Gambaran umum keamanan jaringan Azure

Keamanan jaringan dapat ditetapkan sebagai proses melindungi sumber daya dari akses atau serangan yang tidak sah dengan menerapkan kontrol pada lalu lintas jaringan. Tujuannya adalah untuk memastikan hanya lalu lintas yang sah yang diizinkan. Azure menyertakan infrastruktur jaringan yang kuat untuk mendukung persyaratan konektivitas aplikasi dan layanan Anda. Konektivitas jaringan mungkin terjadi antara sumber daya yang terletak di Azure, sumber daya lokal dan sumber daya yang dihosting Azure, serta antara ke dan dari Internet dan Azure.

Artikel ini membahas beberapa opsi yang ditawarkan Azure di area keamanan jaringan. Anda dapat mempelajari tentang:

• Jaringan Azure
• Kontrol akses jaringan
• Azure Firewall
• Akses jarak jauh yang aman dan konektivitas lintas lokasi
• Ketersediaan
• Resolusi Nama
• Arsitektur jaringan perimeter (DMZ)
• Azure perlindungan DDoS
• Azure Front Door (layanan pengiriman konten dari Microsoft)
• Manajer Lalu Lintas
• Pemantauan dan deteksi ancaman

Catatan

Untuk beban kerja web, sebaiknya gunakan perlindungan Azure DDoS dan firewall aplikasi web untuk melindungi dari serangan DDoS yang muncul. Opsi lain adalah menyebarkan Azure Front Door bersama dengan firewall aplikasi web. Azure Front Door menawarkan perlindungan tingkat platform terhadap serangan DDoS tingkat jaringan.

Jaringan Azure

Azure mengharuskan komputer virtual terhubung ke Azure Virtual Network. Jaringan virtual adalah konstruksi logis yang dibangun di atas struktur jaringan Azure fisik. Setiap jaringan virtual diisolasi dari semua jaringan virtual lainnya. Ini membantu memastikan lalu lintas jaringan dalam penyebaran Anda tidak dapat diakses oleh pelanggan Azure lainnya.

Selengkapnya:

• Gambaran umum jaringan virtual

Kontrol akses jaringan

Kontrol akses jaringan adalah tindakan membatasi konektivitas ke dan dari perangkat atau subnet tertentu dalam jaringan virtual. Tujuan kontrol akses jaringan adalah untuk membatasi akses ke komputer dan layanan virtual Anda ke pengguna dan perangkat yang disetujui. Kontrol akses didasarkan pada keputusan untuk mengizinkan atau menolak koneksi ke dan dari komputer atau layanan virtual Anda.

Azure mendukung beberapa tipe kontrol akses jaringan, seperti:

• Kontrol lapisan jaringan
• Kontrol rute dan penerowongan paksa
• Appliance keamanan jaringan virtual

Kontrol lapisan jaringan

Setiap penyebaran aman memerlukan beberapa tindakan kontrol akses jaringan. Tujuan kontrol akses jaringan adalah untuk membatasi komunikasi komputer virtual ke sistem yang diperlukan. Upaya komunikasi lainnya diblokir.

Catatan

Firewall Penyimpanan tercakup dalam artikel Gambaran Umum Keamanan Penyimpanan Azure

Aturan keamanan jaringan (NSG)

Jika Anda memerlukan kontrol akses tingkat jaringan dasar (berdasarkan alamat IP dan protokol TCP atau UDP), Anda dapat menggunakan Kelompok Keamanan Jaringan (NSG). NSG adalah firewall pemfilteran paket dasar stateful dan memungkinkan Anda mengontrol akses berdasarkan 5-tuple. NSG mencakup fungsionalitas untuk menyederhanakan manajemen dan mengurangi kemungkinan kesalahan konfigurasi:

• Aturan keamanan tambahan menyederhanakan definisi aturan NSG dan memungkinkan Anda membuat aturan yang kompleks daripada harus membuat beberapa aturan sederhana untuk mencapai hasil yang sama.
• Tag layanan adalah label yang dibuat Microsoft yang mewakili sekelompok alamat IP. Label memperbarui secara dinamis untuk menyertakan rentang IP yang memenuhi syarat untuk dimasukkan ke dalam label. Misalnya, jika Anda ingin membuat aturan yang berlaku untuk semua penyimpanan Azure di wilayah timur, Anda dapat menggunakan Storage.EastUS
• Kelompok keamanan aplikasi memungkinkan Anda menyebarkan sumber daya ke grup aplikasi dan mengontrol akses ke sumber daya tersebut dengan membuat aturan yang menggunakan grup aplikasi tersebut. Misalnya, jika Anda memiliki server web yang disebarkan ke grup aplikasi 'Webservers', Anda dapat membuat aturan yang menerapkan NSG yang memungkinkan lalu lintas 443 dari Internet ke semua sistem di grup aplikasi 'Webservers'.

