Keamanan Jaringan

Keamanan jaringan melindungi beban kerja cloud dari ancaman seperti akses yang tidak sah, pelanggaran data, dan gangguan layanan dengan mengontrol lalu lintas di beberapa batas. Tidak seperti pertahanan tradisional yang berfokus pada perimeter, lingkungan cloud modern menuntut strategi pertahanan mendalam dengan segmentasi, konektivitas privat, dan perlindungan tepi untuk mengatasi permukaan serangan dinamis termasuk layanan yang terekspos, jalur gerakan lateral, dan saluran perintah dan kontrol. Organisasi yang menerapkan kontrol jaringan komprehensif mempertahankan lingkungan yang aman secara default, sementara mereka yang mengabaikan kontrol ini menghadapi gerakan lateral yang tidak terbatas dan paparan ancaman yang berkepanjangan.

Berikut adalah tiga pilar inti domain keamanan Keamanan Jaringan.

Mengamankan batas jaringan: Terapkan kontrol ketat di tepi jaringan dan antar segmen melalui pertahanan berlapis-lapis yang menggabungkan firewall, perlindungan DDoS, firewall aplikasi web, dan konektivitas privat, mengikuti prinsip hak istimewa paling sedikit untuk menolak lalu lintas yang tidak sah secara default.

Kontrol terkait:

NS-2: Mengamankan layanan cloud dengan kontrol jaringan
NS-3: Menyebarkan firewall di tepi jaringan perusahaan
NS-5: Menyebarkan perlindungan DDOS
NS-6: Menyebarkan firewall aplikasi web
NS-9: Menyambungkan jaringan lokal atau cloud secara privat

Terapkan isolasi jaringan: Bagi jaringan menjadi segmen terisolasi yang selaras dengan strategi segmentasi perusahaan dan tingkat risiko untuk membatasi penyebaran ancaman, mengurangi permukaan serangan, dan mencegah gerakan lateral yang tidak sah.

Kontrol terkait:

NS-1: Menetapkan batas segmentasi jaringan

Pantau dan tanggapi: Pertahankan visibilitas berkelanjutan ke dalam aktivitas jaringan melalui pemantauan komprehensif, deteksi intrusi, dan keamanan protokol untuk mengidentifikasi perilaku mencurigakan, pelanggaran kebijakan, dan ancaman aktif dengan cepat.

Kontrol terkait:

NS-4: Menyebarkan sistem deteksi intrusi/pencegahan intrusi (IDS/IPS)
NS-8: Mendeteksi dan menonaktifkan layanan dan protokol yang tidak aman
NS-10: Memastikan keamanan Sistem Nama Domain (DNS)

NS-1: Menetapkan batas segmentasi jaringan

Azure Policy: Lihat Definisi kebijakan bawaan Azure: NS-1.

Prinsip keamanan

Segmentasi jaringan melibatkan pembagian jaringan menjadi segmen yang lebih kecil dan terisolasi untuk mengontrol dan membatasi arus lalu lintas antara sumber daya cloud untuk mengurangi radius ledakan.

Rancang segmentasi jaringan Anda untuk memastikan bahwa penyebaran jaringan virtual Anda selaras dengan strategi segmentasi perusahaan Anda dan tingkat risiko yang berbeda. Strategi segmentasi umum meliputi:

Pisahkan Corpnet dengan jaringan Aplikasi
Memisahkan jaringan Aplikasi
Jaringan Lingkungan Produksi dan Pengujian Terpisah

Lihat Azure Well-Architected Framework untuk mempelajari selengkapnya tentang strategi utama untuk segmentasi jaringan:

Strategi segmentasi Azure

Risiko yang perlu diminimalkan

Tanpa batas segmentasi jaringan, organisasi menghadapi gerakan lateral yang tidak dibatasi yang memungkinkan penyerang melintasi infrastruktur jaringan dan membahayakan aset bernilai tinggi.

Paparan jaringan datar: Tidak adanya segmentasi memungkinkan gerakan lateral yang tidak dibatasi, memungkinkan penyerang untuk membahayakan aset bernilai tinggi dengan bergerak melalui topologi jaringan yang tidak dipartisi.
Jalur eskalasi hak istimewa: Batas yang tidak memadai mengizinkan vektor akses yang tidak sah, memfasilitasi eskalasi hak istimewa pengguna melalui akses ke subnet dan beban kerja sensitif.
Penyebaran malware: Segmentasi yang tidak mencukupi memungkinkan penyebaran kode berbahaya yang cepat seperti ransomware di seluruh simpul yang saling terhubung, memperkuat permukaan serangan dan dampak operasional.
Ketidakjelasan lalu lintas timur-barat: Lalu lintas antar segmen yang tidak dibatasi menghambat deteksi anomali dan respons insiden, mengurangi visibilitas terhadap pergerakan ancaman dari dalam dan mempersulit analisis forensik.

MITRE ATT&CK

Akses Awal (TA0001): akses tidak sah ke jaringan dan layanan yang diekspos (misalnya, T1190 - Eksploitasi Aplikasi Public-Facing).
Gerakan Lateral (TA0008): serangan pivot oleh VNet dan lalu lintas antar-subnet yang tidak dibatasi (misalnya, T1021 - Layanan Jarak Jauh).
Eksfiltrasi (TA0010): penyelundupan data oleh lalu lintas keluar yang tidak dibatasi untuk transfer data yang tidak sah ke server eksternal (misalnya, T1041 - Eksfiltrasi Melalui Saluran C2).
Perintah dan Kontrol (TA0011): penyebaran malware dengan komunikasi dengan IP atau domain berbahaya melalui aturan firewall dan inteligensi ancaman (misalnya, T1071 - Protokol Lapisan Aplikasi).

NS-1.1: Membuat segmentasi menggunakan VNet dan subnet

Isolasi jaringan virtual menetapkan batas keamanan mendasar dalam lingkungan cloud, memungkinkan organisasi untuk memisahkan beban kerja berdasarkan tingkat kepercayaan, unit organisasi, atau pengelompokan aplikasi. Pendekatan ini mencegah gerakan lateral yang tidak terbatas dan mengurangi radius ledakan ketika pelanggaran terjadi, menyelaraskan arsitektur jaringan dengan strategi segmentasi perusahaan dan prinsip zero-trust.

Terapkan segmentasi jaringan virtual dengan membuat batas dan subdivisi jaringan terisolasi:

Merancang topologi VNet berdasarkan strategi segmentasi: Buat jaringan virtual yang selaras dengan zona kepercayaan, unit organisasi, atau pengelompokan aplikasi yang ditentukan dalam strategi segmentasi perusahaan Anda, memastikan setiap VNet mewakili batas keamanan yang berbeda.
Mengisolasi beban kerja berisiko tinggi: Identifikasi beban kerja yang memerlukan isolasi ketat (misalnya, database produksi, sistem pemrosesan pembayaran) dan sebarkan ke VNet khusus yang terisolasi untuk meminimalkan paparan dan mencegah kontaminasi silang.
Buat subnet untuk segmentasi terperinci: Dalam setiap VNet, buat subnet yang tidak tumpang tindih yang berbeda untuk lebih mengelompokkan jaringan berdasarkan tingkat aplikasi (misalnya, tingkat web, tingkat aplikasi, tingkat database) atau persyaratan fungsional, memungkinkan kontrol lalu lintas dan segmentasi mikro yang lebih tepat.

NS-1.2: Membatasi lalu lintas jaringan menggunakan NSG

Kelompok keamanan jaringan memberlakukan pemfilteran lalu lintas di tingkat subnet dan antarmuka jaringan, memungkinkan kontrol yang tepat atas alur komunikasi antara segmen jaringan dan jaringan eksternal. Dengan menerapkan kebijakan tolak secara default dengan aturan izin eksplisit, organisasi memastikan hanya lalu lintas resmi yang melintasi batas jaringan, mencegah akses yang tidak sah dan mengurangi permukaan serangan.

