Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Dalam artikel ini, Anda mempelajari tentang aturan admin keamanan di Azure Virtual Network Manager. Gunakan aturan admin keamanan untuk menentukan aturan keamanan jaringan global yang berlaku untuk semua jaringan virtual dalam grup jaringan. Anda mempelajari tentang apa itu aturan admin keamanan, cara kerjanya, dan kapan menggunakannya.
Apa itu aturan admin keamanan?
Aturan admin keamanan adalah aturan keamanan jaringan global yang memberlakukan kebijakan keamanan yang ditentukan dalam kumpulan aturan pada jaringan virtual. Gunakan aturan ini untuk Mengizinkan, Selalu Izinkan, atau Tolak lalu lintas di seluruh jaringan virtual dalam grup jaringan yang Ditargetkan. Grup jaringan ini hanya dapat terdiri dari jaringan virtual dalam cakupan instans manajer jaringan virtual Anda. Aturan admin keamanan tidak dapat berlaku untuk jaringan virtual yang tidak dikelola oleh manajer jaringan virtual.
Berikut adalah beberapa skenario di mana Anda dapat menggunakan aturan admin keamanan:
| Skenario | Deskripsi |
|---|---|
| Membatasi akses ke port jaringan berisiko tinggi | Gunakan aturan admin keamanan untuk memblokir lalu lintas pada port tertentu yang umumnya ditargetkan oleh penyerang, seperti port 3389 untuk Remote Desktop Protocol (RDP) atau port 22 untuk Secure Shell (SSH). |
| Memberlakukan persyaratan kepatuhan | Gunakan aturan admin keamanan untuk menerapkan persyaratan kepatuhan. Misalnya, blokir lalu lintas ke atau dari alamat IP atau blok jaringan tertentu. |
| Melindungi data sensitif | Gunakan aturan admin keamanan untuk membatasi akses ke data sensitif dengan memblokir lalu lintas ke atau dari alamat IP atau subnet tertentu. |
| Memberlakukan segmentasi jaringan | Gunakan aturan admin keamanan untuk memberlakukan segmentasi jaringan dengan memblokir lalu lintas antara jaringan virtual atau subnet. |
| Memberlakukan keamanan tingkat aplikasi | Gunakan aturan admin keamanan untuk menerapkan keamanan tingkat aplikasi dengan memblokir lalu lintas ke atau dari aplikasi atau layanan tertentu. |
Dengan menggunakan Azure Virtual Network Manager, Anda memiliki lokasi terpusat untuk mengelola aturan admin keamanan. Sentralisasi memungkinkan Anda menentukan kebijakan keamanan dalam skala besar dan menerapkannya ke beberapa jaringan virtual sekaligus.
Catatan
Saat ini, aturan admin keamanan tidak berlaku untuk titik akhir privat yang termasuk dalam lingkup jaringan virtual terkelola.
Cara kerja aturan admin keamanan
Aturan admin keamanan mengizinkan atau menolak lalu lintas pada port, protokol, dan awalan IP sumber atau tujuan tertentu dalam arah tertentu. Saat Anda menentukan aturan admin keamanan, tentukan kondisi berikut:
- Prioritas aturan
- Tindakan yang harus diambil (izinkan, tolak, atau selalu izinkan)
- Arah lalu lintas (masuk atau keluar)
- Protokol yang akan digunakan
Untuk menerapkan kebijakan keamanan di beberapa jaringan virtual, buat dan sebarkan konfigurasi admin keamanan. Konfigurasi ini berisi sekumpulan kumpulan aturan, dan setiap kumpulan aturan berisi satu atau beberapa aturan admin keamanan. Setelah dibuat, kaitkan kumpulan aturan dengan grup jaringan yang memerlukan aturan admin keamanan. Aturan berlaku untuk semua jaringan virtual yang terkandung dalam grup jaringan saat Anda menyebarkan konfigurasi. Satu konfigurasi menyediakan penegakan kebijakan keamanan yang terpusat dan dapat diskalakan di beberapa jaringan virtual.
Penting
Anda hanya dapat menyebarkan satu konfigurasi admin keamanan ke suatu wilayah. Namun, beberapa konfigurasi konektivitas dapat ada di suatu wilayah. Untuk menyebarkan beberapa konfigurasi admin keamanan ke suatu wilayah, buat beberapa kumpulan aturan dalam konfigurasi keamanan sebagai gantinya.
Bagaimana aturan admin keamanan dan grup keamanan jaringan (NSG) dievaluasi
Anda dapat menggunakan aturan admin keamanan dan kelompok keamanan jaringan (NSG) untuk memberlakukan kebijakan keamanan jaringan di Azure. Namun, mereka memiliki cakupan dan prioritas yang berbeda.