NSG tidak menyediakan inspeksi lapisan aplikasi atau kontrol akses terautentikasi.

Selengkapnya:

• Kelompok Keamanan Jaringan

Akses mesin virtual just in time Microsoft Defender for Cloud

Microsoft Defender for Cloud dapat mengelola NSG pada mesin virtual dan mengunci akses ke mesin virtual hingga pengguna dengan izin Azure RBAC yang sesuai meminta akses. Ketika pengguna berhasil mendapatkan otorisasi, Pertahanan Microsoft untuk Cloud membuat modifikasi pada NSG untuk memungkinkan akses ke port yang dipilih untuk waktu yang ditentukan. Ketika waktu berakhir, NSG dipulihkan ke status aman sebelumnya.

Selengkapnya:

• Microsoft Defender untuk Akses Tepat Waktu di Cloud

Titik akhir layanan

Titik akhir layanan adalah cara lain untuk menerapkan kontrol atas lalu lintas Anda. Anda dapat membatasi komunikasi dengan layanan yang didukung hanya ke VNet Anda melalui koneksi langsung. Lalu lintas dari VNet ke layanan Azure yang ditentukan tetap berada di jaringan backbone Microsoft Azure.

Selengkapnya:

• Titik akhir layanan

Kontrol rute dan penerowongan paksa

Kemampuan untuk mengontrol perilaku perutean pada jaringan virtual Anda sangat penting. Jika perutean dikonfigurasi dengan salah, aplikasi dan layanan yang dihosting di mesin virtual Anda mungkin terhubung ke perangkat yang tidak sah, termasuk sistem yang dimiliki dan dioperasikan oleh penyerang potensial.

Jaringan Azure mendukung kemampuan mengkustomisasi perilaku perutean untuk lalu lintas jaringan di jaringan virtual Anda. Ini memungkinkan Anda untuk mengedit entri default di tabel perutean jaringan virtual Anda. Kontrol tingkah laku pengaturan jalur membantu Anda memastikan semua lalu lintas dari perangkat atau grup perangkat tertentu masuk atau meninggalkan jaringan virtual Anda melalui lokasi yang spesifik.

Misalnya, Anda mungkin memiliki alat keamanan jaringan virtual di jaringan virtual Anda. Anda ingin memastikan semua lalu lintas ke dan dari jaringan virtual Anda melewati appliance keamanan virtual tersebut. Anda dapat melakukannya dengan mengonfigurasi Rute yang Ditentukan Pengguna (UDR) di Azure.

Penerowongan paksa adalah mekanisme yang dapat Anda gunakan untuk memastikan layanan Anda tidak diizinkan untuk memulai koneksi ke perangkat di Internet. Ingat bahwa ini berbeda dari menerima koneksi masuk, lalu meresponsnya. Server web ujung depan perlu merespons permintaan dari host Internet, sehingga lalu lintas yang bersumber Internet diizinkan masuk ke server web ini dan server web diizinkan untuk merespons.

Yang tidak ingin Anda izinkan adalah server web ujung depan memulai permintaan keluar. Permintaan tersebut mungkin mewakili risiko keamanan karena koneksi ini dapat digunakan untuk mengunduh malware. Bahkan jika Anda ingin server ujung depan ini memulai permintaan keluar ke internet, Anda mungkin ingin memaksanya untuk melalui proksi web lokal Anda. Ini memungkinkan Anda memanfaatkan pemfilteran dan pengelogan URL.

Sebaliknya, Anda ingin menggunakan penerowongan paksa untuk mencegah hal ini. Ketika Anda mengaktifkan penerowongan paksa, semua koneksi ke internet dipaksa melalui gateway lokal Anda. Anda dapat mengonfigurasi penerowongan paksa dengan memanfaatkan UDR.

Selengkapnya:

• Pengarahan lalu lintas jaringan virtual

Appliance keamanan jaringan virtual

Meskipun NSG, UDR, dan penerowongan paksa memberi Anda tingkat keamanan di jaringan dan lapisan transportasi model OSI, Anda mungkin juga ingin mengaktifkan keamanan di lapisan aplikasi.

