Pengantar ke keamanan Azure

Gambaran Umum

Kami mengetahui bahwa keamanan merupakan pekerjaan utama di cloud dan penting bagi Anda untuk menemukan informasi yang akurat dan tepat waktu tentang keamanan Azure. Salah satu alasan terbaik dari penggunaan Azure untuk aplikasi dan layanan Anda adalah memanfaatkan berbagai alat dan kemampuan keamanannya. Alat dan kemampuan ini membantu untuk menciptakan solusi aman di platform Azure yang aman. Microsoft Azure harus menjaga kerahasiaan, integritas, dan ketersediaan data pelanggan, sekaligus memungkinkan akuntabilitas yang transparan.

Artikel ini memberikan pandangan komprehensif tentang keamanan yang tersedia dengan Azure.

Platform Azure

Azure adalah platform layanan cloud publik yang mendukung berbagai pilihan sistem operasi, bahasa pemrograman, kerangka kerja, alat, database, dan perangkat. Platform ini dapat menjalankan kontainer Linux dengan integrasi Docker; membangun aplikasi dengan JavaScript, Python, .NET, PHP, Java, dan Node.js; membangun back-ends untuk perangkat iOS, Android, dan Windows.

Layanan cloud publik Azure mendukung teknologi yang sama yang sudah diandalkan dan dipercaya oleh jutaan pengembang dan profesional IT. Saat Anda membangun, atau memigrasikan aset TI ke, penyedia layanan cloud publik yang Anda andalkan pada kemampuan organisasi tersebut untuk melindungi aplikasi dan data Anda dengan layanan dan kontrol yang mereka berikan untuk mengelola keamanan aset berbasis cloud Anda.

Infrastruktur Azure dirancang dari fasilitas hingga aplikasi untuk menghosting jutaan pelanggan secara bersamaan, dan menyediakan fondasi terpercaya di mana bisnis dapat memenuhi persyaratan keamanan mereka.

Selain itu, Azure memberi Anda berbagai opsi keamanan yang dapat dikonfigurasi dan kemampuan untuk mengontrolnya sehingga Anda dapat menyesuaikan keamanan untuk memenuhi persyaratan unik penyebaran organisasi Anda. Dokumen ini akan membantu Anda untuk memahami cara kemampuan keamanan Azure membantu memenuhi persyaratan ini.

Catatan

Fokus utama dokumen ini adalah pada kontrol yang dihadapi pelanggan yang dapat Anda gunakan untuk menyesuaikan dan meningkatkan keamanan untuk aplikasi dan layanan.

Untuk informasi tentang cara Microsoft mengamankan platform Azure itu sendiri, lihat Keamanan infrastruktur Azure.

Ringkasan kemampuan keamanan Azure

Bergantung pada model layanan cloud, terdapat tanggung jawab variabel untuk pihak yang bertanggung jawab dalam pengelolaan keamanan aplikasi atau layanan. Tersedia kemampuan di Azure Platform untuk membantu Anda memenuhi tanggung jawab ini melalui fitur bawaan, dan melalui solusi mitra yang dapat diterapkan ke langganan Azure.

Kemampuan bawaan diatur dalam enam area fungsional: Operasi, Aplikasi, Penyimpanan, Jaringan, Komputasi, dan Identitas. Detail tambahan tentang fitur dan kemampuan yang tersedia di Azure Platform di enam area ini disediakan melalui informasi ringkasan.

Operasional

Bagian ini memberikan informasi tambahan mengenai fitur utama dalam operasi keamanan dan informasi ringkasan tentang kemampuan ini.

Microsoft Sentinel

Microsoft Sentinel adalah informasi keamanan dan manajemen peristiwa (SIEM) yang scalable dan cloud-native serta solusi orkestrasi keamanan, otomatisasi, dan respons (SOAR). Microsoft Sentinel memberikan analitik keamanan cerdas dan inteligensi ancaman di seluruh perusahaan, memberikan solusi tunggal untuk deteksi serangan, visibilitas ancaman, perburuan proaktif, dan respons ancaman.

Microsoft Defender for Cloud

Pertahanan Microsoft untuk Cloud membantu Anda mencegah, mendeteksi, dan merespons ancaman dengan peningkatan visibilitas ke dalam dan kontrol atas keamanan sumber daya Anda. Azure Security Center menyediakan pemantauan keamanan terpadu dan manajemen kebijakan di seluruh langganan Azure Anda, membantu mendeteksi ancaman yang mungkin luput dari perhatian, dan bekerja dengan ekosistem solusi keamanan yang luas.

Selain itu, Defender for Cloud membantu operasi keamanan dengan menyediakan dasbor tunggal yang menampilkan peringatan dan rekomendasi yang dapat segera ditindaklanjuti. Seringkali, Anda dapat memulihkan masalah dengan satu klik di konsol Defender for Cloud.

Manajer Sumber Daya Azure

Azure Resource Manager memungkinkan Anda bekerja dengan sumber daya dalam aplikasi Anda sebagai grup. Anda dapat menyebarkan, memperbarui, atau menghapus semua sumber daya untuk aplikasi Anda dalam satu operasi terkoordinasi. Anda menggunakan templat Azure Resource Manager untuk penyebaran dan templat tersebut dapat bekerja untuk berbagai lingkungan seperti pengujian, penahapan, dan produksi. Resource Manager menyediakan fitur keamanan, audit, dan penandaan untuk membantu Anda mengelola sumber daya setelah penyebaran.

Penyebaran berbasis templat Azure Resource Manager membantu meningkatkan keamanan solusi yang disebarkan di Azure karena pengaturan kontrol keamanan standar dan dapat diintegrasikan ke dalam penyebaran berbasis templat standar. Ini mengurangi risiko kesalahan konfigurasi keamanan yang mungkin terjadi selama penyebaran manual.

Application Insights

Application Insights adalah layanan Manajemen Performa Aplikasi (APM) yang dapat diperluas untuk pengembang web. Dengan Application Insights, Anda dapat memantau aplikasi web langsung dan secara otomatis mendeteksi anomali performa. Hal ini termasuk alat analitik yang kuat untuk membantu mendiagnosis masalah dan untuk memahami apa yang sebenarnya dilakukan pengguna dengan aplikasi Anda. Layanan ini memantau aplikasi Anda sewaktu aplikasi berjalan, baik selama pengujian maupun setelah Anda menerbitkan atau menyebarkannya.

