Pengantar ke keamanan Azure

Gambaran Umum

Kami mengetahui bahwa keamanan merupakan pekerjaan utama di cloud dan penting bagi Anda untuk menemukan informasi yang akurat dan tepat waktu tentang keamanan Azure. Salah satu alasan terbaik dari penggunaan Azure untuk aplikasi dan layanan Anda adalah memanfaatkan berbagai alat dan kemampuan keamanannya. Alat dan kemampuan ini membantu untuk menciptakan solusi aman di platform Azure yang aman. Microsoft Azure harus menjaga kerahasiaan, integritas, dan ketersediaan data pelanggan, sekaligus memungkinkan akuntabilitas yang transparan.

Artikel ini memberikan pandangan komprehensif tentang keamanan yang tersedia dengan Azure.

Platform Azure

Azure adalah platform layanan cloud publik yang mendukung berbagai pilihan sistem operasi, bahasa pemrograman, kerangka kerja, alat, database, dan perangkat. Platform ini dapat menjalankan kontainer Linux dengan integrasi Docker; membangun aplikasi dengan JavaScript, Python, .NET, PHP, Java, dan Node.js; membangun back-ends untuk perangkat iOS, Android, dan Windows.

Layanan cloud publik Azure mendukung teknologi yang sama yang sudah diandalkan dan dipercaya oleh jutaan pengembang dan profesional IT. Saat Anda membangun atau memigrasikan aset TI ke penyedia layanan cloud publik, Anda mengandalkan kemampuan organisasi tersebut untuk melindungi aplikasi dan data Anda. Mereka menyediakan layanan dan kontrol untuk mengelola keamanan aset berbasis cloud Anda.

Infrastruktur Azure dibuat dengan cermat dari bawah ke atas, mencakup segala sesuatu mulai dari fasilitas fisik hingga aplikasi, hingga menghosting jutaan pelanggan dengan aman secara bersamaan. Fondasi yang kuat ini memberdayakan bisnis untuk dengan percaya diri memenuhi persyaratan keamanan mereka.

Selain itu, Azure memberi Anda berbagai opsi keamanan yang dapat dikonfigurasi dan kemampuan untuk mengontrolnya sehingga Anda dapat menyesuaikan keamanan untuk memenuhi persyaratan unik penyebaran organisasi Anda. Dokumen ini akan membantu Anda untuk memahami cara kemampuan keamanan Azure membantu memenuhi persyaratan ini.

Catatan

Fokus utama dokumen ini adalah pada kontrol yang dihadapi pelanggan yang dapat Anda gunakan untuk menyesuaikan dan meningkatkan keamanan untuk aplikasi dan layanan.

Untuk informasi tentang cara Microsoft mengamankan platform Azure itu sendiri, lihat Keamanan infrastruktur Azure.

Ringkasan kemampuan keamanan Azure

Bergantung pada model layanan cloud, ada tanggung jawab variabel untuk siapa yang bertanggung jawab untuk mengelola keamanan aplikasi atau layanan. Tersedia kemampuan di Azure Platform untuk membantu Anda memenuhi tanggung jawab ini melalui fitur bawaan, dan melalui solusi mitra yang dapat diterapkan ke langganan Azure.

Kemampuan bawaan diatur dalam enam area fungsional: Operasi, Aplikasi, Penyimpanan, Jaringan, Komputasi, dan Identitas. Detail selengkapnya tentang fitur dan kemampuan yang tersedia di Platform Azure di enam area ini disediakan melalui informasi ringkasan.

Operasional

Bagian ini memberikan informasi tambahan mengenai fitur utama dalam operasi keamanan dan informasi ringkasan tentang kemampuan ini.

Microsoft Sentinel

Microsoft Sentinel adalah solusi yang dapat diskalakan, cloud-native, informasi keamanan, dan manajemen peristiwa (SIEM) dan orkestrasi keamanan, otomatisasi, dan respons (SOAR). Microsoft Sentinel memberikan analisis keamanan cerdas dan intelijensi ancaman di seluruh perusahaan. Microsoft Azure Sentinel menyediakan satu solusi untuk deteksi ancaman, visibilitas ancaman, perburuan proaktif, dan respons ancaman.

Microsoft Defender for Cloud

Pertahanan Microsoft untuk Cloud membantu Anda mencegah, mendeteksi, dan merespons ancaman dengan peningkatan visibilitas ke dalam dan kontrol atas keamanan sumber daya Anda. Microsoft Defender untuk Cloud menyediakan pemantauan keamanan terintegrasi dan manajemen kebijakan di seluruh langganan Azure Anda. Microsoft Defender untuk Cloud membantu mendeteksi ancaman yang mungkin lugas, dan bekerja dengan ekosistem solusi keamanan yang luas.

Selain itu, Defender untuk Cloud membantu operasi keamanan dengan memberi Anda satu dasbor yang menampilkan pemberitahuan dan rekomendasi yang dapat segera ditindaklanjuti. Seringkali, Anda dapat memulihkan masalah dengan satu pilihan dalam konsol Defender untuk Cloud.

Azure Resource Manager

Azure Resource Manager memungkinkan Anda bekerja dengan sumber daya dalam aplikasi Anda sebagai grup. Anda dapat menyebarkan, memperbarui, atau menghapus semua sumber daya untuk aplikasi Anda dalam satu operasi terkoordinasi. Anda menggunakan templat Azure Resource Manager untuk penyebaran dan templat tersebut dapat bekerja untuk berbagai lingkungan seperti pengujian, penahapan, dan produksi. Resource Manager menyediakan fitur keamanan, audit, dan penandaan untuk membantu Anda mengelola sumber daya setelah penyebaran.

Penyebaran berbasis templat Azure Resource Manager membantu meningkatkan keamanan solusi yang disebarkan di Azure karena pengaturan kontrol keamanan standar dan dapat diintegrasikan ke dalam penyebaran berbasis templat standar. Templat mengurangi risiko kesalahan konfigurasi keamanan yang mungkin terjadi selama penyebaran manual.

Application Insights

Application Insights adalah layanan Manajemen Performa Aplikasi (APM) fleksibel yang dirancang untuk pengembang web. Ini memungkinkan Anda untuk memantau aplikasi web langsung Anda dan secara otomatis mendeteksi masalah performa. Dengan alat analitik yang canggih, Anda dapat mendiagnosis masalah dan mendapatkan wawasan tentang interaksi pengguna dengan aplikasi Anda. Application Insights memantau aplikasi Anda terus menerus, dari pengembangan melalui pengujian dan ke dalam produksi.

