Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Azure Network Security Perimeter membuat batas jaringan logis di sekitar sumber daya platform-as-a-service (PaaS) Anda yang disebarkan di luar jaringan virtual Anda. Perimeter keamanan jaringan membantu Anda mengontrol akses jaringan publik ke sumber daya seperti akun Azure Storage dan Azure Key Vault dengan membangun perimeter yang aman.
Secara default, perimeter keamanan jaringan membatasi akses publik ke sumber daya PaaS dalam batas. Anda dapat memberikan pengecualian melalui aturan akses eksplisit untuk lalu lintas masuk dan keluar. Pendekatan ini membantu mencegah penyelundupan data sambil mempertahankan konektivitas yang diperlukan untuk aplikasi Anda.
Untuk pola akses yang melibatkan lalu lintas dari jaringan virtual ke sumber daya PaaS, lihat Apa Azure Private Link?
Fitur perimeter keamanan jaringan meliputi:
- Komunikasi akses antar sumber daya dalam anggota perimeter, mencegah pencurian data ke tujuan yang tidak sah.
- Manajemen akses publik eksternal dengan aturan eksplisit untuk sumber daya PaaS yang terkait dengan perimeter.
- Akses catatan untuk audit dan kepatuhan.
- Pengalaman terpadu di seluruh sumber daya PaaS.
Important
Perimeter keamanan jaringan sekarang tersedia secara umum di semua wilayah cloud publik Azure. Untuk informasi tentang layanan yang didukung, lihat Sumber daya tautan privat yang telah diintegrasikan untuk layanan PaaS yang didukung.
Komponen perimeter keamanan jaringan
Perimeter keamanan jaringan mencakup komponen berikut:
| Component | Description |
|---|---|
| Perimeter keamanan jaringan | Sumber daya tingkat atas yang menentukan batas jaringan logis untuk mengamankan sumber daya PaaS. |
| Profile | Kumpulan aturan akses yang berlaku pada sumber daya yang terkait dengan profil. |
| Aturan akses | Aturan masuk dan keluar untuk sumber daya dalam perimeter guna mengizinkan akses ke luar perimeter. |
| Asosiasi sumber daya | Keanggotaan batas untuk sumber daya PaaS. |
| Pengaturan diagnostik | Ekstensi sumber daya yang di-host oleh Microsoft Insights untuk mengumpulkan log dan metrik untuk semua sumber daya di lingkungan. |
Note
Untuk keamanan organisasi dan informasi, jangan sertakan data yang dapat diidentifikasi secara pribadi atau sensitif dalam aturan perimeter keamanan jaringan atau konfigurasi perimeter keamanan jaringan lainnya.
Properti batas keamanan jaringan
Saat membuat perimeter keamanan jaringan, Anda dapat menentukan properti berikut:
| Property | Description |
|---|---|
| Name | Nama yang unik di dalam grup sumber daya. |
| Location | Wilayah Azure yang didukung di mana sumber daya berada. |
| Nama grup sumber daya | Nama grup sumber daya tempat perimeter keamanan jaringan harus ada. |
Mode akses dalam perimeter keamanan jaringan
Administrator menambahkan sumber daya PaaS ke perimeter dengan membuat asosiasi sumber daya. Asosiasi ini dapat dibuat dalam dua mode akses. Mode aksesnya adalah:
| Mode | Description |
|---|---|
| Mode transisi (sebelumnya mode Pembelajaran) | - Mode akses default. - Membantu administrator jaringan untuk memahami pola akses yang ada dari sumber daya PaaS mereka. - Mode penggunaan yang disarankan sebelum beralih ke mode yang diberlakukan. |
| Mode Dipaksakan | - Harus ditetapkan oleh administrator. - Secara default, semua lalu lintas kecuali lalu lintas intra-perimeter ditolak dalam mode ini kecuali aturan Izinkan akses ada. |
Pelajari selengkapnya tentang pemindahan dari mode transisi (sebelumnya mode pembelajaran) ke mode yang diberlakukan dalam artikel Transisi ke perimeter keamanan jaringan .
Mengapa menggunakan perimeter keamanan jaringan?
Perimeter keamanan jaringan menyediakan perimeter yang aman untuk komunikasi layanan PaaS yang disebarkan di luar jaringan virtual. Ini memungkinkan Anda mengontrol akses jaringan ke sumber daya PaaS Azure. Beberapa kasus penggunaan umum meliputi:
- Buat batas aman di sekitar sumber daya PaaS.