Application Insights membuat bagan dan tabel yang menunjukkan hal seperti jam berapa Anda mendapatkan pengguna terbanyak, seberapa responsif aplikasi tersebut, dan seberapa{b>

Jika ada crash, failover, atau masalah performa, Anda dapat mencari melalui data telemetri secara terperinci untuk mendiagnosis penyebabnya. Layanan ini juga akan mengirimkan email jika terdapat perubahan dalam ketersediaan dan performa aplikasi Anda. Dengan demikian, Application Insight menjadi alat keamanan yang berharga karena membantu ketersediaan dalam triad keamanan kerahasiaan, integritas, dan ketersediaan.

Azure Monitor

Azure Monitor menawarkan visualisasi, kueri, perutean, pemberitahuan, penskalaan otomatis, dan otomatisasi pada data baik dari langganan Azure (Log Aktivitas) maupun dari setiap sumber daya Azure (Log Diagnostik). Anda dapat menggunakan Azure Monitor untuk memberikan pemberitahuan tentang kejadian terkait keamanan yang dihasilkan dalam log Azure.

Log Azure Monitor

Log Azure Monitor – Memberikan solusi manajemen IT untuk infrastruktur berbasis cloud lokal dan pihak ketiga (seperti AWS) selain untuk sumber daya Azure. Data dari Azure Monitor dapat dirutekan langsung ke log Azure Monitor sehingga Anda dapat melihat metrik dan log untuk seluruh lingkungan Anda di satu tempat.

Log Azure Monitor dapat menjadi alat yang sangat berguna dalam analisis forensik dan keamanan lainnya, karena alat ini memungkinkan Anda untuk dengan cepat melakukan pencarian melalui sejumlah besar entri terkait keamanan dengan pendekatan kueri yang fleksibel. Selain itu, firewall lokal dan log proksi dapat diekspor ke Azure dan tersedia untuk analisis menggunakan log Azure Monitor.

Azure Advisor

Azure Advisor adalah konsultan cloud pribadi yang membantu Anda mengoptimalkan penyebaran Azure. Azure Advisor menganalisis konfigurasi sumber daya dan telemetri penggunaan Anda. Azure Advisor selanjutnya merekomendasikan solusi untuk membantu meningkatkan performa, keamanan, dan ketersediaan sumber daya yang tinggi sambil mencari peluang untuk mengurangi keseluruhan pengeluaran Azure Anda. Azure Advisor memberikan rekomendasi keamanan, yang secara signifikan dapat meningkatkan postur keamanan secara keseluruhan untuk solusi yang Anda terapkan di Azure. Rekomendasi ini diambil dari analisis keamanan yang dilakukan oleh Microsoft Defender for Cloud.

Aplikasi

Bagian ini memberikan informasi tambahan mengenai fitur utama dalam keamanan aplikasi dan informasi ringkasan tentang kemampuan ini.

Uji Penetrasi

Kami tidak melakukan pengujian penetrasi aplikasi untuk Anda, tetapi kami memahami bahwa Anda ingin dan perlu melakukan pengujian pada aplikasi Anda sendiri. Itu merupakan hal yang baik, karena ketika Anda meningkatkan keamanan aplikasi, maka Anda juga membantu membuat seluruh ekosistem Azure lebih aman. Ketika memberi tahu Microsoft bahwa aktivitas pengujian pena tidak lagi diperlukan, pelanggan harus tetap mematuhi Aturan Keterlibatan Pengujian Penetrasi Cloud Microsoft.

Firewall Aplikasi Web

Firewall aplikasi web (WAF) di Azure Application Gateway membantu melindungi aplikasi web dari serangan umum berbasis web seperti injeksi SQL, serangan scripting lintas situs, dan pembajakan sesi. Muncul prakonfigurasi dengan perlindungan dari ancaman yang diidentifikasi olehProyek Keamanan Aplikasi Web Terbuka (OWASP) sebagai 10 kerentanan umum teratas.

Autentikasi dan otorisasi di Azure App Service

Autentikasi App Service / Otorisasi adalah fitur yang menyediakan cara bagi aplikasi untuk masuk ke pengguna sehingga Anda tidak perlu mengubah kode pada backend aplikasi. Fitur ini memberikan cara mudah untuk melindungi aplikasi Anda dan bekerja dengan data per pengguna.

Arsitektur Keamanan Berlapis

Karena Lingkungan App Service menyediakan lingkungan runtime terisolasi yang disebarkan ke dalam Azure Virtual Network, pengembang dapat membuat arsitektur keamanan berlapis yang menyediakan tingkat akses jaringan yang berbeda untuk setiap tingkat aplikasi. Keinginan umum adalah menyembunyikan back-end API dari akses Internet umum, dan hanya mengizinkan API dipanggil oleh aplikasi web upstream. Grup Keamanan Jaringan (NSGs) dapat digunakan di subnet Azure Virtual Network yang berisi Lingkungan App Service untuk membatasi akses publik ke aplikasi API.

Diagnostik server Web dan diagnostik aplikasi

Aplikasi web App Service menyediakan fungsionalitas diagnostik untuk pengelogan informasi dari server web dan aplikasi web. Diagnostik ini secara logis dipisahkan menjadi diagnostik server web dan diagnostik aplikasi. Server Web mencakup dua kemajuan besar dalam mendiagnosis dan memecahkan masalah situs dan aplikasi.

Fitur baru pertama adalah informasi status real time tentang kelompok aplikasi, proses pekerja, situs, domain aplikasi, dan permintaan yang berjalan. Keuntungan baru yang kedua adalah peristiwa pelacakan terperinci yang melacak permintaan selama proses permintaan dan respons lengkap.

Untuk mengaktifkan pengumpulan peristiwa pelacakan ini, IIS 7 dapat dikonfigurasi untuk secara otomatis menangkap log pelacakan penuh, dalam format XML, untuk permintaan tertentu berdasarkan waktu yang telah berlalu atau kode respons kesalahan.

