Bagikan melalui

Panduan Koneksi Internet Tepercaya

Artikel ini menjelaskan bagaimana Anda dapat menggunakan fitur keamanan di layanan cloud Azure untuk membantu mencapai kepatuhan dengan inisiatif Koneksi Internet Tepercaya (TIC). Ini berlaku untuk lingkungan layanan cloud Azure dan Azure Government, dan mencakup implikasi TIC untuk infrastruktur Azure sebagai layanan (IaaS) dan model layanan cloud platform as a service (PaaS) Azure.

Gambaran umum Koneksi Internet Tepercaya

Tujuan dari inisiatif TIC adalah untuk meningkatkan keamanan jaringan di seluruh pemerintah federal AS. Tujuan ini awalnya diwujudkan dengan mengonsolidasikan koneksi eksternal dan merutekan semua lalu lintas jaringan melalui perangkat yang disetujui di titik akses TIC. Selama tahun-tahun tersebut, komputasi awan menjadi mapan, membuka jalan untuk arsitektur keamanan modern dan pergeseran dari fokus utama pada keamanan perimeter. Oleh karena itu, inisiatif TIC berevolusi untuk memberikan peningkatan fleksibilitas kepada lembaga federal untuk menggunakan kemampuan keamanan modern.

Panduan TIC 2.0

Inisiatif TIC awalnya diuraikan dalam Office of Management and Budget (OMB) Memorandum M-08-05 dirilis pada November 2007, dan disebut dalam artikel ini sebagai panduan TIC 2.0. Program TIC dimaknai untuk meningkatkan fungsi keamanan perimeter jaringan federal dan respons insiden. TIC awalnya dirancang untuk melakukan analisis jaringan dari semua lalu lintas .gov masuk dan keluar. Tujuannya adalah untuk mengidentifikasi pola tertentu dalam aliran data jaringan dan mengungkap anomali perilaku, seperti aktivitas botnet. Agensi diamanatkan untuk mengonsolidasikan koneksi jaringan eksternal mereka dan merutekan semua lalu lintas melalui perangkat deteksi dan pencegahan intrusi yang dikenal sebagai EINSTEIN. Perangkat dihosting pada sejumlah titik akhir jaringan terbatas, yang disebut sebagai koneksi internet tepercaya .

Tujuan TIC adalah untuk agensi untuk mengetahui:

  • Siapa yang ada di jaringan saya (berwenang atau tidak sah)?
  • Kapan jaringan saya diakses dan mengapa?
  • Sumber daya apa yang diakses?

Di bawah TIC 2.0, semua koneksi eksternal agensi harus merutekan melalui TIC yang disetujui OMB. Lembaga federal diharuskan untuk berpartisipasi dalam program TIC sebagai Penyedia Akses TIC (TICAP), atau dengan mengontrak layanan dengan salah satu penyedia layanan internet Tier 1 utama. Penyedia ini disebut sebagai penyedia Managed Trusted Internet Protocol Service (MTIPS). TIC 2.0 mencakup kemampuan penting wajib yang dilakukan oleh agensi dan penyedia MTIPS. Dalam TIC 2.0, deteksi intrusi EINSTEIN versi 2 dan perangkat pencegahan intrusi EINSTEIN versi 3 dipercepat (3A) disebarkan di setiap TICAP dan MTIPS. Badan ini menetapkan Nota Kesepahaman dengan Departemen Keamanan Dalam Negeri (DHS) untuk menyebarkan kemampuan EINSTEIN ke sistem federal.

Sebagai bagian dari tanggung jawabnya untuk melindungi jaringan .gov, DHS memerlukan umpan data mentah dari data aliran bersih agensi untuk menghubungkan insiden di seluruh perusahaan federal dan melakukan analisis dengan menggunakan alat khusus. Router DHS memungkinkan pengumpulan lalu lintas jaringan IP saat masuk atau keluar dari antarmuka. Administrator jaringan dapat menganalisis data aliran bersih untuk menentukan sumber dan tujuan lalu lintas, kelas layanan, dan parameter lainnya. Data aliran bersih dianggap sebagai "data non-konten" seperti header, IP sumber, IP tujuan, dan sebagainya. Data non-konten memungkinkan DHS untuk mempelajari tentang konten: siapa yang melakukan apa dan berapa lama.

