Gambaran umum sampel cetak biru Azure Security Benchmark Foundation

Penting

Pada 11 Juli 2026, Cetak Biru (Pratinjau) tidak akan digunakan lagi. Migrasikan definisi dan penugasan cetak biru yang ada ke Spesifikasi Templat dan Tumpukan Penyebaran. Artefak cetak biru akan dikonversi ke templat ARM JSON atau file Bicep yang digunakan untuk menentukan tumpukan penyebaran. Untuk mempelajari cara menulis artefak sebagai sumber daya ARM, lihat:

• Kebijakan
• RBAC
• Penyebaran

Sampel cetak biru Azure Security Benchmark Foundation menyediakan serangkaian pola infrastruktur dasar untuk membantu Anda membangun lingkungan Azure yang aman dan patuh. Cetak biru ini membantu Anda menyebarkan arsitektur berbasis cloud yang menawarkan solusi untuk skenario yang memiliki persyaratan akreditasi atau kepatuhan. Sampel menyebarkan dan mengonfigurasi batas jaringan, pemantauan, dan sumber daya lainnya sesuai dengan kebijakan dan pembatas lainnya yang ditentukan dalam Azure Security Benchmark.

Arsitektur

Lingkungan dasar yang dibuat oleh sampel cetak biru ini didasarkan pada prinsip arsitektur mode hub and spoke. Cetak biru ini menyebarkan jaringan virtual hub yang berisi sumber daya, layanan, dan artefak umum dan bersama seperti Azure Bastion, gateway, dan firewall untuk konektivitas, manajemen, dan subnet jump box untuk menghost infrastruktur manajemen, pemeliharaan, administrasi, dan konektivitas tambahan/opsional. Satu atau beberapa jaringan virtual spoke disebarkan untuk menghost beban kerja aplikasi seperti web dan layanan database. Jaringan virtual spoke terhubung ke jaringan virtual hub menggunakan peering jaringan virtual Azure untuk konektivitas yang mulus dan aman. Spoke tambahan dapat ditambahkan dengan menetapkan ulang cetak biru sampel atau membuat jaringan virtual Azure secara manual dan memindainya dengan jaringan virtual hub. Semua konektivitas eksternal ke jaringan virtual dan subnet spoke dikonfigurasi untuk merutekan melalui jaringan virtual hub dan, melalui firewall, gateway, dan jump box manajemen.

Cetak biru ini menyebarkan beberapa layanan Azure untuk menyediakan fondasi yang aman, dipantau, siap digunakan perusahaan. Lingkungan ini terdiri dari:

• Azure Monitor Logs dan akun penyimpanan Azure untuk memastikan log sumber daya, log aktivitas, metrik, dan alur lalu lintas jaringan disimpan di lokasi pusat untuk memudahkan kueri, analitik, arsip, dan pemberitahuan.
• Azure Security Center (versi standar) untuk memberikan perlindungan ancaman bagi sumber daya Azure.
• Azure Virtual Network di hub yang mendukung subnet untuk konektivitas kembali ke jaringan lokal, tumpukan ingress dan egress ke/untuk konektivitas Internet, dan subnet opsional untuk penyebaran layanan administratif atau manajemen tambahan. Virtual Network dalam spoke berisi subnet untuk menghost beban kerja aplikasi. Subnet tambahan dapat dibuat setelah penyebaran sesuai kebutuhan untuk mendukung skenario yang berlaku.
• Azure Firewall untuk merutekan semua lalu lintas internet keluar dan untuk mengaktifkan lalu lintas internet masuk melalui jump box. (Aturan firewall default memblokir semua lalu lintas masuk dan keluar internet serta aturan harus dikonfigurasi setelah penyebaran, sebagaimana berlaku.)
• Kelompok keamanan jaringan (NSG) yang ditetapkan untuk semua subnet (kecuali subnet milik layanan seperti Azure Bastion, Gateway, dan Azure Firewall) yang dikonfigurasi untuk memblokir semua lalu lintas masuk dan keluar internet.
• Kelompok keamanan aplikasi untuk memungkinkan pengelompokan mesin virtual Azure menerapkan kebijakan keamanan jaringan umum.
• Tabel rute untuk merutekan semua lalu lintas internet keluar dari subnet melalui firewall. (Aturan Azure Firewall dan NSG perlu dikonfigurasi setelah penyebaran untuk membuka konektivitas.)
• Azure Network Watcher untuk memantau, mendiagnosis, dan menampilkan metrik sumber daya di jaringan virtual Azure.
• Azure DDoS Protection untuk melindungi sumber daya Azure dari serangan DDoS.
• Azure Bastion untuk menyediakan konektivitas yang mulus dan aman ke komputer virtual yang tidak memerlukan alamat IP publik, agen, atau perangkat lunak klien khusus.
• Azure VPN Gateway untuk mengirim lalu lintas terenkripsi antara jaringan virtual Azure dan lokasi lokal melalui Internet publik.

Catatan

Azure Security Benchmark Foundation menjabarkan arsitektur dasar untuk beban kerja. Diagram arsitektur di atas mencakup beberapa sumber daya gagasan untuk menunjukkan potensi penggunaan subnet. Anda masih harus menyebarkan beban kerja di arsitektur dasar ini.

Langkah berikutnya

Anda meninjau gambaran umum dan arsitektur sampel cetak biru Azure Security Benchmark Foundation.

Cetak biru Azure Security Benchmark Foundation - Langkah penyebaran

Artikel tambahan tentang cetak biru dan cara menggunakannya:

• Pelajari tentang siklus hidup cetak biru.
• Pahami cara menggunakan parameter statik dan dinamis.
• Pelajari cara menyesuaikan urutan pengurutan cetak biru.
• Cari tahu cara memanfaatkan penguncian sumber daya cetak biru.
• Pelajari cara memperbarui penugasan yang ada.