Application Insights menghasilkan bagan dan tabel berwawasan yang mengungkapkan waktu aktivitas pengguna puncak, responsivitas aplikasi, dan performa layanan eksternal apa pun yang diandalkannya.

Jika ada crash, kegagalan, atau masalah performa, Anda dapat mencari data secara rinci untuk mendiagnosis penyebabnya. Layanan ini juga akan mengirimkan email jika terdapat perubahan dalam ketersediaan dan performa aplikasi Anda. Dengan demikian, Application Insight menjadi alat keamanan yang berharga karena membantu ketersediaan dalam triad keamanan kerahasiaan, integritas, dan ketersediaan.

Azure Monitor

Azure Monitor menawarkan visualisasi, kueri, perutean, pemberitahuan, penskalaan otomatis, dan otomatisasi pada data baik dari langganan Azure (Log Aktivitas) maupun dari setiap sumber daya Azure (Log Diagnostik). Anda dapat menggunakan Azure Monitor untuk memberikan pemberitahuan tentang kejadian terkait keamanan yang dihasilkan dalam log Azure.

Log Azure Monitor

Log Azure Monitor – Menyediakan solusi manajemen TI untuk infrastruktur berbasis cloud lokal dan non-Microsoft (seperti Amazon Web Services) selain sumber daya Azure. Data dari Azure Monitor dapat dirutekan langsung ke log Azure Monitor sehingga Anda dapat melihat metrik dan log untuk seluruh lingkungan Anda di satu tempat.

Log Azure Monitor dapat menjadi alat yang sangat berguna dalam analisis forensik dan keamanan lainnya, karena alat ini memungkinkan Anda untuk dengan cepat melakukan pencarian melalui sejumlah besar entri terkait keamanan dengan pendekatan kueri yang fleksibel. Selain itu, firewall lokal dan log proksi dapat diekspor ke Azure dan tersedia untuk analisis menggunakan log Azure Monitor.

Azure Advisor

Azure Advisor adalah konsultan cloud pribadi yang membantu Anda mengoptimalkan penyebaran Azure. Ini menganalisis konfigurasi sumber daya dan data penggunaan Anda. Azure Advisor selanjutnya merekomendasikan solusi untuk membantu meningkatkan performa, keamanan, dan ketersediaan sumber daya yang tinggi sambil mencari peluang untuk mengurangi keseluruhan pengeluaran Azure Anda. Azure Advisor memberikan rekomendasi keamanan, yang secara signifikan dapat meningkatkan postur keamanan secara keseluruhan untuk solusi yang Anda terapkan di Azure. Rekomendasi ini diambil dari analisis keamanan yang dilakukan oleh Microsoft Defender for Cloud.

Aplikasi

Bagian ini memberikan informasi tambahan mengenai fitur utama dalam keamanan aplikasi dan informasi ringkasan tentang kemampuan ini.

Uji Penetrasi

Kami tidak melakukan pengujian penetrasi aplikasi untuk Anda, tetapi kami memahami bahwa Anda ingin dan perlu melakukan pengujian pada aplikasi Anda sendiri. Pemberitahuan tentang Microsoft tentang aktivitas pengujian pena tidak lagi diperlukan pelanggan harus tetap mematuhi Aturan Keterlibatan Pengujian Penetrasi Cloud Microsoft.

Firewall Aplikasi Web

Firewall aplikasi web (WAF) di Azure Application Gateway membantu melindungi aplikasi web dari serangan umum berbasis web seperti injeksi SQL, serangan scripting lintas situs, dan pembajakan sesi. Muncul prakonfigurasi dengan perlindungan dari ancaman yang diidentifikasi olehProyek Keamanan Aplikasi Web Terbuka (OWASP) sebagai 10 kerentanan umum teratas.

Autentikasi dan otorisasi di Azure App Service

Autentikasi App Service / Otorisasi adalah fitur yang menyediakan cara bagi aplikasi untuk masuk ke pengguna sehingga Anda tidak perlu mengubah kode pada backend aplikasi. Fitur ini memberikan cara mudah untuk melindungi aplikasi Anda dan bekerja dengan data per pengguna.

Arsitektur Keamanan Berlapis

Karena Lingkungan App Service menyediakan lingkungan runtime terisolasi yang disebarkan ke dalam Azure Virtual Network, pengembang dapat membuat arsitektur keamanan berlapis yang menyediakan tingkat akses jaringan yang berbeda untuk setiap tingkat aplikasi. Adalah umum untuk menyembunyikan back-end API dari akses Internet umum, dan hanya mengizinkan API untuk dipanggil oleh aplikasi web upstream. Grup Keamanan Jaringan (NSGs) dapat digunakan di subnet Azure Virtual Network yang berisi Lingkungan App Service untuk membatasi akses publik ke aplikasi API.

Aplikasi web App Service menawarkan kemampuan diagnostik yang kuat untuk menangkap log dari server web dan aplikasi web. Diagnostik ini dikategorikan ke dalam diagnostik server web dan diagnostik aplikasi. Diagnostik server web mencakup kemajuan signifikan untuk mendiagnosis dan memecahkan masalah situs dan aplikasi.

Fitur baru pertama adalah informasi status real time tentang kelompok aplikasi, proses pekerja, situs, domain aplikasi, dan permintaan yang berjalan. Keuntungan baru yang kedua adalah peristiwa pelacakan terperinci yang melacak permintaan selama proses permintaan dan respons lengkap.

Untuk mengaktifkan pengumpulan peristiwa pelacakan ini, IIS 7 dapat dikonfigurasi untuk secara otomatis mengambil log jejak komprehensif dalam format XML untuk permintaan tertentu. Koleksi dapat didasarkan pada waktu yang berlalu atau kode respons kesalahan.

Penyimpanan

Bagian ini memberikan informasi tambahan mengenai fitur kunci dalam keamanan aplikasi Azure dan informasi ringkasan tentang kemampuan ini.

