Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Azure Virtual Network adalah blok penyusun dasar untuk jaringan privat Anda di Azure, memungkinkan sumber daya Azure berkomunikasi dengan aman satu sama lain, internet, dan jaringan lokal. Saat menyebarkan jaringan virtual, Anda harus menerapkan kontrol keamanan untuk melindungi infrastruktur jaringan Anda, mengontrol arus lalu lintas, dan mencegah akses tidak sah ke sumber daya Anda.
Artikel ini menyediakan panduan tentang cara terbaik mengamankan penyebaran Azure Virtual Network Anda.
Keamanan jaringan
Keamanan jaringan untuk Virtual Network berfokus pada pengendalian arus lalu lintas, menerapkan segmentasi jaringan, dan melindungi dari ancaman eksternal. Kontrol keamanan jaringan yang tepat membantu mengisolasi beban kerja, mencegah gerakan lateral, dan melindungi dari serangan penolakan layanan terdistribusi.
Beban kerja segmentasi menggunakan Grup Keamanan Jaringan (NSG) dan Kelompok Keamanan Aplikasi: Menerapkan NSG ke subnet dan antarmuka jaringan untuk mengontrol lalu lintas masuk dan keluar berdasarkan IP sumber, IP tujuan, port, dan protokol. Gunakan Kelompok Keamanan Aplikasi untuk mengelompokkan komputer virtual secara logis dan menentukan kebijakan keamanan jaringan berdasarkan struktur aplikasi. Gunakan pendekatan "tolak secara default, izinkan dengan pengecualian" untuk meminimalkan permukaan serangan. Untuk informasi selengkapnya, lihat Kelompok Keamanan Jaringan.
Aktifkan log alur NSG untuk pemantauan lalu lintas: Konfigurasikan log alur NSG untuk mengambil informasi tentang lalu lintas IP yang mengalir melalui grup keamanan jaringan Anda. Kirim log ini ke Azure Monitor Log Analytics dan gunakan Analitik Lalu Lintas untuk memvisualisasikan aktivitas jaringan dan mengidentifikasi ancaman keamanan. Untuk informasi selengkapnya, lihat Log alur NSG.
Terapkan Azure Firewall untuk perlindungan terpusat dan berstatus: Gunakan Azure Firewall untuk mengontrol lalu lintas masuk dan keluar di seluruh jaringan virtual Anda dengan inspeksi paket berstatus yang sepenuhnya. Tentukan dan kelola aturan aplikasi dan jaringan dalam skala besar menggunakan Kebijakan Firewall terpusat. Azure Firewall mendukung DNAT untuk akses masuk yang aman dan SNAT untuk konektivitas keluar yang konsisten. Untuk keamanan yang ditingkatkan, aktifkan pemfilteran berbasis inteligensi ancaman untuk secara otomatis memperingatkan dan menolak lalu lintas ke alamat IP dan domain berbahaya yang diketahui, dan menggunakan Azure Firewall Premium dengan sistem deteksi dan pencegahan intrusi (IDPS) untuk memantau dan memblokir lalu lintas jaringan berbahaya. Integrasikan dengan Azure Monitor untuk visibilitas lalu lintas penuh dan analisis log. Untuk informasi selengkapnya, lihat Azure Firewall.
Aktifkan DDoS Protection Standard: Aktifkan DDoS Protection Standard di jaringan virtual Anda untuk melindungi dari serangan penolakan layanan terdistribusi. Layanan ini menyediakan kemampuan mitigasi DDoS yang ditingkatkan dan pemantauan real time untuk alamat IP publik Anda. Untuk informasi selengkapnya, lihat Azure DDoS Protection Standard.
Gunakan tag layanan untuk menyederhanakan aturan keamanan: Ganti alamat IP tertentu dengan tag layanan dalam aturan NSG Anda untuk memungkinkan komunikasi dengan layanan Azure sambil menjaga keamanan. Microsoft secara otomatis memperbarui tag layanan saat rentang IP berubah. Untuk informasi selengkapnya, lihat Tag layanan.
Mengonfigurasi pengambilan paket untuk analisis forensik: Aktifkan pengambilan paket pada komputer virtual atau gunakan pengambilan paket VPN Gateway untuk merekam lalu lintas jaringan untuk analisis keamanan dan investigasi insiden. Untuk informasi selengkapnya, lihat Pengambilan paket Network Watcher.