Inisiatif TIC 2.0 juga mencakup kebijakan keamanan, pedoman, dan kerangka kerja yang mengasumsikan infrastruktur lokal. Lembaga pemerintah pindah ke cloud untuk mencapai penghematan biaya, efisiensi operasional, dan inovasi. Namun, persyaratan implementasi TIC 2.0 dapat memperlambat lalu lintas jaringan. Kecepatan dan kelincahan di mana pengguna pemerintah dapat mengakses data berbasis cloud mereka terbatas sebagai akibatnya.

Panduan TIC 3.0

Pada bulan September 2019, OMB merilis Memorandum M-19-26 yang membatalkan nota terkait TIC sebelumnya dan memperkenalkan panduan TIC 3.0. Nota OMB sebelumnya mengharuskan lalu lintas agensi mengalir melalui titik akses TIC fisik, yang telah terbukti menjadi hambatan untuk adopsi infrastruktur berbasis cloud. Misalnya, TIC 2.0 berfokus secara eksklusif pada keamanan perimeter dengan menyalurkan semua data agensi masuk dan keluar melalui titik akses TIC. Sebaliknya, TIC 3.0 mengenali kebutuhan untuk memperhitungkan beberapa arsitektur keamanan dan beragam daripada pendekatan keamanan perimeter tunggal. Fleksibilitas ini memungkinkan lembaga untuk memilih cara menerapkan kemampuan keamanan dengan cara yang paling sesuai dengan arsitektur jaringan mereka secara keseluruhan, pendekatan manajemen risiko, dan banyak lagi.

Untuk mengaktifkan fleksibilitas ini, Cybersecurity & Infrastructure Security Agency (CISA) bekerja sama dengan lembaga federal untuk melakukan pilot di lingkungan agensi yang beragam, yang mengakibatkan pengembangan kasus penggunaan TIC 3.0. Untuk implementasi TIC 3.0, CISA mendorong lembaga untuk menggunakan Dokumen Panduan Inti TIC 3.0 bersama dengan National Institute of Standards and Technology (NIST) Kerangka Kerja Keamanan Siber (CSF) dan NIST SP 800-53Kontrol Keamanan dan Privasi untuk Sistem Informasi dan Organisasi Federal. Dokumen-dokumen ini dapat membantu lembaga merancang arsitektur jaringan yang aman dan menentukan persyaratan yang sesuai dari penyedia layanan cloud.

TIC 3.0 melengkapi inisiatif federal lainnya yang berfokus pada adopsi cloud seperti Federal Risk and Authorization Management Program (FedRAMP), yang didasarkan pada standar NIST SP 800-53 yang ditambah oleh kontrol FedRAMP dan peningkatan kontrol. Agensi dapat menggunakan otorisasi sementara FedRAMP High yang ada pada Azure dan Azure Government untuk beroperasi (P-ATO) yang dikeluarkan oleh Dewan Otorisasi Bersama FedRAMP. Mereka juga dapat menggunakan dukungan Azure dan Azure Government untuk CSF NIST. Untuk membantu agensi dengan implementasi TIC 3.0 saat memilih kemampuan keamanan berbasis cloud, CISA telah memetakan kemampuan TIC ke NIST CSF dan NIST SP 800-53. Misalnya, tujuan keamanan TIC 3.0 dapat dipetakan ke lima fungsi CSF NIST, termasuk Identifikasi, Lindungi, Deteksi, Respons, dan Pulihkan. Kemampuan keamanan TIC dipetakan ke CSF NIST di Katalog Kemampuan Keamanan TIC 3.0 yang tersedia dari Dokumen Panduan Inti TIC 3.0.

TIC 3.0 adalah panduan keamanan cyber non-preskriptif yang dikembangkan untuk memberi agensi fleksibilitas untuk menerapkan kemampuan keamanan yang sesuai dengan tingkat toleransi risiko spesifik mereka. Meskipun panduan ini mengharuskan lembaga untuk mematuhi semua persyaratan telemetri yang berlaku seperti Sistem Perlindungan Keamanan Cyber Nasional (NCPS) dan Diagnosis dan Mitigasi Berkelanjutan (CDM), TIC 3.0 saat ini hanya mengharuskan lembaga untuk membuktikan sendiri kepatuhan mereka terhadap panduan TIC.

Dengan TIC 3.0, agensi dapat mempertahankan implementasi TIC 2.0 warisan yang menggunakan titik akses TIC sambil mengadopsi kemampuan TIC 3.0. CISA memberikan panduan tentang cara menerapkan model TIC tradisional di TIC 3.0, yang dikenal sebagai Traditional TIC Use Case.