Kontrol akses berbasis peran Azure (Azure RBAC)

Cara mengamankan akun penyimpanan Anda dengan kontrol akses berbasis peran Azure (Azure RBAC). Membatasi akses berdasarkan prinsip-prinsip keamanan yang perlu diketahui dan hak istimewa minimal sangat penting bagi organisasi yang ingin menerapkan kebijakan Keamanan untuk akses data. Hak akses ini diberikan dengan menetapkan peran Azure yang sesuai ke grup dan aplikasi pada cakupan tertentu. Anda dapat menggunakan peran bawaan Azure, seperti Kontributor Akun Penyimpanan, untuk menetapkan hak istimewa kepada pengguna. Akses ke kunci penyimpanan untuk akun penyimpanan menggunakan model Azure Resource Manager dapat dikontrol melalui Azure RBAC.

Tanda Tangan Akses Bersama

Tanda tangan akses bersama (SAS) memberikan akses yang diberikan ke sumber daya di akun penyimpanan Anda. Anda dapat menggunakannya untuk memberi klien izin terbatas ke objek di akun penyimpanan Anda selama jangka waktu tertentu dan dengan serangkaian izin tertentu. Anda dapat memberikan izin terbatas ini tanpa harus membagikan kunci akses akun Anda.

Enkripsi saat Transit

Enkripsi saat transit adalah mekanisme perlindungan data saat dikirimkan ke seluruh jaringan. Dengan Azure Storage, Anda dapat mengamankan data menggunakan:

• Enkripsi tingkat transportasi, seperti HTTPS saat Anda mentransfer data ke dalam atau keluar Azure Storage.

• Enkripsi kabel, seperti enkripsi SMB 3.0 untuk berbagi File Azure.

• Enkripsi sisi klien, untuk mengenkripsi data sebelum ditransfer ke penyimpanan dan untuk mendekripsi data setelah ditransfer ke luar penyimpanan.

Enkripsi saat tidak aktif

Bagi banyak organisasi, enkripsi data saat tidak aktif merupakan langkah wajib menuju privasi data, kepatuhan, dan kedaulatan data. Ada tiga fitur keamanan penyimpanan Azure yang menyediakan enkripsi data yang tidak aktif:

• Enkripsi Layanan Penyimpanan memungkinkan Anda untuk meminta agar layanan penyimpanan mengenkripsi data secara otomatis saat menulisnya ke Azure Storage.

• Enkripsi Sisi Klien juga menyediakan fitur enkripsi saat tidak aktif.

• Azure Disk Encryption untuk VM Linux dan Azure Disk Encryption untuk VM Windows memungkinkan Anda mengenkripsi disk OS dan disk data yang digunakan oleh mesin virtual IaaS.

Analitik Penyimpanan

Azure Storage Analytics melakukan pengelogan dan menyediakan data metrik untuk akun penyimpanan. Anda dapat menggunakan data ini untuk melacak permintaan, menganalisis tren penggunaan, dan mendiagnosis masalah dengan akun penyimpanan Anda. Storage Analytics mencatat informasi mendetail tentang permintaan yang berhasil dan gagal ke layanan penyimpanan. Informasi ini dapat digunakan untuk memantau permintaan individu dan mendiagnosis masalah dengan layanan penyimpanan. Permintaan dicatat di log dengan basis upaya terbaik. Jenis permintaan yang diautentikasi berikut ini dicatat:

• Permintaan yang berhasil.
• Permintaan yang gagal, termasuk waktu habis, pembatasan, jaringan, otorisasi, dan kesalahan lainnya.
• Permintaan menggunakan Tanda Tangan Akses Bersama (SAS), termasuk permintaan yang gagal dan berhasil.
• Permintaan ke data analitik.

Mengaktifkan Klien Berbasis Browser Menggunakan CORS

Berbagi Sumber Daya Lintas Asal (CORS) merupakan mekanisme yang memungkinkan domain untuk saling memberi izin untuk mengakses sumber daya satu sama lain. Agen Pengguna mengirim header tambahan untuk memastikan bahwa kode JavaScript yang dimuat dari domain tertentu diizinkan untuk mengakses sumber daya yang terletak di domain lain. Domain terakhir kemudian membalas dengan header tambahan yang mengizinkan atau menolak akses domain asli ke sumber dayanya.

Layanan penyimpanan Azure sekarang mendukung CORS sehingga setelah Anda mengatur aturan CORS untuk layanan, permintaan yang diautentikasi dengan benar yang dibuat terhadap layanan dari domain yang berbeda dievaluasi untuk menentukan apakah diizinkan sesuai dengan aturan yang telah Anda tentukan.

Jaringan

Bagian ini memberikan informasi tambahan mengenai fitur kunci dalam keamanan jaringan Azure dan informasi ringkasan tentang kemampuan ini.

Kontrol Lapisan Jaringan

Kontrol akses jaringan merupakan tindakan pembatasan konektivitas ke dan dari perangkat atau subnet tertentu dan mewakili inti keamanan jaringan. Tujuan kontrol akses jaringan adalah untuk memastikan bahwa mesin dan layanan virtual Anda hanya dapat diakses oleh pengguna dan perangkat yang Anda izinkan untuk dapat mengaksesnya.

Kelompok Keamanan Jaringan

Network Security Group (NSG) adalah firewall pemfilteran paket stateful dasar dan memungkinkan Anda mengontrol akses berdasarkan lima tuple. NSG tidak menyediakan inspeksi lapisan aplikasi atau kontrol akses terautentikasi. NSG dapat digunakan untuk mengontrol lalu lintas yang bergerak di antara subnet dalam Azure Virtual Network dan lalu lintas antara Azure Virtual Network dan Internet.

Azure Firewall

Azure Firewall adalah layanan keamanan firewall jaringan cloud-native dan cerdas yang memberikan perlindungan ancaman untuk beban kerja cloud Anda yang berjalan di Azure. Ini adalah layanan firewall stateful penuh yang dilengkapi dengan ketersediaan tinggi bawaan dan skalabilitas cloud tanpa batas. Firewall ini menyediakan inspeksi lalu lintas timur-barat dan utara-selatan.

Azure Firewall ditawarkan dalam dua SKU: Standar dan Premium. Standar Azure Firewall menyediakan pemfilteran L3-L7 dan umpan inteligensi ancaman langsung dari Microsoft Cyber Security. Azure Firewall Premium menyediakan kemampuan tingkat lanjut termasuk IDPS berbasis tanda tangan untuk memungkinkan deteksi cepat terkait serangan dengan mencari pola tertentu.