Misalnya, persyaratan keamanan Anda mungkin meliputi:

• Autentikasi dan otorisasi sebelum mengizinkan akses ke aplikasi Anda
• Deteksi intrusi dan respons intrusi
• Pemeriksaan lapisan aplikasi untuk protokol tingkat tinggi
• Pemfilteran URL
• Antivirus dan Antimalware tingkat jaringan
• Perlindungan anti-bot
• Kontrol akses aplikasi
• Perlindungan DDoS tambahan (di atas perlindungan DDoS yang disediakan oleh struktur Azure itu sendiri)

Anda dapat mengakses fitur keamanan jaringan yang disempurnakan ini menggunakan solusi mitra Azure. Anda dapat menemukan solusi keamanan jaringan mitra Azure terbaru dengan mengunjungi Marketplace Azure, dan mencari "keamanan" dan "keamanan jaringan."

Azure Firewall

Azure Firewall adalah layanan keamanan firewall jaringan cloud-native dan cerdas yang memberikan perlindungan ancaman untuk beban kerja cloud Anda yang berjalan di Azure. Ini adalah firewall yang sepenuhnya stateful sebagai layanan dengan ketersediaan tinggi bawaan dan skalabilitas cloud yang tidak terbatas. Azure Firewall memeriksa lalu lintas timur-barat dan utara-selatan.

Azure Firewall tersedia dalam tiga SKU: Dasar, Standar, dan Premium.

• Azure Firewall Basic menawarkan keamanan yang disederhanakan mirip dengan SKU Standar tetapi tanpa fitur tingkat lanjut.
• Standar Azure Firewall menyediakan pemfilteran L3-L7 dan umpan inteligensi ancaman langsung dari Microsoft Cyber Security.
• Azure Firewall Premium menyertakan kemampuan tingkat lanjut seperti IDPS berbasis tanda tangan untuk deteksi serangan cepat dengan mengidentifikasi pola tertentu.

Selengkapnya:

• Apa yang dimaksud dengan Azure Firewall

Akses jarak jauh yang aman dan konektivitas lintas lokasi

Penyiapan, konfigurasi, dan manajemen sumber daya Azure Anda perlu dilakukan dari jarak jauh. Selain itu, Anda mungkin ingin menyebarkan solusi IT hibrid yang memiliki komponen lokal dan di cloud publik Azure. Skenario ini memerlukan akses jarak jauh yang aman.

Jaringan Azure mendukung skenario akses jarak jauh yang aman berikut:

• Menyambungkan stasiun kerja individual ke jaringan virtual
• Menyambungkan jaringan lokal ke jaringan virtual dengan VPN
• Menyambungkan jaringan lokal ke jaringan virtual dengan tautan WAN khusus
• Menyambungkan jaringan virtual satu dengan yang lain

Menyambungkan stasiun kerja individual ke jaringan virtual

Anda mungkin ingin memungkinkan pengembang atau personel operasi individu mengelola komputer dan layanan virtual di Azure. Misalnya, jika Anda memerlukan akses ke komputer virtual di jaringan virtual tetapi kebijakan keamanan Anda melarang akses jarak jauh RDP atau SSH ke masing-masing komputer virtual, Anda dapat menggunakan koneksi VPN titik-ke-situs .

Koneksi VPN titik-ke-situs memungkinkan Anda membuat koneksi privat dan aman antara pengguna dan jaringan virtual. Setelah koneksi VPN dibuat, pengguna dapat melakukan RDP atau SSH melalui tautan VPN ke komputer virtual apa pun di jaringan virtual, asalkan mereka diautentikasi dan diotorisasi. VPN titik-ke-situs mendukung:

• Secure Socket Tunneling Protocol (SSTP): Protokol VPN berbasis SSL eksklusif yang dapat menembus firewall karena sebagian besar firewall membuka port TCP 443, yang digunakan TLS/SSL. SSTP didukung pada perangkat Windows (Windows 7 dan yang lebih baru).
• IKEv2 VPN: Solusi VPN IPsec berbasis standar yang dapat digunakan untuk terhubung dari perangkat Mac (OSX versi 10.11 ke atas).
• Protokol OpenVPN: Protokol VPN berbasis SSL/TLS yang dapat menembus firewall karena sebagian besar firewall membuka port TCP 443 keluar, yang digunakan TLS. OpenVPN dapat digunakan untuk terhubung dari Android, iOS (versi 11.0 dan yang lebih baru), perangkat Windows, Linux, dan Mac (MacOS versi 10.13 dan yang lebih baru). Versi yang didukung adalah TLS 1.2 dan TLS 1.3 berdasarkan jabat tangan TLS.

