Praktik terbaik Azure untuk keamanan jaringan

Artikel ini membahas kumpulan praktik terbaik Azure untuk meningkatkan keamanan jaringan Anda. Praktik terbaik ini berasal dari pengalaman kami dengan jaringan Azure dan pengalaman pelanggan seperti Anda.

Untuk setiap praktik terbaik, artikel ini menjelaskan:

  • Apakah praktik terbaik itu
  • Mengapa Anda ingin mengaktifkan praktik terbaik itu
  • Apa yang mungkin dihasilkan jika Anda gagal mengaktifkan praktik terbaik
  • Kemungkinan alternatif untuk praktik terbaik
  • Bagaimana Anda dapat belajar untuk mengaktifkan praktik terbaik

Praktik terbaik ini didasarkan pada pendapat konsensus, dan kemampuan platform Azure dan rangkaian fitur, karena ada pada saat artikel ini ditulis. Opini dan teknologi berubah dari waktu ke waktu dan artikel ini akan diperbarui secara berkala untuk mencerminkan perubahan tersebut.

Gunakan kontrol jaringan yang kuat

Anda dapat menghubungkan komputer virtual Azure (VM) dan peralatan ke perangkat jaringan lain dengan menempatkannya di jaringan virtual Azure. Artinya, Anda dapat menghubungkan kartu antarmuka jaringan virtual ke jaringan virtual untuk memungkinkan komunikasi berbasis TCP/IP antara perangkat yang mengaktifkan jaringan. Komputer virtual yang terhubung ke jaringan virtual Azure dapat terhubung ke perangkat di jaringan virtual yang sama, jaringan virtual yang berbeda, internet, atau jaringan lokal Anda sendiri.

Saat Anda merencanakan jaringan dan keamanan jaringan Anda, kami sarankan Anda memusatkan:

  • Manajemen fungsi jaringan inti seperti ExpressRoute, provisi jaringan dan subnet virtual, dan alamat IP.
  • Tata kelola elemen keamanan jaringan, seperti fungsi appliance virtual jaringan seperti ExpressRoute, provisi jaringan dan subnet virtual, dan alamat IP.

Jika Anda menggunakan sekumpulan alat manajemen umum untuk memantau jaringan dan keamanan jaringan, Anda mendapatkan visibilitas yang jelas ke keduanya. Strategi keamanan terpadu yang mudah mengurangi kesalahan karena meningkatkan pemahaman manusia dan keandalan otomatisasi.

Segmentasikan subnet secara logis

Jaringan virtual Azure mirip dengan LAN di jaringan lokal Anda. Ide di balik jaringan virtual Azure adalah Anda membuat jaringan, berdasarkan satu ruang alamat IP privat, di mana Anda dapat menempatkan semua komputer virtual Azure Anda. Ruang alamat IP privat yang tersedia berada di rentang Kelas A (10.0.0.0/8), Kelas B (172.16.0.0/12), dan Kelas C (192.168.0.0/16).

Praktik terbaik untuk mengelompokkan subnet secara logis meliputi:

Praktik terbaik: Jangan tetapkan aturan yang diizinkan dengan rentang luas (misalnya, izinkan 0.0.0.0 hingga 255.255.255.255).
Detail: Memastikan prosedur pemecahan masalah mencegah atau melarang pengaturan jenis aturan ini. Ini memungkinkan aturan mengarah pada rasa aman yang salah dan sering ditemukan dan dieksploitasi oleh tim merah.

Praktik terbaik: Segmentasikan ruang alamat yang lebih besar ke dalam subnet.
Detail: Gunakan prinsip subnetting berbasis CIDRuntuk membuat subnet Anda.

