Mulai menggunakan desain arsitektur keamanan

Keamanan adalah salah satu aspek terpenting dari arsitektur apa pun. Langkah-langkah keamanan yang efektif melindungi kerahasiaan, integritas, dan ketersediaan data dan sistem Anda dari serangan dan penyalahgunaan yang di sengaja.

Azure menyediakan banyak alat dan kemampuan keamanan, termasuk layanan utama berikut:

• Microsoft Defender untuk Cloud menyediakan manajemen postur keamanan cloud (CSPM) dan perlindungan beban kerja cloud (CWP). Ini menilai sumber daya Anda untuk kepatuhan keamanan, memberikan skor aman untuk melacak postur Anda, dan menawarkan perlindungan ancaman di seluruh beban kerja Azure, lokal, dan multicloud.

• Microsoft Entra ID adalah layanan manajemen identitas dan akses (IAM) berbasis cloud Microsoft. Ini menyediakan akses menyeluruh (SSO), autentikasi multifaktor (MFA), dan akses bersyarat untuk melindungi dari serangan berbasis identitas.

• Azure Front Door adalah titik masuk global untuk aplikasi web. Ini menyediakan firewall aplikasi web bawaan (WAF) untuk melindungi dari eksploitasi dan kerentanan umum, perlindungan DDoS, dan penghentian Keamanan Lapisan Transportasi (TLS) di tepi.

• Azure Firewall adalah firewall jaringan cloud-native yang mendukung aturan berbasis pemfilteran, deteksi dan pencegahan intrusi (IDPS) berbasis inteligensi ancaman di tingkat Premium, inspeksi TLS, dan aturan berbasis nama domain yang sepenuhnya memenuhi syarat (FQDN).

• Azure Key Vault menyediakan manajemen rahasia terpusat, manajemen kunci, dan manajemen sertifikat. Tingkat Premium menawarkan kunci yang dilindungi modul keamanan perangkat keras (HSM) yang divalidasi ke Standar Pemrosesan Informasi Federal (FIPS) 140-3 tingkat 3.

• Azure Private Link memungkinkan Anda mengakses solusi platform as a service (PaaS) Azure melalui titik akhir privat di jaringan virtual Anda. Pendekatan ini menjaga lalu lintas pada jaringan backbone Microsoft dan menghilangkan paparan internet publik.

• Azure Application Gateway adalah penyeimbang beban lalu lintas web regional yang mencakup WAF yang melindungi dari kerentanan Open Worldwide Application Security Project (OWASP) Top 10, mitigasi bot, dan aturan kustom.

• Azure Policy memungkinkan Anda menerapkan standar organisasi, menilai kepatuhan dalam skala besar, dan menerapkan pagar pembatas yang mencegah konfigurasi sumber daya yang tidak patuh.

Untuk informasi selengkapnya tentang alat dan kemampuan keamanan Azure, lihat keamanan End-to-end di Azure.

Architecture

Di sebelah kiri, pengguna (Pengguna, Admin, dan Pengembang) tersambung ke Azure. Pusat ini menunjukkan jaringan virtual hub keamanan yang berisi Azure Firewall Premium di subnetnya sendiri, gateway VPN di subnet Azure VPN Gateway, Azure Bastion dalam subnet Azure Bastion, dan perlindungan DDoS Azure. Hub ini terhubung ke jaringan virtual spoke beban kerja di sebelah kanan, yang berisi arsitektur aplikasi tiga lapis. Arsitektur aplikasi terdiri dari subnet Application Gateway dengan AppGw (WAF), subnet tingkat front-end dengan dua komputer virtual (VM) yang dilindungi oleh kelompok keamanan aplikasi (ASG) dan kelompok keamanan jaringan (NSG), subnet tingkat aplikasi dengan dua VM yang dilindungi oleh ASG dan NSG, dan subnet tingkat data dengan dua VM yang dilindungi oleh ASG dan NSG. Garis putus-putus dalam spoke menunjukkan akses ke VM yang diminta melalui lapisan keamanan. Di bawah arsitektur hub-and-spoke, bagian layanan penyimpanan Azure berisi Azure Blob Storage dan Azure Files. Di sebelah kanan, bagian layanan PaaS umum mencakup Microsoft Entra ID, Microsoft Defender untuk Cloud, kontrol akses berbasis peran (RBAC), Azure Monitor, dan Azure Key Vault. Di bagian bawah, bagian pusat data lokal memperlihatkan router, pengguna admin, Active Directory Domain Services (AD DS), Microsoft Entra Connect, dan aplikasi lokal. Panah di seluruh diagram mengilustrasikan arus lalu lintas dan mengamankan jalur konektivitas di antara semua komponen.

