Gambaran umum keamanan jaringan Azure

Keamanan jaringan melindungi sumber daya dari akses atau serangan yang tidak sah dengan mengontrol lalu lintas jaringan. Azure menyediakan infrastruktur jaringan yang kuat untuk mendukung persyaratan konektivitas aplikasi dan layanan Anda, dengan kontrol keamanan di setiap lapisan.

Artikel ini membahas kemampuan keamanan jaringan utama di Azure:

• Kontrol akses jaringan
• Azure Firewall
• Akses jarak jauh yang aman dan konektivitas lintas lokasi
• Ketersediaan dan penyeimbangan beban
• Resolusi Nama
• DDoS protection
• Azure Front Door
• Pemantauan dan deteksi ancaman

Catatan

Untuk beban kerja web, sebaiknya gunakan Azure DDoS Protection dan firewall aplikasi web untuk melindungi dari serangan DDoS. Azure Front Door dengan firewall aplikasi web memberikan perlindungan tingkat platform terhadap serangan DDoS tingkat jaringan.

Azure Virtual Network

Azure Virtual Network adalah blok penyusun dasar untuk jaringan privat Anda di Azure. Setiap jaringan virtual diisolasi dari jaringan virtual lainnya, membantu memastikan bahwa lalu lintas jaringan dalam penyebaran Anda tidak dapat diakses oleh pelanggan Azure lainnya. Jaringan virtual memungkinkan sumber daya Azure untuk berkomunikasi satu sama lain dengan aman, internet, dan jaringan lokal.

Selengkapnya:

• Gambaran umum Azure Virtual Network
• Rencanakan jaringan virtual

Kontrol akses jaringan

Kontrol akses jaringan membatasi konektivitas ke dan dari perangkat atau subnet tertentu dalam jaringan virtual. Tujuannya adalah untuk membatasi akses ke komputer virtual dan layanan Anda ke pengguna dan perangkat yang disetujui.

Kelompok Keamanan Jaringan

Kelompok Keamanan Jaringan (NSG) menyediakan pemfilteran paket dasar dan stateful berdasarkan alamat IP dan protokol TCP/UDP. NSG mengontrol akses menggunakan 5 tuple (IP sumber, port sumber, IP tujuan, port tujuan, protokol).

NSG mencakup fitur untuk menyederhanakan manajemen:

• Aturan keamanan tambahan: Buat aturan kompleks alih-alih beberapa aturan sederhana untuk mencapai hasil yang sama
• Tag layanan: Label yang dikelola Microsoft yang mewakili grup alamat IP yang diperbarui secara dinamis
• Grup keamanan aplikasi: Mengatur sumber daya ke dalam grup aplikasi dan mengontrol akses berdasarkan grup tersebut

Selengkapnya:

• Kelompok Keamanan Jaringan
• Praktik terbaik keamanan jaringan

Titik akhir layanan

Titik akhir layanan Virtual Network memperluas ruang alamat privat jaringan virtual Anda ke layanan Azure melalui koneksi langsung. Titik akhir layanan menyimpan lalu lintas di jaringan backbone Azure dan membatasi komunikasi dengan layanan yang didukung ke jaringan virtual Anda saja.

Selengkapnya:

• Titik akhir layanan Virtual Network

Azure Private Link

Azure Private Link menyediakan konektivitas privat dari jaringan virtual ke layanan Azure PaaS, layanan milik pelanggan, atau layanan mitra Microsoft. Lalu lintas Private Link tetap berada di jaringan backbone Microsoft Azure, menghilangkan paparan internet publik.

Selengkapnya:

• Apa itu Azure Private Link?
• Titik akhir privat

Azure Firewall

Azure Firewall adalah layanan keamanan firewall jaringan cloud-native dan cerdas yang memberikan perlindungan ancaman untuk beban kerja cloud. Ini adalah layanan firewall penuh fungsi yang dilengkapi dengan ketersediaan tinggi bawaan dan skalabilitas cloud tak terbatas.

Azure Firewall tersedia dalam tiga SKU:

• Azure Firewall Basic: Keamanan yang disederhanakan untuk bisnis kecil dan menengah
• Azure Firewall Standard: Pemfilteran L3-L7 dan intelijen ancaman dari Microsoft Cyber Security
• Azure Firewall Premium: Kemampuan tingkat lanjut termasuk IDPS berbasis tanda tangan untuk deteksi serangan cepat

Selengkapnya:

• Apa itu Azure Firewall?
• Pilih SKU Azure Firewall yang tepat
• Gambaran umum deteksi dan perlindungan ancaman

Akses jarak jauh yang aman dan konektivitas lintas lokasi

Azure mendukung beberapa skenario akses jarak jauh yang aman untuk mengelola sumber daya Azure dan menyebarkan solusi IT hibrid.