Praktik terbaik: Membuat kontrol akses jaringan antar subnet. Perutean antar subnet terjadi secara otomatis, dan Anda tidak perlu mengonfigurasi tabel perutean secara manual. Secara default, tidak ada kontrol akses jaringan antara subnet yang Anda buat di jaringan virtual Azure.
Detail: Gunakan kelompok keamanan jaringan untuk melindungi dari lalu lintas yang tidak diminta ke subnet Azure. Kelompok keamanan jaringan (NSG) adalah perangkat inspeksi paket stateful yang sederhana. NSG menggunakan pendekatan 5 tuple (IP sumber, port sumber, IP tujuan, port tujuan, dan protokol lapisan 4) untuk membuat aturan izinkan/tolak untuk lalu lintas jaringan. Anda mengizinkan atau menolak lalu lintas ke dan dari satu alamat IP, ke dan dari beberapa alamat IP, atau ke dan dari seluruh subnet.

Saat Anda menggunakan kelompok keamanan jaringan untuk kontrol akses jaringan antar subnet, Anda bisa meletakkan sumber daya yang termasuk dalam zona keamanan atau peran yang sama dalam subnet mereka sendiri.

Praktik terbaik: Hindari jaringan virtual kecil dan subnet untuk memastikan kesederhanaan dan fleksibilitas. Detail: Sebagian besar organisasi menambahkan lebih banyak sumber daya daripada yang direncanakan pada awalnya, dan merealokasi alamat bersifat padat karya. Menggunakan subnet kecil menambahkan nilai keamanan terbatas, dan memetakan kelompok keamanan jaringan ke setiap subnet menambahkan overhead. Tentukan subnet secara luas untuk memastikan bahwa Anda memiliki fleksibilitas untuk pertumbuhan.

Praktik terbaik: Menyederhanakan manajemen aturan kelompok keamanan jaringan dengan mendefinisikan Kelompok Keamanan Aplikasi.
Detail: Tentukan Kelompok Keamanan Aplikasi untuk daftar alamat IP yang menurut Anda mungkin berubah di masa mendatang atau digunakan di banyak kelompok keamanan jaringan. Pastikan untuk memberi nama Kelompok Keamanan Aplikasi dengan jelas sehingga orang lain dapat memahami konten dan tujuan mereka.

Mengadopsi pendekatan Zero Trust

Jaringan berbasis perimeter beroperasi dengan asumsi bahwa semua sistem dalam jaringan dapat dipercaya. Tetapi karyawan saat ini mengakses sumber daya organisasi mereka dari mana saja di berbagai perangkat dan aplikasi, yang membuat kontrol keamanan perimeter tidak relevan. Kebijakan kontrol akses yang hanya berfokus pada siapa yang dapat mengakses sumber daya tidak cukup. Untuk menguasai keseimbangan antara keamanan dan produktivitas, admin keamanan juga perlu memperhitungkan bagaimana sumber daya diakses.

Jaringan perlu berkembang dari pertahanan tradisional karena jaringan mungkin rentan terhadap pelanggaran: penyerang dapat membahayakan satu titik akhir dalam batas terpercaya dan kemudian dengan cepat memperluas pijakan di seluruh jaringan. Jaringan Zero Trust menghilangkan konsep kepercayaan berdasarkan lokasi jaringan dalam perimeter. Sebagai gantinya, arsitektur Zero Trust menggunakan klaim kepercayaan perangkat dan pengguna ke akses gerbang ke data dan sumber daya organisasi. Untuk inisiatif baru, adopsi pendekatan Zero Trust yang memvalidasi kepercayaan pada saat akses.

Praktik Terbaik adalah:

Praktik terbaik: Berikan Akses Bersyarat ke sumber daya berdasarkan perangkat, identitas, jaminan, lokasi jaringan, dan banyak lagi.
Detail: Akses Bersyarat Azure Active Directory memungkinkan Anda menerapkan kontrol akses yang tepat dengan menerapkan keputusan kontrol akses otomatis berdasarkan kondisi yang diperlukan. Untuk informasi selengkapnya, lihat Mengelola akses ke manajemen Azure dengan Akses Bersyarat.

Praktik terbaik: Aktifkan akses port hanya setelah persetujuan alur kerja.
Detail: Anda dapat menggunakan akses VM just-in-time di Pertahanan Microsoft untuk Cloud untuk mengunci lalu lintas masuk ke VM Azure, mengurangi paparan terhadap serangan sekaligus memberikan akses mudah untuk terhubung ke VM saat dibutuhkan.