Penyimpanan

Bagian ini memberikan informasi tambahan mengenai fitur kunci dalam keamanan aplikasi Azure dan informasi ringkasan tentang kemampuan ini.

Kontrol akses berbasis peran Azure (Azure RBAC)

Cara mengamankan akun penyimpanan Anda dengan kontrol akses berbasis peran Azure (Azure RBAC). Membatasi akses berdasarkan prinsip-prinsip keamanan yang perlu diketahui dan hak istimewa minimal sangat penting bagi organisasi yang ingin menerapkan kebijakan Keamanan untuk akses data. Hak akses ini diberikan dengan menetapkan peran Azure yang sesuai ke grup dan aplikasi pada cakupan tertentu. Anda dapat menggunakan peran bawaan Azure, seperti Kontributor Akun Penyimpanan, untuk menetapkan hak istimewa kepada pengguna. Akses ke kunci penyimpanan untuk akun penyimpanan menggunakan model Azure Resource Manager dapat dikontrol melalui Azure RBAC.

Tanda Tangan Akses Bersama

Tanda tangan akses bersama (SAS) memberikan akses yang diberikan ke sumber daya di akun penyimpanan Anda. Anda dapat menggunakannya untuk memberi klien izin terbatas ke objek di akun penyimpanan Anda selama jangka waktu tertentu dan dengan serangkaian izin tertentu. Anda dapat memberikan izin terbatas ini tanpa harus membagikan kunci akses akun Anda.

Enkripsi saat Transit

Enkripsi saat transit adalah mekanisme perlindungan data saat dikirimkan ke seluruh jaringan. Dengan Azure Storage, Anda dapat mengamankan data menggunakan:

• Enkripsi tingkat transportasi, seperti HTTPS saat Anda mentransfer data ke dalam atau keluar Azure Storage.

• Enkripsi kabel, seperti enkripsi SMB 3.0 untuk berbagi File Azure.

• Enkripsi sisi klien, untuk mengenkripsi data sebelum ditransfer ke penyimpanan dan mendekripsi data setelah ditransfer keluar dari penyimpanan.

Enkripsi saat tidak aktif

Bagi banyak organisasi, enkripsi data saat tidak aktif merupakan langkah wajib menuju privasi data, kepatuhan, dan kedaulatan data. Terdapat tiga fitur Azure yang menyediakan enkripsi data "saat tidak aktif":

• Enkripsi Layanan Penyimpanan memungkinkan Anda untuk meminta agar layanan penyimpanan mengenkripsi data secara otomatis saat menulisnya ke Azure Storage.

• Enkripsi Sisi Klien juga menyediakan fitur enkripsi saat tidak aktif.

• Azure Disk Encryption untuk VM Linux dan Azure Disk Encryption untuk VM Windows memungkinkan Anda mengenkripsi disk OS dan disk data yang digunakan oleh mesin virtual IaaS.

Analitik Penyimpanan

Azure Storage Analytics melakukan pengelogan dan menyediakan data metrik untuk akun penyimpanan. Anda dapat menggunakan data ini untuk melacak permintaan, menganalisis tren penggunaan, dan mendiagnosis masalah dengan akun penyimpanan Anda. Storage Analytics mencatat informasi mendetail tentang permintaan yang berhasil dan gagal ke layanan penyimpanan. Informasi ini dapat digunakan untuk memantau permintaan individu dan mendiagnosis masalah dengan layanan penyimpanan. Permintaan dicatat di log dengan basis upaya terbaik. Jenis permintaan yang diautentikasi berikut ini dicatat:

• Permintaan yang berhasil.
• Permintaan yang gagal, termasuk waktu habis, pembatasan, jaringan, otorisasi, dan kesalahan lainnya.
• Permintaan menggunakan Tanda Tangan Akses Bersama (SAS), termasuk permintaan yang gagal dan berhasil.
• Permintaan ke data analitik.

Mengaktifkan Klien Berbasis Browser Menggunakan CORS

Berbagi Sumber Daya Lintas Asal (CORS) merupakan mekanisme yang memungkinkan domain untuk saling memberi izin untuk mengakses sumber daya satu sama lain. Agen Pengguna mengirim header tambahan untuk memastikan bahwa kode JavaScript yang dimuat dari domain tertentu diizinkan untuk mengakses sumber daya yang terletak di domain lain. Domain terakhir kemudian membalas dengan header tambahan yang mengizinkan atau menolak akses domain asli ke sumber dayanya.

Layanan penyimpanan Azure sekarang mendukung CORS sehingga setelah Anda menetapkan aturan CORS untuk layanan, permintaan yang diautentikasi dengan benar terhadap layanan dari domain yang berbeda dievaluasi untuk menentukan apakah diizinkan sesuai dengan aturan yang telah Anda tentukan.

Jaringan

Bagian ini memberikan informasi tambahan mengenai fitur kunci dalam keamanan jaringan Azure dan informasi ringkasan tentang kemampuan ini.

Kontrol Lapisan Jaringan

Kontrol akses jaringan merupakan tindakan pembatasan konektivitas ke dan dari perangkat atau subnet tertentu dan mewakili inti keamanan jaringan. Tujuan kontrol akses jaringan adalah untuk memastikan bahwa mesin dan layanan virtual Anda hanya dapat diakses oleh pengguna dan perangkat yang Anda izinkan untuk dapat mengaksesnya.

Kelompok Keamanan Jaringan

Kelompok Keamanan Jaringan (NSG) adalah firewall pemfilteran paket dasar stateful dan memungkinkan Anda untuk mengontrol akses berdasarkan 5-tuple. NSG tidak menyediakan inspeksi lapisan aplikasi atau kontrol akses terautentikasi. NSG dapat digunakan untuk mengontrol lalu lintas yang bergerak di antara subnet dalam Azure Virtual Network dan lalu lintas antara Azure Virtual Network dan Internet.

Azure Firewall

Azure Firewall adalah layanan keamanan firewall jaringan cloud-native dan cerdas yang memberikan perlindungan ancaman untuk beban kerja cloud Anda yang berjalan di Azure. Ini adalah layanan firewall stateful penuh yang dilengkapi dengan ketersediaan tinggi bawaan dan skalabilitas cloud tanpa batas. Firewall ini menyediakan inspeksi lalu lintas timur-barat dan utara-selatan.