- Cegah penyelundupan data dengan mengaitkan sumber daya PaaS ke perimeter.
- Aktifkan aturan akses untuk memberikan akses di luar perimeter aman.
- Kelola aturan akses untuk semua sumber daya PaaS dalam perimeter keamanan jaringan dalam satu panel kaca.
- Aktifkan pengaturan diagnostik untuk menghasilkan log akses sumber daya PaaS dalam perimeter untuk Audit dan Kepatuhan.
- Izinkan lalu lintas titik akhir privat tanpa perlu aturan akses eksplisit.
Bagaimana cara kerja perimeter keamanan jaringan?
Ketika perimeter keamanan jaringan dibuat dan sumber daya PaaS dikaitkan dengan perimeter dalam mode yang diberlakukan, semua lalu lintas publik ditolak secara default sehingga mencegah penyelundupan data di luar perimeter.
Aturan akses dapat digunakan untuk menyetujui lalu lintas masuk dan keluar publik di luar perimeter. Akses masuk publik dapat disetujui menggunakan atribut Jaringan dan Identitas klien seperti alamat IP sumber, langganan. Akses keluar publik dapat disetujui dengan menggunakan Nama Domain Penuh (FQDN) untuk tujuan eksternal.
Misalnya, setelah membuat perimeter keamanan jaringan dan mengaitkan sekumpulan sumber daya PaaS dengan perimeter seperti Azure Key Vault dan Azure Storage dalam mode yang diberlakukan, semua lalu lintas publik masuk dan keluar ditolak ke sumber daya PaaS ini secara default. Untuk mengizinkan akses apa pun di luar perimeter, aturan akses yang diperlukan dapat dibuat. Dalam perimeter yang sama, profil dapat dibuat untuk mengelompokkan sumber daya PaaS dengan serangkaian persyaratan akses masuk dan keluar yang sama.
Sumber daya tautan privat yang telah diaktifkan
Sumber daya tautan privat yang memahami batas keamanan jaringan adalah sumber daya PaaS yang dapat dikaitkan dengan perimeter keamanan jaringan. Saat ini daftar sumber daya tautan privat yang di-onboard adalah sebagai berikut:
| Nama sumber daya tautan privat | Jenis sumber daya | Resources | Ketersediaan |
|---|---|---|---|
| Azure Monitor | Microsoft.Insights/dataCollectionEndpoints Microsoft.Insights/ScheduledQueryRules Microsoft.Insights/actionGroups Microsoft.OperationalInsights/workspaces |
Ruang Kerja Log Analytics, Application Insights, Peringatan, Layanan Notifikasi | Tersedia secara umum |
| Pencarian Azure AI | Microsoft.Search/searchServices | Tersedia secara umum | |
| Cosmos DB | Microsoft. DocumentDB/databaseAccounts | Pratinjau Umum | |
| Event Hubs | Microsoft.EventHub/namespaces | Tersedia secara umum | |
| Key Vault | Microsoft.KeyVault/vaults | Tersedia secara umum | |
| SQL DB | Microsoft.Sql/servers | Pratinjau Umum | |
| Storage | Microsoft. Storage/storageAccounts | Tersedia secara umum | |
| Layanan Azure OpenAI | Microsoft.CognitiveServices(kind="OpenAI") | Pratinjau Umum | |
| Microsoft Foundry | Microsoft. CognitiveServices(kind="AIServices") | Tersedia secara umum |
Important
Layanan yang terpasang berikut ini sedang dalam tahap pratinjau publik bersama dengan fitur Perimeter Keamanan Jaringan:
- Cosmos DB
- SQL DB
- Azure OpenAI Service
Pratinjau ini disediakan tanpa perjanjian tingkat layanan, dan tidak disarankan untuk beban kerja produksi. Fitur tertentu mungkin tidak didukung atau mungkin memiliki kemampuan terbatas. Untuk informasi selengkapnya, lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure.
Note
Lihat dokumentasi sumber daya tautan privat masing-masing untuk informasi tentang skenario yang saat ini tidak didukung.
