Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Perimeter keamanan jaringan memungkinkan organisasi untuk menentukan batas isolasi jaringan logis untuk sumber daya PaaS (misalnya, akun Azure Storage dan server SQL Database) yang disebarkan di luar jaringan virtual organisasi Anda. Ini membatasi akses jaringan publik ke sumber daya PaaS dalam perimeter; akses dapat dikecualikan dengan menggunakan aturan akses eksplisit untuk masuk dan keluar publik.
Untuk pola akses yang melibatkan lalu lintas dari jaringan virtual ke sumber daya PaaS, lihat Apa itu Azure Private Link?.
Fitur perimeter keamanan jaringan meliputi:
- Komunikasi akses antar sumber daya dalam anggota perimeter, mencegah pencurian data ke tujuan yang tidak sah.
- Manajemen akses publik eksternal dengan aturan eksplisit untuk sumber daya PaaS yang terkait dengan perimeter.
- Akses catatan untuk audit dan kepatuhan.
- Pengalaman terpadu di seluruh sumber daya PaaS.
Penting
Perimeter Keamanan Jaringan berada dalam pratinjau publik dan tersedia di semua wilayah cloud publik Azure. Versi pratinjau ini diberikan tanpa perjanjian tingkat layanan, dan tidak disarankan untuk beban kerja produksi. Fitur tertentu mungkin tidak didukung atau mungkin memiliki kemampuan terbatas. Untuk mengetahui informasi selengkapnya, lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure.
Komponen perimeter keamanan jaringan
Perimeter keamanan jaringan mencakup komponen berikut:
| Komponen | Deskripsi |
|---|---|
| Perimeter keamanan jaringan | Sumber daya tingkat atas yang menentukan batas jaringan logis untuk mengamankan sumber daya PaaS. |
| Profil | Kumpulan aturan akses yang berlaku pada sumber daya yang terkait dengan profil. |
| Aturan akses | Aturan masuk dan keluar untuk sumber daya dalam perimeter guna mengizinkan akses ke luar perimeter. |
| Asosiasi sumber daya | Keanggotaan batas untuk sumber daya PaaS. |
| Pengaturan diagnostik | Sumber daya ekstensi yang dihosting oleh Microsoft Insights untuk mengumpulkan log dan metrik untuk semua sumber daya di dalam perimeter. |
Catatan
Untuk keamanan organisasi dan informasi, jangan sertakan data yang dapat diidentifikasi secara pribadi atau sensitif dalam aturan perimeter keamanan jaringan atau konfigurasi perimeter keamanan jaringan lainnya.
Properti batas keamanan jaringan
Saat membuat perimeter keamanan jaringan, Anda dapat menentukan properti berikut:
| Properti | Deskripsi |
|---|---|
| Nama | Nama yang unik di dalam grup sumber daya. |
| Tempat | Wilayah Azure yang mendukung lokasi sumber daya tersebut. |
| Nama grup sumber daya | Nama grup sumber daya tempat perimeter keamanan jaringan harus ada. |
Mode akses dalam perimeter keamanan jaringan
Administrator menambahkan sumber daya PaaS ke perimeter dengan membuat asosiasi sumber daya. Asosiasi ini dapat dibuat dalam dua mode akses. Mode aksesnya adalah:
| Modus | Deskripsi |
|---|---|
| Mode transisi (sebelumnya mode Pembelajaran) | - Mode akses default. - Membantu administrator jaringan untuk memahami pola akses yang ada dari sumber daya PaaS mereka. - Mode penggunaan yang disarankan sebelum beralih ke mode yang diberlakukan. |
| Mode Dipaksakan | - Harus ditetapkan oleh administrator. - Secara default, semua lalu lintas kecuali lalu lintas perimeter intra ditolak dalam mode ini kecuali aturan Izinkan akses ada. |
Pelajari selengkapnya tentang pemindahan dari mode transisi (sebelumnya mode pembelajaran) ke mode yang diberlakukan dalam artikel Transisi ke perimeter keamanan jaringan .
Mengapa menggunakan perimeter keamanan jaringan?
Perimeter keamanan jaringan menyediakan perimeter yang aman untuk komunikasi layanan PaaS yang disebarkan di luar jaringan virtual. Ini memungkinkan Anda mengontrol akses jaringan ke sumber daya Azure PaaS. Beberapa kasus penggunaan umum meliputi:
- Buat batas aman di sekitar sumber daya PaaS.
- Cegah penyelundupan data dengan mengaitkan sumber daya PaaS ke perimeter.
- Aktifkan aturan akses untuk memberikan akses di luar perimeter aman.
- Kelola aturan akses untuk semua sumber daya PaaS dalam perimeter keamanan jaringan dalam satu panel kaca.
- Aktifkan pengaturan diagnostik untuk menghasilkan log akses sumber daya PaaS dalam perimeter untuk Audit dan Kepatuhan.
- Izinkan lalu lintas titik akhir privat tanpa perlu aturan akses eksplisit.
Bagaimana cara kerja perimeter keamanan jaringan?
Ketika perimeter keamanan jaringan dibuat dan sumber daya PaaS dikaitkan dengan perimeter dalam mode yang diberlakukan, semua lalu lintas publik ditolak secara default sehingga mencegah penyelundupan data di luar perimeter.
Aturan akses dapat digunakan untuk menyetujui lalu lintas masuk dan keluar publik di luar perimeter. Akses masuk publik dapat disetujui menggunakan atribut Jaringan dan Identitas klien seperti alamat IP sumber, langganan. Akses keluar publik dapat disetujui dengan menggunakan Nama Domain Penuh (FQDN) untuk tujuan eksternal.