Unduh file Visio dari arsitektur ini.

Diagram sebelumnya menunjukkan implementasi keamanan garis besar yang khas. Arsitektur menunjukkan bagaimana layanan keamanan Azure bekerja sama untuk melindungi beban kerja di seluruh lapisan identitas, jaringan, data, dan aplikasi. Untuk solusi dunia nyata yang dapat Anda bangun di Azure, lihat solusi Example.

Pelajari tentang keamanan di Azure

Microsoft Learn menyediakan pelatihan online gratis untuk teknologi keamanan Azure. Platform ini menawarkan video, tutorial, dan lab interaktif untuk produk dan layanan tertentu, bersama dengan jalur pembelajaran yang diatur oleh peran pekerjaan.

Sumber daya berikut memberikan pengetahuan dasar untuk implementasi keamanan pada Azure.

Dasar keamanan: Jalur pembelajaran berikut mencakup konsep keamanan inti dan fitur keamanan Azure:

• Pengenalan konsep keamanan, kepatuhan, dan identitas
• Pengenalan terhadap Microsoft Entra
• Pengenalan solusi keamanan Microsoft

Keamanan jaringan: Jalur pembelajaran berikut mencakup keamanan jaringan virtual, segmentasi jaringan, dan konektivitas yang aman:

• Konfigurasi akses aman ke beban kerja Anda dengan menggunakan jaringan virtual Azure

Perlindungan data: Jalur pembelajaran berikut mencakup enkripsi, manajemen kunci, dan keamanan aplikasi:

• Secure aplikasi cloud Anda di Azure

Perlindungan ancaman: Jalur pembelajaran berikut mencakup deteksi ancaman, investigasi, dan respons:

• Mengurangi ancaman dengan menggunakan Microsoft Defender untuk Cloud

Jalur pembelajaran menurut peran

Microsoft Learn menawarkan jalur sertifikasi berbasis peran untuk profesional keamanan:

• Microsoft Bersertifikat: Azure Security Engineer Associate (AZ-500)

  Note

  Sertifikasi AZ-500 dihentikan pada 31 Agustus 2026. Periksa halaman sertifikasi untuk informasi terbaru.

• Microsoft Certified: Security Operations Analyst Associate (SC-200)

• Microsoft Bersertifikat: Cybersecurity Architect Expert (SC-100)

Kesiapan organisasi

Organisasi yang memulai adopsi cloud mereka dapat menggunakan Cloud Adoption Framework untuk Azure untuk mengakses panduan yang telah teruji yang mempercepat adopsi cloud. Metodologi Cloud Adoption Framework Secure menyediakan pendekatan terstruktur untuk mengamankan Azure cloud estate Anda. Ini memberikan panduan keamanan di seluruh strategi, perencanaan, kesiapan, adopsi, tata kelola, dan operasi.

Tata kelola Azure menetapkan peralatan yang diperlukan untuk mendukung tata kelola cloud, audit kepatuhan, dan pengaman otomatis. Untuk informasi selengkapnya, lihat panduan area desain tata kelola Azure.

Untuk membantu memastikan kualitas solusi keamanan Anda pada Azure, ikuti Azure Well-Architected Framework. Well-Architected Framework menyediakan panduan preskriptif untuk organisasi yang mencari keunggulan arsitektur dan menjelaskan cara merancang, menyediakan, dan memantau solusi Azure yang dioptimalkan biaya. Untuk informasi selengkapnya, lihat Pilar Keamanan Well-Architected Framework.

Untuk panduan khusus keamanan, lihat panduan layanan Well-Architected Framework berikut ini:

• Azure Firewall
• Azure Application Gateway
• Azure Front Door

Praktik terbaik

Ikuti praktik terbaik ini untuk meningkatkan keamanan, keandalan, performa, dan kualitas operasional beban kerja keamanan Anda pada Azure:

• Prinsip desain keamanan: Prinsip panduan untuk membantu Anda merancang beban kerja yang aman pada Azure, berdasarkan model Zero Trust dan triad CIA kerahasiaan, integritas, dan ketersediaan.

