Bagikan melalui


Melindungi port jaringan berisiko tinggi dengan Aturan Admin Keamanan di Azure Virtual Network Manager

Dalam artikel ini, Anda belajar memblokir port jaringan berisiko tinggi menggunakan Azure Virtual Network Manager dan Aturan Admin Keamanan. Anda menelusuri pembuatan instans Azure Virtual Network Manager, mengelompokkan jaringan virtual (VNet) Anda dengan grup jaringan, dan membuat &menyebarkan konfigurasi admin keamanan untuk organisasi Anda. Anda menyebarkan aturan blok umum untuk port berisiko tinggi. Kemudian Anda membuat aturan pengecualian untuk mengelola VNet aplikasi tertentu menggunakan grup keamanan jaringan.

Meskipun artikel ini berfokus pada satu port, SSH, Anda dapat melindungi port berisiko tinggi di lingkungan Anda dengan langkah yang sama. Untuk mempelajari lebih lanjut, tinjau daftar port berisiko tinggi ini

Prasyarat

Menyebarkan lingkungan jaringan virtual

Anda memerlukan lingkungan jaringan virtual yang mencakup jaringan virtual yang dapat dipisahkan untuk mengizinkan dan memblokir lalu lintas jaringan tertentu. Anda dapat menggunakan tabel berikut atau konfigurasi jaringan virtual Anda sendiri:

Nama Ruang alamat IPv4 subnet
vnetA-gen 10.0.0.0/16 default - 10.0.0.0/24
vnetB-gen 10.1.0.0/16 default - 10.1.0.0/24
vnetC-gen 10.2.0.0/16 default - 10.2.0.0/24
vnetD-app 10.3.0.0/16 default - 10.3.0.0/24
vnetE-app 10.4.0.0/16 default - 10.4.0.0/24
  • Tempatkan semua jaringan virtual dalam langganan, wilayah, dan grup sumber daya yang sama

Tidak yakin cara membangun jaringan virtual? Pelajari selengkapnya di Mulai Cepat: Membuat jaringan virtual menggunakan portal Azure.

Membuat instans manajer jaringan virtual

Di bagian ini, Anda menyebarkan instans Virtual Network Manager dengan fitur Admin keamanan di organisasi Anda.

  1. Pilih + Buat sumber daya dan cari Pengelola Jaringan. Kemudian pilih Buat untuk mulai menyiapkan Azure Virtual Network Manager.

  2. Pada tab Dasar , masukkan atau pilih informasi untuk organisasi Anda:

    Cuplikan layar halaman Buat Dasar manajer jaringan.

    Pengaturan Nilai
    Langganan Pilih langganan tempat Anda ingin menyebarkan Azure Virtual Network Manager.
    Grup sumber daya Pilih atau buat grup sumber daya untuk menyimpan Azure Virtual Network Manager. Contoh ini menggunakan myAVNMResourceGroup yang dibuat sebelumnya.
    Nama Masukkan nama untuk contoh Azure Virtual Network Manager ini. Contoh ini menggunakan nama myAVNM.
    Wilayah Pilih wilayah untuk penyebaran ini. Azure Virtual Network Manager dapat mengelola jaringan virtual di wilayah mana pun. Region yang dipilih adalah tempat instans Virtual Network Manager akan diterapkan.
    Deskripsi (Opsional) Berikan deskripsi tentang instans Virtual Network Manager ini dan tugas yang diselenggarakannya.
    Cakupan Tentukan cakupan yang dapat dikelola oleh Azure Virtual Network Manager. Contoh ini menggunakan cakupan tingkat langganan.
    Fitur Pilih fitur yang ingin Anda aktifkan untuk Azure Virtual Network Manager. Fitur yang tersedia adalah Konektivitas, SecurityAdmin, atau Pilih Semua.
    Konektivitas - Memungkinkan kemampuan untuk membuat topologi jaringan mesh atau hub dan spoke penuh antara jaringan virtual dalam cakupan.
    SecurityAdmin - Memungkinkan kemampuan untuk membuat aturan keamanan jaringan global.
  3. Pilih Tinjau + buat lalu pilih Buat setelah validasi lulus.

  4. Pilih Buka sumber daya saat penyebaran selesai dan tinjau konfigurasi manajer jaringan virtual

Membuat grup jaringan untuk semua jaringan virtual

Dengan manajer jaringan virtual yang dibuat, Anda sekarang membuat grup jaringan yang berisi semua VNet di organisasi, dan Anda menambahkan semua VNet secara manual.

  1. Pilih Grup Jaringan, di bawah Pengaturan.
  2. Pilih + Buat, masukkan nama untuk grup jaringan, dan pilih Tambahkan.
  3. Pada halaman Grup jaringan, pilih grup jaringan yang Anda buat.
  4. Pilih Tambahkan, di bawah Keanggotaan Statis untuk menambahkan semua VNet secara manual.
  5. Pada halaman Tambahkan anggota statis, pilih semua jaringan virtual yang ingin Anda sertakan, dan pilih Tambahkan. Cuplikan layar halaman Tambahkan Anggota Statis memperlihatkan pilihan manual jaringan virtual.