Sisa artikel ini menyediakan panduan yang berkaitan dengan kemampuan Azure yang diperlukan untuk implementasi TIC 2.0 warisan; namun, beberapa panduan ini juga berguna untuk persyaratan TIC 3.0.

Opsi jaringan Azure

Ada empat opsi utama untuk menyambungkan ke layanan Azure:

  • Koneksi internet langsung - Sambungkan ke layanan Azure secara langsung melalui koneksi internet terbuka. Media dan koneksi bersifat publik. Enkripsi tingkat aplikasi dan transportasi diandalkan untuk memastikan perlindungan data. Bandwidth dibatasi oleh konektivitas situs ke internet. Gunakan lebih dari satu penyedia aktif untuk memastikan ketahanan.
  • Virtual Private Network (VPN) – Sambungkan ke jaringan virtual Azure Anda secara privat dengan menggunakan gateway VPN. Media bersifat publik karena melintasi koneksi internet standar situs, tetapi koneksi dienkripsi dalam terowongan untuk memastikan perlindungan data. Bandwidth terbatas tergantung pada perangkat VPN dan konfigurasi yang Anda pilih. Koneksi titik-ke-situs Azure biasanya dibatasi hingga 100 Mbps. Koneksi situs-ke-situs berkisar dari 100 Mbps hingga 10 Gbps.
  • Azure ExpressRoute – ExpressRoute adalah koneksi langsung ke layanan Microsoft. ExpressRoute menggunakan penyedia di lokasi peering untuk menyambungkan ke router edge Microsoft Enterprise. ExpressRoute menggunakan jenis peering yang berbeda untuk layanan IaaS dan PaaS/SaaS, peering privat, dan peering Microsoft. Bandwidth berkisar dari 50 Mbps hingga 10 Gbps.
  • Azure ExpressRoute Direct – ExpressRoute Direct memungkinkan koneksi serat optik langsung dari tepi Anda ke router tepi Microsoft Enterprise di lokasi peering. ExpressRoute Direct menghilangkan kebutuhan akan penyedia konektivitas pihak ketiga dalam langkah-langkah koneksi yang diperlukan. Bandwidth berkisar dari 10 Gbps hingga 100 Gbps.

Untuk mengaktifkan koneksi dari agensi ke Azure atau Microsoft 365, tanpa merutekan lalu lintas melalui agensi TIC, agensi harus menggunakan:

  • Terowongan terenkripsi, atau
  • Koneksi khusus ke penyedia layanan cloud (CSP).

Layanan CSP dapat memastikan bahwa konektivitas ke aset cloud agensi tidak ditawarkan melalui Internet publik untuk akses personel agensi langsung.

Hanya untuk Azure, opsi kedua (VPN) dan opsi ketiga (ExpressRoute) dapat memenuhi persyaratan ini saat digunakan dengan layanan yang membatasi akses ke Internet.

Microsoft 365 mematuhi panduan TIC dengan menggunakan ExpressRoute dengan Microsoft Peering diaktifkan atau koneksi Internet yang mengenkripsi semua lalu lintas dengan menggunakan Transport Layer Security (TLS) 1.2. Pengguna akhir agensi di jaringan agensi dapat terhubung melalui jaringan agensi dan infrastruktur TIC mereka melalui Internet. Semua akses Internet jarak jauh ke Microsoft 365 diblokir dan dirutekan melalui agensi.

pilihan jaringan Azure untuk kepatuhan TIC

Penawaran Azure IaaS

Kepatuhan terhadap kebijakan TIC dengan menggunakan Azure IaaS relatif sederhana karena pelanggan Azure mengelola perutean jaringan virtual mereka sendiri.

Persyaratan utama untuk membantu memastikan kepatuhan terhadap arsitektur referensi TIC 2.0 adalah memastikan jaringan virtual Anda adalah ekstensi privat dari jaringan agensi. Agar menjadi ekstensi privat, kebijakan tersebut mengharuskan bahwa tidak ada lalu lintas yang diizinkan untuk meninggalkan jaringan Anda kecuali melalui koneksi jaringan TIC di lokasi Anda. Proses ini dikenal sebagai penerowongan paksa. Untuk kepatuhan TIC 2.0, proses ini mengalihkan semua lalu lintas dari sistem apa pun di lingkungan CSP melalui gerbang jaringan lokal di jaringan organisasi ke Internet melalui TIC.