Menerapkan Azure Bastion untuk akses RDP/SSH yang aman: Gunakan Azure Bastion untuk terhubung dengan aman ke komputer virtual melalui RDP atau SSH tanpa mengeksposnya ke internet publik. Bastion menghilangkan kebutuhan akan alamat IP publik pada VM dan mengurangi permukaan serangan. Untuk informasi selengkapnya, lihat Azure Bastion.
Menerapkan Azure NAT Gateway untuk lalu lintas keluar: Gunakan Azure NAT Gateway untuk menyediakan alamat IP keluar statis untuk sumber daya jaringan virtual, memastikan lalu lintas keluar yang aman dan dapat diskalakan. NAT Gateway juga memberikan perlindungan terhadap kelelahan port. Untuk informasi selengkapnya, lihat Azure NAT Gateway.
Menggunakan titik akhir privat dan Private Link untuk layanan Azure: Gunakan Azure Private Link untuk mengakses layanan Azure PaaS (seperti Azure Storage, SQL Database) melalui titik akhir privat dalam jaringan virtual Anda. Private Link menghilangkan paparan internet publik dan meningkatkan keamanan dengan menjaga lalu lintas dalam jaringan backbone Azure. Untuk informasi selengkapnya, lihat Azure Private Link.
Mengonfigurasi subnet sebagai privat secara default: Untuk subnet yang tidak memerlukan akses internet publik, konfigurasikan sebagai subnet privat. Gunakan Azure Firewall atau NAT Gateway untuk akses keluar terkontrol jika diperlukan. Untuk informasi selengkapnya, lihat Akses keluar default di Azure
Terapkan rekomendasi Penguatan Jaringan Adaptif: Gunakan Penguatan Jaringan Adaptif Pertahanan Microsoft untuk Cloud untuk menerima rekomendasi berbasis pembelajaran mesin untuk memperketat aturan NSG berdasarkan pola lalu lintas aktual dan inteligensi ancaman. Untuk informasi selengkapnya, lihat Penguatan Jaringan Adaptif.
Desain dengan prinsip pertahanan mendalam: Terapkan beberapa lapisan kontrol keamanan jaringan untuk menciptakan perlindungan redundan. Gunakan strategi segmentasi yang mengisolasi beban kerja penting dan menerapkan langkah-langkah keamanan yang berbeda di setiap perbatasan jaringan untuk menahan potensi pelanggaran.
Aktifkan enkripsi Virtual Network: Gunakan enkripsi Azure Virtual Network untuk mengenkripsi data saat transit antara komputer virtual dalam jaringan virtual yang sama dan antara jaringan virtual yang di-peering secara regional dan global. Ini memberikan perlindungan tambahan untuk komunikasi data sensitif. Untuk informasi selengkapnya, lihat Enkripsi Virtual Network.
Pertahankan perimeter keamanan yang diperbarui: Tinjau dan perbarui pengaturan keamanan secara teratur termasuk NSG, Kelompok Keamanan Aplikasi, dan rentang alamat IP. Aturan yang kedaluarsa mungkin tidak selaras dengan arsitektur jaringan atau pola lalu lintas saat ini, berpotensi menciptakan kesenjangan keamanan. Untuk informasi selengkapnya, lihat Gambaran umum Kelompok Keamanan Jaringan.
Batasi penggunaan alamat IP publik: Minimalkan jumlah alamat IP publik dengan menggunakan alamat IP publik bersama dari layanan seperti Azure Front Door atau Application Gateway. Ketika IP publik diperlukan, terapkan manajemen port yang tepat dan minta validasi. Untuk informasi selengkapnya, lihat Alamat IP publik.
Pengelolaan identitas
Manajemen identitas untuk Virtual Network melibatkan kontrol akses ke sumber daya jaringan dan memastikan bahwa hanya pengguna dan layanan yang berwenang yang dapat memodifikasi konfigurasi jaringan. Kontrol identitas yang tepat mencegah perubahan jaringan yang tidak sah dan mempertahankan postur keamanan jaringan.