Selengkapnya:

• Tentang perutean VPN Titik-ke-situs

Menyambungkan jaringan lokal Anda ke jaringan virtual dengan VPN Gateway

Untuk menyambungkan seluruh jaringan perusahaan atau segmen tertentu ke jaringan virtual, pertimbangkan untuk menggunakan VPN situs-ke-situs. Pendekatan ini umum dalam skenario TI hibrid di mana bagian layanan dihosting baik di Azure maupun lokal. Misalnya, Anda mungkin memiliki server web front-end di Azure dan database back-end lokal. VPN situs-ke-situs meningkatkan keamanan pengelolaan sumber daya Azure dan mengaktifkan skenario seperti memperluas pengontrol domain Direktori Aktif ke Azure.

VPN situs-ke-situs berbeda dari VPN titik-ke-situs karena menghubungkan seluruh jaringan (seperti jaringan lokal Anda) ke jaringan virtual, bukan hanya satu perangkat. VPN situs-ke-situs menggunakan protokol VPN mode terowongan IPsec yang sangat aman untuk membuat koneksi ini.

Selengkapnya:

• Tentang VPN Gateway

Menyambungkan jaringan lokal ke jaringan virtual dengan tautan WAN khusus

Koneksi VPN titik-ke-situs dan situs-ke-situs berguna untuk mengaktifkan konektivitas lintas lokasi. Namun, mereka memiliki beberapa batasan:

• Koneksi VPN mengirimkan data melalui internet, mengeksposnya ke potensi risiko keamanan yang terkait dengan jaringan publik. Selain itu, keandalan dan ketersediaan koneksi internet tidak dapat dijamin.
• Koneksi VPN ke jaringan virtual mungkin tidak menyediakan bandwidth yang cukup untuk aplikasi tertentu, biasanya memaksimalkan sekitar 200 Mbps.

Untuk organisasi yang membutuhkan tingkat keamanan dan ketersediaan tertinggi untuk koneksi lintas tempat mereka, tautan WAN khusus sering disukai. Azure menawarkan solusi seperti ExpressRoute, ExpressRoute Direct, dan ExpressRoute Global Reach untuk memfasilitasi koneksi khusus ini antara jaringan lokal Anda dan jaringan virtual Azure.

Selengkapnya:

• Gambaran umum ExpressRoute
• ExpressRoute Direct
• Jangkauan Global ExpressRoute

Menyambungkan jaringan virtual satu dengan yang lain

Dimungkinkan untuk menggunakan beberapa jaringan virtual untuk penyebaran Anda karena berbagai alasan, seperti menyederhanakan manajemen atau meningkatkan keamanan. Terlepas dari motivasinya, mungkin ada kalanya Anda ingin sumber daya di jaringan virtual yang berbeda terhubung satu sama lain.

Salah satu opsinya adalah memiliki layanan di satu jaringan virtual yang terhubung ke layanan di jaringan virtual lain dengan "mengulang kembali" melalui internet. Ini berarti koneksi dimulai pada satu jaringan virtual, melalui internet, dan kemudian mencapai jaringan virtual tujuan. Namun, ini mengungkapkan koneksi terhadap risiko keamanan yang ada dalam komunikasi berbasis internet.

Opsi yang lebih baik adalah membuat VPN situs-ke-situs yang menghubungkan dua jaringan virtual. Metode ini menggunakan protokol mode terowongan IPsec yang sama dengan koneksi VPN situs-ke-situs lintas tempat yang disebutkan sebelumnya.

Keuntungan dari pendekatan ini adalah bahwa koneksi VPN dibuat melalui fabric jaringan Azure, memberikan lapisan keamanan ekstra dibandingkan dengan VPN situs-ke-situs yang terhubung melalui internet.

Selengkapnya:

• Mengonfigurasi koneksi VNet-ke-VNet dengan menggunakan portal Microsoft Azure

Metode lain untuk menyambungkan jaringan virtual Anda adalah melalui peering VNet. Peering VNet memungkinkan komunikasi langsung antara dua jaringan virtual Azure melalui infrastruktur backbone Microsoft, melewati Internet publik. Fitur ini mendukung peering dalam wilayah yang sama atau antar wilayah Azure yang berbeda. Anda juga dapat menggunakan Kelompok Keamanan Jaringan (NSG) untuk mengontrol dan membatasi konektivitas antara subnet atau sistem dalam jaringan yang di-peering.