Kontrol Rute dan Penerowongan Paksa

Kemampuan untuk mengontrol perilaku perutean di Azure Virtual Networks adalah kemampuan keamanan jaringan dan kontrol akses yang penting. Misalnya, jika Anda ingin memastikan bahwa semua lalu lintas ke dan dari Azure Virtual Network melewati appliance keamanan virtual itu, Anda harus dapat mengontrol dan menyesuaikan perilaku perutean. Anda dapat melakukannya dengan mengonfigurasi Rute yang Ditentukan Pengguna di Azure.

Rute yang Ditentukan Pengguna memungkinkan Anda menyesuaikan jalur masuk dan keluar untuk lalu lintas yang bergerak ke dalam dan ke luar di setiap mesin virtual atau subnet untuk memastikan rute yang paling aman. Penerowongan paksa adalah mekanisme yang dapat Anda gunakan untuk memastikan bahwa layanan Anda tidak diizinkan untuk memulai koneksi ke perangkat di Internet.

Ini berbeda dari kemampuan menerima koneksi masuk dan kemudian meresponsnya. Server web front-end perlu merespons permintaan dari host Internet, sehingga lalu lintas yang bersumber Internet diizinkan masuk ke server web ini dan server web dapat memberikan respons.

Penerowongan paksa biasanya digunakan untuk memaksa lalu lintas keluar ke Internet melalui proksi keamanan dan firewall lokal.

Appliance Keamanan Virtual Network

Meskipun Kelompok Keamanan Jaringan, Rute yang Ditentukan Pengguna, dan penerowongan paksa memberi Anda tingkat keamanan di jaringan dan lapisan transportasi model OSI, mungkin ada kalanya Anda ingin mengaktifkan keamanan pada tingkat tumpukan yang lebih tinggi. Anda dapat mengakses fitur keamanan jaringan yang disempurnakan ini dengan menggunakan solusi appliance keamanan jaringan mitra Azure. Anda dapat menemukan solusi keamanan jaringan mitra Azure terbaru dengan mengunjungi Marketplace Azure dan mencari keamanan dan keamanan jaringan.

Microsoft Azure Virtual Network

Jaringan virtual Azure (VNet) adalah representasi jaringan Anda sendiri di cloud. Ini adalah isolasi logis dari fabric jaringan Azure yang didedikasikan untuk langganan Anda. Anda dapat sepenuhnya mengontrol blok alamat IP, pengaturan DNS, kebijakan keamanan, dan tabel rute dalam jaringan ini. Anda dapat mengelompokkan VNet Anda ke dalam subnet dan menempatkan komputer virtual (VM) Azure IaaS dan/atau layanan Cloud (instans peran PaaS) di Azure Virtual Networks.

Selain itu, Anda dapat menghubungkan jaringan virtual ke jaringan lokal menggunakan salah satu opsi konektivitas yang tersedia di Azure. Intinya, Anda dapat memperluas jaringan ke Azure, dengan kontrol penuh pada blok alamat IP dengan manfaat skala perusahaan yang disediakan Azure.

Jaringan Azure mendukung berbagai skenario akses jarak jauh yang aman. Beberapa di antaranya meliputi:

• Menyambungkan stasiun kerja individual ke Azure Virtual Network

• Menyambungkan jaringan lokal ke Azure Virtual Network dengan VPN

• Menyambungkan jaringan lokal ke Azure Virtual Network dengan tautan WAN khusus

• Menyambungkan Jaringan Virtual Azure satu dengan yang lain

Azure Virtual Network Manager

Azure Virtual Network Manager menyediakan solusi terpusat untuk melindungi jaringan virtual Anda dalam skala besar. Ini menggunakan aturan admin keamanan untuk menentukan dan menerapkan kebijakan keamanan secara terpusat untuk jaringan virtual Anda di seluruh organisasi Anda. Aturan admin keamanan lebih diutamakan daripada aturan kelompok keamanan jaringan (NSG) dan diterapkan pada jaringan virtual. Ini memungkinkan organisasi untuk menerapkan kebijakan inti dengan aturan admin keamanan, sambil tetap memungkinkan tim hilir menyesuaikan NSG sesuai dengan kebutuhan spesifik mereka di tingkat subnet dan NIC. Bergantung pada kebutuhan organisasi Anda, Anda dapat menggunakan tindakan Izinkan, Tolak, atau Selalu Izinkan aturan untuk menerapkan kebijakan keamanan.

Tindakan Aturan	Deskripsi
Izinkan	Mengizinkan lalu lintas yang ditentukan secara default. NSG hilir masih menerima lalu lintas ini dan mungkin menolaknya.
Selalu Izinkan	Selalu izinkan lalu lintas yang ditentukan, terlepas dari aturan lain dengan prioritas lebih rendah atau NSG. Ini dapat digunakan untuk memastikan bahwa agen pemantauan, pengontrol domain, atau lalu lintas manajemen tidak diblokir.
Tolak	Blokir lalu lintas yang ditentukan. NSG hilir tidak akan mengevaluasi lalu lintas ini setelah ditolak oleh aturan admin keamanan, memastikan port berisiko tinggi Anda untuk jaringan virtual yang ada dan baru dilindungi secara default.

Di Azure Virtual Network Manager, grup jaringan memungkinkan Anda mengelompokkan jaringan virtual bersama-sama untuk manajemen terpusat dan penegakan kebijakan keamanan. Grup jaringan adalah pengelompokan logis jaringan virtual berdasarkan kebutuhan Anda dari perspektif topologi dan keamanan. Anda dapat memperbarui keanggotaan jaringan virtual grup jaringan Anda secara manual atau Anda dapat menentukan pernyataan kondisional dengan Azure Policy untuk memperbarui grup jaringan secara dinamis untuk memperbarui keanggotaan grup jaringan Anda secara otomatis.

Tautan Privat Azure

Azure Private Link memungkinkan Anda untuk mengakses Layanan PaaS Azure (contoh, Azure Storage dan Azure SQL Database) dan layanan milik pelanggan/mitra yang dihosting Azure secara pribadi di jaringan virtual Anda melalui titik akhir privat. Penyiapan dan pemakaian menggunakan Azure Private Link konsisten di seluruh layanan Azure PaaS, milik pelanggan dan mitra bersama. Lalu lintas dari jaringan virtual ke layanan Azure selalu tetap berada di jaringan backbone Microsoft Azure.