Admin jaringan dalam tim tata kelola pusat menggunakan aturan admin keamanan. Tim aplikasi atau layanan individual dapat menentukan keamanan lebih lanjut sesuai kebutuhan dengan menggunakan NSG. Aturan admin keamanan memiliki prioritas yang lebih tinggi daripada NSG dan dievaluasi sebelum aturan NSG.
Tim aplikasi atau layanan individual menggunakan NSG untuk memfilter lalu lintas jaringan ke dan dari subnet individu atau antarmuka jaringan. NSG memiliki prioritas yang lebih rendah daripada aturan admin keamanan dan dievaluasi setelah aturan admin keamanan.
Saat ini, Anda menerapkan aturan admin keamanan di tingkat jaringan virtual. Anda dapat mengaitkan grup keamanan jaringan di tingkat subnet dan NIC. Tabel ini memperlihatkan perbedaan dan kesamaan ini:
| Jenis Aturan | Audiens Target | Diterapkan Pada | Urutan Evaluasi | Jenis Tindakan | Parameter |
|---|---|---|---|---|---|
| Aturan admin keamanan | Admin jaringan, tim tata kelola pusat | Jaringan virtual | Prioritas lebih tinggi | Izinkan, Tolak, Selalu Izinkan | Prioritas, protokol, tindakan, sumber, tujuan |
| Aturan grup keamanan jaringan | Tim individual | Subnet, NIC | Prioritas yang lebih rendah, setelah aturan admin keamanan | Izinkan, Tolak | Prioritas, protokol, tindakan, sumber, tujuan |
Aturan admin keamanan dapat melakukan tiga tindakan pada lalu lintas: Izinkan, Selalu Izinkan, dan Tolak. Saat Anda membuat aturan Izinkan , aturan dievaluasi terlebih dahulu, diikuti oleh aturan kelompok keamanan jaringan. Tindakan ini memungkinkan aturan kelompok keamanan jaringan untuk menangani lalu lintas secara berbeda jika diperlukan.
Jika Anda membuat aturan Selalu Izinkan atau Tolak , evaluasi lalu lintas berakhir setelah aturan admin keamanan dievaluasi. Dengan aturan Always Allow, lalu lintas langsung masuk ke sumber daya dan mengakhiri evaluasi lebih lanjut (dan mungkin bertentangan) oleh aturan NSG. Tindakan ini dapat berguna untuk memberlakukan lalu lintas dan mencegah penolakan oleh aturan kelompok keamanan jaringan. Dengan aturan Tolak , lalu lintas berhenti tanpa dikirim ke tujuan. Aturan admin keamanan tidak bergantung pada NSG, sehingga Anda dapat menggunakannya untuk membuat aturan keamanan default sendiri.
Dengan menggunakan aturan admin keamanan dan NSG bersama-sama, Anda dapat menerapkan kebijakan keamanan jaringan di tingkat global dan individu. Pendekatan ini memastikan bahwa jaringan virtual Anda aman dan sesuai dengan kebijakan keamanan organisasi Anda.
Penting
Saat Anda menyebarkan aturan admin keamanan, model konsistensi akhirnya digunakan. Model ini berarti bahwa aturan admin keamanan akhirnya diterapkan ke sumber daya yang terkandung dalam jaringan virtual setelah penundaan singkat. Jika Anda menambahkan sumber daya ke jaringan virtual yang menerapkan aturan admin keamanan, sumber daya tersebut akhirnya menerima aturan admin keamanan yang sama dengan penundaan.
Manfaat aturan admin keamanan
Aturan admin keamanan memberikan banyak manfaat untuk mengamankan sumber daya organisasi Anda. Dengan menggunakan aturan admin keamanan, Anda dapat memberlakukan lalu lintas yang diizinkan dan mencegah penolakan dengan aturan kelompok keamanan jaringan yang bertentangan. Anda juga dapat membuat aturan admin keamanan default yang tidak bergantung pada NSG yang ada. Aturan default ini dapat sangat berguna ketika pemilik aplikasi salah mengonfigurasi atau lupa membuat NSG. Selain itu, aturan admin keamanan menyediakan cara untuk mengelola keamanan dalam skala besar, yang mengurangi overhead operasional yang dilengkapi dengan semakin banyak sumber daya jaringan.