• Tautan cepat keamanan: Halaman hub untuk pilar Well-Architected Framework Security yang menyediakan tautan ke panduan keamanan, pola desain, dan praktik terbaik.

• Daftar periksa tinjauan desain untuk Keamanan: Daftar periksa rekomendasi untuk tinjauan desain keamanan yang mencakup identitas, jaringan, perlindungan data, dan tata kelola.

• Azure Firewall dan Azure Application Gateway untuk jaringan virtual: Panduan untuk membantu Anda melindungi beban kerja aplikasi Azure dengan menggunakan lapisan keamanan autentikasi, enkripsi, dan jaringan dengan Azure Firewall dan Azure Application Gateway.

• Menimplementasikan jaringan Zero Trust untuk aplikasi web dengan menggunakan Azure Firewall dan Azure Application Gateway: Pendekatan proaktif dan terintegrasi untuk keamanan di semua lapisan dengan menggunakan prinsip-prinsip Zero Trust dan enkripsi dan inspeksi TLS end-to-end.

• Microsoft tolok ukur keamanan cloud: Praktik dan rekomendasi terbaik preskriptif untuk membantu meningkatkan keamanan beban kerja, data, dan layanan di lingkungan Azure dan multicloud.

Tetap terupdate dengan keamanan

Azure layanan keamanan berkembang untuk mengatasi tantangan keamanan modern. Tetap mendapatkan informasi tentang pembaruan dan fitur terbaru.

Untuk tetap terkini dengan layanan keamanan utama, lihat artikel berikut ini:

• Apa yang baru di Microsoft Defender untuk Cloud
• Rilis dan pengumuman Microsoft Entra
• Yang baru untuk Azure Key Vault
• Apa yang baru di Microsoft Sentinel
• Yang baru di Azure Firewall
• Apa yang baru di Azure Application Gateway

Sumber daya lain

Kategori keamanan mencakup berbagai solusi. Sumber daya berikut ini dapat membantu Anda menemukan lebih lanjut tentang Azure.

Contoh solusi

Solusi arsitektur berikut menunjukkan pola dan implementasi keamanan pada Azure:

• akses keamanan yang ditingkatkan ke aplikasi web Azure App Service dari jaringan lokal
• Aplikasi web yang dikelola dengan aman
• Aplikasi web standar redundan zona yang sangat tersedia
• Telusuri semua arsitektur keamanan

Dokumentasi produk

• Keamanan menyeluruh di Azure: Pengantar layanan keamanan di Azure, diatur oleh kemampuan perlindungan, deteksi, dan respons.

• Microsoft Arsitektur Referensi Keamanan Cyber: Diagram yang menjelaskan bagaimana kemampuan keamanan Microsoft berintegrasi dengan platform Microsoft dan platform mitra dengan menggunakan prinsip Zero Trust.

Hibrid dan multicloud

Sebagian besar organisasi memerlukan pendekatan hibrid untuk keamanan karena beban kerja, identitas, dan data mereka mencakup pusat data lokal, Azure, dan platform cloud lainnya. Kebijakan keamanan, deteksi ancaman, dan kontrol kepatuhan harus meluas di semua lingkungan ini untuk menghindari kesenjangan yang dapat dieksploitasi penyerang. Organisasi biasanya perluas solusi keamanan lokal ke cloud dan menggunakan Azure Arc untuk memproyeksikan sumber daya yang tidak Azure ke dalam sarana kontrol Azure untuk tata kelola terpusat. Untuk menghubungkan lingkungan, organisasi harus memilih arsitektur jaringan hibrid.

Tinjau skenario keamanan hibrid dan multicloud utama berikut:

• Menimplementasikan jaringan hibrid yang aman: Arsitektur referensi yang memperluas jaringan lokal ke Azure. Ini menggunakan jaringan perimeter (juga dikenal sebagai DMZ, zona demiliterisasi, dan subnet yang disaring) dan Azure Firewall untuk mengontrol lalu lintas masuk dan keluar antara lingkungan lokal dan Azure.