Titik Akhir Privat memungkinkan Anda untuk mengamankan sumber daya layanan Azure penting ke jaringan virtual saja. Azure Private Endpoint menggunakan alamat IP privat dari VNet untuk menghubungkan Anda secara privat dan aman ke layanan yang didukung oleh Azure Private Link, yang secara efektif membawa layanan ke VNet Anda. Mengekspos jaringan virtual ke internet publik tidak lagi diperlukan dalam penggunaan layanan di Azure.

Anda juga dapat membuat layanan tautan pribadi Anda sendiri di jaringan virtual. Layanan Azure Private Link adalah referensi ke layanan Anda sendiri yang didukung oleh Azure Private Link. Layanan Anda yang berjalan di belakang Azure Standard Load Balancer dapat diaktifkan untuk akses Private Link sehingga konsumen ke layanan Anda dapat mengaksesnya secara pribadi dari jaringan virtual mereka sendiri. Pelanggan Anda dapat membuat titik akhir privat di dalam jaringan virtual mereka dan memetakannya ke layanan ini. Mengekspos layanan Anda ke internet publik tidak lagi diperlukan untuk merender layanan ke Azure.

VPN Gateway

Untuk mengirim lalu lintas antara Azure Virtual Network dan situs lokal, Anda harus membuat gateway VPN untuk Azure Virtual Network. Gateway VPN adalah jenis gateway virtual yang mengirim lalu lintas terenkripsi di seluruh koneksi publik. Anda juga dapat menggunakan gateway VPN untuk mengirim lalu lintas antara Azure Virtual Networks melalui struktur jaringan Azure.

Express Route

Microsoft Azure ExpressRoute adalah tautan WAN khusus yang memungkinkan Anda memperluas jaringan lokal ke cloud Microsoft melalui koneksi privat khusus yang difasilitasi oleh penyedia konektivitas.

Dengan ExpressRoute, Anda dapat membuat koneksi ke layanan cloud Microsoft, seperti Microsoft Azure, Microsoft 365, dan CRM Online. Konektivitas dapat dari jaringan sembarang-ke-sembarang (IP VPN), jaringan Ethernet titik-ke-titik, atau koneksi silang virtual melalui penyedia konektivitas di fasilitas kolokasi.

Koneksi ExpressRoute tidak melalui Internet publik dan dengan demikian dapat dianggap lebih aman daripada solusi berbasis VPN. Ini memungkinkan sambungan ExpressRoute menawarkan sambungan yang lebih keandalan, lebih cepat, latensi yang lebih rendah, dan keamanan yang lebih tinggi dibandingkan sambungan umum melalui Internet.

Application Gateway

Microsoft Azure Application Gateway menyediakan Pengontrol Pengiriman Aplikasi (ADC) sebagai layanan yang menawarkan berbagai kemampuan penyeimbangan beban lapisan 7 untuk aplikasi Anda.

Ini memungkinkan Anda untuk mengoptimalkan produktivitas farm web dengan membongkar penghentian TLS intensif CPU ke Application Gateway (juga dikenal sebagai offload TLS atau bridging TLS). Ini juga menyediakan kemampuan perutean Lapisan 7 lainnya juga mencakup distribusi round-robin dari lalu lintas masuk, afinitas sesi berbasis cookie, perutean berbasis jalur URL, dan kemampuan untuk meng-host beberapa situs web di belakang Application Gateway tunggal. Azure Application Gateway adalah penyeimbang muatan lapisan-7.

Penyeimbang muatan ini menyediakan failover, permintaan HTTP perutean performa antara server yang berbeda, baik di cloud maupun lokal.

Aplikasi menyediakan banyak fitur Pengontrol Pengiriman Aplikasi (ADC) termasuk penyeimbangan beban HTTP, afinitas sesi berbasis cookie, TLS offload, pemeriksaan kesehatan kustom, dukungan untuk multi-situs, dan banyak lainnya.

Web Application Firewall

Web Application Firewall adalah fitur Azure Application Gateway yang menyediakan perlindungan untuk aplikasi web yang menggunakan gateway aplikasi untuk fungsi Pengontrol Pengiriman Aplikasi (ADC) standar. Firewall aplikasi web melakukannya dengan melindungi aplikasi dari sebagian besar 10 kerentanan web umum teratas OWASP.

• Perlindungan injeksi SQL

• Perlindungan terhadap Serangan Web umum lainnya, seperti injeksi perintah, penyelundupan permintaan HTTP, pemisahan respons HTTP, dan penyertaan file jarak jauh

• Perlindungan terhadap pelanggaran protokol HTTP

• Perlindungan terhadap anomali protokol HTTP seperti agen pengguna host yang hilang dan menerima header

• Pencegahan terhadap bot, perayap, dan pemindai

• Pendeteksian kesalahan konfigurasi aplikasi umum (yaitu, Apache, IIS, dll.)

Firewall aplikasi web terpusat untuk melindungi dari serangan web membuat manajemen keamanan lebih sederhana dan memberikan jaminan yang lebih baik kepada aplikasi terhadap ancaman gangguan. Solusi WAF juga dapat bereaksi lebih cepat terhadap ancaman keamanan dengan menambal kerentanan yang sudah diketahui di lokasi pusat versus mengamankan masing-masing aplikasi web individu. Gateway aplikasi yang ada dapat dikonversi menjadi gateway aplikasi dengan firewall aplikasi web dengan mudah.

Traffic Manager

Microsoft Azure Traffic Manager memungkinkan Anda mengontrol distribusi lalu lintas pengguna untuk titik akhir layanan di pusat data yang berbeda. Titik akhir layanan yang didukung oleh Traffic Manager mencakup Azure VM, Web Apps, dan layanan Cloud. Anda juga dapat menggunakan Traffic Manager dengan titik akhir eksternal, bukan Azure. Traffic Manager menggunakan Sistem Nama Domain (DNS) untuk mengarahkan permintaan klien ke titik akhir yang paling tepat, berdasarkan metode perutean lalu lintas dan kesehatan titik akhir.