Menerapkan pembatasan lalu lintas jaringan menggunakan aturan NSG:

Identifikasi persyaratan komunikasi: Analisis sumber daya di setiap VNet untuk memahami kebutuhan komunikasi lalu lintas utara-selatan (eksternal) dan timur-barat (internal), mendokumen port, protokol, alamat sumber, dan alamat tujuan yang diperlukan untuk fungsi bisnis yang sah.
Tentukan aturan izinkan dan tolak eksplisit: Untuk aplikasi yang terdefinisi dengan baik (misalnya, arsitektur tiga tingkat), gunakan pendekatan "tolak secara default, izinkan dengan pengecualian" untuk membuat aturan NSG berdasarkan port, protokol, alamat IP sumber, dan alamat IP tujuan, secara eksplisit hanya mengizinkan lalu lintas yang diperlukan sambil menolak semua komunikasi lainnya.
Gunakan grup keamanan aplikasi untuk skenario kompleks: Ketika banyak aplikasi dan titik akhir berinteraksi, sederhanakan manajemen aturan NSG dengan menggunakan kelompok keamanan aplikasi (ASG) untuk mengelompokkan sumber daya secara logis (misalnya, server web, server database), lalu tentukan aturan NSG berdasarkan grup ini daripada alamat IP eksplisit, meningkatkan keberlanjutan dan mengurangi kompleksitas konfigurasi.
Pantau dan optimalkan dengan log alur: Aktifkan pengelogan alur jaringan virtual untuk memantau lalu lintas yang diizinkan atau ditolak oleh aturan NSG, mengidentifikasi lalu lintas yang sering ditolak yang dapat menunjukkan kesalahan konfigurasi atau lalu lintas yang sering diizinkan yang dapat menginformasikan pengoptimalan aturan dan mengurangi kebisingan pengelogan.

Contoh implementasi

Organisasi perlu mengamankan aplikasi multi-tingkat dengan lingkungan produksi, pengembangan, dan pengujian terpisah sambil mencegah pergerakan lateral yang tidak sah dan akses eksternal.

Tantangan: Organisasi ini memiliki aplikasi tiga tingkat (web, aplikasi, database) dengan semua sumber daya dalam satu segmen jaringan besar, memungkinkan komunikasi yang tidak terbatas antara semua tingkatan dan lingkungan. Ini menciptakan risiko keamanan yang signifikan termasuk potensi pergerakan lateral antara produksi dan non-produksi, akses internet yang tidak dibatasi dari server database, dan ketidakmampuan untuk mengisolasi beban kerja berisiko tinggi.

Pendekatan solusi:

Segmentasi VNet menurut lingkungan: Membuat jaringan virtual terpisah untuk produksi (10.0.0.0/16), pengembangan (10.1.0.0/16), dan pengujian (10.2.0.0/16), membangun batas isolasi jaringan yang mencegah akses lintas lingkungan dan membatasi radius ledakan potensi pelanggaran.
Segmentasi subnet menurut tingkatan: Dalam VNet produksi, membuat subnet yang tidak tumpang tindih yang berbeda untuk setiap tingkat aplikasi - tingkat web (10.0.1.0/24), tingkat aplikasi (10.0.2.0/24), dan tingkat database (10.0.3.0/24) - memungkinkan kontrol lalu lintas terperinci antar tingkatan.
Aturan NSG untuk kontrol lalu lintas utara-selatan: Mengonfigurasi aturan NSG untuk menolak semua lalu lintas masuk dari internet (0.0.0.0/0) ke subnet internal dan membatasi akses internet keluar hanya ke tujuan tepercaya, dengan aturan tertentu yang hanya memungkinkan koneksi eksternal yang diperlukan untuk tingkat web sambil memblokir semua akses internet dari tingkat database.
Aturan NSG untuk kontrol lalu lintas timur-barat: Menerapkan kebijakan deny-by-default dengan aturan izinkan eksplisit antara tingkat - tingkat web diizinkan keluar ke tingkat aplikasi hanya pada port yang diperlukan, tingkat aplikasi diizinkan keluar ke tingkat database pada port 1433 (SQL) saja, dan tingkat database menolak semua lalu lintas masuk lainnya kecuali dari subnet tingkat aplikasi.
Akses manajemen jarak jauh: Port manajemen jarak jauh terbatas (RDP 3389/TCP, SSH 22/TCP) untuk menerima koneksi hanya dari subnet host bastion tepercaya (10.0.0.0/26), menghilangkan akses internet langsung ke antarmuka manajemen.

Hasil: Organisasi menghilangkan pergerakan lateral yang tidak terbatas antara tingkat aplikasi dan lingkungan, mengurangi permukaan serangan secara signifikan dengan menghapus akses internet langsung dari sistem backend, dan menetapkan batas jaringan yang dapat diberlakukan yang selaras dengan prinsip-prinsip zero-trust. Log aliran memungkinkan pemantauan berkelanjutan lalu lintas yang diizinkan dan yang ditolak untuk pengoptimalan yang berkelanjutan dan validasi posisi keamanan.

Tingkat kekritisan

Wajib ada

Pemetaan kontrol

NIST SP 800-53 Rev.5: SC-7, SC-32, AC-4, CM-7
PCI-DSS v4: 1.2.1, 1.3.1, 1.4.1
Kontrol CIS v8.1: 12.1, 12.2, 12.6
NIST CSF v2.0: PR. IR-01, PR. AC-05
ISO 27001:2022: A.8.20, A.8.21
SOC 2: CC6.1, CC6.6

NS-2: Mengamankan layanan cloud native dengan kontrol jaringan

Azure Policy: Lihat Definisi kebijakan bawaan Azure: NS-2.

Prinsip keamanan

Gunakan fitur asli layanan untuk mengamankan akses jaringan ke sumber daya untuk menghindari dan mengurangi paparan sumber daya ke jaringan yang tidak tepercaya. Fitur-fitur ini meliputi:

Tetapkan titik akses privat untuk sumber daya guna menghindari paparan lalu lintas jaringan melalui jaringan publik.
Sebarkan sumber daya ke jaringan virtual tempat Anda dapat membatasi VNet untuk membuat titik akses privat untuk layanan.
Konfigurasikan firewall asli layanan untuk membatasi lalu lintas masuk atau menonaktifkan akses jaringan publik.

Catatan: Selain kontrol akses jaringan dasar dan pemfilteran lalu lintas, Anda juga harus menggunakan kemampuan deteksi ancaman untuk memantau layanan seperti DNS (NS-10) untuk mendeteksi kemungkinan penyelundupan data.

Risiko yang perlu diminimalkan

Pelaku ancaman mengeksploitasi layanan cloud yang diekspos secara publik untuk melakukan eksfiltrasi data, serangan lapisan aplikasi, dan intersepsi lalu lintas.

Penyelundupan data melalui titik akhir publik: Penyerang mengeksploitasi akun penyimpanan, database, atau API yang dapat diakses publik untuk menyelundupkan data sensitif dengan membuat koneksi yang tidak sah ke titik akhir yang terekspos, melewati kontrol segmentasi jaringan dan mengaktifkan pencurian data skala besar.
Serangan lapisan aplikasi terhadap titik akhir publik: Serangan Distributed Denial of Service (DDoS), injeksi SQL, dan eksploitasi aplikasi lainnya menargetkan layanan web, API, dan database yang terekspos secara publik, sumber daya yang luar biasa atau mengeksploitasi kerentanan untuk menyebabkan gangguan layanan atau penyusupan data.
Serangan man-in-the-middle: Penyerang mencegat lalu lintas yang mengalir melalui jaringan publik ke layanan yang diekspos secara publik, menangkap kredensial, token sesi, atau data sensitif yang dikirimkan tanpa enkripsi atau konektivitas privat yang memadai, memungkinkan pengalihan akun atau pencurian data.

MITRE ATT&CK

Akses Awal (TA0001): akses tidak sah melalui paparan internet publik pada layanan cloud (misalnya, layanan penyimpanan cloud, layanan database), eksploit yang menargetkan titik akhir publik (misalnya, T1190 - Eksploit Aplikasi yang Terpapar Publik).
Eksfiltrasi (TA0010): penyelundupan data dengan merutekan lalu lintas melalui koneksi jaringan virtual privat, mengurangi risiko kebocoran data ke server eksternal (misalnya, T1041 - Eksfiltrasi Melalui Saluran C2).
Gerakan Lateral (TA0008): layanan pivot penyerang dalam jaringan virtual, akses tidak sah antara sumber daya cloud (misalnya, T1021 - Layanan Jarak Jauh).