Membuat konfigurasi admin keamanan untuk semua jaringan virtual

Saatnya untuk membuat aturan admin keamanan kami dalam konfigurasi untuk menerapkan aturan tersebut ke semua VNet dalam grup jaringan Anda sekaligus. Di bagian ini, Anda membuat konfigurasi admin keamanan. Kemudian Anda membuat kumpulan aturan dan menambahkan aturan untuk port berisiko tinggi seperti SSH atau RDP. Konfigurasi ini menolak lalu lintas jaringan ke semua jaringan virtual dalam grup jaringan.

  1. Kembali ke sumber daya manajer jaringan virtual Anda.

  2. Pilih Konfigurasi di bawah Pengaturan lalu pilih + Buat.

  3. Pilih Konfigurasi keamanan dari menu drop-down.

  4. Pada tab Dasar , masukkan Nama untuk mengidentifikasi konfigurasi keamanan ini dan pilih Berikutnya: Kumpulan aturan.

    Cuplikan layar bidang nama konfigurasi keamanan.

  5. Pilih + Tambahkan dari halaman Tambahkan konfigurasi keamanan.

  6. Masukkan Nama untuk mengidentifikasi kumpulan aturan ini lalu pilih Grup jaringan target yang ingin Anda terapkan sekumpulan aturannya. Grup target adalah grup jaringan yang berisi semua jaringan virtual Anda.

    Cuplikan layar nama kumpulan aturan dan grup jaringan target.

Menambahkan aturan keamanan untuk menolak lalu lintas jaringan berisiko tinggi

Di bagian ini, Anda menentukan aturan keamanan untuk memblokir lalu lintas jaringan berisiko tinggi ke semua jaringan virtual. Saat menetapkan prioritas, ingatlah aturan pengecualian di masa mendatang. Atur prioritas sehingga aturan pengecualian diterapkan atas aturan ini.

  1. Pilih + Tambahkan di bawah Aturan admin keamanan.

    Cuplikan layar tombol tambahkan aturan.

  2. Masukkan informasi yang diperlukan untuk menentukan aturan keamanan Anda, lalu pilih Tambahkan untuk menambahkan aturan ke kumpulan aturan.

    Cuplikan layar tambahkan halaman aturan.

    Pengaturan Nilai
    Nama Masukkan nama aturan.
    Deskripsi Masukkan deskripsi tentang aturan.
    Prioritas* Masukkan nilai antara 1 dan 4096 untuk menentukan prioritas aturan. Semakin rendah nilainya, semakin tinggi prioritasnya.
    Tindakan* Pilih Tolak untuk memblokir lalu lintas. Untuk informasi selengkapnya, lihat Tindakan
    Arah* Pilih Masuk karena Anda ingin menolak lalu lintas masuk dengan aturan ini.
    Protokol* Pilih protokol jaringan untuk port.
    Sumber
    Jenis sumber Pilih jenis sumber alamat IP atau Tag layanan.
    Alamat IP sumber Bidang ini muncul saat Anda memilih jenis sumber alamat IP. Masukkan alamat IPv4 atau IPv6 atau rentang menggunakan notasi CIDR. Saat mendefinisikan lebih dari satu alamat atau blok alamat yang terpisah menggunakan koma. Biarkan kosong untuk contoh ini.
    Tag layanan sumber Bidang ini muncul saat Anda memilih jenis sumber tag Layanan. Pilih tag layanan untuk layanan yang ingin Anda tentukan sebagai sumber. Lihat Tag layanan yang tersedia, untuk daftar tag yang didukung.
    Port Sumber Masukkan nomor port tunggal atau rentang port seperti (1024-65535). Saat menentukan lebih dari satu port atau rentang port, pisahkan keduanya menggunakan koma. Untuk menentukan port apa pun, masukkan *. Biarkan kosong untuk contoh ini.
    Tujuan
    Jenis tujuan Pilih jenis tujuan alamat IP atau Tag layanan.
    Alamat IP tujuan Bidang ini muncul saat Anda memilih jenis alamat IP tujuan. Masukkan alamat IPv4 atau IPv6 atau rentang menggunakan notasi CIDR. Saat mendefinisikan lebih dari satu alamat atau blok alamat yang terpisah menggunakan koma.
    Tag layanan tujuan Bidang ini muncul saat Anda memilih jenis tujuan Tag layanan. Pilih tag layanan untuk layanan yang ingin Anda tentukan sebagai tujuan. Lihat Tag layanan yang tersedia, untuk daftar tag yang didukung.
    Port tujuan Masukkan nomor port tunggal atau rentang port seperti (1024-65535). Saat menentukan lebih dari satu port atau rentang port, pisahkan keduanya menggunakan koma. Untuk menentukan port apa pun, masukkan *. Masukkan 3389 untuk contoh ini.
  3. Ulangi langkah 1-3 lagi jika Anda ingin menambahkan lebih banyak aturan ke kumpulan aturan.