Kepatuhan Azure IaaS TIC dibagi menjadi dua langkah utama:

  • Langkah 1: Konfigurasi
  • Langkah 2: Audit

Kepatuhan Azure IaaS TIC: Konfigurasi

Untuk mengonfigurasi arsitektur yang mematuhi TIC dengan Azure, Anda harus terlebih dahulu mencegah akses Internet langsung ke jaringan virtual Anda, lalu memaksa lalu lintas Internet melalui jaringan lokal.

Mencegah akses Internet langsung

Jaringan Azure IaaS dilakukan melalui jaringan virtual yang terdiri dari subnet tempat kartu antarmuka jaringan (NIC) komputer virtual dikaitkan.

Skenario paling sederhana untuk mendukung kepatuhan TIC adalah memastikan bahwa komputer virtual, atau kumpulan komputer virtual, tidak dapat terhubung ke sumber daya eksternal apa pun. Anda dapat memastikan pemutusan sambungan dari jaringan eksternal dengan menggunakan grup keamanan jaringan. Gunakan grup keamanan jaringan untuk mengontrol lalu lintas ke satu atau beberapa NIC atau subnet di jaringan virtual Anda. Grup keamanan jaringan berisi aturan kontrol akses yang mengizinkan atau menolak lalu lintas berdasarkan arah lalu lintas, protokol, alamat sumber dan port, serta alamat dan port tujuan. Anda dapat mengubah aturan grup keamanan jaringan kapan saja, dan perubahan diterapkan ke semua instans terkait. Untuk mempelajari selengkapnya tentang cara membuat grup keamanan jaringan, lihat Memfilter lalu lintas jaringan dengan kelompok keamanan jaringan.

Memaksa lalu lintas Internet melalui jaringan di lokasi

Azure membuat rute sistem secara otomatis dan menetapkan rute ke setiap subnet dalam jaringan virtual. Anda tidak dapat membuat atau menghapus rute sistem, tetapi Anda dapat mengambil alih rute sistem dengan rute kustom. Azure membuat rute sistem default untuk setiap subnet. Azure menambahkan rute default opsional ke subnet tertentu, atau setiap subnet, saat Anda menggunakan kemampuan Azure tertentu. Jenis perutean ini memastikan:

  • Lalu lintas yang ditujukan dalam jaringan virtual tetap berada dalam jaringan virtual.
  • Ruang alamat privat yang ditetapkan Internet Assigned Numbers Authority (IANA) seperti 10.0.0.0/8 dihilangkan, kecuali jika disertakan dalam ruang alamat jaringan virtual.
  • Pengaturan jalur terakhir 0.0.0.0/0 ke titik akhir jaringan virtual Internet.

penerowongan gaya TIC

Semua lalu lintas yang meninggalkan jaringan virtual perlu dirutekan melalui koneksi lokal, untuk memastikan bahwa semua lalu lintas melintasi agensi TIC. Anda membuat rute kustom dengan membuat rute yang ditentukan pengguna, atau dengan bertukar rute Border Gateway Protocol (BGP) antara gateway jaringan lokal Anda dan gateway Azure VPN.

Menambahkan rute yang ditentukan pengguna

Jika Anda menggunakan gateway jaringan virtual berbasis rute, Anda dapat menggunakan penerowongan paksa di Azure. Tambahkan rute yang ditentukan pengguna yang mengarahkan lalu lintas 0.0.0.0/0 ke langkah berikutnya dari gateway jaringan virtual Anda. Azure memprioritaskan rute yang ditentukan pengguna melalui rute yang ditentukan sistem. Semua lalu lintas jaringan non-virtual dikirim ke gateway jaringan virtual Anda, yang kemudian dapat merutekan lalu lintas ke lokal. Setelah Anda menentukan rute yang ditentukan pengguna, kaitkan rute dengan subnet yang ada atau subnet baru dalam semua jaringan virtual di lingkungan Azure Anda.

Rute yang ditentukan pengguna dan TIC

Menggunakan Protokol Gateway Batas

Jika Anda menggunakan ExpressRoute atau gateway jaringan virtual dengan dukungan BGP, BGP adalah mekanisme yang disukai untuk rute iklan. Untuk rute BGP yang diumumkan 0.0.0.0/0, gateway jaringan virtual yang mendukung ExpressRoute dan BGP memastikan rute default berlaku untuk semua subnet dalam jaringan virtual Anda.