NS-2.1 Gunakan Private Link untuk koneksi layanan

Konektivitas privat menghilangkan paparan internet publik untuk layanan cloud dengan membuat jalur jaringan langsung dalam infrastruktur virtual Anda. Private Link membuat titik akhir privat dengan alamat IP khusus di dalam jaringan virtual Anda, memastikan lalu lintas ke layanan cloud tidak pernah melintasi internet publik sambil mempertahankan pola akses berbasis DNS. Pendekatan ini secara signifikan mengurangi permukaan serangan dan mencegah eksfiltrasi data melalui titik akhir yang dapat diakses publik.

Terapkan konektivitas privat untuk layanan cloud melalui langkah-langkah berikut:

Sebarkan titik akhir privat untuk layanan yang didukung: Buat titik akhir privat dalam jaringan virtual Anda untuk sumber daya Azure yang mendukung Private Link (misalnya, Azure Storage, Azure SQL Database, Azure Key Vault), membuat alamat IP privat (misalnya, 10.0.2.4) hanya dapat diakses dari VNet Anda.
Mengonfigurasi zona DNS privat: Buat zona DNS Privat Azure untuk mengambil alih resolusi DNS publik, memastikan nama domain (FQDN) yang sepenuhnya memenuhi syarat seperti mystorageaccount1.blob.core.windows.net menyelesaikan ke alamat IP privat dalam VNet Anda alih-alih ke titik akhir publik, untuk menjaga konektivitas tanpa hambatan bagi aplikasi yang menggunakan akses berbasis FQDN.
Nonaktifkan akses publik: Konfigurasikan pengaturan tingkat layanan untuk menonaktifkan akses jaringan publik sepenuhnya setelah titik akhir privat disebarkan, memastikan semua arus lalu lintas secara eksklusif melalui konektivitas privat tanpa mundur ke titik akhir publik.

Nota: Layanan Azure tertentu juga dapat mengizinkan komunikasi privat melalui fitur titik akhir layanan , meskipun Azure Private Link direkomendasikan untuk akses aman dan privat ke layanan yang dihosting di platform Azure. Untuk penyebaran seperti layanan web yang dihosting di Azure VM, hindari menetapkan IP publik langsung ke VM kecuali sangat dibenarkan; sebagai gantinya, gunakan Azure Application Gateway atau Azure Load Balancer sebagai front-end untuk akses layanan.

Layanan Penyebaran NS-2.2 ke VNet

Integrasi jaringan virtual memungkinkan layanan cloud beroperasi dalam batas jaringan privat, membangun konektivitas langsung ke sumber daya yang dihosting VNet tanpa paparan internet publik. Dengan menyebarkan layanan ke jaringan virtual, organisasi mendapatkan kontrol terperinci atas lalu lintas jaringan melalui grup keamanan dan tabel rute sambil mempertahankan isolasi layanan dari ancaman eksternal.

Sebarkan layanan dengan integrasi VNet jika didukung:

Menyebarkan layanan ke jaringan virtual: Untuk layanan yang mendukung integrasi VNet (misalnya, Azure App Service, Azure Functions, Azure Container Instances), konfigurasikan penyebaran ke jaringan virtual baru atau yang sudah ada, menentukan subnet yang sesuai yang selaras dengan strategi segmentasi Anda dan mengaktifkan komunikasi privat dengan sumber daya VNet lainnya.
Mengonfigurasi kontrol keamanan jaringan: Terapkan aturan kelompok keamanan jaringan (NSG) ke subnet layanan untuk membatasi lalu lintas masuk dan keluar, menerapkan akses hak istimewa terendah dengan hanya mengizinkan komunikasi yang diperlukan ke tujuan tertentu (misalnya, subnet database, titik akhir penyimpanan) sambil menolak semua lalu lintas lainnya.

NS-2.3 Mengonfigurasi firewall bawaan layanan

Firewall tingkat layanan memberikan perlindungan pertahanan mendalam dengan membatasi akses jaringan di tingkat sumber daya, melengkapi kontrol lapisan jaringan dengan batas keamanan khusus aplikasi. Kemampuan firewall asli ini memungkinkan organisasi membatasi paparan rentang IP atau jaringan virtual tertentu sambil sepenuhnya menonaktifkan akses publik jika sesuai, mengurangi permukaan serangan tanpa memerlukan perubahan topologi jaringan yang kompleks.

Konfigurasikan firewall layanan untuk membatasi akses:

Aktifkan fitur firewall layanan: Untuk layanan yang mendukung firewall asli (misalnya, Azure Storage, Azure SQL Database, Azure Key Vault), aktifkan fungsionalitas firewall baik selama pembuatan sumber daya atau pada sumber daya yang ada untuk mengontrol jaringan mana yang dapat mengakses layanan.
Tentukan aturan berbasis IP atau berbasis VNet: Konfigurasikan aturan firewall untuk mengizinkan akses hanya dari rentang IP publik tertentu (misalnya, jaringan kantor perusahaan) atau subnet jaringan virtual Azure tertentu, menerapkan akses hak istimewa paling sedikit dengan menolak semua sumber lainnya.
Nonaktifkan akses publik jika memungkinkan: Ketika layanan hanya memerlukan akses dari jaringan privat, gunakan opsi alihkan untuk sepenuhnya menonaktifkan akses jaringan publik, memastikan layanan tidak dapat dijangkau dari internet terlepas dari aturan berbasis IP.

NS-2.4 Gunakan Perimeter Keamanan Jaringan untuk isolasi sumber daya PaaS

Perimeter Keamanan Jaringan menetapkan batas jaringan logis di sekitar beberapa sumber daya PaaS, memungkinkan komunikasi layanan-ke-layanan yang aman dalam perimeter tepercaya eksplisit sambil mencegah penyelundupan data yang tidak sah. Tidak seperti kontrol per sumber daya, Perimeter Keamanan Jaringan menyediakan batas keamanan terpadu yang memungkinkan komunikasi intra-perimeter tanpa aturan akses individual saat memblokir akses eksternal secara default.

Terapkan Perimeter Keamanan Jaringan untuk mengamankan sumber daya PaaS:

Membuat dan mengaitkan sumber daya: Buat perimeter keamanan jaringan dan tambahkan sumber daya PaaS yang didukung (Azure Storage, SQL Database, Key Vault, Event Hubs, Cosmos DB) melalui asosiasi sumber daya, memungkinkan komunikasi intra-perimeter di mana sumber daya terkait dapat berkomunikasi dengan bebas.
Mengonfigurasi mode dan aturan akses: Mulailah dengan mode Transisi untuk memahami pola akses sebelum beralih ke mode Diberlakukan untuk perlindungan maksimum. Tentukan aturan akses masuk dan keluar eksplisit menggunakan alamat IP, langganan, atau FQDN untuk mengontrol lalu lintas di luar perimeter sambil mempertahankan postur tolak default.
Aktifkan pemantauan dan integrasi Private Link: Konfigurasikan log diagnostik untuk menangkap upaya akses dan pelanggaran kebijakan. Lalu lintas jaringan endpoint privat secara otomatis diizinkan memasuki perimeter, melengkapi konektivitas antara VNet dan PaaS dengan kontrol pengeluaran data tingkat perimeter.

Contoh implementasi

Organisasi perlu mengamankan database backend dan sumber daya penyimpanan sambil mengaktifkan akses dari layanan aplikasi tanpa mengekspos sumber daya ke internet publik.

Tantangan: Organisasi ini memiliki akun Azure SQL Database dan Azure Storage dengan titik akhir publik default, membuatnya dapat diakses dari internet dan menciptakan risiko penyelundupan data yang signifikan. Layanan aplikasi disebarkan dengan IP publik dan tidak memiliki integrasi VNet, mencegah kontrol akses berbasis jaringan privat. Firewall tingkat layanan tidak dikonfigurasi, memungkinkan akses tidak terbatas dari sumber mana pun setelah autentikasi berhasil.