Ketersediaan

Ketersediaan sangat penting untuk program keamanan apa pun. Jika pengguna dan sistem tidak dapat mengakses sumber daya yang diperlukan, layanan akan disusupi secara efektif. Azure menawarkan teknologi jaringan yang mendukung mekanisme ketersediaan tinggi, termasuk:

• Penyeimbangan beban berbasis HTTP
• Penyeimbangan beban tingkat jaringan
• Penyeimbangan beban global

Penyeimbangan beban mendistribusikan koneksi secara merata di beberapa perangkat, yang bertujuan untuk:

• Meningkatkan ketersediaan: Dengan mendistribusikan koneksi, layanan tetap beroperasi meskipun satu atau beberapa perangkat menjadi tidak tersedia. Perangkat yang tersisa terus melayani konten.
• Meningkatkan performa: Mendistribusikan koneksi mengurangi beban pada satu perangkat, menyebarkan permintaan pemrosesan dan memori di beberapa perangkat.
• Memfasilitasi penskalakan: Seiring dengan meningkatnya permintaan, Anda dapat menambahkan lebih banyak perangkat ke penyeimbang beban, yang memungkinkannya menangani lebih banyak koneksi.

Penyeimbangan beban berbasis HTTP

Organisasi yang menjalankan layanan berbasis web sering mendapat manfaat dari penggunaan load balancer berbasis HTTP untuk memastikan performa dan ketersediaan tinggi. Tidak seperti load balancer berbasis jaringan tradisional yang mengandalkan protokol lapisan jaringan dan transportasi, load balancer berbasis HTTP membuat keputusan berdasarkan karakteristik protokol HTTP.

Azure Application Gateway dan Azure Front Door menawarkan penyeimbangan beban berbasis HTTP untuk layanan web. Kedua layanan mendukung:

• Afinitas sesi berbasis Cookie: Memastikan bahwa koneksi yang dibuat ke satu server tetap konsisten antara klien dan server, menjaga stabilitas transaksi.
• TLS offload: Mengenkripsi sesi antara klien dan load balancer menggunakan HTTPS (TLS). Untuk meningkatkan performa, koneksi antara penyeimbang beban dan server web dapat menggunakan HTTP (tidak terenkripsi), mengurangi overhead enkripsi di server web dan memungkinkannya menangani permintaan secara lebih efisien.
• perutean konten berbasis URL: Memungkinkan load balancer meneruskan koneksi berdasarkan URL tujuan, memberikan fleksibilitas yang lebih besar daripada keputusan berbasis alamat IP.
• Web Application Firewall: Menawarkan perlindungan terpusat untuk aplikasi web terhadap ancaman dan kerentanan umum.

Selengkapnya:

• Gambaran Umum Application Gateway
• gambaran umum Azure Front Door
• Gambaran Umum Firewall Aplikasi Web

Penyeimbangan beban tingkat jaringan

Berbeda dengan penyeimbangan beban berbasis HTTP, penyeimbangan beban tingkat jaringan membuat keputusan berdasarkan alamat IP dan nomor port (TCP atau UDP). Azure Load Balancer menyediakan penyeimbangan beban tingkat jaringan dengan karakteristik utama berikut:

• Menyeimbangkan lalu lintas berdasarkan alamat IP dan nomor port.
• Mendukung protokol lapisan aplikasi apa pun.
• Mendistribusikan lalu lintas ke komputer virtual Azure dan instans peran layanan cloud.
• Dapat digunakan untuk aplikasi yang menghadap internet (penyeimbangan beban eksternal) dan aplikasi yang tidak menghadap internet (penyeimbangan beban internal) dan komputer virtual.
• Termasuk pemantauan titik akhir untuk mendeteksi dan merespons ketidaktersediaan layanan.

Selengkapnya:

• Gambaran umum penyeimbang beban internal

Penyeimbangan beban global

Beberapa organisasi menginginkan tingkat ketersediaan tertinggi. Salah satu cara untuk mencapai tujuan ini adalah dengan menghosting aplikasi di pusat data yang didistribusikan secara global. Ketika sebuah aplikasi dihosting di pusat data yang tersebar di seluruh dunia, ada kemungkinan suatu wilayah geopolitik menjadi tidak tersedia, sementara aplikasinya tetap berjalan.

Strategi penyeimbangan beban ini juga dapat menghasilkan manfaat performa. Anda dapat mengarahkan permintaan layanan ke pusat data yang terdekat dengan perangkat yang membuat permintaan.

Di Azure, Anda dapat memperoleh manfaat penyeimbangan beban global dengan menggunakan Azure Traffic Manager untuk penyeimbangan beban berbasis DNS, Global Load Balancer untuk penyeimbangan beban lapisan transportasi, atau Azure Front Door untuk penyeimbangan beban berbasis HTTP.