Azure Firewall ditawarkan dalam dua SKU: Standar dan Premium. Standar Azure Firewall menyediakan pemfilteran L3-L7 dan umpan inteligensi ancaman langsung dari Microsoft Cyber Security. Azure Firewall Premium menyediakan kemampuan tingkat lanjut termasuk IDPS berbasis tanda tangan untuk memungkinkan deteksi cepat terkait serangan dengan mencari pola tertentu.

Kontrol Rute dan Penerowongan Paksa

Kemampuan untuk mengontrol perilaku perutean di Azure Virtual Networks adalah kemampuan keamanan jaringan dan kontrol akses yang penting. Misalnya, jika Anda ingin memastikan bahwa semua lalu lintas ke dan dari Azure Virtual Network melewati appliance keamanan virtual itu, Anda harus dapat mengontrol dan menyesuaikan perilaku perutean. Anda dapat melakukannya dengan mengonfigurasi Rute yang Ditentukan Pengguna di Azure.

Rute yang Ditentukan Pengguna memungkinkan Anda menyesuaikan jalur masuk dan keluar untuk lalu lintas yang bergerak ke dalam dan ke luar di setiap mesin virtual atau subnet untuk memastikan rute yang paling aman. Penerowongan paksa adalah mekanisme yang dapat digunakan untuk memastikan bahwa layanan Anda tidak diizinkan untuk memulai koneksi ke perangkat di Internet.

Ini berbeda dari kemampuan menerima koneksi masuk dan kemudian meresponsnya. Server web front-end perlu merespons permintaan dari host Internet, sehingga lalu lintas yang bersumber Internet diizinkan masuk ke server web ini dan server web dapat memberikan respons.

Penerowongan paksa biasanya digunakan untuk memaksa lalu lintas keluar ke Internet melalui proksi keamanan dan firewall lokal.

Appliance Keamanan Virtual Network

Meskipun Grup Keamanan Jaringan, Rute yang DItentukan Pengguna, dan penerowongan paksa memberi tingkat keamanan di jaringan dan lapisan transportasi model OSI, mungkin ada saatnya ketika Anda ingin mengaktifkan keamanan di tingkat tumpukan yang lebih tinggi. Anda dapat mengakses fitur keamanan jaringan yang disempurnakan ini dengan menggunakan solusi appliance keamanan jaringan mitra Azure. Anda dapat menemukan solusi keamanan jaringan mitra Azure terbaru dengan mengunjungi Marketplace Azure dan mencari “keamanan” dan “keamanan jaringan.”

Microsoft Azure Virtual Network

Jaringan virtual Azure (VNet) adalah representasi jaringan Anda sendiri di cloud. VNet adalah isolasi logis dari struktur jaringan Azure yang didedikasikan untuk langganan Anda. Anda dapat sepenuhnya mengontrol blok alamat IP, pengaturan DNS, kebijakan keamanan, dan tabel rute dalam jaringan ini. Anda dapat mengelompokkan VNet Anda ke dalam subnet dan menempatkan komputer virtual (VM) Azure IaaS dan/atau layanan Cloud (instans peran PaaS) di Azure Virtual Networks.

Selain itu, Anda dapat menghubungkan jaringan virtual ke jaringan lokal menggunakan salah satu opsi konektivitas yang tersedia di Azure. Intinya, Anda dapat memperluas jaringan ke Azure, dengan kontrol penuh pada blok alamat IP dengan manfaat skala perusahaan yang disediakan Azure.

Jaringan Azure mendukung berbagai skenario akses jarak jauh yang aman. Beberapa di antaranya meliputi:

• Menyambungkan stasiun kerja individual ke Azure Virtual Network

• Menyambungkan jaringan lokal ke Azure Virtual Network dengan VPN

• Menyambungkan jaringan lokal ke Azure Virtual Network dengan tautan WAN khusus

• Menyambungkan Jaringan Virtual Azure satu dengan yang lain

Azure Virtual Network Manager

Azure Virtual Network Manager menyediakan solusi terpusat untuk melindungi jaringan virtual Anda dalam skala besar. Ini menggunakan aturan admin keamanan untuk menentukan dan menerapkan kebijakan keamanan secara terpusat untuk jaringan virtual Anda di seluruh organisasi Anda. Aturan admin keamanan lebih diutamakan daripada aturan kelompok keamanan jaringan (NSG) dan diterapkan pada jaringan virtual. Ini memungkinkan organisasi untuk menerapkan kebijakan inti dengan aturan admin keamanan, sambil tetap memungkinkan tim hilir menyesuaikan NSG sesuai dengan kebutuhan spesifik mereka di tingkat subnet dan NIC. Bergantung pada kebutuhan organisasi Anda, Anda dapat menggunakan tindakan Izinkan, Tolak, atau Selalu Izinkan aturan untuk menerapkan kebijakan keamanan.

Tindakan Aturan	Deskripsi
Izinkan	Mengizinkan lalu lintas yang ditentukan secara default. NSG hilir masih menerima lalu lintas ini dan dapat menolaknya.
Selalu Izinkan	Selalu izinkan lalu lintas yang ditentukan, terlepas dari aturan lain dengan prioritas lebih rendah atau NSG. Ini dapat digunakan untuk memastikan bahwa agen pemantauan, pengendali domain, atau lalu lintas manajemen tidak diblokir.
Tolak	Blokir lalu lintas yang ditentukan. NSG hilir tidak akan mengevaluasi lalu lintas ini setelah ditolak oleh aturan admin keamanan, memastikan port berisiko tinggi Anda untuk jaringan virtual yang ada dan baru dilindungi secara default.

Di Azure Virtual Network Manager, grup jaringan memungkinkan Anda mengelompokkan jaringan virtual bersama-sama untuk manajemen terpusat dan penegakan kebijakan keamanan. Grup jaringan adalah pengelompokan logis jaringan virtual berdasarkan kebutuhan Anda dari perspektif topologi dan keamanan. Anda dapat memperbarui keanggotaan jaringan virtual grup jaringan Anda secara manual atau Anda dapat menentukan pernyataan kondisional dengan Azure Policy untuk memperbarui grup jaringan secara dinamis untuk memperbarui keanggotaan grup jaringan Anda secara otomatis.