Pendekatan solusi:

Titik akhir Private Link untuk layanan PaaS:Titik akhir privat yang disebarkan untuk Azure SQL Database (ditetapkan IP privat 10.0.2.4) dan akun Azure Storage (ditetapkan IP privat 10.0.2.5) dalam subnet titik akhir privat khusus (10.0.2.0/24), membangun konektivitas privat yang merutekan lalu lintas melalui jaringan backbone Azure tanpa paparan internet.
Zona DNS Private untuk resolusi nama: Membuat zona DNS Private Azure untuk mengambil alih resolusi DNS publik, memastikan FQDN aplikasi (misalnya, mysqldb.database.windows.net, mystorageaccount.blob.core.windows.net) berpindah ke IP privat ke dalam VNet daripada endpoint publik, memastikan konektivitas tetap lancar untuk aplikasi yang menggunakan akses berbasis FQDN.
Integrasi VNet untuk layanan aplikasi: Integrasi VNet yang dikonfigurasi untuk Azure App Service, menyebarkan aplikasi ke subnet aplikasi (10.0.1.0/24) untuk mengaktifkan komunikasi langsung dengan titik akhir privat tanpa memerlukan alamat IP publik atau perutean internet.
Firewall asli layanan: Mengaktifkan firewall tingkat layanan di Azure Storage untuk membatasi akses ke subnet VNet tertentu (subnet aplikasi 10.0.1.0/24) dan layanan Microsoft tepercaya, sambil sepenuhnya menonaktifkan akses jaringan publik di tingkat layanan untuk Azure SQL Database guna menerapkan konektivitas khusus privat.
Aturan NSG untuk pertahanan mendalam: Menerapkan aturan NSG ke subnet aplikasi yang memungkinkan lalu lintas keluar hanya ke subnet titik akhir privat (10.0.2.0/24) pada port yang diperlukan (443 untuk Storage, 1433 untuk SQL), menerapkan kontrol akses hak istimewa paling sedikit yang melengkapi perlindungan tingkat layanan.

Hasil: Organisasi menghilangkan paparan internet publik untuk sumber daya backend, secara signifikan mengurangi risiko eksfiltrasi data dan permukaan serangan. Konektivitas privat memastikan semua lalu lintas antara aplikasi dan layanan data tetap berada di jaringan backbone Azure tanpa melintasi internet publik, sementara kontrol berlapis (Private Link, zona DNS, firewall layanan, NSG) memberikan perlindungan mendalam pertahanan yang selaras dengan prinsip zero-trust.

Tingkat kekritisan

Wajib ada

Pemetaan kontrol

NIST SP 800-53 Rev.5: SC-7(4), SC-7(5), AC-4(21)
PCI-DSS v4: 1.3.1, 1.3.2, 1.4.2
Kontrol CIS v8.1: 12.4, 12.7
NIST CSF v2.0: PR. AC-05, PR. DS-05
ISO 27001:2022: A.8.20, A.8.22
SOC 2: CC6.1, CC6.6

NS-3: Menyebarkan firewall pada tepi jaringan perusahaan

Azure Policy: Lihat Definisi kebijakan bawaan Azure: NS-3.

Prinsip keamanan

Gunakan firewall di tepi jaringan untuk melakukan pemfilteran tingkat lanjut pada lalu lintas jaringan ke dan dari jaringan eksternal, seperti internet, dan antar segmen jaringan internal.

Minimal, kebijakan firewall harus mencakup:

Blokir alamat IP dan situs buruk yang diketahui.
Batasi protokol berisiko tinggi, seperti protokol manajemen jarak jauh dan protokol intranet di jaringan tepi untuk mencegah akses yang tidak sah atau gerakan lateral.
Menerapkan aturan aplikasi untuk hanya mengizinkan tujuan eksternal yang disetujui dan memblokir situs yang tidak sah atau berisiko.

Risiko yang perlu diminimalkan

Adversaries mengeksploitasi kerentanan yang terekspos ke jaringan publik atau tidak tepercaya melalui protokol yang dapat diakses, domain berbahaya, dan kontrol jaringan yang lemah.

Akses tidak sah melalui protokol yang diekspos: Protokol yang dapat diakses publik seperti RDP (TCP 3389) atau SMB (TCP 445) memungkinkan penyerang untuk mendapatkan entri yang tidak sah, membahayakan integritas sistem melalui eksploitasi seperti serangan yang ditargetkan brute force atau CVE.
Malware dan phishing melalui domain/IP berbahaya: Domain dan IP berbahaya memfasilitasi pengiriman malware atau kampanye phishing, membahayakan titik akhir dan data sensitif melalui perintah dan kontrol atau serangan rekayasa sosial.
Penyelundupan data melalui lalu lintas keluar yang tidak dibatasi: Lalu lintas keluar yang tidak terkendali ke tujuan yang tidak disetujui memungkinkan pihak ketiga untuk mengeksfiltrasi data sensitif, mempertaruhkan pelanggaran keamanan dan pelanggaran kepatuhan melalui saluran terselubung seperti HTTPS POST.
Gerakan lateral karena segmentasi yang buruk: Segmentasi jaringan yang tidak memadai memungkinkan penyerang untuk melakukan pivot secara internal, mengeksploitasi lalu lintas antar-segmen (misalnya, SMB, Kerberos) untuk menyebar dari sistem yang disusupi.
Kerentanan dari aplikasi/URL yang tidak tepercaya: Akses ke URL dan aplikasi yang berisiko atau tidak tepercaya meningkatkan paparan eksploitasi, meningkatkan risiko insiden, dan ketidakpatuhan terhadap standar peraturan.

MITRE ATT&CK

Akses Awal (TA0001): akses tidak sah ke protokol berisiko tinggi (misalnya, RDP/TCP 3389, SSH/TCP 22) atau domain berbahaya (misalnya, T1190 - Mengeksploitasi Aplikasi Public-Facing).
Perintah dan Kontrol (TA0011): malware yang terhubung ke IP/domain berbahaya (misalnya, T1071 - Protokol Lapisan Aplikasi).
Penyelundupan (TA0010): transfer data yang tidak sah melalui lalu lintas keluar ke tujuan yang tidak disetujui (misalnya, T1041 - Eksfiltrasi Melalui Saluran C2).
Gerakan Lateral (TA0008): menghambat pivot internal melalui lalu lintas antar segmen yang tidak difilter (misalnya, SMB/TCP 445, Kerberos/TCP 88) (misalnya, T1021 - Layanan Jarak Jauh).

NS-3.1 Bersiap untuk Penyebaran Azure Firewall

Penyebaran Azure Firewall memerlukan topologi jaringan yang tepat yang memungkinkan inspeksi lalu lintas terpusat di seluruh batas jaringan. Arsitektur hub-and-spoke memposisikan firewall di inti jaringan, merutekan semua lalu lintas spoke melalui titik inspeksi pusat sementara rute yang ditentukan pengguna memastikan arus lalu lintas mengikuti jalur yang dimaksudkan. Persiapan ini menetapkan fondasi untuk perlindungan tepi yang komprehensif dan pemfilteran antar segmen.

Siapkan infrastruktur jaringan untuk penyebaran Azure Firewall:

Siapkan topologi jaringan virtual hub/spoke: Sebarkan Azure Firewall di VNet hub untuk mengelola dan mengamankan lalu lintas secara terpusat di beberapa beban kerja aplikasi hosting VNet spoke, menetapkan satu titik penegakan untuk kebijakan keamanan jaringan.
Gabungkan jaringan virtual spoke: Gunakan peering VNet untuk menyambungkan setiap VNet spoke ke VNet hub tempat Azure Firewall disebarkan, memungkinkan komunikasi antara spoke melalui hub sambil mempertahankan isolasi jaringan.
Mengonfigurasi rute yang ditentukan sendiri pengguna (UDR): Buat tabel rute yang mengarahkan lalu lintas jaringan dari VNet spoke melalui Azure Firewall di jaringan hub, termasuk rute untuk lalu lintas keluar ke internet (0.0.0.0/0) dan lalu lintas antar-spoke secara opsional jika komunikasi spoke-to-spoke memerlukan pemeriksaan.

NS-3.2 Menyebarkan Azure Firewall dengan kebijakan yang sesuai

Azure Firewall menyediakan pemfilteran lalu lintas lapisan aplikasi stateful dengan manajemen kebijakan terpusat di seluruh segmen jaringan perusahaan. Dengan menggabungkan aturan jaringan, aturan aplikasi, dan inteligensi ancaman, firewall memeriksa arus lalu lintas di beberapa lapisan sementara pemfilteran URL dan inspeksi TLS memungkinkan kontrol terperinci atas komunikasi HTTP/HTTPS. Desain kebijakan yang tepat menyeimbangkan persyaratan keamanan dengan kebutuhan operasional melalui hierarki aturan terstruktur dan pemfilteran berbasis kategori.