Praktik terbaik: Memberikan izin sementara untuk melakukan tugas hak istimewa, yang mencegah pengguna berbahaya atau tidak berwenang mendapatkan akses setelah izin kedaluwarsa. Akses diberikan hanya ketika pengguna membutuhkan akses.
Detail: Gunakan akses just-in-time di Azure AD Privileged Identity Management atau dalam solusi pihak ketiga untuk memberikan izin untuk melakukan tugas hak istimewa.

Zero Trust adalah evolusi berikutnya dalam keamanan jaringan. Keadaan serangan siber mendorong organisasi untuk mengambil pola pikir "asumsikan pelanggaran", tetapi pendekatan ini seharusnya tidak membatasi. Jaringan Zero Trust melindungi data dan sumber daya perusahaan sambil memastikan bahwa organisasi dapat membangun tempat kerja modern dengan menggunakan teknologi yang memberdayakan karyawan untuk menjadi produktif kapan saja, di mana saja, dengan cara apa pun.

Mengontrol perilaku perutean

Ketika Anda menempatkan komputer virtual di jaringan virtual Azure, VM dapat terhubung ke VM lain pada jaringan virtual yang sama, bahkan jika VM lainnya berada di subnet yang berbeda. Ini dimungkinkan karena kumpulan rute sistem yang diaktifkan secara default memungkinkan jenis komunikasi ini. Rute default ini memungkinkan VM pada jaringan virtual yang sama untuk memulai koneksi satu sama lain, dan dengan internet (hanya untuk komunikasi keluar ke internet).

Meskipun rute sistem default berguna untuk banyak skenario penyebaran, ada kalanya Anda ingin menyesuaikan konfigurasi perutean untuk penyebaran Anda. Anda dapat mengonfigurasi alamat hop berikutnya untuk mencapai tujuan tertentu.

Kami menyarankan agar Anda mengonfigurasi rute yang ditentukan pengguna saat Anda menerapkan appliance keamanan untuk jaringan virtual. Kami berbicara tentang rekomendasi ini di bagian selanjutnya berjudul mengamankan sumber daya layanan Azure penting Anda hanya untuk jaringan virtual Anda.

Catatan

Rute yang ditentukan pengguna tidak diperlukan, dan rute sistem default biasanya berfungsi.

Gunakan peralatan jaringan virtual

Kelompok keamanan jaringan dan perutean yang ditentukan pengguna dapat memberikan ukuran keamanan jaringan tertentu di jaringan dan lapisan transportasi model OSI. Tetapi dalam beberapa situasi, Anda ingin atau perlu mengaktifkan keamanan di tingkat tumpukan yang tinggi. Dalam situasi seperti itu, kami sarankan Anda menyebarkan appliance keamanan jaringan virtual yang disediakan oleh mitra Azure.

Appliance keamanan jaringan Azure dapat memberikan keamanan yang lebih baik daripada apa yang menyediakan kontrol tingkat jaringan. Kemampuan keamanan jaringan appliance keamanan jaringan virtual meliputi:

  • Firewalling
  • Deteksi intrusi/pencegahan intrusi
  • Manajemen kerentanan
  • Kontrol aplikasi
  • Deteksi anomali berbasis jaringan
  • Pemfilteran web
  • Antivirus
  • Perlindungan Botnet

Untuk menemukan peralatan keamanan jaringan virtual Azure yang tersedia, buka Azure Marketplace dan cari "keamanan" dan "keamanan jaringan."

Terapkan jaringan sekitar untuk zona keamanan

Jaringan sekitar (juga dikenal sebagai DMZ) adalah segmen jaringan fisik atau logis yang memberikan lapisan keamanan ekstra antara aset Anda dan internet. Perangkat kontrol akses jaringan khusus di tepi jaringan perimeter hanya memungkinkan lalu lintas yang diinginkan ke jaringan virtual Anda.