Jenis aturan akses yang didukung
Perimeter keamanan jaringan mendukung jenis aturan akses berikut:
| Direction | Jenis aturan akses |
|---|---|
| Inbound | Aturan berbasis langganan |
| Inbound | Aturan berbasis IP (periksa sumber daya tautan privat masing-masing yang di-onboarding untuk dukungan IPv6) |
| Outbound | Aturan berbasis FQDN |
Note
Lalu lintas intra-perimeter dan aturan akses masuk yang berbasis langganan tidak mendukung autentikasi melalui token tanda tangan akses bersama (SAS). Dalam skenario ini, permintaan yang menggunakan token SAS ditolak dan menampilkan kesalahan autentikasi. Gunakan metode autentikasi alternatif yang didukung per sumber daya spesifik Anda.
Batasan perimeter keamanan jaringan
Batasan pengelogan
Perimeter keamanan jaringan saat ini tersedia di semua wilayah cloud publik Azure. Namun, saat mengaktifkan log akses untuk perimeter keamanan jaringan, ruang kerja Log Analytics yang akan dikaitkan dengan perimeter keamanan jaringan perlu terletak di salah satu wilayah yang didukung Azure Monitor.
Note
Untuk log sumber daya PaaS, gunakan Log Analytics Workspace, Storage, atau Event Hub sebagai tujuan log yang terkait dengan perimeter yang sama dengan sumber daya PaaS.
Note
Azure Backup tidak didukung untuk Akun Penyimpanan yang diaktifkan dengan perimeter keamanan jaringan. Sebaiknya jangan mengaitkan akun penyimpanan dengan perimeter keamanan jaringan jika Anda mengaktifkan cadangan atau jika Anda berencana menggunakan Azure Backup.
Pembatasan skala
Fungsionalitas perimeter keamanan jaringan dapat digunakan untuk mendukung penyebaran sumber daya PaaS dengan kontrol jaringan publik umum dengan batasan skala berikut:
| Limitation | Description |
|---|---|
| Jumlah perimeter keamanan jaringan | Didukung hingga 100 sebagai batas yang disarankan per langganan. |
| Profil per perimeter keamanan jaringan | Didukung hingga 200 sebagai batas yang disarankan. |
| Jumlah elemen aturan per profil | Didukung hingga 200 untuk masuk dan keluar masing-masing sebagai batas mutlak. |
| Jumlah sumber daya PaaS di seluruh langganan yang terkait dengan perimeter keamanan jaringan yang sama | Didukung hingga 1000 sesuai batas yang direkomendasikan. |
Batasan lainnya
Perimeter keamanan jaringan memiliki batasan lain sebagai berikut:
| Limitation/Issue | Description |
|---|---|
| Bidang yang hilang dalam log akses perimeter keamanan jaringan | Log akses perimeter keamanan jaringan dapat diagregasi. Jika bidang 'hitungan' dan 'timeGeneratedEndTime' hilang, pertimbangkan jumlah agregasi sebagai 1. |
| Pembuatan asosiasi melalui SDK gagal dengan masalah izin | 'Status: 403 (Terlarang); ErrorCode: AuthorizationFailed' mungkin diterima saat melakukan tindakan 'Microsoft.Network/locations/networkSecurityPerimeterOperationStatuses/read' pada cakupan '/subscriptions/xyz/providers/Microsoft.Network/locations/xyz/networkSecurityPerimeterOperationStatuses/xyz'. Hingga perbaikan, gunakan izin 'Microsoft.Network/locations/*/read' atau gunakan WaitUntil.Started dalam API SDK CreateOrUpdateAsync untuk membuat asosiasi. |
| Nama sumber daya tidak boleh lebih panjang dari 44 karakter untuk mendukung perimeter keamanan jaringan | Asosiasi sumber daya perimeter keamanan jaringan yang dibuat dari portal Azure memiliki format {resourceName}-{perimeter-guid}. Untuk memenuhi persyaratan bahwa bidang nama tidak boleh lebih dari 80 karakter, nama sumber daya harus dibatasi hingga 44 karakter. |
| Lalu lintas titik akhir layanan tidak didukung. | Disarankan untuk menggunakan titik akhir privat untuk komunikasi IaaS ke PaaS. Saat ini, lalu lintas titik akhir layanan dapat ditolak bahkan ketika aturan masuk memungkinkan 0.0.0.0/0. |
Note
Lihat dokumentasi PaaS individual untuk batasan masing-masing untuk setiap layanan.