Menyebarkan dan mengonfigurasi Azure Firewall dengan kebijakan komprehensif:

Sebarkan Azure Firewall di VNet hub: Sebarkan Azure Firewall (tingkat Standar atau Premium berdasarkan fitur yang diperlukan) di VNet hub, menetapkan alamat IP publik untuk lalu lintas terikat internet dan alamat IP privat untuk perutean internal dari VNet spoke.
Buat kebijakan firewall dengan aturan pemfilteran: Tentukan kebijakan Azure Firewall yang berisi aturan jaringan (pemfilteran berbasis IP/port), aturan aplikasi (pemfilteran berbasis FQDN), dan aturan inteligensi ancaman, mengatur aturan ke dalam koleksi berdasarkan persyaratan keamanan (misalnya, memungkinkan layanan penting bisnis, memblokir IP berbahaya, menolak kategori berisiko).
Konfigurasikan pemfilteran URL untuk lalu lintas HTTP/HTTPS: Terapkan aturan aplikasi berbasis FQDN untuk mengizinkan atau menolak domain tertentu (misalnya, izinkan *.microsoft.com, tolak *.torrent) dan konfigurasikan pemfilteran berbasis kategori untuk memblokir seluruh kategori situs web (misalnya, Peretasan, Media Sosial) sambil mengizinkan kategori terkait pekerjaan.
Aktifkan inspeksi TLS untuk pemfilteran tingkat lanjut: Untuk penyebaran tingkat Premium, aktifkan inspeksi TLS dengan mengunggah sertifikat ke Azure Key Vault, memungkinkan firewall untuk mendekripsi, memeriksa, dan mengenkripsi ulang lalu lintas HTTPS untuk pemfilteran URL yang lebih dalam dan deteksi ancaman di luar inspeksi berbasis SNI.

Contoh implementasi

Organisasi dengan beberapa beban kerja aplikasi di berbagai VNet spoke memerlukan inspeksi keamanan jaringan terpusat untuk semua lalu lintas menuju internet dan komunikasi antar-VNet spoke sambil mencegah akses ke domain berbahaya dan kategori situs web yang tidak diizinkan.

Tantangan: Organisasi memiliki beban kerja yang disebarkan di VNet spoke terpisah dengan akses internet langsung, menciptakan kebijakan keamanan yang tidak konsisten dan ketidakmampuan untuk memeriksa lalu lintas secara terpusat. Setiap spoke memiliki aturan Keamanan Jaringan (NSG) sendiri, sehingga menyebabkan terjadinya pergeseran kebijakan dan celah keamanan. Tidak ada visibilitas ke koneksi keluar ke domain yang berpotensi berbahaya, tidak ada kemampuan untuk memblokir kategori situs web berisiko (media sosial, berbagi file), dan tidak ada inspeksi konten lalu lintas HTTPS. Lalu lintas antar-spoke mengalir bebas tanpa inspeksi, memungkinkan potensi gerakan lateral setelah kompromi.

Pendekatan solusi:

Topologi hub-and-spoke dengan firewall terpusat: Menyebarkan Azure Firewall Premium di VNet hub (10.0.0.0/16) dengan AzureFirewallSubnet khusus (10.0.1.0/26, IP privat firewall 10.0.1.4), menetapkan satu titik penegakan untuk semua inspeksi lalu lintas jaringan dan manajemen kebijakan.
Peering VNet untuk konektivitas spoke: Menggunakan peering VNet untuk menghubungkan VNet spoke aplikasi (10.1.0.0/16) dan VNet spoke database (10.2.0.0/16) ke VNet hub, sehingga memungkinkan perutean lalu lintas terpusat melalui firewall.
Rute yang ditentukan pengguna untuk pengarahan lalu lintas: Membuat tabel rute di setiap VNet spoke yang mengalihkan semua lalu lintas yang menuju internet (0.0.0.0/0) dan lalu lintas antar-spoke ke IP privat Azure Firewall (10.0.1.4), memaksa semua lalu lintas keluar melalui titik inspeksi pusat.
Kebijakan firewall dengan pemfilteran multi-lapisan:Kebijakan Azure Firewall komprehensif yang ditentukan termasuk aturan jaringan (izinkan DNS UDP/53 ke Azure DNS, tolak semua protokol lain secara default), aturan aplikasi (izinkan FQDN penting bisnis seperti *.microsoft.com, tolak domain berbagi file seperti *.torrent), dan aturan inteligensi ancaman (blokir IP berbahaya yang diketahui dari umpan ancaman Pertahanan Microsoft).
Pemfilteran URL dan pemblokiran berbasis kategori: Menerapkan aturan aplikasi berbasis FQDN untuk kontrol domain yang tepat dan pemfilteran berbasis kategori untuk memblokir seluruh kategori situs web (Peretasan, Media Sosial, Perjudian) sambil memungkinkan kategori terkait kerja (Bisnis/Ekonomi, Teknologi/Internet), memberlakukan kebijakan penggunaan yang dapat diterima di tepi jaringan.
Inspeksi TLS untuk lalu lintas HTTPS: Mengaktifkan inspeksi TLS dengan sertifikat yang disimpan di Azure Key Vault, memungkinkan firewall untuk mendekripsi, memeriksa, dan mengenkripsi ulang lalu lintas HTTPS untuk pemfilteran URL yang lebih dalam dan deteksi ancaman di luar inspeksi berbasis SNI, sambil mengecualikan domain perbankan sensitif dari dekripsi per persyaratan kepatuhan.

Hasil: Organisasi menetapkan visibilitas dan kontrol terpusat atas semua lalu lintas yang menuju internet dan antar-spoke, menghilangkan pergeseran kebijakan dan titik buta keamanan. Inspeksi TLS mengaktifkan deteksi ancaman yang tersembunyi dalam lalu lintas HTTPS terenkripsi, sementara pemfilteran berbasis kategori mengurangi paparan konten web yang berisiko secara substansial. Arsitektur hub-and-spoke memberikan postur keamanan yang dapat diskalakan dan konsisten di semua beban kerja dengan manajemen kebijakan terpadu dan perlindungan ancaman yang komprehensif.

Tingkat kekritisan

Wajib ada

Pemetaan kontrol

NIST SP 800-53 Rev.5: SC-7, SC-7(5), AC-4, SI-4(4)
PCI-DSS v4: 1.2.1, 1.3.1, 1.4.1, 1.4.2
Kontrol CIS v8.1: 9.2, 9.3, 13.1
NIST CSF v2.0: PR. AC-05, PR. PT-04, DE. CM-01
ISO 27001:2022: A.8.20, A.8.22
SOC 2: CC6.1, CC6.6, CC7.2

NS-4: Menyebarkan sistem deteksi intrusi/sistem pencegahan intrusi (IDS/IPS)

Prinsip keamanan

Gunakan sistem deteksi intrusi jaringan dan pencegahan intrusi (IDS/IPS) untuk memeriksa lalu lintas jaringan dan payload ke dan dari beban kerja atau jaringan virtual Anda. Pastikan IDS/IPS selalu disetel untuk memberikan pemberitahuan berkualitas tinggi ke solusi SIEM Anda.

Catatan: Untuk kemampuan deteksi dan pencegahan tingkat host yang lebih mendalam, gunakan IDS/IPS berbasis host atau solusi deteksi dan respons titik akhir berbasis host (EDR) bersama dengan IDS/IPS jaringan.

Risiko yang perlu diminimalkan

Adversaries mengeksploitasi kerentanan dalam protokol, aplikasi, dan trafik internal untuk melancarkan aktivitas berbahaya.

Eksploitasi protokol: Kerentanan dalam protokol seperti RDP (TCP 3389) atau HTTP/HTTPS (TCP 80/443) memungkinkan akses tidak sah atau penyusupan sistem melalui eksploitasi seperti serangan yang ditargetkan CVE.
Komunikasi perintah dan kontrol (C2): Server berbahaya membangun kontrol atas perangkat yang disusupi melalui kueri DNS atau panggilan balik berbasis IP, memfasilitasi eksploitasi persisten atau penyebaran malware.
Eksploitasi aplikasi: Serangan seperti injeksi SQL, scripting lintas situs (XSS), atau kelebihan muatan buffer menargetkan kerentanan aplikasi untuk mencuri data atau menjalankan kode sewenang-wenang.
Gerakan lateral: Lalu lintas internal yang anomali, seperti enumerasi SMB (TCP 445) atau penyalahgunaan tiket Kerberos (TCP 88), mengindikasikan bahwa penyerang berpindah dalam jaringan.
Eksfiltrasi data: Transfer data yang tidak sah terjadi melalui saluran terenkripsi (misalnya, HTTPS POST) atau keluar dalam jumlah besar, menggunakan penyembunyian untuk menghindari deteksi.