• Menyambungkan jaringan lokal ke Azure: Perbandingan opsi konektivitas jaringan hibrid, termasuk Azure VPN Gateway, Azure ExpressRoute, dan Azure ExpressRoute dengan failover VPN, yang menetapkan fondasi jaringan aman untuk penyebaran hibrid.

• Desain arsitektur hibrid: Halaman hub untuk arsitektur hibrid di Azure, yang mencakup konektivitas jaringan hibrid, praktik terbaik, dan arsitektur referensi untuk menjalankan beban kerja di lingkungan lokal maupun di Azure.

• Desain solusi DNS hibrid dengan menggunakan Azure: Arsitektur referensi yang mengimplementasikan solusi Sistem Nama Domain (DNS) hibrid yang menyelesaikan nama untuk beban kerja yang dihosting di tempat dan di Azure. Arsitektur ini menggunakan Azure DNS Private Resolver dan Azure Firewall.

• Menerapkan adopsi hibrid dan multicloud menggunakan Azure Arc dan zona pendaratan Azure: Panduan untuk mengintegrasikan server lokal, kluster Kubernetes, dan layanan multicloud ke dalam rencana kontrol Azure dengan menggunakan Azure Arc. Arsitektur ini menggunakan Microsoft Defender untuk Cloud untuk memungkinkan penegakan kebijakan terpusat, pemantauan, dan perlindungan ancaman.

• Integrate layanan keamanan Azure dan Microsoft Defender XDR: Ide solusi yang mengintegrasikan Microsoft Sentinel, Microsoft Defender untuk Cloud, dan Microsoft Defender XDR untuk menyatukan pemantauan keamanan dan respons ancaman di seluruh lingkungan lokal dan cloud.

Pengelolaan identitas dan akses

Identitas adalah perimeter keamanan utama di lingkungan cloud. Di Azure, IAM berpusat pada Microsoft Entra ID sebagai idP berbasis cloud. Akses Bersyarat Microsoft Entra berfungsi sebagai mesin kebijakan Zero Trust. Arsitektur dan panduan berikut membahas pola desain IAM untuk lingkungan Azure dan multicloud:

• Integrasi domain Active Directory lokal dengan Microsoft Entra ID: Arsitektur referensi yang mengintegrasikan Active Directory lokal dengan Microsoft Entra ID untuk menyediakan autentikasi identitas berbasis cloud, termasuk Microsoft Entra Connect Sync, proksi aplikasi Microsoft Entra, dan Akses Bersyarat Microsoft Entra.

• Desain arsitektur identitas: Halaman hub untuk arsitektur identitas di Azure yang mencakup jalur pembelajaran, opsi desain, panduan implementasi, dan implementasi identitas dasar.

• Membuat hutan sumber daya Active Directory Domain Services (AD DS) di Azure: Arsitektur Referensi yang membuat domain Direktori Aktif terpisah di Azure, yang dipercaya oleh domain dalam hutan Direktori Aktif lokal.

• Deploy AD DS dalam jaringan virtual Azure: Arsitektur referensi yang memperluas domain Active Directory lokal ke Azure untuk menyediakan layanan autentikasi terdistribusi.

• Extend AD FS lokal untuk Azure: Arsitektur referensi yang mengimplementasikan otorisasi Layanan Federasi Direktori Aktif (AD FS) di Azure sebagai bagian dari jaringan hibrid yang aman.

Perlindungan terhadap ancaman

Perlindungan ancaman mencakup alat, pola, dan praktik yang mendeteksi, mencegah, dan merespons ancaman keamanan di seluruh beban kerja Azure. Azure memberikan perlindungan ancaman berlapis melalui layanan seperti Microsoft Defender untuk Cloud, Microsoft Sentinel, dan Perlindungan Microsoft Entra ID. Layanan ini menggunakan analitik perilaku, pembelajaran mesin, dan inteligensi ancaman untuk mendeteksi ancaman di seluruh lapisan komputasi, penyimpanan, jaringan, identitas, dan aplikasi.

Arsitektur dan panduan berikut membahas pola perlindungan ancaman pada Azure:

• perlindungan berlapis-lapis untuk akses komputer virtual (VM) Azure: Solusi pertahanan mendalam yang menggabungkan Microsoft Entra Privileged Identity Management (PIM), akses VM just-in-time (JIT) di Microsoft Defender untuk Cloud, Azure Bastion, dan peran kustom Azure role-based access control (Azure RBAC) untuk meminimalkan permukaan serangan dalam pengelolaan VM.