Selengkapnya:

• Apa itu Traffic Manager?
• gambaran umum Azure Front Door
• Gambaran Umum Global Load Balancer

Resolusi Nama

Resolusi nama sangat penting untuk semua layanan yang dihosting di Azure. Dari sudut keamanan, mengorbankan fungsi resolusi nama dapat memungkinkan penyerang untuk mengalihkan permintaan dari situs Anda ke situs berbahaya. Oleh karena itu, resolusi nama aman sangat penting untuk semua layanan yang dihosting cloud Anda.

Ada dua jenis resolusi nama yang perlu dipertimbangkan:

• Resolusi nama internal: Digunakan oleh layanan dalam jaringan virtual Anda, jaringan lokal, atau keduanya. Nama-nama ini tidak dapat diakses melalui internet. Untuk keamanan yang optimal, pastikan bahwa skema resolusi nama internal Anda tidak terekspos ke pengguna eksternal.
• Resolusi nama eksternal: Digunakan oleh orang dan perangkat di luar jaringan lokal dan virtual Anda. Nama-nama ini terlihat di internet dan koneksi langsung ke layanan berbasis cloud Anda.

Untuk resolusi nama internal, Anda memiliki dua opsi:

• Server DNS jaringan virtual: Saat Anda membuat jaringan virtual baru, Azure menyediakan server DNS yang dapat mengatasi nama komputer dalam jaringan virtual tersebut. Server DNS ini dikelola oleh Azure dan tidak dapat dikonfigurasi, membantu mengamankan resolusi nama Anda.
• Bawa server DNS Anda sendiri: Anda bisa menyebarkan server DNS pilihan Anda dalam jaringan virtual Anda. Ini bisa menjadi server DNS terintegrasi Direktori Aktif atau solusi server DNS khusus dari mitra Azure, yang tersedia di Marketplace Azure.

Selengkapnya:

• Gambaran umum jaringan virtual
• Mengelola Server DNS yang digunakan oleh jaringan virtual

Untuk resolusi nama eksternal, Anda memiliki dua opsi:

• Host server DNS eksternal Anda sendiri secara lokal.
• Gunakan penyedia layanan DNS eksternal.

Organisasi besar sering menghosting server DNS mereka sendiri di tempat karena keahlian jaringan dan kehadiran global mereka.

Namun, untuk sebagian besar organisasi, menggunakan penyedia layanan DNS eksternal lebih disukai. Penyedia ini menawarkan ketersediaan dan keandalan tinggi untuk layanan DNS, yang sangat penting karena kegagalan DNS dapat membuat layanan Anda yang terhubung ke internet tidak dapat dijangkau.

Azure DNS menawarkan solusi DNS eksternal dengan ketersediaan tinggi dan berkinerja tinggi. Ini memanfaatkan infrastruktur global Azure, memungkinkan Anda untuk menghosting domain Anda di Azure dengan kredensial, API, alat, dan tagihan yang sama dengan layanan Azure Lainnya. Selain itu, ini mendapat manfaat dari kontrol keamanan Azure yang kuat.

Selengkapnya:

• Gambaran Umum Azure DNS
• Zona privat Azure DNS memungkinkan Anda mengonfigurasi nama DNS privat untuk sumber daya Azure, bukan nama yang ditetapkan secara otomatis tanpa perlu menambahkan solusi DNS kustom.

Arsitektur jaringan perimeter

Banyak organisasi besar menggunakan jaringan perimeter untuk menyegmentasi jaringan mereka, dan membuat zona penyangga antara internet dan layanan mereka. Bagian perimeter jaringan dianggap sebagai zona keamanan rendah, dan tidak ada aset bernilai tinggi yang ditempatkan di segmen jaringan tersebut. Biasanya Anda akan melihat perangkat keamanan jaringan yang memiliki antarmuka jaringan di segmen jaringan perimeter. Antarmuka jaringan lain terhubung ke jaringan yang memiliki komputer dan layanan virtual yang menerima koneksi masuk dari internet.

Anda dapat merancang jaringan perimeter dengan berbagai cara. Keputusan untuk menyebarkan jaringan perimeter, lalu jenis jaringan perimeter apa yang akan digunakan jika Anda memutuskan untuk menggunakannya, tergantung pada persyaratan keamanan jaringan Anda.