Gunakan Azure RBAC untuk akses sumber daya jaringan: Tetapkan peran bawaan yang sesuai seperti Kontributor Jaringan atau peran kustom dengan izin tertentu untuk mengontrol siapa yang dapat membuat, memodifikasi, atau menghapus jaringan virtual dan sumber daya terkait. Ikuti prinsip hak istimewa terendah. Untuk informasi selengkapnya, lihat Azure RBAC untuk jaringan.
Mengaktifkan integrasi ID Microsoft Entra dengan SSO: Gunakan ID Microsoft Entra sebagai penyedia identitas terpusat untuk mengelola akses ke sumber daya jaringan dan layanan Azure terkait. Terapkan akses menyeluruh (SSO) daripada mengonfigurasi info masuk mandiri individu per layanan untuk mengurangi permukaan serangan dan meminimalkan persyaratan kata sandi. Integrasi ID Microsoft Entra memastikan autentikasi dan otorisasi yang konsisten di seluruh infrastruktur jaringan Anda. Untuk informasi selengkapnya, lihat Akses menyeluruh ke aplikasi.
Menerapkan akses bersyarat untuk administrator jaringan: Mengonfigurasi kebijakan akses bersyarat untuk mewajibkan autentikasi multifaktor dan membatasi akses ke operasi manajemen jaringan berdasarkan lokasi pengguna, kepatuhan perangkat, dan tingkat risiko. Untuk informasi selengkapnya, lihat Akses Bersyarat.
Gunakan identitas terkelola untuk sumber daya Azure: Aktifkan identitas terkelola untuk sumber daya Azure yang perlu mengakses layanan Azure lainnya, menghilangkan kebutuhan untuk menyimpan kredensial dalam konfigurasi jaringan virtual Anda. Ini menyediakan autentikasi yang aman dan bebas kredensial. Untuk mengetahui informasi selengkapnya, lihat identitas terkelola.
Meninjau dan mendamaikan akses pengguna secara teratur: Lakukan tinjauan akses reguler untuk mengelola keanggotaan grup, akses ke aplikasi perusahaan, dan penetapan peran secara efisien. Pastikan hanya pengguna aktif yang memiliki akses berkelanjutan ke fungsi manajemen jaringan. Untuk informasi selengkapnya, lihat Tinjauan Akses Identitas Azure.
Menerapkan prinsip hak istimewa paling sedikit untuk peran jaringan: Mengonfigurasi kontrol akses berbasis peran dengan pola pikir tanpa akses untuk peran terkait jaringan. Pastikan pengguna hanya dapat mengubah pengaturan jaringan seperti yang diperlukan oleh fungsi pekerjaan mereka untuk meminimalkan potensi risiko keamanan. Untuk informasi selengkapnya, lihat Praktik terbaik Azure RBAC.
Akses istimewa
Manajemen akses istimewa untuk Virtual Network berfokus pada pengamanan operasi administratif dan memastikan bahwa personel yang berwenang melakukan perubahan konfigurasi jaringan dengan pengawasan dan pemantauan yang sesuai.
Terapkan autentikasi multifaktor untuk administrator jaringan: Memerlukan MFA untuk semua pengguna dengan hak istimewa administrasi jaringan untuk menambahkan lapisan keamanan tambahan di luar kata sandi. MFA secara signifikan mengurangi risiko serangan berbasis kredensial. Untuk informasi selengkapnya, lihat Autentikasi multifaktor Microsoft Entra.
Gunakan akses just-in-time untuk operasi jaringan: Terapkan Microsoft Entra Privileged Identity Management untuk menyediakan akses terbatas waktu ke peran administrasi jaringan. Akses JIT mengurangi jendela paparan untuk kredensial istimewa. Untuk informasi selengkapnya, lihat Privileged Identity Management.
Memantau aktivitas jaringan istimewa: Mengaktifkan pengelogan dan pemantauan untuk semua operasi jaringan istimewa termasuk perubahan NSG, modifikasi tabel rute, dan pembaruan aturan firewall. Gunakan Log Aktivitas Azure dan Azure Monitor untuk melacak tindakan administratif. Untuk informasi selengkapnya, lihat Log Aktivitas Azure.