VPN titik-ke-situs

Koneksi VPN titik-ke-situs memungkinkan pengguna individual untuk membuat koneksi privat dan aman ke jaringan virtual. Pengguna dapat mengakses komputer virtual dan layanan di Azure setelah mengautentikasi. VPN titik-ke-situs mendukung:

• Secure Socket Tunneling Protocol (SSTP): Protokol VPN berbasis SSL Eksklusif (perangkat Windows)
• IKEv2 VPN: Solusi VPN IPsec berbasis standar (perangkat Mac)
• Protokol OpenVPN: Protokol VPN berbasis SSL/TLS (perangkat Android, iOS, Windows, Linux, dan Mac)

Selengkapnya:

• Tentang VPN titik-ke-situs
• Mengonfigurasi koneksi VPN titik-ke-situs

VPN situs-ke-situs

Koneksi VPN Gateway situs-ke-situs membangun konektivitas lintas lokasi yang aman antara jaringan lokal Anda dan jaringan virtual Azure. VPN situs-ke-situs menggunakan protokol VPN mode terowongan IPsec yang sangat aman.

VPN Gateway sangat penting untuk skenario IT hibrid di mana bagian layanan dihosting baik di Azure maupun lokal.

Selengkapnya:

• Tentang VPN Gateway
• Membuat koneksi site-to-site

ExpressRoute

ExpressRoute menyediakan tautan WAN khusus antara jaringan lokal Anda dan layanan cloud Microsoft. Koneksi ExpressRoute tidak melewati jalur internet publik, menawarkan peningkatan keamanan, keandalan, kecepatan, serta mengurangi latensi dibandingkan dengan koneksi internet.

ExpressRoute mendukung:

• ExpressRoute Direct: Konektivitas langsung ke jaringan global Microsoft
• Jangkauan Global ExpressRoute: Konektivitas antara situs lokal Anda melalui sirkuit ExpressRoute

Selengkapnya:

• Gambaran umum ExpressRoute
• Model konektivitas ExpressRoute

Peering Jaringan VNet

Peering Virtual Network menghubungkan dua jaringan virtual Azure, memungkinkan sumber daya di salah satu jaringan untuk berkomunikasi satu sama lain. VNet peering menggunakan infrastruktur backbone Microsoft, melewati internet publik. Peering mendukung koneksi dalam wilayah Azure yang sama atau di berbagai wilayah (peering VNet global).

Selengkapnya:

• Interkoneksi jaringan virtual
• Membuat VNet peering

Ketersediaan dan penyeimbangan beban

Penyeimbangan beban mendistribusikan koneksi di beberapa perangkat untuk meningkatkan ketersediaan dan performa. Azure menyediakan beberapa opsi penyeimbangan beban.

Azure Load Balancer

Azure Load Balancer menyediakan penyeimbangan beban Lapisan 4 latensi rendah berkinerja tinggi untuk semua protokol UDP dan TCP. Load Balancer mendistribusikan lalu lintas masuk ke instans backend sesuai dengan aturan yang dikonfigurasi dan pemeriksaan kesehatan.

Fitur Load Balancer meliputi:

• Dukungan untuk skenario penyeimbangan beban internal dan eksternal
• Redundansi zona dan penyebaran zona
• Dukungan aplikasi TCP dan UDP
• Pemeriksaan kesehatan untuk menentukan ketersediaan instans backend

Selengkapnya:

• Apa yang dimaksud dengan Azure Load Balancer?
• Standard Load Balancer dan zona ketersediaan

Azure Application Gateway

Azure Application Gateway adalah load balancer lalu lintas web (Lapisan 7) yang mengelola lalu lintas ke aplikasi web Anda. Application Gateway membuat keputusan perutean berdasarkan atribut permintaan HTTP seperti jalur URI atau header host.

Fitur Application Gateway meliputi:

• Web Application Firewall (WAF) untuk perlindungan terpusat
• Penghentian TLS untuk mengurangi overhead enkripsi di server web
• Afinitas sesi berbasis cookie
• Perutean konten berbasis URL
• Penskalaan otomatis dan redundansi zona

Selengkapnya:

• Apa itu Azure Application Gateway?
• Komponen Gateway Aplikasi

Azure Traffic Manager

Azure Traffic Manager adalah penyeimbang beban lalu lintas berbasis DNS yang mendistribusikan lalu lintas secara optimal ke layanan di seluruh wilayah Azure global. Traffic Manager memberikan ketersediaan dan responsivitas tinggi dengan merutekan permintaan klien ke titik akhir layanan yang paling tepat berdasarkan metode perutean lalu lintas dan kesehatan titik akhir.

Traffic Manager mendukung beberapa metode perutean termasuk prioritas, tertimbang, performa, geografis, multinilai, dan perutean subnet.