Jaringan sekitar berguna karena Anda dapat memfokuskan manajemen kontrol akses jaringan, pemantauan, pencatatan log, dan pelaporan pada perangkat di tepi jaringan virtual Azure Anda. Jaringan perimeter adalah tempat Anda biasanya mengaktifkan perlindungan penolakan layanan terdistribusi (DDoS), sistem deteksi intrusi/pencegahan intrusi (IDS/IPS), aturan dan kebijakan firewall, pemfilteran web, antimalware jaringan, dan banyak lagi. Perangkat keamanan jaringan berada di antara internet dan jaringan virtual Azure Anda dan memiliki antarmuka di kedua jaringan.

Meskipun ini adalah desain dasar dari jaringan sekitar, ada banyak desain yang berbeda, seperti back-to-back, tri-homed, dan multi-homed.

Berdasarkan konsep Zero Trust yang disebutkan sebelumnya, kami menyarankan agar Anda mempertimbangkan untuk menggunakan jaringan sekitar untuk semua penyebaran keamanan tinggi untuk meningkatkan tingkat keamanan jaringan dan kontrol akses untuk sumber daya Azure Anda. Anda dapat menggunakan Azure atau solusi pihak ketiga untuk memberikan lapisan keamanan tambahan antara aset Anda dan internet:

  • Kontrol asli Azure. Azure Firewall dan Azure Web Application Firewall menawarkan keuntungan keamanan dasar. Keuntungannya adalah firewall yang sepenuhnya stateful sebagai layanan, ketersediaan tinggi bawaan, skalabilitas cloud tidak terbatas, pemfilteran FQDN, dukungan untuk seperangkat aturan inti OWASP, dan penyiapan dan konfigurasi sederhana.
  • Penawaran pihak ketiga. Cari Marketplace Azure firewall generasi berikutnya (NGFW) dan penawaran pihak ketiga lainnya yang menyediakan alat keamanan yang familier dan tingkat keamanan jaringan yang ditingkatkan. Konfigurasi mungkin lebih kompleks, tetapi penawaran pihak ketiga memungkinkan Anda untuk menggunakan kemampuan dan keterampilan yang ada.

Banyak organisasi telah memilih rute IT hibrida. Dengan IT hibrida, beberapa aset informasi perusahaan berada di Azure, dan yang lain tetap lokal. Dalam banyak kasus, beberapa komponen layanan berjalan di Azure sementara komponen lain tetap lokal.

Dalam skenario IT hibrid, biasanya ada beberapa jenis konektivitas lintas tempat. Konektivitas lintas lokasi memungkinkan perusahaan untuk menghubungkan jaringan lokalnya ke jaringan virtual Azure. Tersedia dua solusi konektivitas lintas lokasi:

  • VPN situs-ke-situs. Ini adalah teknologi tepercaya, andal, dan mapan, tetapi koneksi terjadi melalui internet. Bandwidth dibatasi hingga maksimum sekitar 1,25 Gbps. VPN situs ke situs adalah opsi yang diinginkan dalam beberapa skenario.
  • Azure ExpressRoute. Kami menyarankan agar Anda menggunakan ExpressRoute untuk konektivitas lintas lokasi Anda. ExpressRoute memungkinkan Anda memperluas jaringan lokal ke cloud Microsoft melalui koneksi pribadi yang difasilitasi oleh penyedia konektivitas. Dengan ExpressRoute, Anda dapat membuat koneksi ke layanan cloud Microsoft seperti Azure, Microsoft 365, dan Dynamics 365. ExpressRoute adalah tautan WAN khusus antara lokasi lokal Anda atau penyedia hosting Microsoft Exchange. Karena ini adalah koneksi telco, data Anda tidak dikirim melalui internet, sehingga tidak terkena potensi risiko komunikasi internet.

