Kebijakan penggunaan dan keamanan pada komputer virtual di Azure
Berlaku untuk: ✔️ Mesin virtual Linux ✔️ Mesin virtual Windows ✔️ Set skala fleksibel ✔️ Set skala seragam
Penting untuk menjaga keamanan komputer virtual (VM) Anda untuk aplikasi yang Anda jalankan. Mengamankan VM Anda dapat meliputi satu atau beberapa layanan Azure dan fitur yang mencakup akses yang aman ke VM Anda dan penyimpanan data yang juga aman. Artikel ini menyediakan informasi yang memungkinkan Anda untuk menjaga keamanan VM dan aplikasi Anda.
Antimalware
Lanskap ancaman modern untuk lingkungan cloud sangat dinamis, sehingga meningkatkan dorongan untuk mempertahankan perlindungan yang efektif guna memenuhi persyaratan kepatuhan dan keamanan. Microsoft Antimalware for Azure adalah kemampuan perlindungan real time gratis yang membantu mengidentifikasi dan menghapus virus, spyware, dan perangkat lunak berbahaya lainnya. Pemberitahuan dapat dikonfigurasi untuk memberi tahu Anda ketika diketahui perangkat lunak berbahaya yang diketahui atau yang tidak diinginkan mencoba melakukan penginstalan atau berjalan pada VM Anda. Layanan ini tidak didukung pada VM yang menjalankan Linux atau Windows Server 2008.
Microsoft Defender for Cloud
Pertahanan Microsoft untuk Cloud membantu Anda mencegah, mendeteksi, dan merespons ancaman pada VM Anda. Pertahanan Microsoft untuk Cloud menyediakan pemantauan keamanan terintegrasi dan manajemen kebijakan di seluruh langganan Azure Anda, membantu mendeteksi ancaman yang mungkin tidak diperhatikan, dan bekerja dengan ekosistem solusi keamanan yang luas.
Akses just-in-time Pertahanan Microsoft untuk Cloud dapat diterapkan di seluruh penyebaran VM Anda untuk mengunci lalu lintas masuk ke VM Azure Anda, mengurangi paparan serangan sekaligus menyediakan akses mudah untuk terhubung ke VM jika diperlukan. Jika just-in-time diaktifkan dan pengguna meminta akses ke VM, Pertahanan Microsoft untuk Cloud memeriksa izin yang dimiliki pengguna untuk VM tersebut. Jika mereka memiliki izin yang benar, permintaan disetujui dan Pertahanan Microsoft untuk Cloud secara otomatis mengonfigurasi Grup Keamanan Jaringan (NSG) untuk mengizinkan lalu lintas masuk ke port yang dipilih selama waktu yang terbatas. Setelah waktu berakhir, Defender untuk Cloud mengembalikan NSG ke statusnya sebelumnya.
Enkripsi
Dua metode enkripsi ditawarkan untuk disk terkelola. Enkripsi di tingkat OS, yaitu Azure Disk Encryption, dan enkripsi di tingkat platform, yang merupakan enkripsi sisi server.
Enkripsi sisi server
Disk yang dikelola Azure secara otomatis mengenkripsi data Anda secara default saat mempertahankannya ke cloud. Enkripsi sisi klien melindungi data Anda dan membantu Anda memenuhi komitmen keamanan dan kepatuhan organisasi Anda. Data di disk yang dikelola Azure dienkripsi secara transparan menggunakan enkripsi AES 256-bit, salah satu cipher blok terkuat yang tersedia, dan sesuai dengan FIPS 140-2.
Enkripsi tidak berdampak pada performa disk terkelola. Tidak ada biaya tambahan untuk enkripsi.
Anda dapat mengandalkan kunci yang dikelola platform untuk enkripsi disk terkelola Anda atau Anda dapat mengelola enkripsi menggunakan kunci Anda sendiri. Jika Anda memilih untuk mengelola enkripsi dengan kunci Anda sendiri, Anda dapat menentukan kunci yang dikelola pelanggan untuk digunakan mengenkripsi dan mendekripsi semua data dalam disk terkelola.
Untuk mempelajari lebih lanjut enkripsi sisi server, baca artikel untuk Windows atau Linux.
Azure Disk Encryption
Untuk keamanan dan kepatuhan VM Windows dan VM Linux yang ditingkatkan, disk virtual di Azure dapat dienkripsi. Disk virtual pada VM Windows dienkripsi dalam penyimpanan menggunakan BitLocker. Disk virtual pada VM Linux dienkripsi dalam penyimpanan menggunakan dm-crypt.