Gunakan akun administratif khusus dengan Stasiun Kerja Akses Istimewa: Buat prosedur operasi standar seputar penggunaan akun administratif khusus. Sebarkan Stasiun Kerja Akses Istimewa (PAW) dengan autentikasi multifaktor yang dikonfigurasi bagi administrator jaringan untuk melakukan tugas administratif. PAW menyediakan lingkungan yang diperkuat dan aman untuk mengelola infrastruktur jaringan penting. Gunakan Manajemen Identitas dan Akses Pertahanan Microsoft untuk Cloud untuk memantau jumlah akun administratif. Untuk informasi selengkapnya, lihat Stasiun Kerja Akses Istimewa.
Pertahankan inventaris akun administratif: Gunakan peran administrator bawaan ID Microsoft Entra yang dapat ditetapkan secara eksplisit dan dapat dikueri. Audit akun secara teratur yang merupakan anggota grup administratif untuk memastikan kontrol akses yang tepat.
Perlindungan data
Perlindungan data untuk Virtual Network melibatkan pengamanan data saat transit di seluruh infrastruktur jaringan Anda dan memastikan bahwa komunikasi jaringan dienkripsi dan dilindungi dari penyadapan atau perusakan.
Aktifkan enkripsi saat transit: Pastikan semua lalu lintas jaringan menggunakan protokol enkripsi seperti TLS 1.2 atau yang lebih tinggi, IPsec untuk koneksi VPN, dan protokol terenkripsi untuk komunikasi aplikasi. Azure menyediakan enkripsi secara default untuk lalu lintas antara pusat data Azure. Untuk informasi selengkapnya, lihat Enkripsi saat transit.
Aktifkan enkripsi Azure Virtual Network: Gunakan enkripsi Azure Virtual Network untuk mengenkripsi data saat transit antar komputer virtual dalam jaringan virtual yang sama. Ini menyediakan lapisan keamanan tambahan untuk data sensitif. Untuk informasi selengkapnya, lihat Enkripsi Azure Virtual Network.
Menerapkan kontrol akses jaringan untuk data sensitif: Gunakan NSG dan Azure Firewall untuk membatasi akses ke subnet dan sumber daya yang berisi data sensitif. Terapkan prinsip pertahanan mendalam dengan beberapa lapisan kontrol keamanan jaringan.
Aktifkan MACsec untuk Azure ExpressRoute: Untuk koneksi ExpressRoute, aktifkan MACsec (Keamanan Kontrol Akses Media) untuk menyediakan enkripsi Lapisan 2 antara jaringan lokal Anda dan Azure, memastikan kerahasiaan dan integritas data saat transit. Untuk informasi selengkapnya, lihat MACsec untuk ExpressRoute.
Mengklasifikasikan data berdasarkan sensitivitas: Tetapkan tingkat kerahasiaan ke data yang mengalir melalui jaringan virtual Anda dan terapkan kontrol keamanan jaringan yang sesuai berdasarkan klasifikasi ini. Gunakan klasifikasi ini untuk memengaruhi desain jaringan dan prioritas keamanan.
Pengelogan dan deteksi ancaman
Pengelogan komprehensif dan deteksi ancaman untuk Virtual Network memungkinkan pemantauan keamanan, respons insiden, dan pelaporan kepatuhan. Pengelogan yang tepat membantu mengidentifikasi ancaman keamanan dan menyediakan kemampuan forensik untuk penyelidikan insiden.
Memusatkan pengumpulan log dengan Azure Monitor: Mengonfigurasi pengaturan diagnostik untuk mengirim log jaringan virtual, log alur NSG, dan log Azure Firewall ke ruang kerja Azure Monitor Log Analytics untuk analisis dan korelasi terpusat. Atur periode retensi log yang sesuai dengan peraturan kepatuhan organisasi Anda dan gunakan akun Azure Storage untuk penyimpanan arsip jangka panjang log keamanan. Untuk informasi selengkapnya, lihat Azure Monitor.
Aktifkan Pertahanan Microsoft untuk Cloud: Gunakan Pertahanan Microsoft untuk Cloud untuk memantau sumber daya jaringan virtual Anda untuk kesalahan konfigurasi dan ancaman keamanan. Aktifkan fitur keamanan yang ditingkatkan untuk perlindungan komprehensif. Untuk informasi selengkapnya, lihat Microsoft Defender untuk Cloud.