Kepatuhan Azure IaaS TIC: Pengauditan

Azure menawarkan beberapa cara untuk mengaudit kepatuhan TIC.

Lihat rute efektif

Konfirmasikan penyebaran rute default Anda dengan mengamati rute efektif untuk komputer virtual tertentu, NIC tertentu, atau tabel rute yang ditentukan pengguna di portal Microsoft Azure atau di Azure PowerShell. Rute Efektif menunjukkan rute yang ditentukan pengguna yang relevan, rute yang diiklankan BGP, dan rute sistem yang berlaku untuk entitas yang relevan, seperti yang ditunjukkan pada gambar berikut:

Rute efektif

Nota

Anda tidak dapat melihat rute efektif untuk NIC, kecuali NIC dikaitkan dengan komputer virtual yang sedang berjalan.

Menggunakan Azure Network Watcher

Network Watcher menawarkan beberapa alat untuk mengaudit kepatuhan TIC. Untuk informasi selengkapnya, lihat gambaran umum Azure Network Watcher.

Mengumpulkan log alur grup keamanan jaringan

Gunakan Network Watcher untuk menangkap log alur jaringan yang menunjukkan metadata yang mengelilingi lalu lintas IP. Log alur jaringan berisi alamat sumber dan tujuan target, dan data lainnya. Anda dapat menggunakan data ini dengan log dari gateway jaringan virtual, perangkat tepi lokal, atau TIC, untuk memantau bahwa semua rute lalu lintas lokal.

Penawaran Azure PaaS

Layanan Azure PaaS, seperti Azure Storage, dapat diakses melalui URL yang dapat dijangkau internet. Siapa pun dengan kredensial yang disetujui dapat mengakses sumber daya, seperti akun penyimpanan, dari lokasi mana pun tanpa melintasi TIC. Untuk alasan ini, banyak pelanggan pemerintah salah menyimpulkan bahwa layanan Azure PaaS tidak mematuhi kebijakan TIC 2.0. Namun, banyak layanan Azure PaaS dapat mematuhi kebijakan TIC 2.0. Layanan sesuai ketika arsitektur sama dengan lingkungan IaaS yang mematuhi TIC (seperti yang dijelaskan sebelumnya) dan layanan dilampirkan ke jaringan virtual Azure.

Saat layanan Azure PaaS terintegrasi dengan jaringan virtual, layanan dapat diakses secara privat dari jaringan virtual tersebut. Anda dapat menerapkan routing kustom untuk 0.0.0.0/0 melalui route yang ditentukan pengguna atau BGP. Pengaturan rute kustom memastikan bahwa semua lalu lintas menuju Internet dirutekan melalui sistem di lokasi untuk melintasi TIC. Integrasikan layanan Azure ke dalam jaringan virtual dengan menggunakan pola berikut:

  • Menyebarkan instans khusus layanan – Semakin banyak layanan PaaS bisa dideploy sebagai instans khusus dengan titik akhir yang terhubung ke jaringan virtual, kadang-kadang disebut injeksi VNet. Anda dapat menyebarkan Lingkungan App Service dalam mode terisolasi untuk memungkinkan titik akhir jaringan dibatasi ke jaringan virtual. Lingkungan App Service kemudian dapat menghosting banyak layanan Azure PaaS, seperti Web Apps, API Management, dan Functions. Untuk informasi selengkapnya, lihat Menyebarkan layanan Azure khusus ke jaringan virtual.
  • Menggunakan titik akhir layanan jaringan virtual – Meningkatnya jumlah layanan PaaS memungkinkan opsi untuk memindahkan titik akhir mereka ke IP privat jaringan virtual alih-alih alamat publik. Untuk informasi selengkapnya, lihat Titik akhir layanan Virtual Network.
  • Gunakan Azure Private Link – Sediakan layanan bersama dengan titik akhir privat di jaringan virtual Anda. Lalu lintas antara jaringan virtual Anda dan layanan melintasi jaringan backbone Microsoft dan tidak melintasi Internet publik. Untuk informasi selengkapnya, lihat Azure Private Link.