Lokasi koneksi ExpressRoute Anda dapat memengaruhi kapasitas firewall, skalabilitas, keandalan, dan visibilitas lalu lintas jaringan. Anda harus mengidentifikasi tempat untuk mengakhiri ExpressRoute di jaringan yang ada (lokal). Anda dapat:

  • Hentikan di luar firewall (paradigma jaringan perimeter). Gunakan rekomendasi ini jika Anda memerlukan visibilitas ke dalam lalu lintas, jika Anda perlu melanjutkan praktik yang ada untuk mengisolasi pusat data, atau jika Anda hanya menempatkan sumber daya ekstranet di Azure.
  • Hentikan di dalam firewall (paradigma ekstensi jaringan). Ini adalah rekomendasi default. Dalam semua kasus lain, sebaiknya perlakukan Azure sebagai pusat data lain.

Optimalkan waktu aktif dan performa

Jika layanan tidak berfungsi, informasi tidak dapat diakses. Jika performa sangat buruk sehingga data tidak dapat digunakan, Anda dapat menganggap data tidak dapat diakses. Dari perspektif keamanan, Anda perlu melakukan apa pun yang Anda bisa untuk memastikan bahwa layanan Anda memiliki waktu aktif dan performa yang optimal.

Metode yang populer dan efektif untuk meningkatkan ketersediaan dan performa adalah penyeimbangan beban. Penyeimbangan beban adalah metode mendistribusikan lalu lintas jaringan di seluruh server yang merupakan bagian dari layanan. Misalnya, jika Anda memiliki server web front-end sebagai bagian dari layanan, Anda dapat menggunakan penyeimbangan beban untuk mendistribusikan lalu lintas di beberapa server web front-end Anda.

Distribusi lalu lintas ini meningkatkan ketersediaan karena jika salah satu server web menjadi tidak tersedia, penyeimbang muatan berhenti mengirim lalu lintas ke server itu dan mengalihkannya ke server yang masih online. Penyeimbangan beban juga membantu kinerja, karena prosesor, jaringan, dan overhead memori untuk permintaan penyajian didistribusikan di semua server yang menyeimbangkan beban.

Kami menyarankan agar Anda menggunakan penyeimbangan beban kapan pun Anda bisa, dan sesuai dengan layanan Anda. Berikut ini adalah skenario di tingkat jaringan virtual Azure dan tingkat global, bersama dengan opsi penyeimbangan beban untuk masing-masing.

Skenario: Anda memiliki aplikasi yang:

  • Memerlukan permintaan dari sesi pengguna/klien yang sama untuk mencapai mesin virtual back-end yang sama. Contohnya adalah aplikasi keranjang belanja dan server email web.
  • Hanya menerima koneksi yang aman, jadi komunikasi yang tidak terenkripsi ke server bukanlah opsi yang dapat diterima.
  • Memerlukan beberapa permintaan pada koneksi TCP yang berjalan lama yang sama untuk dirutekan atau dimuat seimbang ke server back-end yang berbeda.

Opsi penyeimbangan beban: Gunakan Azure Application Gateway, penyeimbang beban lalu lintas web HTTP. Application Gateway mendukung end-to-end enkripsi dan penghentian TLS di gateway. Server web kemudian dapat dibebani dari enkripsi dan overhead dekripsi dan lalu lintas yang mengalir tidak terenkripsi ke server back-end.

Skenario: Anda perlu memuat keseimbangan koneksi masuk dari internet di antara server Anda yang terletak di jaringan virtual Azure. Skenario adalah ketika Anda:

  • Memiliki aplikasi stateless yang menerima permintaan masuk dari internet.
  • Tidak memerlukan sesi lengket atau offload TLS. Sesi lengket adalah metode yang digunakan dengan Penyeimbangan Beban Aplikasi, untuk mencapai afinitas server.

Opsi penyeimbangan beban: Gunakan portal Microsoft Azure untuk membuat penyeimbang beban eksternal yang menyebarkan permintaan masuk di beberapa VM untuk memberikan tingkat ketersediaan yang lebih tinggi.