Tautan Privat Azure

Azure Private Link memungkinkan Anda untuk mengakses Layanan PaaS Azure (contoh, Azure Storage dan Azure SQL Database) dan layanan milik pelanggan/mitra yang dihosting Azure secara pribadi di jaringan virtual Anda melalui titik akhir privat. Penyiapan dan pemakaian menggunakan Azure Private Link konsisten di seluruh layanan Azure PaaS, milik pelanggan dan mitra bersama. Lalu lintas dari jaringan virtual ke layanan Azure selalu tetap berada di jaringan backbone Microsoft Azure.

Titik Akhir Privat memungkinkan Anda untuk mengamankan sumber daya layanan Azure penting ke jaringan virtual saja. Azure Private Endpoint menggunakan alamat IP privat dari VNet untuk menghubungkan Anda secara privat dan aman ke layanan yang didukung oleh Azure Private Link, yang secara efektif membawa layanan ke VNet Anda. Mengekspos jaringan virtual ke internet publik tidak lagi diperlukan dalam penggunaan layanan di Azure.

Anda juga dapat membuat layanan tautan pribadi Anda sendiri di jaringan virtual. Layanan Azure Private Link adalah referensi ke layanan Anda sendiri yang didukung oleh Azure Private Link. Layanan Anda yang berjalan di belakang Azure Standard Load Balancer dapat diaktifkan untuk akses Private Link sehingga konsumen ke layanan Anda dapat mengaksesnya secara pribadi dari jaringan virtual mereka sendiri. Pelanggan Anda dapat membuat titik akhir privat di dalam jaringan virtual mereka dan memetakannya ke layanan ini. Mengekspos layanan Anda ke internet publik tidak lagi diperlukan untuk merender layanan ke Azure.

VPN Gateway

Untuk mengirim lalu lintas antara Azure Virtual Network dan situs lokal, Anda harus membuat gateway VPN untuk Azure Virtual Network. Gateway VPN adalah jenis gateway virtual yang mengirim lalu lintas terenkripsi di seluruh koneksi publik. Anda juga dapat menggunakan gateway VPN untuk mengirim lalu lintas antara Azure Virtual Networks melalui struktur jaringan Azure.

Express Route

Microsoft Azure ExpressRoute adalah tautan WAN khusus yang memungkinkan Anda memperluas jaringan lokal ke cloud Microsoft melalui koneksi privat khusus yang difasilitasi oleh penyedia konektivitas.

Dengan ExpressRoute, Anda dapat membuat koneksi ke layanan cloud Microsoft, seperti Microsoft Azure, Microsoft 365, dan CRM Online. Konektivitas dapat dari jaringan (IP VPN) any-to-any, jaringan Ethernet titik ke titik, atau sambungan silang virtual melalui penyedia konektivitas di fasilitas lokasi bersama.

Koneksi ExpressRoute tidak melalui Internet publik, sehingga dapat dianggap lebih aman daripada solusi berbasis VPN. Ini memungkinkan sambungan ExpressRoute menawarkan sambungan yang lebih keandalan, lebih cepat, latensi yang lebih rendah, dan keamanan yang lebih tinggi dibandingkan sambungan umum melalui Internet.

Application Gateway

Microsoft Azure Application Gateway menyediakan Pengontrol Pengiriman Aplikasi (ADC) sebagai layanan yang menawarkan berbagai kemampuan penyeimbangan beban lapisan 7 untuk aplikasi Anda.

Ini memungkinkan Anda untuk mengoptimalkan produktivitas farm web dengan membongkar penghentian TLS intensif CPU ke Application Gateway (juga dikenal sebagai "TLS offload" atau "TLS bridging"). Ini juga menyediakan kemampuan perutean Lapisan 7 lainnya juga mencakup distribusi round-robin dari lalu lintas masuk, afinitas sesi berbasis cookie, perutean berbasis jalur URL, dan kemampuan untuk meng-host beberapa situs web di belakang Application Gateway tunggal. Azure Application Gateway adalah penyeimbang muatan lapisan-7.

Penyeimbang muatan ini menyediakan failover, permintaan HTTP perutean performa antara server yang berbeda, baik di cloud maupun lokal.

Aplikasi menyediakan banyak fitur Pengontrol Pengiriman Aplikasi (ADC) termasuk penyeimbangan beban HTTP, afinitas sesi berbasis cookie, TLS offload, pemeriksaan kesehatan kustom, dukungan untuk multi-situs, dan banyak lainnya.

Web Application Firewall

Web Application Firewall adalah fitur Azure Application Gateway yang menyediakan perlindungan untuk aplikasi web yang menggunakan gateway aplikasi untuk fungsi Pengontrol Pengiriman Aplikasi (ADC) standar. Firewall aplikasi web melakukannya dengan melindungi aplikasi dari sebagian besar 10 kerentanan web umum teratas OWASP.

• Perlindungan injeksi SQL

• Perlindungan terhadap Serangan Web umum lainnya, seperti injeksi perintah, penyelundupan permintaan HTTP, pemisahan respons HTTP, dan penyertaan file jarak jauh

• Perlindungan terhadap pelanggaran protokol HTTP

• Perlindungan terhadap anomali protokol HTTP seperti agen pengguna host yang hilang dan menerima header

• Pencegahan terhadap bot, perayap, dan pemindai

• Pendeteksian kesalahan konfigurasi aplikasi umum (yaitu, Apache, IIS, dll.)

Firewall aplikasi web terpusat untuk melindungi dari serangan web membuat manajemen keamanan jauh lebih sederhana dan memberikan jaminan yang lebih baik untuk aplikasi terhadap ancaman intrusi. Solusi WAF juga dapat bereaksi lebih cepat terhadap ancaman keamanan dengan menambal kerentanan yang sudah diketahui di lokasi pusat versus mengamankan masing-masing aplikasi web individu. Gateway aplikasi yang ada dapat dikonversi menjadi gateway aplikasi dengan firewall aplikasi web dengan mudah.