MITRE ATT&CK

Akses Awal (TA0001): penyusupan yang tidak sah melalui eksploitasi yang menargetkan kerentanan jaringan (misalnya, T1190 - Eksploitasi aplikasi Public-Facing).
Eksekusi (TA0002): eksekusi kode berbahaya dari eksploitasi kerentanan atau payload C2 (misalnya, T1059 - Penerjemah Perintah dan Skrip).
Perintah dan Kontrol (TA0011): komunikasi C2 malware dengan menggunakan kueri DNS atau panggilan balik berbasis IP (misalnya, T1071 - Protokol Lapisan Aplikasi).
Gerakan Lateral (TA0008): lalu lintas internal abnormal (misalnya, enumerasi SMB) mengindikasikan adanya aktivitas pivot (misalnya, T1021 - Layanan Jarak Jauh).
Eksfiltrasi (TA0010): transfer data yang tidak sah melalui saluran terenkripsi atau dikaburkan (misalnya, T1041 - Eksfiltrasi Melalui Saluran C2).

NS-4.1 Menyebarkan Azure Firewall Premium untuk IDPS

Sistem deteksi dan pencegahan intrusi memberikan identifikasi ancaman berbasis tanda tangan dengan mencocokkan pola lalu lintas jaringan terhadap tanda tangan serangan yang diketahui, memungkinkan pemblokiran upaya eksploitasi secara real time dan komunikasi berbahaya. Kemampuan IDPS Azure Firewall Premium menawarkan pustaka tanda tangan yang terus diperbarui yang mencakup kategori eksploitasi, malware, perintah dan kontrol, dan pengelabuan sambil mendukung mode khusus pemberitahuan dan pencegahan. Pemilihan dan penyetelan tanda tangan yang tepat memastikan deteksi keakuratan tinggi sekaligus meminimalkan positif palsu.

Menyebarkan dan mengonfigurasi IDPS melalui Azure Firewall Premium:

Menyebarkan Azure Firewall Premium: Sebarkan Azure Firewall Premium dengan Kebijakan Premium di VNet hub Anda untuk mengaktifkan kemampuan IDPS bersama fitur tingkat lanjut lainnya seperti inspeksi TLS dan pemfilteran URL.
Pilih aturan tanda tangan IDPS: Pilih aturan tanda tangan IDPS dari pustaka tanda tangan berdasarkan prioritas ancaman, dimulai dengan tanda tangan tingkat keparahan tinggi dalam kategori penting seperti "Malware," "Eksploitasi," dan "Pengelabuan" yang selaras dengan profil ancaman organisasi Anda dan toleransi risiko.
Mengonfigurasi mode IDPS: Atur mode IDPS ke Mode pemberitahuan awalnya untuk pengujian dan penyetelan untuk mengamati kecocokan tanda tangan tanpa memblokir lalu lintas, lalu transisi ke mode Pemberitahuan dan Tolak untuk lingkungan produksi untuk secara aktif mencegah ancaman yang terdeteksi sambil mempertahankan peringatan untuk pemantauan keamanan.
Menyempurnakan tanda tangan: Sesuaikan aturan tanda tangan individu berdasarkan pengalaman operasional, menonaktifkan atau menurunkan prioritas tanda tangan yang menghasilkan positif palsu yang berlebihan sambil memastikan tanda tangan berprioritas tinggi tetap aktif, mengoptimalkan rasio sinyal ke kebisingan untuk tim operasi keamanan.

Contoh implementasi

Organisasi perlu melindungi infrastruktur penting dari eksploitasi yang diketahui dan serangan nol hari sambil mempertahankan visibilitas ke dalam aktivitas ancaman tanpa mengganggu operasi bisnis yang sah.

Tantangan: Organisasi ini mengoperasikan aplikasi web multi-tingkat yang memproses transaksi keuangan tanpa deteksi ancaman berbasis tanda tangan di luar aturan firewall dasar. Tim keamanan tidak memiliki visibilitas ke dalam upaya eksploitasi yang menargetkan server aplikasi, tidak memiliki kemampuan untuk mendeteksi komunikasi perintah dan kontrol, dan mengalami pemberitahuan positif palsu dari solusi IDS generik yang membutuhkan penyetelan ekstensif.

Solution:

Azure Firewall Premium dengan IDPS: Menerapkan Azure Firewall Premium di VNet hub untuk mengaktifkan kemampuan IDPS bersama dengan inspeksi TLS dan pemfilteran URL, mengimplementasikan pendeteksian ancaman berbasis tanda tangan secara terpusat untuk semua lalu lintas pada VNet spoke.
Pilihan aturan tanda tangan:Tanda tangan IDPS dengan tingkat keparahan tinggi yang dipilih dari kategori penting termasuk Malware (Cobalt Strike, Metasploit, ransomware C2), Exploits (PaperCut CVE-2023-27350, Log4Shell, ProxyShell), Phishing (pemanenan kredensial), dan pola Command-and-Control.
Mode pemberitahuan dan penyetelan: IDPS dikonfigurasi dalam Mode Pemberitahuan selama pengujian awal untuk mengamati kecocokan tanda tangan agar lalu lintas tidak diblokir, menganalisis pemberitahuan untuk mengidentifikasi positif palsu dari alat DevOps yang sah dan panggilan API mitra, kemudian membuat pengecualian tanda tangan untuk skenario yang sudah diketahui baik sambil tetap menjaga tanda tangan CVE berprioritas tinggi aktif.
Transisi mode pencegahan: IDPS beralih ke mode Pemberitahuan dan Tolak untuk lingkungan produksi setelah validasi, secara aktif memblokir ancaman terdeteksi termasuk upaya eksploitasi PaperCut, serangan Log4Shell, dan komunikasi C2.
Integrasi Sentinel: Mengonfigurasi log diagnostik ke Log Analytics, membuat aturan analitik Sentinel yang mengaitkan deteksi IDPS dengan peristiwa autentikasi, dan menetapkan pembuatan insiden otomatis untuk pemberitahuan dengan tingkat keparahan tinggi.

Hasil: Upaya eksploitasi berhasil diblokir mencegah eksekusi kode jarak jauh. Eksploitasi kerentanan kritis dihilangkan sebelum kompromi terjadi. Tingkat hasil positif palsu menurun secara substansial sambil mempertahankan cakupan CVE yang komprehensif. Tim keamanan mencapai tinjauan peringatan yang cepat dan respons insiden, membangun visibilitas ancaman yang berkelanjutan dengan intelijen yang dapat ditindaklanjuti untuk pertahanan proaktif.

Tingkat kekritisan

Wajib ada

Pemetaan kontrol

NIST SP 800-53 Rev.5: SI-4, SI-4(4), SI-4(5), SC-7(5)
PCI-DSS v4: 11.4.1, 11.4.2, 1.4.1
Kontrol CIS v8.1: 13.2, 13.6, 13.7
NIST CSF v2.0: DE. CM-01, DE. CM-04, DE. CM-07
ISO 27001:2022: A.8.16, A.8.22, A.5.24
SOC 2: CC6.1, CC7.2

NS-5: Menyebarkan perlindungan DDOS

Azure Policy: Lihat Definisi kebijakan bawaan Azure: NS-5.

Prinsip keamanan

Sebarkan perlindungan DDoS di berbagai tingkatan untuk secara efektif mengurangi serangan yang menargetkan berbagai layanan dan protokol di lapisan jaringan dan aplikasi.

Risiko yang perlu diminimalkan

Pelaku ancaman menyerang jaringan, server, atau aplikasi menggunakan lalu lintas berbahaya yang luar biasa untuk menyebabkan gangguan layanan.