  4. Setelah Anda puas dengan semua aturan yang ingin Anda buat, pilih Tambahkan untuk menambahkan kumpulan aturan ke konfigurasi admin keamanan.

    Cuplikan layar kumpulan aturan.

  5. Lalu pilih Tinjau + Buat dan Buat untuk menyelesaikan konfigurasi keamanan.

Menyebarkan konfigurasi admin keamanan untuk memblokir lalu lintas jaringan

Di bagian ini, aturan yang dibuat berlaku saat Anda menyebarkan konfigurasi admin keamanan.

  1. Pilih Penyebaran di bawah Pengaturan, lalu pilih Sebarkan konfigurasi.

    Cuplikan layar tombol sebarkan konfigurasi.

  2. Pilih kotak centang Sertakan admin keamanan di status tujuan Anda dan pilih konfigurasi keamanan yang Anda buat di bagian terakhir dari menu dropdown. Kemudian pilih wilayah tempat Anda ingin menyebarkan konfigurasi ini.

    Cuplikan layar penyebaran halaman konfigurasi keamanan.

  3. Pilih Berikutnya dan Sebarkan untuk menyebarkan konfigurasi admin keamanan.

Membuat grup jaringan untuk aturan pengecualian lalu lintas

Dengan lalu lintas yang diblokir di semua VNet, Anda memerlukan pengecualian untuk memungkinkan lalu lintas ke jaringan virtual tertentu. Anda membuat grup jaringan khusus untuk VNet yang memerlukan pengecualian dari aturan admin keamanan lainnya.

  1. Dari manajer jaringan virtual Anda, pilih Grup Jaringan, di bawah Pengaturan.
  2. Pilih + Buat, masukkan nama untuk grup jaringan aplikasi, dan pilih Tambahkan.
  3. Di bawah Tentukan Keanggotaan Dinamis, pilih Tentukan.
  4. Masukkan atau pilih nilai untuk mengizinkan lalu lintas ke jaringan virtual aplikasi Anda. Cuplikan layar halaman Tentukan Grup Jaringan dengan kondisi untuk memilih jaringan virtual untuk keanggotaan grup.
  5. Pilih Pratinjau Sumber Daya untuk meninjau Jaringan Virtual Efektif yang disertakan, dan pilih Tutup. Cuplikan layar halaman Jaringan Virtual Efektif memperlihatkan jaringan virtual yang disertakan secara dinamis dalam grup jaringan.
  6. Pilih Simpan.

Membuat aturan dan pengumpulan admin keamanan pengecualian lalu lintas

Di bagian ini, Anda membuat aturan pengumpulan aturan dan admin keamanan baru yang memungkinkan lalu lintas berisiko tinggi ke subset jaringan virtual yang telah Anda tentukan sebagai pengecualian. Selanjutnya, Anda menambahkannya ke konfigurasi admin keamanan yang ada.

Penting

Agar aturan admin keamanan Anda memungkinkan lalu lintas ke jaringan virtual aplikasi Anda, prioritas perlu diatur ke angka yang lebih rendah daripada aturan yang ada yang memblokir lalu lintas.

Misalnya, semua aturan jaringan yang memblokir SSH memiliki prioritas 10 sehingga aturan izin Anda harus memiliki prioritas dari 1 hingga 9.

  1. Dari manajer jaringan virtual Anda, pilih Konfigurasi dan pilih konfigurasi keamanan Anda.
  2. Pilih Kumpulan aturan di bawah Pengaturan, lalu pilih + Buat untuk membuat kumpulan aturan baru.
  3. Pada halaman Tambahkan kumpulan aturan, masukkan nama untuk kumpulan aturan aplikasi Anda dan pilih grup jaringan aplikasi yang Anda buat.
  4. Di bawah Aturan admin keamanan, pilih + Tambahkan.
  5. Masukkan atau pilih nilai untuk mengizinkan lalu lintas jaringan tertentu ke grup jaringan aplikasi Anda, dan pilih tambahkan saat selesai.
  6. Ulangi proses tambahkan aturan untuk semua lalu lintas yang memerlukan pengecualian.
  7. Pilih Simpan saat Anda selesai.

Menyebarkan ulang konfigurasi admin keamanan dengan aturan pengecualian

Untuk menerapkan kumpulan aturan baru, Anda menyebarkan ulang konfigurasi admin keamanan sejak diubah dengan menambahkan kumpulan aturan.

  1. Dari manajer jaringan virtual Anda, pilih Konfigurasi.
  2. Pilih konfigurasi admin keamanan Anda dan pilih Sebarkan
  3. Pada halaman Sebarkan Konfigurasi , pilih semua wilayah target yang menerima penyebaran dan
  4. Pilih Berikutnya dan Sebarkan.

Langkah berikutnya