Skenario: Anda perlu memuat koneksi keseimbangan dari VM yang tidak ada di internet. Dalam kebanyakan kasus, koneksi yang diterima untuk penyeimbangan beban dimulai oleh perangkat di jaringan virtual Azure, seperti instans SQL Server atau server web internal.
Opsi penyeimbangan beban: Gunakan portal Microsoft Azure untuk membuat penyeimbang beban internal yang menyebarkan permintaan masuk di beberapa VM untuk memberikan tingkat ketersediaan yang lebih tinggi.

Skenario: Anda memerlukan penyeimbangan beban global karena Anda:

  • Memiliki solusi cloud yang didistribusikan secara luas di beberapa wilayah dan memerlukan tingkat waktu aktif (ketersediaan) tertinggi.
  • Perlu tingkat waktu aktif tertinggi untuk memastikan bahwa layanan Anda tersedia meskipun seluruh pusat data menjadi tidak tersedia.

Opsi penyeimbangan beban: Gunakan Azure Traffic Manager. Traffic Manager memungkinkan untuk memuat koneksi saldo ke layanan Anda berdasarkan lokasi pengguna.

Misalnya, jika pengguna membuat permintaan ke layanan Anda dari Eropa, koneksi diarahkan ke layanan Anda yang terletak di pusat data Eropa. Bagian penyeimbangan beban global Traffic Manager ini membantu meningkatkan performa karena menghubungkan ke pusat data terdekat lebih cepat daripada menghubungkan ke pusat data yang jauh.

Nonaktifkan Akses RDP/SSH ke komputer virtual

Dimungkinkan untuk menjangkau komputer virtual Azure dengan menggunakan Protokol Desktop Jauh (RDP) dan protokol Secure Shell (SSH). Protokol ini memungkinkan VM manajemen dari lokasi jarak jauh dan merupakan standar dalam komputasi pusat data.

Potensi masalah keamanan dengan menggunakan protokol ini melalui internet adalah bahwa penyerang dapat menggunakan teknik brute force untuk mendapatkan akses ke komputer virtual Azure. Setelah penyerang mendapatkan akses, mereka dapat menggunakan VM Anda sebagai titik peluncuran untuk mengorbankan mesin lain di jaringan virtual Anda atau bahkan menyerang perangkat jaringan di luar Azure.

Kami menyarankan agar Anda menonaktifkan akses langsung RDP dan SSH ke komputer virtual Azure Anda dari internet. Setelah akses langsung RDP dan SSH dari internet dinonaktifkan, Anda memiliki opsi lain yang dapat Anda gunakan untuk mengakses VM ini untuk manajemen jarak jauh.

Skenario: Aktifkan satu pengguna untuk terhubung ke jaringan virtual Azure melalui internet.
Opsi: VPN titik-ke-situs adalah istilah lain untuk akses jarak jauh VPN klien / koneksi server. Setelah koneksi titik-ke-situs dibuat, pengguna dapat menggunakan RDP atau SSH untuk menyambungkan ke VM yang terletak di jaringan virtual Azure yang terhubung ke pengguna melalui VPN titik-ke-situs. Ini mengasumsikan bahwa pengguna berwenang untuk mencapai VM tersebut.

VPN titik-ke-situd lebih aman daripada koneksi RDP atau SSH langsung karena pengguna harus mengautentikasi dua kali sebelum menyambungkan ke VM. Pertama, pengguna perlu mengotentikasi (dan diberi wewenang) untuk membangun koneksi VPN titik-ke-situs. Kedua, pengguna perlu melakukan otentikasi (dan diberi wewenang) untuk menetapkan sesi RDP atau SSH.

Skenario: Memungkinkan pengguna di jaringan lokal Anda untuk menyambungkan ke VM di jaringan virtual Azure Anda.
Opsi: VPN situs ke situs menghubungkan seluruh jaringan ke jaringan lain melalui internet. Anda dapat menggunakan VPN situs-ke-situs untuk menyambungkan jaringan lokal Anda ke jaringan virtual Azure. Pengguna di jaringan lokal Anda terhubung dengan menggunakan protokol RDP atau SSH melalui koneksi VPN situs ke situs. Anda tidak perlu mengizinkan akses langsung RDP atau SSH melalui internet.