Melindungi port berisiko tinggi
Berdasarkan studi dan saran industri dari Microsoft, batasi lalu lintas dari luar dengan menggunakan aturan admin keamanan untuk daftar port berisiko tinggi ini. Port ini sering digunakan untuk manajemen sumber daya atau transmisi data yang tidak aman dan tidak terenkripsi dan tidak boleh diekspos ke internet. Namun, jaringan virtual tertentu dan sumber dayanya perlu memungkinkan lalu lintas untuk manajemen atau proses lainnya. Anda dapat membuat pengecualian jika diperlukan. Pelajari cara memblokir port berisiko tinggi dengan pengecualian untuk jenis skenario ini.
| Port | Protokol | Deskripsi |
|---|---|---|
| 20 | PKT | Lalu Lintas FTP tidak terenkripsi |
| 21 | PKT | Lalu Lintas FTP tidak terenkripsi |
| 22 | PKT | SSH. Potensi serangan brute force |
| 23 | PKT | TFTP memungkinkan lalu lintas yang tidak diautentikasi dan tidak terenkripsi |
| 69 | UDP | TFTP memungkinkan lalu lintas yang tidak diautentikasi dan tidak terenkripsi |
| 111 | TCP/UDP | RPC. Autentikasi tidak terenkripsi diizinkan |
| 119 | PKT | NNTP untuk autentikasi yang tidak terenkripsi |
| 135 | TCP/UDP | End Point Mapper, beberapa layanan manajemen jarak jauh |
| 161 | PKT | SNMP untuk autentikasi tidak aman/ tidak ada |
| 162 | TCP/UDP | SNMP Trap - tidak aman / tanpa autentikasi |
| 445 | PKT | SMB - vektor serangan terkenal |
| 512 | PKT | Rexec di Linux - perintah jarak jauh tanpa autentikasi enkripsi |
| 514 | PKT | Remote Shell - perintah jarak jauh tanpa autentikasi atau enkripsi |
| 593 | TCP/UDP | HTTP RPC EPMAP - panggilan prosedur jarak jauh yang tidak terenkripsi |
| 873 | PKT | Rsync - transfer file yang tidak terenkripsi |
| 2049 | TCP/UDP | Sistem File Jaringan |
| 3389 | PKT | RDP - Port serangan brute force umum |
| 5800 | PKT | Buffer Bingkai Jarak Jauh VNC melalui HTTP |
| 5900 | PKT | Buffer Bingkai Jarak Jauh VNC melalui HTTP |
| 11211 | UDP | Memcached |
Manajemen dalam skala besar
Azure Virtual Network Manager menyediakan cara untuk mengelola kebijakan keamanan Anda dalam skala besar dengan menggunakan aturan admin keamanan. Saat Anda menerapkan konfigurasi admin keamanan ke grup jaringan, semua jaringan virtual dan sumber daya yang terkandung dalam cakupan grup jaringan menerima aturan admin keamanan dalam kebijakan.
Sumber daya baru dilindungi bersama dengan sumber daya yang ada. Misalnya, jika Anda menambahkan VM baru ke jaringan virtual dalam cakupan aturan admin keamanan, VM juga diamankan secara otomatis. Tak lama setelah Anda menyebarkan VM ini, aturan admin keamanan melindunginya.
Saat mengidentifikasi risiko keamanan baru, Anda dapat menyebarkan perlindungan dalam skala besar dengan membuat aturan admin keamanan untuk melindungi dari risiko baru dan menerapkannya ke grup jaringan Anda. Setelah Anda menyebarkan aturan baru ini, aturan ini melindungi semua sumber daya dalam cakupan grup jaringan sekarang dan di masa mendatang.
Nonaplikasi aturan admin keamanan
Dalam kebanyakan kasus, aturan admin keamanan berlaku untuk semua jaringan virtual dan subnet dalam cakupan konfigurasi keamanan yang diterapkan grup jaringan. Namun, beberapa layanan tidak menerapkan aturan admin keamanan karena persyaratan jaringan layanan. Kebijakan niat jaringan layanan memberlakukan persyaratan ini.
Nonaplikasi aturan admin keamanan di tingkat jaringan virtual
Secara default, aturan admin keamanan tidak diterapkan ke jaringan virtual yang berisi layanan berikut:
- Azure SQL Managed Instances
- Azure Databricks
Anda dapat meminta untuk mengaktifkan Azure Virtual Network Manager anda untuk menerapkan aturan admin keamanan pada jaringan virtual dengan layanan ini dengan mengirimkan permintaan menggunakan formulir ini.
Ketika jaringan virtual berisi layanan ini, aturan admin keamanan melewati jaringan virtual ini. Jika Anda ingin Izinkan aturan diterapkan ke jaringan virtual ini, Anda membuat konfigurasi keamanan dengan bidang yang AllowRulesOnly diatur dalam kelas .NET securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices . Saat diatur, hanya Izinkan aturan dalam konfigurasi keamanan Anda yang diterapkan ke jaringan virtual ini.
Aturan tolak tidak diterapkan ke jaringan virtual ini. Jaringan virtual tanpa layanan ini dapat terus menggunakan aturan Izinkan dan Tolak .
Anda dapat membuat konfigurasi keamanan dengan Izinkan aturan saja dan menyebarkannya ke jaringan virtual Anda dengan menggunakan Azure PowerShell dan Azure CLI.