Traffic Manager

Microsoft Azure Traffic Manager memungkinkan Anda mengontrol distribusi lalu lintas pengguna untuk titik akhir layanan di pusat data yang berbeda. Titik akhir layanan yang didukung oleh Traffic Manager mencakup Azure VM, Web Apps, dan layanan Cloud. Anda juga dapat menggunakan Traffic Manager dengan titik akhir eksternal, bukan Azure. Traffic Manager menggunakan Sistem Nama Domain (DNS) untuk mengarahkan permintaan klien ke titik akhir yang paling tepat, berdasarkan metode perutean lalu lintas dan kesehatan titik akhir.

Traffic Manager menyediakan berbagai metode perutean lalu lintas untuk memenuhi berbagai kebutuhan aplikasi, pemantauan kesehatan titik akhir, dan failover otomatis. Traffic Manager tahan terhadap kegagalan, termasuk kegagalan seluruh wilayah Azure.

Penyeimbang Beban Azure

Azure Load Balancer mengirim ketersediaan tinggi dan performa jaringan untuk aplikasi Anda. Ini adalah penyeimbang beban Layer 4 (TCP, UDP) yang mendistribusikan lalu lintas masuk di antara instans layanan sehat yang ditentukan dalam set beban yang seimbang. Azure Load Balancer dapat dikonfigurasi untuk:

• Keseimbangan beban lalu lintas Internet yang masuk ke komputer virtual. Konfigurasi ini dikenal sebagai penyeimbang beban publik.

• Lalu lintas keseimbangan beban antara komputer virtual dalam jaringan virtual, antara mesin virtual di layanan cloud, atau antara komputer lokal dan komputer virtual dalam jaringan virtual lintas lokasi. Konfigurasi ini dikenal sebagai penyeimbang beban internal.

• Meneruskan lalu lintas eksternal ke komputer virtual tertentu

DNS Internal

Anda bisa mengelola daftar server DNS yang digunakan dalam VNet di Portal Manajemen, atau dalam file konfigurasi jaringan. Pelanggan dapat menambahkan hingga 12 server DNS untuk setiap VNet. Saat menentukan server DNS, penting untuk memverifikasi bahwa Anda mendata server DNS pelanggan dalam urutan yang benar untuk lingkungan pelanggan. Daftar server DNS tidak bekerja round-robin. Daftar server DNS digunakan dalam urutan yang ditentukan. Jika server DNS pertama dalam daftar dapat tercapai, klien menggunakan server DNS tersebut, terlepas dari apakah server DNS berfungsi dengan baik atau tidak. Untuk mengubah urutan server DNS untuk jaringan virtual pelanggan, hapus server DNS dari daftar dan tambahkan kembali dalam urutan yang diinginkan pelanggan. DNS mendukung aspek ketersediaan triad keamanan "CIA".

DNS Azure

Sistem Nama Domain atau DNS bertanggung jawab untuk menerjemahkan (atau menyelesaikan) nama layanan ke alamat IP-nya. Azure DNS adalah layanan hosting untuk domain DNS, yang menyediakan resolusi nama menggunakan infrastruktur Microsoft Azure. Dengan menghosting domain Anda di Azure, Anda bisa mengelola catatan DNS Anda menggunakan kredensial, API, alat, dan tagihan yang sama dengan layanan Azure lainnya. DNS mendukung aspek ketersediaan triad keamanan "CIA".

NGS Log Azure Monitor

Anda dapat mengaktifkan kategori log diagnostik berikut untuk NSG:

• Peristiwa: Berisi entri di mana aturan NSG diterapkan ke VM dan peran instans berdasarkan alamat MAC. Status untuk aturan ini dikumpulkan setiap 60 detik.

• Penghitung aturan: Berisi entri tentang berapa kali setiap aturan NSG diterapkan untuk menolak atau mengizinkan lalu lintas.

Microsoft Defender for Cloud

Microsoft Defender for Cloud terus menganalisis status keamanan sumber daya Azure Anda untuk praktik terbaik keamanan jaringan. Saat Defender for Cloud mengidentifikasi potensi kerentanan keamanan, maka akan membuat rekomendasi yang memandu Anda melalui proses mengonfigurasi kontrol yang diperlukan untuk memperkuat dan melindungi sumber daya Anda.

Compute

Bagian ini memberikan informasi tambahan mengenai fitur kunci di area ini dan informasi ringkasan tentang kemampuan ini.

Komputasi rahasia Azure

Komputasi rahasia Azure menyediakan bagian akhir yang hilang, dari teka-teki perlindungan data. Ini memungkinkan Anda untuk menjaga data Anda tetap terenkripsi setiap saat. Saat tidak aktif, ketika bergerak melalui jaringan, dan sekarang, bahkan saat dimuat dalam memori dan digunakan. Selain itu, dengan memungkinkan Attestion Jarak Jauh, hal ini memungkinkan Anda untuk memverifikasi secara kriptografis bahwa VM yang Anda sediakan telah di-boot dengan aman dan dikonfigurasi dengan benar, sebelum membuka kunci data Anda.

Spektrum opsi berkisar dari mengaktifkan skenario "angkat dan geser" aplikasi yang ada, hingga kontrol penuh fitur keamanan. Untuk Infrastructure as a Service (IaaS), Anda dapat menggunakan komputer virtual rahasia yang didukung oleh AMD SEV-SNP atau enklave aplikasi rahasia untuk komputer virtual yang menjalankan Intel Software Guard Extensions (SGX). Untuk Platform as a Service, kami memiliki beberapa opsi berbasis kontainer, termasuk integrasi dengan Azure Kubernetes Service (AKS).

