Bagikan melalui

Terhubung ke lingkungan secara privat

  • Artikel

Arsitektur referensi dirancang agar aman. Pendekatan keamanan berlapis digunakan untuk mengatasi risiko penyelundupan data umum yang ditimbulkan oleh pelanggan. Anda dapat menggunakan fitur tertentu pada lapisan jaringan, identitas, data, dan layanan untuk menentukan kontrol akses tertentu dan hanya mengekspos data yang diperlukan kepada pengguna Anda. Bahkan jika beberapa mekanisme keamanan ini gagal, fitur tersebut membantu menjaga data dalam platform skala perusahaan tetap aman.

Fitur jaringan seperti titik akhir privat dan akses jaringan publik yang dinonaktifkan dapat sangat mengurangi permukaan serangan platform data organisasi. Namun meskipun fitur-fitur ini diaktifkan, Anda perlu mengambil tindakan pencegahan tambahan agar berhasil terhubung ke layanan seperti akun penyimpanan Azure, ruang kerja Azure Synapse, Azure Purview, atau Azure Machine Learning dari internet publik.

Dokumen ini menjelaskan opsi paling umum untuk menghubungkan ke layanan di dalam zona landasan manajemen data atau zona landasan data dengan cara yang sederhana dan aman.

Tentang host dan jumpbox Azure Bastion

Solusi paling sederhana adalah meng-host jumpbox di jaringan virtual zona landasan manajemen data atau zona landasan data untuk terhubung ke layanan data melalui titik akhir privat. Jumpbox adalah mesin virtual (VM) Azure yang menjalankan Linux atau Windows dan tempat pengguna dapat terhubung melalui Remote Desktop Protocol (RDP) atau Secure Shell (SSH).

Sebelumnya, VM jumpbox harus di-host dengan IP publik untuk mengaktifkan sesi RDP dan SSH dari internet publik. Kelompok keamanan jaringan (NSG) dapat digunakan untuk mengunci lalu lintas lebih lanjut dan memungkinkan koneksi hanya dari set IP publik terbatas. Namun, pendekatan ini berarti bahwa IP publik harus diekspos dari lingkungan Azure, yang meningkatkan permukaan serangan organisasi. Atau, pelanggan dapat menggunakan aturan DNAT di Azure Firewall mereka untuk mengekspos port SSH atau RDP VM ke internet publik, yang dapat menyebabkan risiko keamanan serupa.

Saat ini, dibandingkan mengekspos VM secara publik, Anda dapat mengandalkan Azure Bastion sebagai alternatif yang lebih aman. Azure Bastion menyediakan koneksi jarak jauh yang aman dari portal Azure ke Azure VM melalui Keamanan Lapisan Transportasi (TLS). Azure Bastion harus diatur pada subnet khusus (subnet dengan nama AzureBastionSubnet) di zona landasan data Azure atau zona landasan manajemen data Azure. Anda kemudian dapat menggunakannya untuk terhubung ke VM apa pun di jaringan virtual tersebut atau jaringan virtual yang di-peering langsung dari portal Azure. Tidak ada klien atau agen tambahan yang perlu diinstal pada VM apa pun. Anda dapat menggunakan NSG untuk mengizinkan RDP dan SSH dari Azure Bastion saja.

Diagram arsitektur jaringan Azure Bastion.

Azure Bastion memberikan beberapa manfaat keamanan inti lainnya, termasuk:

  • Lalu lintas yang dimulai dari Azure Bastion ke VM target tetap berada di dalam jaringan virtual pelanggan.
  • Anda mendapatkan perlindungan terhadap pemindaian port, karena port RDP, port SSH, dan alamat IP tidak terbuka secara umum untuk VM.
  • Azure Bastion membantu melindungi dari eksploitasi nol hari. Itu berada di perimeter jaringan virtual Anda. Karena ini adalah platform as a service (PaaS), platform Azure membuat Azure Bastion selalu terkini.
  • Layanan ini terintegrasi dengan appliance keamanan asli untuk jaringan virtual Azure, seperti Azure Firewall.
  • Azure Bastion dapat digunakan untuk memantau dan mengelola koneksi jarak jauh.

Untuk informasi selengkapnya, lihat Apa yang dimaksud dengan Azure Bastion?.

Penyebaran

Untuk menyederhanakan proses bagi pengguna, ada templat Bicep/ARM yang dapat membantu Anda dengan cepat membuat penyiapan ini di dalam zona pendaratan manajemen data atau zona pendaratan data Anda. Gunakan templat untuk membuat penyiapan berikut di dalam langganan Anda:

Diagram arsitektur Azure Bastion.