Mengonfigurasi pemberitahuan dan pemberitahuan keamanan: Siapkan pemberitahuan Azure Monitor untuk peristiwa keamanan jaringan penting seperti perubahan aturan NSG, pola lalu lintas yang tidak biasa, atau blok firewall. Konfigurasikan grup tindakan untuk memberi tahu tim keamanan secara otomatis. Untuk informasi selengkapnya, lihat Pemberitahuan Azure Monitor.
Gunakan Microsoft Azure Sentinel untuk deteksi ancaman tingkat lanjut: Hubungkan log jaringan virtual Anda ke Microsoft Azure Sentinel untuk analitik keamanan tingkat lanjut, perburuan ancaman, dan kemampuan respons otomatis. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel.
Aktifkan pengelogan komprehensif untuk sumber daya jaringan: Aktifkan pembuatan log diagnostik untuk jaringan virtual, load balancer, dan komponen jaringan lainnya untuk menangkap perubahan konfigurasi dan pola akses. Konfigurasikan pengelogan kueri DNS untuk Azure DNS atau server DNS kustom untuk mendeteksi serangan berbasis DNS dan upaya penyelundupan data. Pantau kueri domain yang mencurigakan dan aktivitas penerowongan DNS.
Memantau dan menganalisis log dengan UEBA: Meninjau log secara teratur untuk perilaku anomali dan peristiwa keamanan. Gunakan Ruang Kerja Analitik Log Azure Monitor untuk mengkueri dan melakukan analitik pada data keamanan. Terapkan alat Analitik Perilaku Pengguna dan Entitas (UEBA) untuk mengumpulkan perilaku pengguna dari memantau data dan menganalisisnya untuk mendeteksi pola akses pengguna anomali yang mungkin menunjukkan ancaman keamanan.
Manajemen aset
Manajemen aset untuk Virtual Network melibatkan pemeliharaan inventarisasi sumber daya jaringan, menerapkan kebijakan tata kelola, dan memastikan kepatuhan terhadap standar keamanan. Manajemen aset yang efektif membantu menjaga postur keamanan dan memungkinkan respons cepat terhadap insiden keamanan.
Gunakan Azure Policy untuk pembatasan tata kelola dan sumber daya: Sebarkan definisi Azure Policy untuk memberlakukan standar keamanan untuk jaringan virtual. Kebijakan ini dapat memerlukan NSG pada subnet, mengamanatkan aturan keamanan tertentu, atau mencegah pembuatan IP publik. Gunakan definisi kebijakan bawaan seperti "Jenis sumber daya yang tidak diizinkan" dan "Jenis sumber daya yang diizinkan" untuk membatasi pembuatan sumber daya. Untuk informasi selengkapnya, lihat Azure Policy untuk jaringan virtual.
Menandai sumber daya jaringan untuk organisasi: Terapkan strategi pemberian tag yang konsisten ke jaringan virtual, subnet, NSG, dan sumber daya terkait untuk mengaktifkan organisasi, manajemen biaya, dan penegakan kebijakan keamanan yang tepat. Gunakan tag dan bidang deskripsi dalam aturan NSG untuk menentukan kebutuhan bisnis, durasi, dan informasi lain untuk aturan keamanan guna membantu audit keamanan dan manajemen aturan. Untuk informasi selengkapnya, lihat Penandaan sumber daya.
Memantau perubahan konfigurasi sumber daya: Gunakan Azure Resource Graph untuk mengkueri dan menemukan semua sumber daya jaringan di seluruh langganan. Siapkan pemberitahuan untuk perubahan yang tidak sah pada konfigurasi jaringan penting. Untuk informasi selengkapnya, lihat Azure Resource Graph.
Menerapkan manajemen konfigurasi standar: Gunakan templat Azure Resource Manager atau Bicep untuk menentukan dan menyebarkan konfigurasi jaringan secara konsisten. Gunakan Azure Blueprints untuk menyederhanakan penyebaran Azure skala besar dengan mengemas artefak lingkungan utama, seperti templat Azure Resource Manager, penetapan kontrol akses berbasis peran, dan kebijakan, dalam satu definisi cetak biru. Simpan templat dalam kontrol versi dan terapkan proses manajemen perubahan untuk modifikasi jaringan. Untuk informasi selengkapnya, lihat Azure Blueprints.