• Bangun lapisan pertahanan pertama dengan menggunakan layanan keamanan Azure: Ide solusi yang memetakan layanan keamanan Azure ke jenis ancaman dan sumber daya dengan menggunakan kerangka kerja MITRE ATT&CK. Artikel ini mengatur Azure layanan keamanan berdasarkan jaringan, infrastruktur, aplikasi, data, dan lapisan identitas.

• Memetakan ancaman ke lingkungan TI Anda: Panduan yang membantu Anda mendiagram lingkungan TI Anda dan membuat peta ancaman dengan menggunakan kerangka kerja MITRE ATT&CK. Ini mencakup lingkungan lokal, Azure, dan Microsoft 365.

• Integrate Azure dan layanan keamanan Microsoft Defender XDR: Ide solusi yang menunjukkan cara mengintegrasikan Microsoft Sentinel, Microsoft Defender untuk Cloud, dan Microsoft Defender XDR untuk pemantauan keamanan terpadu dan respons ancaman di seluruh lingkungan lokal dan cloud.

• Respons otomatis Microsoft Sentinel: Ide solusi yang menggunakan playbook dan Azure Logic Apps dari Microsoft Sentinel untuk mengotomatiskan respons ancaman, termasuk memblokir pengguna yang telah disusupi dan mengisolasi titik akhir.

• Terapkan Prinsip Zero Trust pada VM di Azure: Panduan langkah demi langkah untuk menerapkan prinsip-prinsip Zero Trust pada mesin virtual (VM) di Azure, termasuk isolasi logis, RBAC, boot aman, enkripsi, akses aman dengan menggunakan Azure Bastion, dan deteksi ancaman tingkat lanjut dengan menggunakan Microsoft Defender untuk Server.

• Azure perlindungan ancaman: Gambaran umum tentang layanan perlindungan ancaman Azure, termasuk Microsoft Defender untuk Cloud, Microsoft Sentinel, Perlindungan Microsoft Entra ID, Microsoft Defender for Cloud Apps, dan Azure Firewall.

Profesional Amazon Web Services (AWS) atau Google Cloud

Untuk membantu Anda memulai dengan cepat, artikel berikut membandingkan opsi keamanan Azure dengan layanan cloud lainnya.

Perbandingan layanan

• Compare AWS dan solusi manajemen identitas Azure: Perbandingan terperinci layanan identitas AWS dan Azure, termasuk identitas inti, autentikasi, kontrol akses, manajemen akses istimewa, dan pola identitas aplikasi.

• AWS dengan perbandingan layanan Azure - Keamanan, identitas, dan akses: Perbandingan layanan keamanan AWS dan Azure, termasuk IAM, enkripsi, firewall, deteksi ancaman, informasi keamanan dan manajemen peristiwa (SIEM), dan perlindungan DDoS.

• Google Cloud dengan perbandingan layanan Azure - Keamanan dan identitas: Perbandingan Google Cloud dan layanan keamanan Azure. Ini mencakup autentikasi, enkripsi, manajemen kunci, deteksi ancaman, SIEM, keamanan kontainer, dan pencegahan kehilangan data (DLP).

• Microsoft Entra manajemen identitas dan manajemen akses untuk AWS: Panduan untuk menyebarkan solusi IAM Microsoft Entra untuk AWS, termasuk SSO, MFA, Akses Bersyarat Microsoft Entra, dan Microsoft Entra PIM untuk akun AWS.

Panduan migrasi

Jika Anda bermigrasi dari platform cloud lain, lihat artikel berikut ini:

• Migrasikan layanan keamanan dari AWS: Panduan untuk memigrasikan layanan keamanan AWS ke Azure, termasuk migrasi SIEM ke Microsoft Sentinel dan migrasi identitas pelanggan ke Microsoft Entra External ID.

• Memigrasikan beban kerja ke Azure dari platform cloud lainnya: Gambaran umum proses migrasi beban kerja end-to-end dari AWS dan Google Cloud ke Azure, termasuk fase perencanaan, persiapan, dan eksekusi.