Antimalware & Antivirus

Dengan Azure IaaS, Anda dapat menggunakan perangkat lunak antimalware dari vendor keamanan seperti Microsoft, Symantec, Trend Micro, McAfee dan Kaspersky untuk melindungi komputer virtual Anda dari file berbahaya, adware, dan ancaman lainnya. Microsoft Antimalware untuk Azure Cloud Services dan Virtual Machines adalah kemampuan perlindungan yang membantu mengidentifikasi dan menghapus virus, spyware, dan perangkat lunak berbahaya lainnya. Microsoft Antimalware menyediakan peringatan yang dapat dikonfigurasi ketika mengetahui perangkat lunak jahat atau yang tidak diinginkan mencoba menginstal dirinya sendiri atau berjalan pada sistem Azure Anda. Microsoft Antimalware juga dapat digunakan Microsoft Defender for Cloud

Modul Keamanan Perangkat Keras

Enkripsi dan autentikasi tidak meningkatkan keamanan kecuali kunci itu dilindungi. Anda dapat menyederhanakan manajemen dan keamanan rahasia dan kunci penting dengan menyimpannya di Azure Key Vault. Key Vault menyediakan opsi untuk menyimpan kunci Anda dalam modul Keamanan perangkat keras (HSM) yang disertifikasi ke standar yang divalidasi FIPS 140. Kunci enkripsi SQL Server untuk cadangan atau enkripsi data transparan semuanya dapat disimpan di Key Vault dengan kunci atau rahasia apa pun dari aplikasi Anda. Izin dan akses ke item yang dilindungi ini dikelola melalui ID Microsoft Entra.

Cadangan komputer virtual

Azure Backup adalah solusi yang melindungi data aplikasi Anda dengan investasi modal nol dan biaya pengoperasian yang minimal. Kesalahan aplikasi dapat merusak data, dan kesalahan manusia dapat menimbulkan bug ke dalam aplikasi Anda yang dapat menyebabkan masalah keamanan. Dengan Azure Backup, komputer virtual Anda yang menjalankan Windows dan Linux dilindungi.

Azure Site Recovery

Bagian penting dari strategi kelangsungan bisnis/pemulihan bencana (BCDR) organisasi Anda adalah mencari tahu cara menjaga beban kerja dan aplikasi perusahaan tetap berjalan ketika terjadi pemadaman yang direncanakan dan tidak direncanakan. Azure Site Recovery membantu mengatur replikasi, failover, serta pemulihan beban kerja dan aplikasi sehingga tersedia dari lokasi sekunder jika lokasi utama Anda tidak berfungsi.

TDE VM SQL

Enkripsi data transparan (TDE) dan enkripsi tingkat kolom (CLE) adalah fitur enkripsi server SQL. Bentuk enkripsi ini mengharuskan pelanggan untuk mengelola dan menyimpan kunci kriptografi yang Anda gunakan untuk enkripsi.

Layanan Azure Key Vault (AKV) dirancang untuk meningkatkan keamanan dan manajemen kunci ini di lokasi yang aman dan sangat tersedia. SQL Server Connector memungkinkan SQL Server untuk menggunakan kunci ini dari Azure Key Vault.

Jika Anda menjalankan SQL Server secara lokal, terdapat langkah-langkah yang dapat Anda ikuti untuk mengakses Azure Key Vault dari instans SQL Server lokal Anda. Tetapi untuk SQL Server di VM Azure, Anda dapat menghemat waktu dengan menggunakan fitur Integrasi Azure Key Vault. Dengan beberapa cmdlet Azure PowerShell untuk mengaktifkan fitur ini, Anda dapat mengotomatiskan konfigurasi yang diperlukan VM SQL untuk mengakses brankas kunci.

Enkripsi Disk VM

Azure Disk Encryption untuk VM Linux dan Azure Disk Encryption untuk VM Windows membantu Anda mengenkripsi disk mesin virtual IaaS Anda. Azure Disk Encryption menerapkan fitur BitLocker standar industri Windows dan fitur DM-Crypt Linux untuk menyediakan enkripsi volume untuk OS dan disk data. Solusinya terintegrasi dengan Azure Key Vault untuk membantu Anda mengontrol dan mengelola kunci dan rahasia enkripsi disk dalam langganan Key Vault. Solusi ini juga memastikan bahwa semua data di disk komputer virtual dienkripsi saat tidak aktif di penyimpanan Azure.

Jaringan virtual

Komputer virtual membutuhkan konektivitas jaringan. Untuk mendukung persyaratan itu, Azure mengharuskan komputer virtual terhubung ke Azure Virtual Network. Azure Virtual Network adalah konstruksi logis yang dibangun di atas struktur jaringan Azure fisik. Setiap Azure Virtual Network logis diisolasi dari semua Azure Virtual Network lainnya. Isolasi ini membantu memastikan bahwa lalu lintas jaringan dalam penyebaran Anda tidak dapat diakses oleh pelanggan Microsoft Azure lainnya.

Pembaruan Patch

Pembaruan Patch memberikan dasar untuk menemukan dan memperbaiki potensi masalah dan menyederhanakan proses manajemen pembaruan perangkat lunak, baik dengan mengurangi jumlah pembaruan perangkat lunak yang harus Anda sebarkan di perusahaan maupun dengan meningkatkan kemampuan Anda untuk memantau kepatuhan.

Manajemen dan pelaporan kebijakan keamanan

Defender for Cloud membantu Anda mencegah, mendeteksi, dan menanggapi ancaman, serta memberi Anda peningkatan visibilitas ke, dan kontrol atas, keamanan sumber daya Azure Anda. Security Center menyediakan pemantauan Keamanan terpadu dan manajemen kebijakan di seluruh langganan Azure Anda, membantu mendeteksi ancaman yang mungkin luput dari perhatian, dan bekerja dengan ekosistem solusi keamanan yang luas.

Pengelolaan identitas dan akses

Untuk mengamankan sistem, aplikasi, dan data dimulai dengan kontrol akses berbasis identitas. Fitur manajemen akses dan identitas yang terdapat dalam produk dan layanan bisnis Microsoft membantu melindungi informasi organisasi dan pribadi Anda dari akses yang tidak sah sekaligus membuatnya tersedia bagi pengguna yang sah kapan pun dan di mana pun mereka membutuhkannya.

Identitas Aman

Microsoft menggunakan beberapa praktik dan teknologi keamanan di seluruh produk dan layanannya untuk mengelola identitas dan akses.

• Autentikasi Multifaktor mengharuskan pengguna untuk menggunakan beberapa metode untuk akses, di lokal dan di cloud. Autentikasi Multifaktor memberikan autentikasi yang kuat dengan berbagai opsi verifikasi yang mudah, sambil mengakomodasi pengguna dengan proses masuk sederhana.