Tidak ada biaya yang dikenakan untuk mengenkripsi disk virtual di Azure. Kunci kriptografi disimpan di Azure Key Vault menggunakan perlindungan perangkat lunak, atau Anda dapat mengimpor atau menghasilkan kunci Anda dalam Modul Keamanan Perangkat Keras (HSM) yang disertifikasi ke standar yang divalidasi FIPS 140. Kunci kriptografi ini digunakan untuk mengenkripsi dan mendekripsi disk virtual yang dilampirkan pada komputer virtual Anda. Anda memegang kendali atas kunci kriptografi ini dan dapat mengaudit penggunaannya. Perwakilan layanan Microsoft Entra menyediakan mekanisme yang aman untuk mengeluarkan kunci kriptografi ini saat VM dinyalakan dan dimatikan.
Kunci Key Vault dan SSH
Rahasia dan sertifikat dapat dimodelkan sebagai sumber daya dan disediakan oleh Key Vault. Anda dapat menggunakan Azure PowerShell untuk membuat brankas kunci untuk VM Windows dan Azure CLI untuk VM Linux. Anda juga dapat membuat kunci untuk enkripsi.
Kebijakan akses Key Vault memberikan izin secara terpisah ke kunci, rahasia, dan sertifikat. Misalnya, Anda dapat memberi pengguna akses hanya ke kunci, tetapi tidak memberikan izin untuk rahasia. Namun, izin untuk mengakses kunci atau rahasia atau sertifikat berada di tingkat brankas kunci. Dengan kata lain, kebijakan akses brankas kunci tidak mendukung izin tingkat objek.
Ketika Anda tersambung ke VM, Anda harus menggunakan kriptografi kunci publik untuk menyediakan cara yang lebih aman untuk masuk ke komputer virtual. Proses ini melibatkan pertukaran kunci publik dan privat menggunakan perintah secure shell (SSH) untuk mengautentikasi identitas diri daripada nama pengguna dan kata sandi. Kata sandi rentan terhadap serangan brute-force, terutama pada VM yang terhubung ke internet seperti server web. Dengan pasangan kunci secure shell (SSH), Anda dapat membuat VM Linux yang menggunakan kunci SSH untuk autentikasi, sehingga tidak perlu menggunakan kata sandi untuk masuk. Anda juga dapat menggunakan kunci SSH untuk tersambung dari VM Windows ke VM Linux.
Identitas terkelola untuk sumber daya Azure
Tantangan umum saat membangun aplikasi cloud adalah cara mengelola kredensial dalam kode Anda untuk mengautentikasi ke layanan cloud. Menjaga kredensial tetap aman adalah tugas penting. Idealnya, kredensial tidak pernah muncul di stasiun kerja pengembang dan tidak dicentang ke kontrol sumber. Azure Key Vault menyediakan cara untuk menyimpan info masuk, rahasia, kunci lainnya dengan aman, tetapi kode Anda perlu melakukan autentikasi ke Key Vault untuk mengambilnya.
Identitas terkelola untuk fitur sumber daya Azure di Microsoft Entra memecahkan masalah ini. Fitur ini menyediakan layanan Azure dengan identitas terkelola secara otomatis di ID Microsoft Entra. Anda dapat menggunakan identitas untuk mengautentikasi ke layanan apa pun yang mendukung autentikasi Microsoft Entra, termasuk Key Vault, tanpa kredensial apa pun dalam kode Anda. Kode Anda yang berjalan pada VM dapat meminta token dari dua titik akhir yang hanya dapat diakses dari dalam VM. Untuk informasi lebih rinci tentang layanan ini, tinjau ringkasan umum identitas terkelola untuk sumber daya Azure.
Kebijakan
Kebijakan Azure dapat digunakan untuk menentukan perilaku yang diinginkan untuk VM organisasi Anda. Dengan menggunakan kebijakan, organisasi dapat menegakkan berbagai konvensi dan aturan di seluruh perusahaan. Penegakan perilaku yang diinginkan dapat membantu mengurangi risiko sekaligus berkontribusi pada keberhasilan organisasi.
Kontrol akses berbasis peran Azure
Dengan menggunakan kontrol akses berbasis peran Azure (Azure RBAC), Anda dapat memisahkan tugas dalam tim Anda dan hanya memberikan jumlah akses kepada pengguna di komputer virtual (VM) yang mereka butuhkan untuk melakukan pekerjaan mereka. Alih-alih memberi semua orang izin tidak terbatas pada VM, Anda dapat mengizinkan tindakan tertentu saja. Anda dapat mengonfigurasi kontrol akses untuk VM di portal Microsoft Azure menggunakan Azure CLI atau Azure PowerShell.