Untuk menyebarkan host Bastion sendiri, pilih tombol Sebarkan ke Azure :

Sebarkan ke Azure

Saat Anda menyebarkan Azure Bastion dan jumpbox melalui tombol Sebarkan ke Azure, Anda dapat menyediakan awalan dan lingkungan yang sama dengan yang Anda gunakan di zona landasan data atau zona landasan manajemen data. Penyebaran ini tidak memiliki konflik, dan berfungsi sebagai add-on ke zona landasan data atau zona landasan manajemen data Anda. Anda dapat menambahkan VM lain secara manual untuk memungkinkan lebih banyak pengguna bekerja di dalam lingkungan.

Menyambungkan ke VM

Setelah penyebaran, Anda akan melihat bahwa dua subnet tambahan telah dibuat di jaringan virtual zona landasan data.

Cuplikan layar subnet Azure Bastion dan Jumpbox.

Selain itu, Anda akan menemukan grup sumber daya baru di dalam langganan Anda, yang mencakup sumber daya Azure Bastion dan komputer virtual:

Cuplikan layar daftar grup sumber daya Azure Bastion.

Untuk menyambungkan ke VM dengan menggunakan Azure Bastion, lakukan hal berikut:

  1. Pilih VM (misalnya, dlz01-dev-bastion), pilih Sambungkan, lalu pilih Bastion.

    Cuplikan layar panel Gambaran Umum untuk menyambungkan ke VM dengan menggunakan Azure Bastion.

  2. Pilih tombol Gunakan Bastion berwarna biru.

  3. Masukkan info masuk Anda, lalu pilih Sambungkan.

    Cuplikan layar panel 'Sambungkan menggunakan Azure Bastion' untuk menyambungkan ke VM Anda dengan masuk dengan kredensial Anda.

    Sesi RDP terbuka pada tab browser baru, yang dapat Anda gunakan untuk mulai terhubung ke layanan data Anda.

  4. Masuk ke portal Microsoft Azure.

  5. {prefix}-{environment}-product-synapse001 Buka ruang kerja Azure Synapse di dalam {prefix}-{environment}-shared-product grup sumber daya untuk eksplorasi data.

    Cuplikan layar 'ruang kerja Synapse' di portal Azure.

  6. Di ruang kerja Azure Synapse, muat kumpulan data sampel dari galeri (misalnya, himpunan data NYC Taxi), lalu pilih Skrip SQL Baru untuk mengkueri TOP 100 baris.

    Cuplikan layar panel Synapse Analytics untuk menyambungkan ke skrip SQL baru.

Jika semua jaringan virtual telah di-peering dengan satu sama lain, hanya satu jumpbox dalam satu zona landasan data yang diperlukan untuk mengakses layanan di semua zona landasan data dan zona landasan manajemen data.

Untuk mempelajari alasan kami merekomendasikan penyiapan jaringan ini, lihat Pertimbangan arsitektur jaringan. Kami menyarankan maksimal satu layanan Azure Bastion per zona landasan data. Jika lebih banyak pengguna memerlukan akses ke lingkungan, Anda dapat menambahkan VM Azure tambahan ke zona landasan data.

Menggunakan koneksi titik-ke-situs

Atau, Anda dapat menyambungkan pengguna ke jaringan virtual dengan menggunakan koneksi titik-ke-situs. Solusi asli Azure untuk pendekatan ini adalah menyiapkan gateway VPN untuk memungkinkan koneksi VPN antara pengguna dan gateway VPN melalui saluran terenkripsi. Setelah Anda membuat koneksi, pengguna dapat mulai terhubung secara privat ke layanan yang dihosting di jaringan virtual di dalam penyewa Azure. Layanan ini termasuk akun Azure Storage, Azure Synapse Analytics, dan Azure Purview.

Sebaiknya siapkan gateway VPN di jaringan virtual hub arsitektur hub-and-spoke. Untuk panduan langkah demi langkah yang mendetail tentang menyiapkan gateway VPN, lihat Tutorial: Membuat portal gateway.

Menggunakan koneksi situs-ke-situs

Jika pengguna sudah terhubung ke lingkungan jaringan lokal dan konektivitas harus diperluas ke Azure, Anda dapat menggunakan koneksi situs-ke-situs untuk menyambungkan hub konektivitas lokal dan Azure. Seperti koneksi saluran VPN, koneksi situs-ke-situs memungkinkan Anda memperluas konektivitas ke lingkungan Azure. Melakukan hal tersebut memungkinkan pengguna yang terhubung ke jaringan perusahaan untuk terhubung secara pribadi ke layanan yang dihosting di jaringan virtual di dalam penyewa Azure. Layanan ini termasuk akun Azure Storage, Azure Synapse, dan Azure Purview.

Pendekatan asli Azure yang direkomendasikan untuk konektivitas tersebut adalah penggunaan ExpressRoute. Sebaiknya siapkan gateway ExpressRoute di jaringan virtual hub arsitektur hub-and-spoke. Untuk panduan langkah demi langkah mendetail tentang menyiapkan konektivitas ExpressRoute, lihat Tutorial: Membuat dan memodifikasi peering untuk sirkuit ExpressRoute dengan menggunakan portal Azure.

Langkah berikutnya

FAQ skala perusahaan