Pertahankan inventori sumber daya yang disetujui: Buat dan pertahankan inventori sumber daya Azure yang disetujui dan konfigurasi yang disetujui untuk lingkungan jaringan Anda. Audit penerapan secara teratur untuk memastikan kepatuhan dengan standar dasar yang disetujui.
Pengujian keamanan
Pengujian keamanan untuk Virtual Network memastikan bahwa kontrol keamanan yang diterapkan berfungsi dengan benar dan dapat mendeteksi dan mencegah potensi ancaman. Pengujian rutin memvalidasi efektivitas postur keamanan jaringan Anda.
Lakukan pengujian penetrasi reguler: Lakukan pengujian penetrasi berkala yang dilakukan oleh para ahli di luar tim beban kerja yang mencoba meretas infrastruktur jaringan secara etis. Pengujian ini memvalidasi pertahanan keamanan dengan mensimulasikan serangan dunia nyata.
Menerapkan pemindaian kerentanan: Jalankan pemindaian kerentanan rutin dan terintegrasi untuk mendeteksi eksploitasi dalam infrastruktur jaringan, komputer virtual, dan appliance jaringan. Integrasikan pemindai ke dalam alur penyebaran untuk mendeteksi kerentanan secara otomatis.
Menguji prosedur respons insiden: Lakukan latihan untuk menguji kemampuan respons insiden keamanan jaringan Anda secara teratur. Identifikasi titik lemah dan celah dalam prosedur respons keamanan jaringan Anda dan revisi rencana sesuai kebutuhan.
Validasi segmentasi jaringan: Uji kontrol segmentasi jaringan secara teratur untuk memastikan bahwa sumber daya yang disusupi dalam satu segmen tidak dapat mengakses sumber daya di segmen lain. Verifikasi bahwa batas isolasi berfungsi seperti yang dirancang.
Menguji prosedur pencadangan dan pemulihan: Uji kemampuan Anda secara teratur untuk membuat ulang konfigurasi jaringan virtual dari templat atau dokumentasi yang diekspor untuk memastikan prosedur pemulihan berfungsi dengan benar dan memenuhi tujuan waktu pemulihan.
Aktifkan Virtual Network Verifier: Gunakan Virtual Network Verifier di Azure Virtual Network Manager di lingkungan praproduksi untuk menguji konektivitas antara sumber daya dan memastikan mereka dapat dijangkau dan tidak diblokir oleh kebijakan. Untuk informasi selengkapnya, lihat Pemverifikasi Jaringan Virtual.
Gunakan Azure Chaos Studio untuk pengujian ketahanan: Terapkan Azure Chaos Studio untuk mensimulasikan gangguan konektivitas jaringan dan memvalidasi bahwa kontrol keamanan tetap efektif selama skenario kegagalan. Ini memastikan bahwa mekanisme keamanan terus berfungsi dengan baik bahkan ketika jaringan mengalami stres atau pemadaman parsial. Untuk informasi selengkapnya, lihat Azure Chaos Studio.
Pencadangan dan pemulihan
Pencadangan dan pemulihan untuk Virtual Network berfokus pada pelestarian konfigurasi jaringan dan memastikan pemulihan konektivitas jaringan yang cepat jika ada kesalahan penghapusan atau konfigurasi yang tidak disengaja. Meskipun jaringan virtual itu sendiri tidak memerlukan cadangan tradisional, pelestarian konfigurasi sangat penting.
Mengekspor dan melindungi konfigurasi jaringan: Gunakan Azure Resource Manager untuk mengekspor konfigurasi jaringan virtual sebagai templat yang dapat disimpan dan digunakan untuk pemulihan bencana. Otomatiskan proses ini menggunakan Azure Automation atau Azure Pipelines. Gunakan Azure DevOps untuk menyimpan dan mengelola kode Anda dengan aman seperti definisi Azure Policy kustom dan templat Azure Resource Manager. Aktifkan Soft-Delete dan perlindungan penghapusan menyeluruh di Key Vault untuk melindungi kunci dari penghapusan yang tidak disengaja atau berbahaya. Untuk informasi selengkapnya, lihat Ekspor Templat.
Arsitektur jaringan dokumentasi: Pertahankan dokumentasi komprehensif desain jaringan Anda, termasuk skema alamat IP, tabel perutean, aturan grup keamanan, dan persyaratan konektivitas. Simpan dokumentasi ini di lokasi yang aman dan dapat diakses.