Selengkapnya:

• Apa itu Traffic Manager?
• Metode perutean Microsoft Azure Traffic Manager

Resolusi Nama

Resolusi nama yang aman sangat penting untuk semua layanan berbasis cloud. Fungsi resolusi nama yang disusupi dapat mengalihkan permintaan ke situs berbahaya.

Azure DNS

Azure DNS menyediakan resolusi nama yang memiliki ketersediaan tinggi dan performa tinggi menggunakan infrastruktur Microsoft Azure. Azure DNS mendukung:

• Domain DNS publik yang dihosting di infrastruktur global Azure
• Zona DNS privat untuk resolusi nama di dalam dan di seluruh jaringan virtual
• Skenario DNS split-horizon di mana nama domain yang sama diselesaikan secara berbeda untuk kueri privat dan publik

Selengkapnya:

• Gambaran Umum Azure DNS
• Zona DNS Pribadi Azure

DDoS protection

Serangan penolakan layanan terdistribusi (DDoS) adalah salah satu masalah ketersediaan dan keamanan terbesar bagi pelanggan yang memindahkan aplikasi ke cloud. Azure DDoS Protection melindungi sumber daya Azure dari serangan DDoS.

Azure DDoS Protection SKU:

• Perlindungan Infrastruktur DDoS: Perlindungan dasar diaktifkan secara default pada semua properti Azure tanpa biaya tambahan
• DDoS Network Protection: Perlindungan tingkat lanjut untuk sumber daya di jaringan virtual dengan penyetelan adaptif, kebijakan mitigasi, dan pemantauan

Fitur DDoS Network Protection meliputi:

• Integrasi platform asli dengan konfigurasi melalui portal Microsoft Azure
• Pemantauan lalu lintas yang selalu aktif dan mitigasi real-time
• Analitik serangan termasuk laporan mitigasi dan log alur
• Penyetelan adaptif berdasarkan pola lalu lintas aplikasi
• Jaminan biaya termasuk transfer data dan kredit layanan peluasan skala aplikasi

Selengkapnya:

• Gambaran umum Azure DDoS Protection
• Mengelola DDoS Protection

Azure Front Door

Azure Front Door adalah titik masuk global yang dapat diskalakan yang menggunakan jaringan sekitar global Microsoft untuk membuat aplikasi web yang cepat, aman, dan dapat diskalakan dengan luas. Front Door menyediakan penyeimbangan beban Lapisan 7, penghentian TLS, perutean berbasis URL, dan keamanan terintegrasi.

Kemampuan Front Door meliputi:

• Penyeimbangan beban HTTP global dengan failover instan
• Penghentian TLS di ujung
• Perutean berbasis jalur URL
• Afinitas sesi berbasis cookie
• Perlindungan Web Application Firewall
• Perlindungan DDoS tingkat platform
• Integrasi Private Link untuk melindungi asal backend

Selengkapnya:

• Apa itu Azure Front Door?
• Arsitektur perutean Front Door

Pemantauan dan deteksi ancaman

Azure menyediakan alat untuk memantau keamanan jaringan dan mendeteksi ancaman.

Azure Network Watcher

Azure Network Watcher menyediakan alat untuk memantau, mendiagnosis, dan mendapatkan wawasan tentang jaringan Anda di Azure.

Kemampuan Network Watcher meliputi:

• Pemantau Koneksi: Memantau konektivitas antara sumber daya Azure dan titik akhir
• Log alur lalu lintas NSG: Mencatat informasi tentang lalu lintas IP yang mengalir melalui Kelompok Keamanan Jaringan
• Pengambilan paket: Menangkap lalu lintas jaringan ke dan dari komputer virtual
• Pemecahan masalah VPN: Mendiagnosis masalah dengan VPN Gateway dan koneksi
• Diagnostik jaringan: Memvalidasi konfigurasi jaringan dan mengidentifikasi masalah keamanan

Selengkapnya:

• Apa itu Azure Network Watcher?
• Gambaran umum pemantauan Network Watcher

Microsoft Defender untuk Cloud

Microsoft Defender for Cloud membantu Anda mencegah, mendeteksi, dan merespons ancaman dengan peningkatan visibilitas dan kontrol atas keamanan sumber daya Azure Anda. Defender for Cloud memberikan rekomendasi keamanan jaringan, memantau konfigurasi keamanan jaringan, dan memberi tahu Anda ancaman berbasis jaringan.

Selengkapnya:

• Pengantar Microsoft Defender untuk Cloud
• Melindungi sumber daya jaringan Anda
• Gambaran umum deteksi ancaman

Langkah selanjutnya

• praktik dan pola terbaik keamanan Azure
• Praktik terbaik keamanan jaringan
• Gambaran umum keamanan manajemen identitas
• Deteksi dan perlindungan ancaman