• Microsoft Authenticator menyediakan pengalaman Autentikasi Multifaktor yang mudah digunakan yang berfungsi dengan ID Microsoft Entra dan akun Microsoft, serta menyertakan dukungan untuk wearable dan persetujuan berbasis sidik jari.

• Penegakan kebijakan kata sandi meningkatkan keamanan kata sandi tradisional dengan memberlakukan persyaratan kata sandi yang panjang dan kompleks, keharusan melakukan rotasi berkala, dan penguncian akun setelah upaya autentikasi mengalami kegagalan.

• Autentikasi berbasis token memungkinkan autentikasi melalui MICROSOFT Entra ID.

• Kontrol akses berbasis peran Azure (Azure RBAC) memungkinkan Anda memberikan akses berdasarkan peran yang ditetapkan untuk pengguna, sehingga memudahkan untuk memberikan mereka hanya jumlah akses yang dibutuhkan untuk melakukan tugas pekerjaan mereka. Anda dapat menyesuaikan Azure RBAC sesuai model bisnis organisasi dan toleransi risiko.

• Manajemen identitas terintegrasi (identitas hibrida) memungkinkan Anda mempertahankan kontrol akses pengguna di seluruh pusat data internal dan platform cloud, menciptakan identitas pengguna tunggal untuk autentikasi dan otorisasi ke semua sumber daya.

Aplikasi dan data yang aman

MICROSOFT Entra ID, solusi cloud manajemen identitas dan akses yang komprehensif, membantu mengamankan akses ke data dalam aplikasi di situs dan di cloud, dan menyederhanakan manajemen pengguna dan grup. Azure Active Directory menggabungkan layanan direktori inti, tata kelola identitas tingkat lanjut, keamanan, dan manajemen akses aplikasi, serta memudahkan pengembang untuk membangun manajemen identitas berbasis kebijakan ke dalam aplikasi mereka. Untuk meningkatkan ID Microsoft Entra, Anda dapat menambahkan kemampuan berbayar menggunakan edisi Microsoft Entra Basic, Premium P1, dan Premium P2.

Fitur Gratis / Umum	Fitur Dasar	Fitur Premium P1	Fitur Premium P2	Gabungan Microsoft Entra - Hanya fitur terkait Windows 10
Objek Direktori, Manajemen Pengguna/Grup (tambahkan/perbarui/hapus)/ Provisi berbasis pengguna, Pendaftaran perangkat, akses menyeluruh (SSO), Perubahan Kata Sandi Layanan Mandiri untuk pengguna cloud, Koneksi (Mesin sinkronisasi yang memperluas direktori lokal ke ID Microsoft Entra), Laporan Keamanan / Penggunaan	Manajemen/provisi akses berbasis grup, Pengaturan Ulang Kata Sandi Mandiri untuk pengguna cloud, Branding Perusahaan (Halaman Masuk/Penyesuaian Panel Akses), Proksi Aplikasi, SLA 99.9%	Grup Mandiri dan Manajemen aplikasi/Penambahan aplikasi Mandiri/Grup Dinamis, Pembukaan Kunci/Pengubahan/Pengaturan Ulang Kata Sandi Mandiri dengan tulis balik lokal, Autentikasi Multifaktor (Cloud dan Lingkungan Lokal (Server MFA)), MIM CAL + MIM Server, Cloud App Discovery, Connect Health, Perputaran kata sandi otomatis untuk akun grup	Perlindungan Identitas, Privileged Identity Management	Menggabungkan perangkat ke MICROSOFT Entra ID, SSO Desktop, Microsoft Passport untuk ID Microsoft Entra, pemulihan BitLocker Administrator, pendaftaran otomatis MDM, pemulihan BitLocker Layanan Mandiri, Administrator lokal tambahan ke perangkat Windows 10 melalui gabungan Microsoft Entra

• Cloud App Discovery adalah fitur premium microsoft Entra ID yang memungkinkan Anda mengidentifikasi aplikasi cloud yang digunakan oleh karyawan di organisasi Anda.

• Microsoft Entra ID Protection adalah layanan keamanan yang menggunakan kemampuan deteksi anomali Microsoft Entra untuk memberikan tampilan terkonsolidasi ke dalam deteksi risiko dan potensi kerentanan yang dapat memengaruhi identitas organisasi Anda.

• Microsoft Entra Domain Services memungkinkan Anda menggabungkan Azure VM ke domain tanpa perlu menyebarkan pengontrol domain. Pengguna masuk ke VM ini dengan menggunakan kredensial Direktori Aktif perusahaan mereka, dan dapat mengakses sumber daya dengan lancar.

• Azure Active Directory B2C adalah layanan manajemen identitas global yang sangat tersedia untuk aplikasi yang dihadapi konsumen yang dapat menskalakan hingga ratusan juta identitas dan terintegrasi di seluruh platform seluler dan web. Pelanggan Anda dapat masuk ke semua aplikasi Anda melalui pengalaman yang dapat disesuaikan yang menggunakan akun media sosial yang ada, atau Anda dapat membuat kredensial mandiri baru.

• Microsoft Entra Kolaborasi B2B adalah solusi integrasi mitra aman yang mendukung hubungan lintas perusahaan Anda dengan memungkinkan mitra mengakses aplikasi dan data perusahaan Anda secara selektif dengan menggunakan identitas yang dikelola sendiri.

• Microsoft Entra joined memungkinkan Anda memperluas kemampuan cloud ke perangkat Windows 10 untuk manajemen terpusat. Hal ini memungkinkan pengguna untuk terhubung ke cloud perusahaan atau organisasi melalui ID Microsoft Entra dan menyederhanakan akses ke aplikasi dan sumber daya.

• Proksi aplikasi Microsoft Entra menyediakan SSO dan akses jarak jauh yang aman untuk aplikasi web yang dihosting secara lokal.

Langkah berikutnya

• Memahami tanggung jawab bersama di cloud.

• Pelajari bagaimana Microsoft Defender for Cloud dapat membantu Anda mencegah, mendeteksi, dan merespons ancaman dengan peningkatan visibilitas dan kontrol atas keamanan sumber daya Azure Anda.