Menguji dan memvalidasi prosedur pemulihan: Uji kemampuan Anda secara teratur untuk membuat ulang konfigurasi jaringan virtual dari templat atau dokumentasi yang diekspor untuk memastikan prosedur pemulihan berfungsi dengan benar dan memenuhi tujuan waktu pemulihan. Lakukan pelaksanaan penyebaran templat Azure Resource Manager secara berkala ke langganan yang terisolasi dan uji pemulihan kunci yang dicadangkan dan dikelola pelanggan untuk memastikan bahwa prosedur pemulihan berfungsi dengan benar.
Cadangkan sumber daya yang terhubung dan kunci yang dikelola oleh pelanggan: Meskipun jaringan virtual tidak memerlukan pencadangan, pastikan bahwa mesin virtual dan sumber daya lain yang terhubung ke jaringan Anda dicadangkan dengan benar menggunakan Azure Backup untuk mempertahankan kemampuan pemulihan yang lengkap. Jika menggunakan kunci yang dikelola pelanggan untuk enkripsi dalam lingkungan jaringan virtual Anda, pastikan kunci ini dicadangkan di Azure Key Vault dengan prosedur retensi dan pemulihan yang sesuai. Untuk informasi selengkapnya, lihat Azure Backup.
Siapkan infrastruktur jaringan redundan: Infrastruktur jaringan duplikat terlebih dahulu, terutama untuk penyiapan hibrid. Pastikan bahwa rute terpisah di berbagai wilayah siap untuk berkomunikasi satu sama lain sebelumnya. Replikasi dan pertahankan aturan NSG dan Azure Firewall yang konsisten di situs pemulihan primer dan bencana. Hindari rentang alamat IP yang tumpang tindih antara jaringan produksi dan pemulihan bencana untuk menyederhanakan manajemen jaringan dan mempercepat transisi selama peristiwa failover.
Tanggapan Insiden
Respons insiden untuk Virtual Network melibatkan pembentukan prosedur untuk mendeteksi, merespons, dan memulihkan dari insiden keamanan yang memengaruhi infrastruktur jaringan Anda. Kemampuan respons insiden yang tepat membantu meminimalkan dampak pelanggaran keamanan dan memastikan pemulihan layanan yang cepat.
Buat panduan respons insiden: Buat panduan respons insiden untuk organisasi Anda yang menentukan semua peran personel dan fase penanganan insiden dari deteksi hingga tinjauan pasca-insiden. Sertakan prosedur khusus untuk insiden keamanan jaringan.
Menerapkan penilaian dan prioritas insiden: Menetapkan prosedur untuk memprioritaskan insiden keamanan berdasarkan tingkat keparahan dan dampak. Gunakan pemberitahuan Pertahanan Microsoft untuk Cloud untuk membantu memprioritaskan insiden keamanan jaringan mana yang harus diselidiki terlebih dahulu.
Mengonfigurasi detail kontak insiden keamanan: Menyiapkan informasi kontak insiden keamanan yang akan digunakan oleh Microsoft untuk menghubungi Anda jika Pusat Respons Keamanan Microsoft menemukan bahwa data Anda telah diakses oleh pihak yang melanggar hukum atau tidak sah. Untuk informasi selengkapnya, lihat Hubungi Microsoft Defender untuk Keamanan Cloud.
Menggabungkan pemberitahuan keamanan ke dalam respons insiden: Ekspor pemberitahuan dan rekomendasi Microsoft Defender for Cloud menggunakan fitur Ekspor Berkelanjutan untuk membantu mengidentifikasi risiko pada sumber daya Azure. Gunakan konektor data untuk mengalirkan pemberitahuan ke Microsoft Azure Sentinel untuk manajemen insiden terpusat.
Menguji prosedur respons keamanan: Lakukan latihan untuk menguji kemampuan respons insiden sistem Anda secara teratur. Identifikasi titik lemah dan celah dalam prosedur respons keamanan jaringan Anda dan revisi rencana sesuai kebutuhan.
Mengotomatiskan respons insiden: Gunakan fitur Automasi Alur Kerja di Microsoft Defender for Cloud untuk memicu respons secara otomatis melalui Logic Apps pada pemberitahuan dan rekomendasi keamanan untuk melindungi sumber daya jaringan Azure Anda.