Skenario: Gunakan tautan WAN khusus untuk menyediakan fungsionalitas yang mirip dengan VPN situs-ke-situs.
Opsi: Gunakan ExpressRoute. Opsi Ini menyediakan fungsionalitas yang mirip dengan VPN situs-ke-situs. Perbedaan utama adalah:

  • Tautan WAN khusus tidak melintasi internet.
  • Tautan WAN khusus biasanya lebih stabil dan berkinerja lebih baik.

Amankan sumber daya layanan Azure penting ke jaringan virtual Anda saja

Gunakan Azure Private Link untuk mengakses Azure PaaS Services (misalnya, Azure Storage dan SQL Database) melalui titik akhir privat di jaringan virtual Anda. Titik Akhir Privat memungkinkan Anda untuk mengamankan sumber daya layanan Azure penting ke jaringan virtual saja. Lalu lintas dari jaringan virtual ke layanan Azure selalu tetap berada di jaringan backbone Microsoft Azure. Mengekspos jaringan virtual ke internet publik tidak lagi diperlukan dalam penggunaan Layanan Azure PaaS.

Azure Private Link memberikan keuntungan berikut:

  • Peningkatan keamanan untuk sumber daya layanan Azure Anda: Dengan Azure Private Link, sumber daya layanan Azure dapat diamankan ke jaringan virtual Anda menggunakan titik akhir privat. Mengamankan sumber daya layanan ke titik akhir privat di jaringan virtual memberikan peningkatan keamanan dengan sepenuhnya menghapus akses internet publik ke sumber daya, dan memungkinkan lalu lintas hanya dari titik akhir privat di jaringan virtual Anda.
  • Mengakses sumber daya layanan Azure secara privat di platform Azure: Sambungkan jaringan virtual Anda ke layanan di Azure menggunakan titik akhir privat. Tidak perlu alamat IP publik. Platform Private Link akan menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure.
  • Akses dari jaringan lokal dan diserekan: Layanan akses yang berjalan di Azure dari lokal melalui peering privat ExpressRoute, terowongan VPN, dan jaringan virtual yang diserekan menggunakan titik akhir privat. Tidak perlu mengonfigurasi peering Azure ExpressRoute Microsoft atau melintasi internet untuk menjangkau layanan. Private Link menyediakan cara aman untuk memigrasikan beban kerja ke Azure.
  • Perlindungan terhadap kebocoran data: Titik akhir privat dipetakan ke instans sumber daya PaaS, bukan seluruh layanan. Konsumen hanya dapat tersambung ke sumber daya tertentu. Akses ke sumber daya lain dalam layanan diblokir. Mekanisme ini memberikan perlindungan terhadap risiko kebocoran data.
  • Jangkauan global: Terhubung secara privat ke layanan yang berjalan di wilayah lain. Jaringan virtual konsumen dapat berada di wilayah A dan dapat terhubung ke layanan di belakang Private Link di wilayah B.
  • Mudah mengatur dan mengelola: Anda tidak perlu lagi memesan alamat IP publik di jaringan virtual untuk mengamankan sumber daya Azure melalui firewall IP. Tidak ada perangkat NAT atau gateway yang diperlukan untuk menyiapkan titik akhir privat. Titik akhir privat dikonfigurasi melalui alur kerja sederhana. Di sisi layanan, Anda juga dapat mengelola permintaan koneksi di sumber daya layanan Azure dengan mudah. Azure Private Link berfungsi untuk konsumen dan layanan milik penyewa Microsoft Azure Active Directory yang berbeda.

Untuk mempelajari selengkapnya tentang titik akhir privat dan layanan Azure serta wilayah tempat titik akhir privat tersedia, lihat Azure Private Link.

Langkah berikutnya

Lihat praktik terbaik dan pola keamanan Azure untuk praktik terbaik keamanan lainnya yang digunakan saat Anda mendesain, menerapkan, dan mengelola solusi cloud dengan menggunakan Azure.