Misalnya, setelah membuat perimeter keamanan jaringan dan mengaitkan sekumpulan sumber daya PaaS dengan perimeter seperti Azure Key Vault dan SQL DB dalam mode yang diberlakukan, semua lalu lintas publik masuk dan keluar ditolak ke sumber daya PaaS ini secara default. Untuk mengizinkan akses apa pun di luar perimeter, aturan akses yang diperlukan dapat dibuat. Dalam perimeter yang sama, profil dapat dibuat untuk mengelompokkan sumber daya PaaS dengan serangkaian persyaratan akses masuk dan keluar yang sama.
Sumber daya tautan privat yang telah diaktifkan
Sumber daya tautan privat yang memahami batas keamanan jaringan adalah sumber daya PaaS yang dapat dikaitkan dengan perimeter keamanan jaringan. Saat ini daftar sumber daya tautan privat yang di-onboard adalah sebagai berikut:
| Nama sumber daya tautan privat | Jenis Sumber Daya | Sumber |
|---|---|---|
| Azure Monitor | Microsoft.Insights/dataCollectionEndpoints Microsoft.Insights/ScheduledQueryRules Microsoft.Insights/actionGroups Microsoft.OperationalInsights/workspaces |
Ruang Kerja Analitik Log, Wawasan Aplikasi, Peringatan, Layanan Notifikasi |
| Pencarian Azure AI | Microsoft.Search/searchServices | - |
| Cosmos DB | Microsoft.DocumentDB/databaseAccounts | - |
| Event Hubs | Microsoft.EventHub/namespaces | - |
| Key Vault | Microsoft.KeyVault/vaults | - |
| SQL DB | Microsoft.Sql/servers | - |
| Penyimpanan | Microsoft.Storage/akunPenyimpanan | - |
| Layanan Azure OpenAI | Microsoft.CognitiveServices | - |
Catatan
Lihat dokumentasi sumber daya tautan privat masing-masing untuk informasi tentang skenario yang saat ini tidak didukung.
Jenis aturan akses yang didukung
Perimeter keamanan jaringan mendukung jenis aturan akses berikut:
| Arah | Jenis aturan akses |
|---|---|
| Kedatangan | Aturan berbasis langganan |
| Kedatangan | Aturan berbasis IP (periksa setiap sumber daya tautan privat yang di-onboard untuk dukungan v6) |
| Ke Luar | Aturan berbasis FQDN |
Batasan perimeter keamanan jaringan
Batasan pengelogan
Perimeter keamanan jaringan saat ini tersedia di semua wilayah cloud publik Azure. Namun, saat mengaktifkan log akses untuk perimeter keamanan jaringan, Log Analytics workspace yang akan dikaitkan dengan perimeter keamanan jaringan harus berada di salah satu wilayah yang didukung oleh Azure Monitor.
Catatan
Untuk log sumber daya PaaS, gunakan Ruang Kerja Analitik Log, Penyimpanan, atau Pusat Aktivitas sebagai tujuan log yang terkait dengan perimeter yang sama dengan sumber daya PaaS.
Pembatasan skala
Fungsionalitas perimeter keamanan jaringan dapat digunakan untuk mendukung penyebaran sumber daya PaaS dengan kontrol jaringan publik umum dengan batasan skala berikut:
| Batasan | Deskripsi |
|---|---|
| Jumlah perimeter keamanan jaringan | Didukung hingga 100 sebagai batas yang disarankan per langganan. |
| Profil per perimeter keamanan jaringan | Didukung hingga 200 sebagai batas yang disarankan. |
| Jumlah elemen aturan per profil | Didukung hingga 200 untuk masuk dan keluar masing-masing sebagai batas mutlak. |
| Jumlah sumber daya PaaS di seluruh langganan yang terkait dengan perimeter keamanan jaringan yang sama | Didukung hingga 1000 sesuai batas yang direkomendasikan. |
Batasan lainnya
Perimeter keamanan jaringan memiliki batasan lain sebagai berikut:
| Batasan/Masalah | Deskripsi |
|---|---|
| Bidang yang hilang dalam log akses perimeter keamanan jaringan | Log akses perimeter keamanan jaringan mungkin telah diagregasi. Jika bidang 'hitungan' dan 'timeGeneratedEndTime' hilang, pertimbangkan jumlah agregasi sebagai 1. |
| Pembuatan asosiasi melalui SDK gagal dengan masalah izin | Status: 403 (Terlarang); ErrorCode: AuthorizationFailed, mungkin terjadi saat melakukan tindakan 'Microsoft.Network/locations/networkSecurityPerimeterOperationStatuses/read' pada cakupan '/subscriptions/xyz/providers/Microsoft.Network/locations/xyz/networkSecurityPerimeterOperationStatuses/xyz'. Hingga perbaikan, gunakan izin 'Microsoft.Network/locations/*/read' atau gunakan WaitUntil.Started di CreateOrUpdateAsync SDK API untuk pembuatan asosiasi. |
| Nama sumber daya tidak boleh lebih panjang dari 44 karakter untuk mendukung perimeter keamanan jaringan | Asosiasi sumber daya perimeter keamanan jaringan yang dibuat dari portal Azure memiliki format {resourceName}-{perimeter-guid}. Untuk memenuhi persyaratan bahwa bidang nama tidak boleh lebih dari 80 karakter, nama sumber daya harus dibatasi hingga 44 karakter. |
| Lalu lintas titik akhir layanan tidak didukung. | Disarankan untuk menggunakan titik akhir privat untuk komunikasi IaaS ke PaaS. Saat ini, lalu lintas titik akhir layanan dapat ditolak bahkan ketika aturan masuk memungkinkan 0.0.0.0/0. |
Catatan
Lihat dokumentasi PaaS individual untuk batasan masing-masing untuk setiap layanan.