Traffic Manager menyediakan berbagai metode perutean lalu lintas untuk memenuhi berbagai kebutuhan aplikasi, pemantauan kesehatan titik akhir, dan failover otomatis. Traffic Manager tahan terhadap kegagalan, termasuk kegagalan seluruh wilayah Azure.

Penyeimbang Beban Azure

Azure Load Balancer mengirim ketersediaan tinggi dan performa jaringan untuk aplikasi Anda. Ini adalah load balancer Lapisan 4 (TCP, UDP) yang mendistribusikan lalu lintas masuk di antara instans layanan sehat yang ditentukan dalam set yang seimbang beban. Azure Load Balancer dapat dikonfigurasi untuk:

• Keseimbangan beban lalu lintas Internet yang masuk ke komputer virtual. Konfigurasi ini dikenal sebagai penyeimbang beban publik.

• Lalu lintas keseimbangan beban antara komputer virtual dalam jaringan virtual, antara mesin virtual di layanan cloud, atau antara komputer lokal dan komputer virtual dalam jaringan virtual lintas lokasi. Konfigurasi ini dikenal sebagai penyeimbang beban internal.

• Meneruskan lalu lintas eksternal ke komputer virtual tertentu

DNS Internal

Anda bisa mengelola daftar server DNS yang digunakan dalam VNet di Portal Manajemen, atau dalam file konfigurasi jaringan. Pelanggan dapat menambahkan hingga 12 server DNS untuk setiap VNet. Saat menentukan server DNS, penting untuk memverifikasi bahwa Anda mendata server DNS pelanggan dalam urutan yang benar untuk lingkungan pelanggan. Daftar server DNS tidak berfungsi round-robin. Mereka digunakan dalam urutan yang ditentukan. Jika server DNS pertama dalam daftar dapat tercapai, klien menggunakan server DNS tersebut, terlepas dari apakah server DNS berfungsi dengan baik atau tidak. Untuk mengubah urutan server DNS untuk jaringan virtual pelanggan, hapus server DNS dari daftar dan tambahkan kembali dalam urutan yang diinginkan pelanggan. DNS mendukung aspek ketersediaan triad keamanan "CIA".

DNS Azure

Sistem Nama Domain atau DNS bertanggung jawab untuk menerjemahkan (atau menyelesaikan) nama layanan ke alamat IP-nya. Azure DNS adalah layanan hosting untuk domain DNS, yang menyediakan resolusi nama menggunakan infrastruktur Microsoft Azure. Dengan menghosting domain Anda di Azure, Anda bisa mengelola catatan DNS Anda menggunakan kredensial, API, alat, dan tagihan yang sama dengan layanan Azure lainnya. DNS mendukung aspek ketersediaan triad keamanan "CIA".

NGS Log Azure Monitor

Anda dapat mengaktifkan kategori log diagnostik berikut untuk NSG:

• Peristiwa: Berisi entri di mana aturan NSG diterapkan ke VM dan peran instans berdasarkan alamat MAC. Status untuk aturan ini dikumpulkan setiap 60 detik.

• Penghitung aturan: Berisi entri tentang berapa kali setiap aturan NSG diterapkan untuk menolak atau mengizinkan lalu lintas.

Microsoft Defender for Cloud

Microsoft Defender for Cloud terus menganalisis status keamanan sumber daya Azure Anda untuk praktik terbaik keamanan jaringan. Saat Defender for Cloud mengidentifikasi potensi kerentanan keamanan, maka akan membuat rekomendasi yang memandu Anda melalui proses mengonfigurasi kontrol yang diperlukan untuk memperkuat dan melindungi sumber daya Anda.

Layanan Jaringan Kontainer Tingkat Lanjut (ACNS)

Advanced Container Networking Services (ACNS) adalah rangkaian komprehensif yang dirancang untuk meningkatkan efisiensi operasional kluster Azure Kubernetes Service (AKS). Ini menyediakan fitur keamanan dan pengamatan tingkat lanjut, mengatasi kompleksitas pengelolaan infrastruktur layanan mikro dalam skala besar.

Fitur-fitur ini dibagi menjadi dua pilar utama:

• Keamanan: Untuk kluster yang menggunakan Azure CNI Powered by Cilium, kebijakan jaringan mencakup pemfilteran nama domain yang sepenuhnya memenuhi syarat (FQDN) untuk memecahkan kompleksitas pemeliharaan konfigurasi.

• Pengamatan: Fitur rangkaian Layanan Jaringan Kontainer Tingkat Lanjut ini membawa kekuatan sarana kontrol Hubble ke bidang data Cilium dan non-Cilium Linux, memberikan visibilitas yang ditingkatkan ke dalam jaringan dan performa.

Compute

Bagian ini memberikan informasi tambahan mengenai fitur kunci di area ini dan informasi ringkasan tentang kemampuan ini.

Komputasi rahasia Azure

Komputasi rahasia Azure menyediakan bagian akhir yang hilang, dari teka-teki perlindungan data. Ini memungkinkan Anda untuk selalu mengenkripsi data Anda. Saat tidak aktif, ketika bergerak melalui jaringan, dan sekarang, bahkan saat dimuat dalam memori dan digunakan. Selain itu, dengan memungkinkan Pengesahan Jarak Jauh, ini memungkinkan Anda untuk memverifikasi secara kriptografis bahwa VM yang Anda sebarkan di-boot dengan aman dan dikonfigurasi dengan benar, sebelum membuka kunci data Anda.

Spektrum opsi berkisar dari mengaktifkan skenario "angkat dan geser" aplikasi yang ada, hingga kontrol penuh fitur keamanan. Untuk Infrastructure as a Service (IaaS), Anda dapat menggunakan komputer virtual rahasia yang didukung oleh AMD SEV-SNP atau enklave aplikasi rahasia untuk komputer virtual yang menjalankan Intel Software Guard Extensions (SGX). Untuk Platform as a Service, kami memiliki beberapa opsi berbasis kontainer, termasuk integrasi dengan Azure Kubernetes Service (AKS).