Selengkapnya:

• Jaringan perimeter untuk zona keamanan

Azure perlindungan DDoS

Serangan penolakan layanan terdistribusi (DDoS) adalah ancaman signifikan terhadap ketersediaan dan keamanan untuk aplikasi cloud. Serangan ini bertujuan untuk menguras sumber daya aplikasi, membuatnya tidak dapat diakses oleh pengguna yang sah. Setiap titik akhir yang dapat dijangkau secara publik dapat menjadi target.

Fitur DDoS Protection meliputi:

• Integrasi platform asli: Sepenuhnya terintegrasi ke Azure dengan konfigurasi yang tersedia melalui portal Microsoft Azure. Ini memahami sumber daya Anda dan konfigurasinya.
• Perlindungan siap pakai: Secara otomatis melindungi semua sumber daya di jaringan virtual segera setelah DDoS Protection diaktifkan, tanpa memerlukan intervensi pengguna. Mitigasi dimulai langsung setelah deteksi serangan.
• Pemantauan lalu lintas selalu aktif: Memantau lalu lintas aplikasi Anda 24/7 untuk tanda-tanda serangan DDoS dan memulai mitigasi ketika kebijakan perlindungan dilanggar.
• Laporan Mitigasi Serangan: Menyediakan informasi terperinci tentang serangan menggunakan data aliran jaringan agregat.
• Log Alur Mitigasi Serangan: Menawarkan log nyaris real-time dari lalu lintas yang dibuang dan diteruskan selama serangan DDoS aktif.
• Penyetelan adaptif: Mempelajari pola lalu lintas aplikasi Anda dari waktu ke waktu dan menyesuaikan profil perlindungan yang sesuai. Memberikan perlindungan Lapisan 3 ke Lapisan 7 saat digunakan dengan firewall aplikasi web.
• Skala mitigasi ekstensif: Dapat mengurangi lebih dari 60 jenis serangan yang berbeda dengan kapasitas global untuk menangani serangan DDoS terbesar yang diketahui.
• Metrik serangan: Ringkasan metrik dari setiap serangan tersedia melalui Azure Monitor.
• Pemberitahuan serangan: Pemberitahuan yang dapat dikonfigurasi untuk mulai, berhenti, dan durasi serangan, terintegrasi dengan alat seperti log Azure Monitor, Splunk, Azure Storage, Email, dan portal Microsoft Azure.
• Jaminan biaya: Menawarkan transfer data dan kredit layanan perluasan skala aplikasi untuk serangan DDoS yang didokumenkan.
• DDoS Rapid Response: Menyediakan akses ke tim Respons Cepat selama serangan aktif untuk penyelidikan, mitigasi kustom, dan analisis pasca-serangan.

Selengkapnya:

• Gambaran umum perlindungan DDOS

Azure Front Door (layanan pengiriman konten dari Microsoft)

Azure Front Door memungkinkan Anda menentukan, mengelola, dan memantau perutean global lalu lintas web Anda, mengoptimalkannya untuk performa dan ketersediaan tinggi. Ini memungkinkan Anda membuat aturan firewall aplikasi web kustom (WAF) untuk melindungi beban kerja HTTP/HTTPS Anda dari eksploitasi berdasarkan alamat IP klien, kode negara, dan parameter HTTP. Selain itu, Front Door mendukung aturan pembatasan kecepatan untuk memerangi lalu lintas bot berbahaya, termasuk pelepasan TLS, dan menyediakan pemrosesan permintaan lapisan aplikasi untuk setiap HTTP/HTTPS.

Platform Front Door dilindungi oleh perlindungan DDoS tingkat infrastruktur Azure. Untuk perlindungan yang ditingkatkan, Anda dapat mengaktifkan Azure DDoS Network Protection di VNet Anda untuk melindungi sumber daya dari serangan lapisan jaringan (TCP/UDP) melalui penyetelan dan mitigasi otomatis. Sebagai proksi terbalik lapisan 7, Front Door hanya memungkinkan lalu lintas web untuk melewati server backend, memblokir jenis lalu lintas lainnya secara default.

Catatan

Untuk beban kerja web, sebaiknya gunakan perlindungan Azure DDoS dan firewall aplikasi web untuk melindungi dari serangan DDoS yang muncul. Opsi lain adalah menyebarkan Azure Front Door bersama dengan firewall aplikasi web. Azure Front Door menawarkan perlindungan tingkat platform terhadap serangan DDoS tingkat jaringan.