Detail integrasi jaringan virtual

Diagram berikut menunjukkan alur jaringan umum untuk akses ke layanan Azure PaaS. Akses ditampilkan dari injeksi jaringan virtual dan terowongan layanan jaringan virtual. Untuk informasi selengkapnya tentang gateway layanan jaringan, jaringan virtual, dan tag layanan, lihat tag layanan jaringan virtual .

opsi konektivitas PaaS untuk TIC

  1. Koneksi privat dibuat ke Azure dengan menggunakan ExpressRoute. Peering privat ExpressRoute dengan penerowongan paksa digunakan untuk memaksa semua lalu lintas suatu jaringan virtual pelanggan melewati ExpressRoute dan kembali ke lokasi lokal. Microsoft Peering tidak diperlukan.
  2. Azure VPN Gateway, saat digunakan dengan ExpressRoute dan Microsoft Peering, dapat melapisi enkripsi IPsec end-to-end antara jaringan virtual pelanggan dan tepi lokal.
  3. Konektivitas jaringan ke jaringan virtual pelanggan dikontrol dengan menggunakan kelompok keamanan jaringan yang memungkinkan pelanggan untuk mengizinkan/menolak lalu lintas berdasarkan IP, port, dan protokol.
  4. Lalu lintas ke dan dari jaringan virtual privat pelanggan dipantau melalui Azure Network Watcher dan data dianalisis menggunakan Analitik Log dan Pertahanan Microsoft untuk Cloud.
  5. Jaringan virtual pelanggan meluas ke layanan PaaS dengan membuat titik akhir layanan untuk layanan pelanggan.
  6. Titik akhir layanan PaaS diamankan untuk default menolak semua dan hanya mengizinkan akses dari subnet tertentu dalam jaringan virtual pelanggan. Mengamankan sumber daya layanan ke jaringan virtual memberikan keamanan yang ditingkatkan dengan sepenuhnya menghapus akses Internet publik ke sumber daya dan mengizinkan lalu lintas hanya dari jaringan virtual Anda.
  7. Layanan Azure lainnya yang perlu mengakses sumber daya dalam jaringan virtual pelanggan harus:
    • Disebarkan langsung ke jaringan virtual, atau
    • Diizinkan secara selektif berdasarkan panduan dari layanan Azure masing-masing.

Opsi A: Menyebarkan instans khusus layanan (injeksi jaringan virtual)

Injeksi jaringan virtual memungkinkan pelanggan untuk secara selektif menyebarkan instans khusus dari layanan Azure tertentu, seperti HDInsight, ke jaringan virtual mereka sendiri. Instans layanan disebarkan ke subnet khusus di jaringan virtual pelanggan. Injeksi jaringan virtual memungkinkan akses ke sumber daya layanan melalui alamat yang tidak dapat dirutekan internet. Instans lokal menggunakan ExpressRoute atau VPN situs-ke-situs untuk langsung mengakses instans layanan melalui ruang alamat jaringan virtual, alih-alih membuka firewall ke ruang alamat internet publik. Ketika instans khusus terhubung ke titik akhir, Anda dapat menggunakan strategi kepatuhan IaaS TIC yang sama. Perutean baku memastikan lalu lintas menuju Internet dialihkan ke gateway jaringan virtual yang menuju ke lokal. Anda selanjutnya dapat mengontrol akses masuk dan keluar melalui grup keamanan jaringan untuk subnet yang diberikan.

Gambaran umum injeksi jaringan virtual

Opsi B: Gunakan titik akhir layanan jaringan virtual (terowongan layanan)

Semakin banyak layanan multi-penyewa Azure menawarkan titik akhir layanan . Titik akhir layanan adalah metode alternatif untuk mengintegrasikan ke jaringan virtual Azure. Titik akhir layanan jaringan virtual memperluas ruang alamat IP jaringan virtual Anda dan identitas jaringan virtual Anda ke layanan melalui koneksi langsung. Lalu lintas dari jaringan virtual ke layanan Azure selalu berada dalam jaringan backbone Azure.