Antimalware & Antivirus

Dengan Azure IaaS, Anda dapat menggunakan perangkat lunak antimalware dari vendor keamanan seperti Microsoft, Symantec, Trend Micro, McAfee dan Kaspersky untuk melindungi komputer virtual Anda dari file berbahaya, adware, dan ancaman lainnya. Microsoft Antimalware untuk Azure Cloud Services dan Virtual Machines adalah kemampuan perlindungan yang membantu mengidentifikasi dan menghapus virus, spyware, dan perangkat lunak berbahaya lainnya. Microsoft Antimalware menyediakan peringatan yang dapat dikonfigurasi ketika mengetahui perangkat lunak jahat atau yang tidak diinginkan mencoba menginstal dirinya sendiri atau berjalan pada sistem Azure Anda. Microsoft Antimalware juga dapat digunakan Microsoft Defender for Cloud

Modul Keamanan Perangkat Keras

Enkripsi dan autentikasi tidak meningkatkan keamanan kecuali kunci itu sendiri dilindungi. Anda dapat menyederhanakan manajemen dan keamanan rahasia dan kunci penting dengan menyimpannya di Azure Key Vault. Key Vault menyediakan opsi untuk menyimpan kunci Anda dalam modul Keamanan perangkat keras (HSM) yang disertifikasi ke standar yang divalidasi FIPS 140. Kunci enkripsi SQL Server untuk cadangan atau enkripsi data transparan semuanya dapat disimpan di Key Vault dengan kunci atau rahasia apa pun dari aplikasi Anda. Izin dan akses ke item yang dilindungi ini dikelola melalui ID Microsoft Entra.

Cadangan komputer virtual

Azure Backup adalah solusi yang melindungi data aplikasi Anda dengan investasi modal nol dan biaya pengoperasian yang minimal. Kesalahan aplikasi dapat merusak data, dan kesalahan manusia dapat menimbulkan bug ke dalam aplikasi Anda yang dapat menyebabkan masalah keamanan. Dengan Azure Backup, komputer virtual Anda yang menjalankan Windows dan Linux dilindungi.

Azure Site Recovery

Bagian penting dari strategi kelangsungan bisnis/pemulihan bencana (BCDR) organisasi Anda adalah mencari tahu cara menjaga beban kerja dan aplikasi perusahaan tetap berjalan ketika terjadi pemadaman yang direncanakan dan tidak direncanakan. Azure Site Recovery membantu mengatur replikasi, failover, dan pemulihan beban kerja dan aplikasi sehingga tersedia dari lokasi sekunder jika lokasi utama Anda tidak berfungsi.

TDE VM SQL

Enkripsi data transparan (TDE) dan enkripsi tingkat kolom (CLE) adalah fitur enkripsi server SQL. Bentuk enkripsi ini mengharuskan pelanggan untuk mengelola dan menyimpan kunci kriptografi yang Anda gunakan untuk enkripsi.

Layanan Azure Key Vault (AKV) dirancang untuk meningkatkan keamanan dan manajemen kunci ini di lokasi yang aman dan sangat tersedia. SQL Server Connector memungkinkan SQL Server untuk menggunakan kunci ini dari Azure Key Vault.

Jika Anda menjalankan SQL Server dengan komputer lokal, ada langkah-langkah yang dapat Anda ikuti untuk mengakses Azure Key Vault dari instans SQL Server lokal Anda. Tetapi untuk SQL Server di VM Azure, Anda dapat menghemat waktu dengan menggunakan fitur Integrasi Azure Key Vault. Dengan beberapa cmdlet Azure PowerShell untuk mengaktifkan fitur ini, Anda dapat mengotomatiskan konfigurasi yang diperlukan VM SQL untuk mengakses brankas kunci.

Enkripsi Disk VM

Azure Disk Encryption untuk VM Linux dan Azure Disk Encryption untuk VM Windows membantu Anda mengenkripsi disk mesin virtual IaaS Anda. Azure Disk Encryption menerapkan fitur BitLocker standar industri Windows dan fitur DM-Crypt Linux untuk menyediakan enkripsi volume untuk OS dan disk data. Solusinya terintegrasi dengan Azure Key Vault untuk membantu Anda mengontrol dan mengelola kunci dan rahasia enkripsi disk dalam langganan Key Vault. Solusi ini juga memastikan bahwa semua data di disk komputer virtual dienkripsi saat tidak aktif di penyimpanan Azure.

Jaringan virtual

Komputer virtual membutuhkan konektivitas jaringan. Untuk mendukung persyaratan itu, Azure mengharuskan komputer virtual terhubung ke Azure Virtual Network. Azure Virtual Network adalah konstruksi logis yang dibangun di atas struktur jaringan Azure fisik. Setiap Azure Virtual Network logis diisolasi dari semua Azure Virtual Network lainnya. Isolasi ini membantu memastikan bahwa lalu lintas jaringan dalam penyebaran Anda tidak dapat diakses oleh pelanggan Microsoft Azure lainnya.

Pembaruan Patch

Pembaruan Patch memberikan dasar untuk menemukan dan memperbaiki potensi masalah dan menyederhanakan proses manajemen pembaruan perangkat lunak, baik dengan mengurangi jumlah pembaruan perangkat lunak yang harus Anda sebarkan di perusahaan maupun dengan meningkatkan kemampuan Anda untuk memantau kepatuhan.

Manajemen dan pelaporan kebijakan keamanan

Defender for Cloud membantu Anda mencegah, mendeteksi, dan menanggapi ancaman, serta memberi Anda peningkatan visibilitas ke, dan kontrol atas, keamanan sumber daya Azure Anda. Security Center menyediakan pemantauan Keamanan terpadu dan manajemen kebijakan di seluruh langganan Azure Anda, membantu mendeteksi ancaman yang mungkin luput dari perhatian, dan bekerja dengan ekosistem solusi keamanan yang luas.

Pengelolaan identitas dan akses

Untuk mengamankan sistem, aplikasi, dan data dimulai dengan kontrol akses berbasis identitas. Fitur manajemen akses dan identitas yang terdapat dalam produk dan layanan bisnis Microsoft membantu melindungi informasi organisasi dan pribadi Anda dari akses yang tidak sah sekaligus membuatnya tersedia bagi pengguna yang sah kapan pun dan di mana pun mereka membutuhkannya.

Identitas Aman

Microsoft menggunakan beberapa praktik dan teknologi keamanan di seluruh produk dan layanannya untuk mengelola identitas dan akses.

