaringan umum. Anda mungkin harus memperkenalkan penerus DNS dan komponen lainnya.
Injeksi jaringan virtual
Anda dapat menggunakan proses injeksi jaringan virtual untuk menyebarkan beberapa layanan Azure ke jaringan Anda. Contoh layanan tersebut termasuk Azure App Service, Functions, Azure API Management, dan Azure Spring Apps. Proses ini mengisolasi aplikasi dari internet, sistem di jaringan privat, dan layanan Azure lainnya. Lalu lintas masuk dan keluar dari aplikasi diizinkan atau ditolak berdasarkan aturan jaringan.
Azure Bastion
Anda dapat menggunakan Azure Bastion untuk menyambungkan ke VM dengan menggunakan browser dan portal Azure Anda. Azure Bastion meningkatkan keamanan koneksi RDP dan SSH. Kasus penggunaan umum termasuk menyambungkan ke jump box di jaringan virtual yang sama atau jaringan virtual yang di-peering. Menggunakan Azure Bastion menghapus kebutuhan VM untuk memiliki alamat IP publik.
Azure DDoS Protection
Setiap properti di Azure dilindungi oleh perlindungan infrastruktur Azure DDoS tanpa biaya tambahan dan tanpa konfigurasi tambahan. Tingkat perlindungan adalah dasar, tetapi perlindungan memiliki ambang batas yang tinggi. Ini juga tidak menyediakan telemetri atau pemberitahuan, dan agnostik beban kerja.
SKU DDoS Protection berjenjang lebih tinggi tersedia tetapi tidak gratis. Skala dan kapasitas jaringan Azure yang disebarkan secara global menawarkan perlindungan terhadap serangan lapisan jaringan umum. Teknologi seperti pemantauan lalu lintas yang selalu aktif dan mitigasi real-time menyediakan kemampuan ini.
Untuk mengetahui informasi lebih lanjut, lihat ringkasan Azure DDoS Protection.
Contoh
Berikut adalah beberapa contoh yang menunjukkan penggunaan kontrol jaringan yang direkomendasikan dalam artikel ini.
Lingkungan TI
Contoh ini dibangun pada lingkungan Teknologi Informasi (TI) yang ditetapkan dalam garis besar keamanan (SE:01). Pendekatan ini memberikan pemahaman luas tentang kontrol jaringan yang diterapkan di berbagai perimeter untuk membatasi lalu lintas.
Persona serangan jaringan. Beberapa persona dapat dipertimbangkan dalam serangan jaringan, termasuk Admin, karyawan, klien pelanggan, dan penyerang anonim.
Akses VPN. Aktor jahat mungkin mengakses lingkungan lokal melalui VPN atau lingkungan Azure yang terhubung ke lingkungan lokal melalui VPN. Konfigurasikan dengan protokol IPSec untuk mengaktifkan komunikasi yang aman.
Akses publik ke aplikasi. Memiliki firewall aplikasi web (WAF) di depan aplikasi untuk melindunginya pada Lapisan 7 lapisan OSI jaringan.
Akses operator. Akses jarak jauh melalui Lapisan 4 lapisan OSI jaringan harus diamankan. Pertimbangkan untuk menggunakan Azure Firewall dengan fitur IDP/IDS.
Proteksi DDoS. Memiliki perlindungan DDoS untuk seluruh VNet Anda.
Topologi jaringan. Topologi jaringan seperti hub-spoke, lebih aman, dan mengoptimalkan biaya. Jaringan hub menyediakan perlindungan firewall terpusat ke semua spoke yang di-peering.
Titik akhir privat: Pertimbangkan untuk menambahkan layanan yang diekspos secara publik ke jaringan privat Anda dengan menggunakan titik akhir privat. Ini membuat Kartu Jaringan (NIC) di VNet privat Anda dan mengikat dengan layanan Azure.
Komunikasi TLS. Lindungi data saat transit dengan berkomunikasi melalui TLS.
Network Security Group (NSG): Melindungi segmen dalam VNet dengan NSG, sumber daya gratis yang memfilter komunikasi masuk dan keluar TCP/UDP dengan mempertimbangkan IP dan rentang port. Bagian dari NSG adalah Kelompok Keamanan Aplikasi (ASG) yang memungkinkan Anda membuat tag untuk aturan lalu lintas untuk manajemen yang lebih mudah.
Analitik Log. Sumber daya Azure memancarkan telemetri yang diserap di Analitik Log lalu digunakan dengan solusi SIEM seperti Microsoft Sentinel untuk analisis.
Integrasi Microsoft Azure Sentinel. Log Analytics terintegrasi dengan Microsoft Azure Sentinel dan solusi lain seperti Microsoft Defender untuk Cloud.
Microsoft Defender untuk Cloud. Microsoft Defender untuk Cloud memberikan banyak solusi perlindungan beban kerja, termasuk Rekomendasi jaringan untuk lingkungan Anda.
Analitik Lalu Lintas: Pantau kontrol jaringan Anda dengan Analitik Lalu Lintas. Ini dikonfigurasi melalui Network Watcher, bagian dari Azure Monitor, dan menggabungkan hit masuk dan keluar di subnet Anda yang dikumpulkan oleh NSG.
Arsitektur untuk beban kerja dalam kontainer
Contoh arsitektur ini menggabungkan kontrol jaringan yang dijelaskan dalam artikel ini. Contoh tidak menampilkan arsitektur lengkap. Sebaliknya, ini berfokus pada kontrol ingress di cloud privat.
Application Gateway adalah penyeimbang beban lalu lintas web yang dapat Anda gunakan untuk mengelola lalu lintas ke aplikasi web Anda. Anda menyebarkan Application Gateway di subnet khusus yang memiliki kontrol grup keamanan jaringan dan kontrol firewall aplikasi web.
Komunikasi dengan semua layanan PaaS dilakukan melalui titik akhir privat. Semua titik akhir ditempatkan di subnet khusus. DDoS Protection membantu melindungi semua alamat IP publik yang dikonfigurasi untuk tingkat perlindungan firewall dasar atau lebih tinggi.
Lalu lintas manajemen dibatasi melalui Azure Bastion, yang membantu menyediakan konektivitas RDP dan SSH yang aman dan mulus ke VM Anda langsung dari portal Azure melalui TLS. Agen build ditempatkan di jaringan virtual sehingga mereka memiliki tampilan jaringan ke sumber daya beban kerja seperti sumber daya komputasi, registri kontainer, dan database. Pendekatan ini membantu menyediakan lingkungan yang aman dan terisolasi untuk agen build Anda, yang meningkatkan perlindungan untuk kode dan artefak Anda.
Grup keamanan jaringan di tingkat subnet sumber daya komputasi membatasi lalu lintas keluar. Penerowongan paksa digunakan untuk merutekan semua lalu lintas melalui Azure Firewall. Pendekatan ini membantu menyediakan lingkungan yang aman dan terisolasi untuk sumber daya komputasi Anda, yang meningkatkan perlindungan untuk data dan aplikasi Anda.
Tautan terkait
- Rekomendasi untuk merancang strategi segmentasi
- Subnet Azure Virtual Network
- Microsoft Azure Virtual Network
- Azure Firewall
- Azure Web Application Firewall
- Firewall dan Application Gateway untuk jaringan virtual
- Grup keamanan jaringan
- Tag layanan
- Tautan Privat Azure
- Titik Akhir Privat
- Azure Bastion
- Gambaran umum Azure DDoS Protection
Daftar periksa keamanan
Lihat kumpulan rekomendasi lengkap.