Setelah Anda mengaktifkan titik akhir layanan untuk layanan, gunakan kebijakan yang diekspos oleh layanan untuk membatasi koneksi untuk layanan ke jaringan virtual tersebut. Pemeriksaan akses diberlakukan di platform oleh layanan Azure. Akses ke sumber daya terkunci diberikan hanya jika permintaan berasal dari jaringan virtual atau subnet yang diizinkan, atau dari dua IP yang digunakan untuk mengidentifikasi lalu lintas lokal Anda jika Anda menggunakan ExpressRoute. Gunakan metode ini untuk mencegah lalu lintas masuk/keluar secara efektif meninggalkan layanan PaaS secara langsung.

gambaran umum titik akhir layanan

Anda dapat menggunakan Azure Private Link untuk mengakses layanan Azure PaaS dan layanan pelanggan atau mitra yang dihosting Azure melalui titik akhir privat di jaringan virtual Anda, memastikan bahwa lalu lintas antara jaringan virtual Anda dan layanan berjalan di seluruh jaringan backbone global Microsoft. Pendekatan ini menghilangkan kebutuhan untuk mengekspos layanan ke Internet publik. Anda juga dapat membuat layanan tautan privat Anda sendiri di jaringan virtual Anda sendiri dan mengirimkannya kepada pelanggan Anda.

Titik akhir privat Azure adalah antarmuka jaringan yang menghubungkan Anda secara privat dan aman ke layanan yang didukung oleh Azure Private Link. Titik akhir privat menggunakan alamat IP privat dari jaringan virtual Anda, yang secara efektif membawa layanan ke jaringan virtual Anda.

Alat untuk kesadaran situasi jaringan

Azure menyediakan alat cloud-native untuk membantu memastikan bahwa Anda memiliki kesadaran situasi yang diperlukan untuk memahami arus lalu lintas jaringan Anda. Alat ini tidak diperlukan untuk kepatuhan terhadap kebijakan TIC. Namun, alat ini dapat sangat meningkatkan kemampuan keamanan Anda.

Azure Policy

Azure Policy adalah layanan Azure yang memberi organisasi Anda kemampuan yang lebih baik untuk mengaudit dan menegakkan inisiatif kepatuhan. Anda dapat merencanakan dan menguji aturan Azure Policy Anda sekarang untuk memastikan kepatuhan TIC di masa mendatang.

Azure Policy ditargetkan pada tingkat langganan. Layanan ini menyediakan antarmuka terpusat tempat Anda dapat melakukan tugas kepatuhan, termasuk:

  • Mengelola inisiatif
  • Mengonfigurasi definisi kebijakan
  • Kepatuhan audit
  • Menerapkan kepatuhan
  • Kelola pengecualian

Seiring dengan banyak definisi kebijakan bawaan , administrator dapat menentukan definisi kustom mereka sendiri dengan menggunakan templat JSON sederhana. Microsoft merekomendasikan prioritas audit atas penegakan, jika memungkinkan.

Analitik lalu lintas Network Watcher

Network Watcher analitik lalu lintas mengonsumsi data log alur dan log lainnya untuk memberikan gambaran umum tingkat tinggi tentang lalu lintas jaringan. Data ini berguna untuk mengaudit kepatuhan TIC dan mengidentifikasi titik masalah. Anda dapat menggunakan dasbor canggih untuk menyaring mesin virtual yang berkomunikasi dengan Internet dengan cepat dan mendapatkan daftar terfokus untuk perutean TIC.

Network Watcher lalu lintas analitik

Gunakan Geo Map untuk mengidentifikasi kemungkinan tujuan fisik lalu lintas Internet dengan cepat untuk komputer virtual Anda. Anda dapat mengidentifikasi dan melakukan triase lokasi atau perubahan pola yang mencurigakan:

Geo mapGeo mappeta geografis

Gunakan Topologi Jaringan Virtual untuk dengan cepat meninjau jaringan virtual yang ada.

Network topology mapNetwork topology mappeta topologi Jaringan

Pengujian next hop dengan Network Watcher

Jaringan di wilayah yang dipantau oleh Network Watcher dapat melakukan pengujian hop berikutnya. Di portal Azure, Anda dapat memasukkan sumber dan tujuan untuk sampel aliran jaringan agar Network Watcher dapat menentukan tujuan hop berikutnya. Jalankan pengujian ini terhadap komputer virtual dan alamat Internet sampel untuk memastikan tujuan hop berikutnya adalah gateway virtual jaringan yang diharapkan.

pengujian hop berikutnya

Kesimpulan

Anda dapat dengan mudah mengonfigurasi akses jaringan untuk membantu mematuhi panduan TIC 2.0 dan menggunakan dukungan Azure untuk NIST CSF dan NIST SP 800-53 untuk memenuhi persyaratan TIC 3.0.

Langkah berikutnya

  • Last updated on