Serangan volumetrik (banjir jaringan): Penyerang membanjiri antarmuka jaringan dengan volume lalu lintas besar (misalnya, jutaan paket per detik) untuk menghabiskan bandwidth, kapasitas pemrosesan router, atau sumber daya penyeimbang beban, menyebabkan layanan tidak tersedia. Contohnya termasuk banjir UDP, banjir ICMP, atau serangan refleksi DNS yang diperkuat yang memanfaatkan protokol seperti NTP atau SSDP.
Serangan protokol (kelelahan status): Penyerang mengeksploitasi kerentanan protokol Lapisan 3/4 untuk menghabiskan sumber daya stateful, seperti tabel koneksi TCP atau status sesi firewall. Teknik umum termasuk banjir TCP SYN, yang membanjiri server dengan koneksi setengah terbuka, atau banjir ACK yang menargetkan perangkat stateful.
Serangan lapisan sumber daya (kelebihan beban aplikasi): Serangan terbatas pada Lapisan 7, seperti banjir HTTP GET/POST, yang menargetkan sumber daya aplikasi (misalnya, unit pemrosesan CPU, memori, atau koneksi database) untuk melumpuhkan server web atau API. Serangan ini bertujuan untuk menghabiskan sumber daya komputasi, menyebabkan lonjakan atau pemadaman latensi.
Serangan amplifikasi: Penyerang mengeksploitasi server yang salah dikonfigurasi (misalnya, server DNS, NTP, atau Plex Media pada UDP 32414) untuk memperkuat lalu lintas, mengirim kueri kecil yang menghasilkan respons besar yang diarahkan pada target, kapasitas jaringan yang luar biasa. Contohnya termasuk amplifikasi DNS atau serangan refleksi SSDP.

MITRE ATT&CK

Impact (TA0040): mengganggu ketersediaan layanan melalui banjir volumetrik (misalnya, UDP/ICMP) atau kelebihan sumber daya (misalnya, banjir HTTP) untuk menolak akses (misalnya, T1498 - Penolakan Layanan Jaringan).
Pengembangan Sumber Daya (TA0042): memanfaatkan sistem yang disusupi untuk serangan amplifikasi (misalnya, refleksi DNS/NTP) untuk menskalakan dampak serangan (misalnya, T1584 - Infrastruktur Kompromi).

NS-5.1 Menerapkan perlindungan DDOS di tingkat jaringan yang sesuai

Sebarkan perlindungan DDoS di lapisan jaringan dan aplikasi untuk bertahan dari serangan volumetrik dan khusus aplikasi. Azure menyediakan beberapa tingkat perlindungan: DDoS Network Protection untuk cakupan VNet yang komprehensif dengan dukungan respons cepat, DDoS IP Protection untuk perlindungan IP individual yang hemat biaya, dan perlindungan lapisan aplikasi melalui WAF. Konfigurasikan pemantauan dan pemberitahuan untuk memvalidasi efektivitas perlindungan dan memastikan ketahanan aplikasi selama serangan:

Sebarkan perlindungan DDoS lapisan jaringan: Pilih antara DDoS Network Protection untuk penyebaran beban kerja yang membutuhkan cakupan VNet yang komprehensif dan dukungan respons cepat untuk investigasi serangan dan analisis pasca-serangan, atau Perlindungan IP DDoS untuk perlindungan hemat biaya dari sejumlah IP terbatas tanpa dukungan respons yang cepat.
Sebarkan perlindungan DDoS lapisan aplikasi: Aktifkan perlindungan DDoS pada Azure Web Application Firewall (WAF), Application Gateway, atau Azure Front Door untuk melindungi dari serangan lapisan aplikasi (Lapisan 7).
Mengonfigurasi pemantauan dan pemberitahuan: Konfigurasikan pemberitahuan dan pantau metrik dan log dari layanan perlindungan DDoS dan aplikasi Anda untuk memastikan efektivitas perlindungan, ketahanan aplikasi, dan performa yang diinginkan selama dan setelah serangan.

Nota

Bahkan tanpa menggunakan layanan perlindungan DDoS di atas, Azure menawarkan perlindungan infrastruktur DDoS, perlindungan tingkat platform default di tingkat infrastruktur jaringan. Perlindungan ini disediakan secara gratis dan tidak memerlukan konfigurasi atau aktivasi apa pun.

Contoh implementasi

Organisasi e-niaga memerlukan perlindungan DDoS yang komprehensif untuk aplikasi yang dihadapi pelanggan yang mengalami peningkatan upaya serangan volumetrik dan lapisan aplikasi selama musim belanja puncak.

Tantangan: Organisasi ini mengoperasikan platform e-niaga global dengan aplikasi web, API, dan infrastruktur pengiriman konten yang menghadap publik yang terekspos ke internet. Selama peristiwa puncak, platform mengalami beberapa serangan DDoS termasuk banjir UDP, banjir TCP SYN yang membanjiri tabel koneksi load balancer hingga kelelahan, banjir HTTP yang menargetkan API checkout, dan serangan amplifikasi DNS. Tanpa perlindungan DDoS khusus, serangan ini menyebabkan pemadaman layanan, mengakibatkan hilangnya pendapatan dan ketidakpuasan pelanggan.

Solution:

Perlindungan Jaringan DDoS: Mengaktifkan Azure DDoS Network Protection pada jaringan virtual produksi yang menghosting aplikasi yang menghadap pelanggan, memberikan perlindungan tingkat VNet yang komprehensif dengan penyetelan adaptif, deteksi serangan otomatis di Layers 3 dan 4, dan mitigasi real time.
Perlindungan lapisan aplikasi: Menyebarkan Azure Application Gateway dengan WAF untuk aplikasi regional dan Azure Front Door dengan WAF untuk pengiriman tepi global, memungkinkan perlindungan DDoS Lapisan 7 dengan pembatasan laju, deteksi banjir HTTP, dan aturan perlindungan bot.
Konfigurasi kebijakan perlindungan:Membuat rencana perlindungan DDoS yang mengaitkan semua VNet produksi, mengonfigurasi pola lalu lintas dasar pembelajaran penyetelan adaptif, mengaktifkan pemantauan lalu lintas yang selalu aktif, dan kebijakan perlindungan yang ditentukan yang mencakup banjir UDP, banjir TCP SYN, banjir ICMP, dan serangan protokol.
Pemantauan dan pemberitahuan: Mengonfigurasi log diagnostik DDoS yang mengirim telemetri serangan ke ruang kerja Log Analytics, membuat pemberitahuan Azure Monitor yang memicu pemberitahuan langsung saat serangan terdeteksi, membuat buku kerja Sentinel yang menghubungkan serangan DDoS dengan metrik performa aplikasi, dan mengonfigurasi kesehatan aplikasi pemantauan Application Insights selama mitigasi.
Keterlibatan Respons Cepat:DDoS Rapid Response yang diaktifkan menyediakan akses langsung ke pakar perlindungan DDoS selama serangan aktif untuk analisis serangan real time, pengembangan strategi mitigasi kustom, dan forensik pasca-serangan.

Hasil: Serangan DDoS selama musim belanja puncak berhasil dimitigasi dengan gangguan layanan nol. Banjir volumetrik, banjir SYN, dan banjir HTTP secara otomatis diblokir, menjaga ketersediaan platform. Respons Cepat memberikan analisis ahli untuk serangan canggih. Periode belanja penting mempertahankan tingkat ketersediaan tinggi tanpa latensi transaksi pelanggan selama mitigasi.

Tingkat kekritisan

Wajib ada

Pemetaan kontrol

NIST SP 800-53 Rev.5: SC-5, SC-5(1), SC-5(2), SI-4(4)
PCI-DSS v4: 6.4.2, 11.4.7
Kontrol CIS v8.1: 13.3
NIST CSF v2.0: PR. PT-05, DE. CM-01
ISO 27001:2022: A.8.13, A.8.24
SOC 2: CC6.1, CC7.2

NS-6: Menyebarkan firewall aplikasi web

Azure Policy: Lihat Definisi kebijakan bawaan Azure: NS-6.

Prinsip keamanan

Sebarkan firewall aplikasi web (WAF) dan konfigurasikan aturan untuk melindungi aplikasi web dan API dari serangan khusus aplikasi dengan memeriksa, mendeteksi, dan memfilter lalu lintas HTTP/HTTPS berbahaya.

Risiko yang perlu diminimalkan

Penyerang mengeksploitasi kerentanan aplikasi web untuk mendapatkan akses yang tidak sah, menjalankan kode berbahaya, mencuri kredensial, atau menyelundupkan data.