Catatan
Saat beberapa instans Azure Virtual Network Manager menerapkan pengaturan yang berbeda di securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices kelas ke jaringan virtual yang sama, pengaturan instans manajer jaringan dengan cakupan tertinggi digunakan.
Katakanlah Anda memiliki dua manajer jaringan virtual. Manajer jaringan pertama dicakup oleh kelompok manajemen utama dan dengan konfigurasi keamanan yang diatur menjadi AllowRulesOnly dalam securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices kelas. Manajer jaringan virtual kedua dilingkup ke langganan di bawah grup manajemen akar dan menggunakan bidang default Tidak Ada dalam konfigurasi keamanannya. Saat kedua konfigurasi menerapkan aturan admin keamanan ke jaringan virtual yang sama, pengaturan AllowRulesOnly diterapkan ke jaringan virtual.
Nonaplikasi aturan admin keamanan di tingkat subnet
Demikian pula, beberapa layanan tidak menerapkan aturan admin keamanan di tingkat subnet ketika jaringan virtual subnet berada dalam cakupan konfigurasi admin keamanan. Layanan tersebut meliputi:
- Azure Application Gateway
- Azure Bastion
- Azure Firewall
- Azure Route Server
- Azure VPN Gateway
- Azure Virtual WAN
- Azure ExpressRoute Gateway
Dalam hal ini, aturan admin keamanan tidak memengaruhi sumber daya di subnet dengan layanan ini. Namun, subnet lain dalam jaringan virtual yang sama memiliki aturan admin keamanan yang diterapkan padanya.
Catatan
Jika Anda ingin menerapkan aturan admin keamanan pada subnet yang berisi Azure Application Gateway, pastikan setiap subnet hanya berisi gateway yang disediakan dengan isolasi jaringan diaktifkan. Jika subnet berisi Azure Application Gateway tanpa isolasi jaringan, aturan admin keamanan tidak diterapkan ke subnet ini.
Bidang admin keamanan
Saat Anda menentukan aturan admin keamanan, ada bidang yang diperlukan dan opsional.
Bidang yang wajib diisi
Prioritas
Prioritas aturan admin keamanan adalah bilangan bulat antara 1 dan 4.096. Semakin rendah nilainya, semakin tinggi prioritas aturan. Misalnya, aturan tolak dengan prioritas 10 mengesampingkan aturan izin dengan prioritas 20.
Tindakan
Anda dapat menentukan salah satu dari tiga tindakan untuk aturan keamanan:
| Tindakan | Deskripsi |
|---|---|
| Izinkan | Memungkinkan lalu lintas pada awalan IP port, protokol, dan sumber/tujuan tertentu ke arah yang ditentukan. |
| Tolak | Memblokir lalu lintas pada port, protokol, dan prefiks IP sumber/tujuan yang ditentukan dalam arah yang ditentukan. |
| Selalu izinkan | Terlepas dari aturan lain dengan prioritas lebih rendah atau kelompok keamanan jaringan yang ditentukan pengguna, ini memungkinkan lalu lintas pada port, protokol, dan awalan IP sumber/tujuan yang ditentukan dalam arah yang ditentukan. |
Arah
Tentukan arah lalu lintas yang aturannya berlaku. Anda dapat menentukan masuk atau keluar.
Protokol
Protokol yang saat ini didukung dengan aturan admin keamanan adalah:
- PKT
- UDP
- ICMP
- ESP
- ah
- Protokol apa pun
Bidang Opsional
Jenis sumber dan tujuan
- Alamat IP: Anda dapat memberikan alamat IPv4 atau IPv6 atau blok alamat dalam notasi CIDR. Untuk mencantumkan beberapa alamat IP, pisahkan setiap alamat IP dengan koma.
- Tag Layanan: Anda dapat menentukan tag layanan tertentu berdasarkan wilayah atau seluruh layanan. Lihat dokumentasi publik tentang tag layanan yang tersedia untuk daftar tag yang didukung. Di luar daftar ini, aturan admin keamanan saat ini tidak mendukung tag layanan AzurePlatformDNS, AzurePlatformIMDS, dan AzurePlatformLKM.
Port sumber dan tujuan
Anda dapat menentukan port umum tertentu untuk memblokir dari sumber atau ke tujuan. Berikut adalah daftar port TCP umum:
| Port | Nama layanan |
|---|---|
| 20, 21 | FTP |
| 22 | SSH |
| 23 | Telnet |
| 25 | SMTP |
| 53 | DNS |
| 80 | HTTP |
| 443 | HTTPS |
| 3389 | RDP |
| 1433 | SQL |
Langkah berikutnya
Pelajari cara memblokir lalu lintas jaringan dengan menggunakan konfigurasi admin Keamanan.