Selengkapnya:

• Untuk informasi selengkapnya tentang seluruh set kemampuan Azure Front Door, Anda dapat mengulas Gambaran umum Azure Front Door

Azure Traffic Manager

Azure Traffic Manager adalah penyeimbang beban lalu lintas berbasis DNS yang mendistribusikan lalu lintas ke layanan di seluruh wilayah Azure global, memastikan ketersediaan dan responsivitas tinggi. Ini menggunakan DNS untuk merutekan permintaan klien ke titik akhir layanan yang paling cocok berdasarkan metode perutean lalu lintas dan kesehatan titik akhir. Titik akhir dapat berupa layanan yang terhubung ke Internet yang dihosting di dalam atau di luar Azure. Traffic Manager terus memantau titik akhir dan menghindari mengarahkan lalu lintas ke yang tidak tersedia.

Selengkapnya:

• Gambaran Umum Azure Traffic manager

Pemantauan dan deteksi ancaman

Azure menyediakan kemampuan untuk membantu Anda di area kunci ini dengan deteksi dini, pemantauan, dan pengumpulan serta peninjauan lalu lintas jaringan.

Azure Network Watcher

Azure Network Watcher menyediakan alat untuk membantu memecahkan masalah dan mengidentifikasi masalah keamanan.

• Tampilan Grup Keamanan: Mengaudit dan memastikan kepatuhan keamanan Mesin Virtual dengan membandingkan kebijakan dasar dengan aturan yang berlaku, membantu mengidentifikasi penyimpangan konfigurasi.
• Pengambilan paket: Menangkap lalu lintas jaringan ke dan dari komputer virtual, membantu dalam pengumpulan statistik jaringan dan pemecahan masalah aplikasi. Ini juga dapat dipicu oleh Azure Functions sebagai respons terhadap pemberitahuan tertentu.

Untuk informasi selengkapnya, lihat gambaran umum pemantauan Azure Network Watcher.

Catatan

Untuk pembaruan terbaru tentang ketersediaan dan status layanan, kunjungi halaman pembaruan Azure .

Microsoft Defender untuk Awan

Pertahanan Microsoft untuk Cloud membantu Anda mencegah, mendeteksi, dan menanggapi ancaman, serta memberi Anda peningkatan visibilitas ke, dan kontrol atas, keamanan sumber daya Azure Anda. Azure Security Center menyediakan pemantauan keamanan terpadu dan manajemen kebijakan di seluruh langganan Azure Anda, membantu mendeteksi ancaman yang mungkin luput dari perhatian, dan bekerja dengan serangkaian solusi keamanan yang besar.

Pertahanan Microsoft untuk Cloud membantu Anda mengoptimalkan dan memantau keamanan jaringan dengan:

• Memberikan rekomendasi keamanan jaringan.
• Memantau status konfigurasi keamanan jaringan Anda.
• Memberi tahu Anda tentang ancaman berbasis jaringan, baik di tingkat titik akhir maupun jaringan.

Selengkapnya:

• Pengantar Microsoft Defender untuk Cloud

Virtual Network TAP

TAP (Terminal Access Point) jaringan virtual Azure memungkinkan Anda terus mengalirkan lalu lintas jaringan komputer virtual Anda ke alat analitik atau pengumpul paket jaringan. Alat analitik atau pengumpul disediakan oleh mitra perangkat virtual jaringan. Anda dapat menggunakan sumber daya TAP jaringan virtual yang sama untuk menggabungkan lalu lintas dari beberapa antarmuka jaringan dalam langganan yang sama atau berbeda.

Selengkapnya:

• TAP jaringan virtual

Pencatatan

Pengelogan pada tingkat jaringan adalah fungsi utama untuk skenario keamanan jaringan apa pun. Di Azure, Anda dapat mencatat informasi yang diperoleh untuk NSG untuk mendapatkan informasi pengelogan tingkat jaringan. Dengan pencatatan NSG, Anda mendapatkan informasi dari:

• Log aktivitas. Gunakan log ini untuk menampilkan semua operasi yang dikirimkan ke langganan Azure Anda. Log ini diaktifkan secara default dan dapat digunakan dalam portal Microsoft Azure. Log ini sebelumnya dikenal sebagai log audit atau operasional.
• Log peristiwa. Log ini menyediakan informasi tentang aturan NSG apa yang diterapkan.
• Log penghitung. Log ini memberi tahu Anda berapa kali setiap aturan NSG diterapkan untuk menolak atau mengizinkan lalu lintas.

Anda juga bisa menggunakan Microsoft Power BI, alat visualisasi data canggih, untuk menampilkan dan menganalisis log ini. Selengkapnya:

• Azure Monitor Logs untuk Kelompok Keamanan Jaringan (NSG)