Rencana untuk konektivitas internet masuk dan keluar

  • Artikel

Artikel ini mencantumkan pertimbangan dan rekomendasi untuk konektivitas masuk dan keluar antara Azure dan internet publik.

Pertimbangan Desain

  • Layanan keamanan jaringan asli Azure seperti Azure Firewall, Azure Web Application Firewall (WAF) di Azure Application Gateway, dan Azure Front Door dikelola sepenuhnya. Anda tidak dikenakan biaya operasional dan manajemen serta kompleksitas penyebaran infrastruktur dalam skala besar.

  • Jika organisasi Anda lebih suka menggunakan appliance virtual jaringan non-Azure (NVA), atau untuk situasi di mana layanan asli tidak memenuhi persyaratan tertentu, arsitektur zona pendaratan Azure sepenuhnya kompatibel dengan NVA mitra.

  • Azure menyediakan beberapa metode konektivitas keluar internet langsung, seperti gateway terjemahan alamat jaringan (NAT) atau load balancer, untuk komputer virtual (VM) atau instans komputasi di jaringan virtual. Azure NAT Gateway direkomendasikan sebagai default untuk mengaktifkan konektivitas keluar karena secara operasional adalah yang paling sederhana untuk disiapkan, dan merupakan opsi yang paling dapat diskalakan dan efisien di antara semua metode konektivitas keluar yang tersedia di Azure. Untuk informasi selengkapnya, lihat Metode konektivitas keluar Azure.

Rekomendasi desain

  • Gunakan Azure NAT Gateway untuk konektivitas keluar langsung ke internet. Gateway NAT adalah layanan NAT yang dikelola sepenuhnya dan sangat tangguh yang menyediakan SNAT yang dapat diskalakan dan sesuai permintaan.

    • Gunakan gateway NAT untuk:

      • Beban kerja dinamis atau besar mengirim lalu lintas ke internet.
      • Alamat IP publik statis dan dapat diprediksi untuk konektivitas keluar. Gateway NAT dapat dikaitkan dengan hingga 16 alamat IP publik atau awalan IP publik /28.
      • Mitigasi masalah dengan kelelahan port SNAT yang umumnya dialami dengan aturan keluar Load balancer, Azure Firewall, atau Azure App Services.
      • Keamanan dan privasi sumber daya dalam jaringan Anda. Hanya lalu lintas keluar dan kembali yang dapat melewati gateway NAT.

  • Gunakan Azure Firewall untuk mengatur:

    • Lalu lintas Azure keluar ke internet.
    • Koneksi masuk non-HTTP/S.
    • Pemfilteran lalu lintas timur-barat, jika organisasi Anda memerlukannya.

  • Gunakan Azure Firewall Premium untuk kemampuan firewall tingkat lanjut, seperti:

    • Inspeksi Keamanan Lapisan Transportasi (TLS).
    • Sistem deteksi dan pencegahan intrusi jaringan (IDPS).
    • Pemfilteran URL.
    • Kategori web.

  • Azure Firewall Manager mendukung Azure Virtual WAN dan jaringan virtual reguler. Gunakan Firewall Manager dengan Virtual WAN untuk menyebarkan dan mengelola firewall Azure di hub Virtual WAN atau di jaringan virtual hub.

  • Jika Anda menggunakan beberapa alamat IP dan rentang secara konsisten dalam aturan Azure Firewall, siapkan Grup IP di Azure Firewall. Anda dapat menggunakan grup IP di DNAT Azure Firewall, jaringan, dan aturan aplikasi untuk beberapa firewall di seluruh wilayah dan langganan Azure.

  • Jika Anda menggunakan rute yang ditentukan pengguna kustom (UDR) untuk mengelola konektivitas keluar ke layanan platform as a service (PaaS) Azure, tentukan tag layanan sebagai awalan alamat. Tag layanan memperbarui alamat IP yang mendasarinya secara otomatis untuk menyertakan perubahan, dan mengurangi overhead pengelolaan awalan Azure dalam tabel rute.

  • Buat kebijakan Azure Firewall global untuk mengatur postur keamanan di seluruh lingkungan jaringan global. Tetapkan kebijakan ke semua instans Azure Firewall.

  • Izinkan kebijakan terperinci untuk memenuhi persyaratan wilayah tertentu dengan menggunakan kontrol akses berbasis peran Azure untuk mendelegasikan kebijakan bertambah bertahap kepada tim keamanan lokal.

  • Gunakan WAF dalam jaringan virtual zona arahan untuk melindungi lalu lintas HTTP/S masuk dari internet.

  • Gunakan kebijakan Azure Front Door dan WAF untuk memberikan perlindungan global di seluruh wilayah Azure untuk koneksi masuk ke zona arahan.

  • Untuk menggunakan Azure Front Door dan Azure Application Gateway untuk membantu melindungi aplikasi HTTP/S, gunakan kebijakan WAF di Azure Front Door. Kunci Azure Application Gateway untuk menerima lalu lintas hanya dari Azure Front Door.

  • Jika Anda memerlukan NVA mitra untuk koneksi HTTP/S masuk, sebarkan dalam jaringan virtual zona pendaratan, bersama dengan aplikasi yang mereka lindungi dan ekspos ke internet.

  • Untuk akses keluar, jangan gunakan akses keluar internet default Azure untuk skenario apa pun. Masalah yang dialami dengan akses keluar default meliputi:

    • Peningkatan risiko kelelahan port SNAT.
    • Tidak aman secara default.
    • Tidak dapat bergantung pada IP akses default. Mereka tidak dimiliki oleh pelanggan dan dapat berubah.

  • Gunakan gateway NAT untuk zona pendaratan online, atau zona pendaratan yang tidak tersambung ke jaringan virtual hub. Sumber daya komputasi yang memerlukan akses internet keluar dan tidak memerlukan keamanan standar atau premium Azure Firewall, atau NVA pihak ketiga, dapat menggunakan zona pendaratan online.

  • Jika organisasi Anda ingin menggunakan penyedia keamanan software-as-a-service (SaaS) untuk membantu melindungi koneksi keluar, konfigurasikan mitra yang didukung dalam Firewall Manager.

  • Jika Anda menggunakan NVA mitra untuk perlindungan dan pemfilteran lalu lintas timur-barat atau utara-selatan:

    • Untuk topologi jaringan Virtual WAN, sebarkan NVA ke jaringan virtual NVA terpisah. Koneksi jaringan virtual ke hub Virtual WAN regional dan ke zona pendaratan yang memerlukan akses ke NVA. Untuk informasi selengkapnya, lihat Skenario: Merutekan lalu lintas melalui NVA.
    • Untuk topologi jaringan non-Virtual WAN, sebarkan NVA mitra di jaringan virtual hub pusat.

  • Jangan mengekspos port manajemen VM ke internet. Untuk tugas manajemen:

  • Gunakan paket perlindungan Azure DDoS Protection untuk membantu melindungi titik akhir publik yang Anda host dalam jaringan virtual Anda.

  • Jangan mencoba mereplikasi konsep dan arsitektur jaringan perimeter lokal ke Azure. Meskipun Azure memiliki kemampuan keamanan yang sama, implementasi dan arsitekturnya disesuaikan dengan cloud.