• Autentikasi multifaktor mengharuskan pengguna menggunakan beberapa metode untuk akses, lokal, dan di cloud. Autentikasi Multifaktor memberikan autentikasi yang kuat dengan berbagai opsi verifikasi yang mudah, sambil mengakomodasi pengguna dengan proses masuk sederhana.

• Microsoft Authenticator menyediakan pengalaman autentikasi multifaktor yang ramah pengguna yang berfungsi dengan ID Microsoft Entra dan akun Microsoft, dan mencakup dukungan untuk wearable dan persetujuan berbasis sidik jari.

• Penegakan kebijakan kata sandi meningkatkan keamanan kata sandi tradisional dengan memberlakukan persyaratan kata sandi yang panjang dan kompleks, keharusan melakukan rotasi berkala, dan penguncian akun setelah upaya autentikasi mengalami kegagalan.

• Autentikasi berbasis token memungkinkan autentikasi melalui MICROSOFT Entra ID.

• Kontrol akses berbasis peran Azure (Azure RBAC) memungkinkan Anda memberikan akses berdasarkan peran yang ditetapkan untuk pengguna, sehingga memudahkan untuk memberikan mereka hanya jumlah akses yang dibutuhkan untuk melakukan tugas pekerjaan mereka. Anda dapat menyesuaikan Azure RBAC sesuai model bisnis organisasi dan toleransi risiko.

• Manajemen identitas terintegrasi (identitas hibrida) memungkinkan Anda mempertahankan kontrol akses pengguna di seluruh pusat data internal dan platform cloud, menciptakan identitas pengguna tunggal untuk autentikasi dan otorisasi ke semua sumber daya.

Aplikasi dan data yang aman

ID Microsoft Entra, solusi cloud manajemen identitas dan akses yang komprehensif, membantu mengamankan akses ke data dalam aplikasi di situs dan di cloud, serta menyederhanakan manajemen pengguna dan grup. Azure Active Directory menggabungkan layanan direktori inti, tata kelola identitas tingkat lanjut, keamanan, dan manajemen akses aplikasi, serta memudahkan pengembang untuk membangun manajemen identitas berbasis kebijakan ke dalam aplikasi mereka. Untuk meningkatkan ID Microsoft Entra, Anda dapat menambahkan kemampuan berbayar menggunakan edisi Microsoft Entra Basic, Premium P1, dan Premium P2.

Fitur Gratis / Umum	Fitur Dasar	Fitur Premium P1	Fitur Premium P2	Gabungan Microsoft Entra - Hanya fitur terkait Windows 10
Objek Direktori, Manajemen Pengguna/Grup (tambahkan/perbarui/hapus)/ Provisi berbasis pengguna, Pendaftaran perangkat, akses menyeluruh (SSO), Perubahan Kata Sandi Layanan Mandiri untuk pengguna cloud, Sambungkan (Mesin sinkronisasi yang memperluas direktori lokal ke ID Microsoft Entra), Laporan Keamanan / Penggunaan	Manajemen/ provisi akses berbasis grup, Pengaturan Ulang Kata Sandi Layanan Mandiri untuk pengguna cloud, Branding Perusahaan (kustomisasi Halaman/Panel Akses masuk), Proksi Aplikasi, SLA 99,9%	Grup Layanan Mandiri dan manajemen aplikasi/penambahan aplikasi Layanan Mandiri/Grup Dinamis, Pengaturan Ulang/Perubahan Kata Sandi Mandiri/Buka kunci dengan write-back lokal, autentikasi multifaktor (Cloud dan Lokal (Server MFA),MIM CAL + MIM Server, Cloud App Discovery, Connect Health, Rollover kata sandi otomatis untuk akun grup	Perlindungan Identitas, Privileged Identity Management	Menggabungkan perangkat ke MICROSOFT Entra ID, Desktop SSO, Microsoft Passport untuk MICROSOFT Entra ID, pemulihan BitLocker Administrator, pendaftaran otomatis MDM, pemulihan BitLocker Layanan Mandiri, administrator lokal tambahan ke perangkat Windows 10 melalui gabungan Microsoft Entra

• Cloud App Discovery adalah fitur premium microsoft Entra ID yang memungkinkan Anda mengidentifikasi aplikasi cloud yang digunakan oleh karyawan di organisasi Anda.

• Microsoft Entra ID Protection adalah layanan keamanan yang menggunakan kemampuan deteksi anomali Microsoft Entra untuk memberikan tampilan terkonsolidasi ke dalam deteksi risiko dan potensi kerentanan yang dapat memengaruhi identitas organisasi Anda.

• Microsoft Entra Domain Services memungkinkan Anda menggabungkan Azure VM ke domain tanpa perlu menyebarkan pengontrol domain. Pengguna masuk ke VM ini dengan menggunakan kredensial Direktori Aktif perusahaan mereka, dan dapat mengakses sumber daya dengan lancar.

• Microsoft Entra B2C adalah layanan manajemen identitas global yang sangat tersedia untuk aplikasi yang menghadap konsumen yang dapat menskalakan hingga ratusan juta identitas dan berintegrasi di seluruh platform seluler dan web. Pelanggan Anda dapat masuk ke semua aplikasi Anda melalui pengalaman yang dapat disesuaikan yang menggunakan akun media sosial yang ada, atau Anda dapat membuat kredensial mandiri baru.

• Microsoft Entra Kolaborasi B2B adalah solusi integrasi mitra aman yang mendukung hubungan lintas perusahaan Anda dengan memungkinkan mitra mengakses aplikasi dan data perusahaan Anda secara selektif dengan menggunakan identitas yang dikelola sendiri.

• Microsoft Entra joined memungkinkan Anda memperluas kemampuan cloud ke perangkat Windows 10 untuk manajemen terpusat. Hal ini memungkinkan pengguna untuk terhubung ke cloud perusahaan atau organisasi melalui ID Microsoft Entra dan menyederhanakan akses ke aplikasi dan sumber daya.

• Proksi aplikasi Microsoft Entra menyediakan SSO dan akses jarak jauh yang aman untuk aplikasi web yang dihosting secara lokal.

Langkah berikutnya

• Memahami tanggung jawab bersama di cloud.

• Pelajari bagaimana Microsoft Defender for Cloud dapat membantu Anda mencegah, mendeteksi, dan merespons ancaman dengan peningkatan visibilitas dan kontrol atas keamanan sumber daya Azure Anda.