Serangan injeksi (misalnya, injeksi SQL, injeksi perintah): Penyerang mengeksploitasi kerentanan validasi input untuk menyuntikkan kode berbahaya ke dalam kueri atau perintah aplikasi web, memungkinkan akses database yang tidak sah, penyelundupan data, atau penyusupan sistem. Injeksi SQL (SQLi) memanipulasi kueri backend (misalnya, dengan menambahkan ' OR '1'='1 ke formulir login), sementara injeksi perintah (command injection) mengeksekusi perintah sistem operasi secara arbitrer (misalnya, ; rm -rf / melalui kolom formulir).
Pelanggaran protokol HTTP dan permintaan cacat: Penyerang mengirim permintaan HTTP cacat (misalnya, header yang tidak valid, payload besar, atau metode non-standar seperti TRACE) untuk mengeksploitasi kerentanan di server web atau aplikasi, berpotensi menyebabkan crash atau akses yang tidak sah. Serangan ini menargetkan server yang salah dikonfigurasi atau kerangka kerja yang tidak dipaketkan.
Serangan berbasis bot (misalnya, stuffing kredensial, pengikisan): Bot otomatis meluncurkan serangan stuffing kredensial (misalnya, melakukan brute-force pada titik akhir masuk dengan kredensial yang dicuri) atau melakukan pengikisan konten sensitif (misalnya, data harga), membebani server atau membahayakan akun pengguna. Serangan ini mengeksploitasi autentikasi yang lemah atau API yang tidak terlindungi.
Eksploitasi khusus aplikasi (misalnya, Penyertaan file jarak jauh, penyertaan file lokal): Penyerang mengeksploitasi kerentanan untuk menyertakan file berbahaya (misalnya, termasuk 'http://evil.com/shell.php') atau mengakses file server lokal (misalnya, .. /.. /etc/passwd) melalui parameter URL atau input formulir yang dimanipulasi, memungkinkan eksekusi kode atau paparan data.

MITRE ATT&CK

Akses Awal (TA0001): Mengeksploitasi injeksi SQL, XSS, atau penyertaan file jarak jauh untuk mendapatkan entri (misalnya, T1190 - Eksploitasi aplikasi Public-Facing).
Eksekusi (TA0002): Menjalankan kode berbahaya melalui injeksi perintah, RFI, atau XSS (misalnya, T1059 - Penerjemah Perintah dan Skrip).
Akses Kredensial (TA0006): Mencuri kredensial melalui XSS atau pengisian kredensial (misalnya, T1539 - Mencuri Cookie Sesi Web, T1110 - Brute Force).
Koleksi (TA0009): Mengumpulkan data melalui injeksi atau pengikisan SQL (misalnya, T1213 - Data dari Repositori Informasi).

NS-6.1 Mengonfigurasi Azure WAF dengan aturan yang sesuai

Aktifkan kemampuan firewall aplikasi web (WAF) di Azure Application Gateway, Azure Front Door, atau Azure Content Delivery Network (CDN) untuk melindungi aplikasi dan API dari serangan berbasis web. Pilih layanan yang sesuai berdasarkan persyaratan aplikasi, konfigurasikan kebijakan WAF dengan aturan bawaan dan kustom, atur mode kebijakan berdasarkan postur keamanan, dan kaitkan kebijakan dengan titik akhir layanan:

Pilih layanan WAF yang sesuai: Pilih Azure Application Gateway untuk aplikasi yang dihosting VNet, Azure Front Door untuk pengiriman tepi global, atau Azure CDN untuk beban kerja yang berat konten berdasarkan persyaratan dan arsitektur aplikasi.
Mengonfigurasi kebijakan WAF dengan aturan bawaan dan kustom: Mulailah dengan aturan bawaan umum seperti aturan OWASP Core Rule Set (CRS 3.2) dan bot protection (Microsoft Bot Manager). Tambahkan aturan kustom (misalnya, pembatasan tarif untuk >100 permintaan/menit) dan pengecualian untuk mengurangi positif palsu berdasarkan lanskap ancaman dan profil keamanan aplikasi.
Atur mode kebijakan WAF: Gunakan mode deteksi awalnya atau untuk aplikasi non-kritis untuk menghindari mengganggu lalu lintas yang sah selama penyiapan dan pengoptimalan aturan. Beralih ke mode pencegahan untuk aplikasi penting setelah aturan divalidasi untuk memblokir permintaan berbahaya.
Kaitkan kebijakan WAF dengan titik akhir layanan: Kaitkan kebijakan WAF dengan Application Gateway, Front Door, atau titik akhir CDN untuk memastikan semua lalu lintas HTTP/HTTPS dirutekan melalui WAF untuk diperiksa.

Contoh implementasi

Organisasi perlu melindungi aplikasi web dan API yang menghadap pelanggan dari injeksi SQL, serangan XSS, dan pengisian kredensial berbasis bot sambil mempertahankan performa untuk pengguna yang sah.

Tantangan: Organisasi memiliki aplikasi web yang disebarkan secara global tanpa perlindungan terhadap kerentanan OWASP Top 10, yang mengakibatkan beberapa upaya injeksi SQL, serangan berbasis bot yang membanjiri titik akhir masuk, dan tidak ada visibilitas ke dalam pola lalu lintas berbahaya. Aplikasi tidak memiliki kontrol pembatasan tarif, memungkinkan penyalahgunaan API dan serangan pengisian kredensial, dan tidak ada mekanisme untuk membedakan pengguna yang sah dari bot berbahaya.

Pendekatan solusi:

Pemilihan layanan WAF: Menyebarkan Azure Application Gateway dengan WAF untuk aplikasi yang dihosting VNet dan Azure Front Door dengan WAF untuk aplikasi yang didistribusikan secara global yang memerlukan perlindungan tepi dan akses latensi rendah.
Aturan perlindungan bawaan: Mengaktifkan OWASP Core Rule Set (CRS) 3.2 untuk melindungi dari injeksi SQL, pembuatan skrip lintas situs (XSS), penyertaan file jarak jauh, dan kerentanan web umum lainnya, dan aturan Microsoft Bot Manager yang diaktifkan untuk mengidentifikasi dan memblokir bot berbahaya sekaligus memungkinkan perayap dan layanan pemantauan mesin pencari yang sah.
Aturan kustom untuk ancaman tertentu: Menerapkan aturan pembatasan tarif yang memblokir klien yang melebihi 100 permintaan per menit untuk mencegah penyalahgunaan API dan pengisian kredensial, aturan pemfilteran geografis memblokir lalu lintas dari wilayah berisiko tinggi di mana layanan tidak tersedia, dan aturan berbasis reputasi IP memblokir permintaan dari rentang IP berbahaya yang diketahui yang diidentifikasi melalui umpan inteligensi ancaman.
Manajemen pengecualian: Membuat pengecualian yang ditargetkan untuk skenario bisnis yang sah seperti titik akhir /checkout dengan input formulir kompleks yang memicu positif palsu pada aturan OWASP, titik akhir /upload yang menangani pengunggahan file besar, dan titik akhir /api dengan pola header yang tidak biasa tetapi valid dari aplikasi seluler.
Transisi dari deteksi ke pencegahan: Memulai WAF dalam mode deteksi selama dua minggu untuk mengidentifikasi positif palsu, memperhalus aturan dan pengecualian berdasarkan pola lalu lintas yang sah, kemudian beralih ke mode pencegahan untuk aplikasi produksi guna memblokir ancaman secara aktif sambil mempertahankan kelangsungan bisnis.

Hasil: Organisasi menghilangkan injeksi SQL dan upaya eksploitasi XSS, mengurangi serangan berbasis bot secara substansial melalui aturan manajer bot, dan menetapkan visibilitas komprehensif ke dalam ancaman aplikasi web. Kontrol pembatasan laju mencegah penyalahgunaan API dan pengisian kredensial, sementara transisi bertahap dari deteksi ke mode pencegahan memastikan pengguna yang sah tidak mengalami gangguan layanan.

Tingkat kekritisan

Wajib ada

Pemetaan kontrol

NIST SP 800-53 Rev.5: SC-7, SC-7(5), SI-10, SI-10(1), SI-11
PCI-DSS v4: 6.4.1, 6.4.2, 11.4.7
Kontrol CIS v8.1: 13.2, 13.9
NIST CSF v2.0: PR. AC-05, PR. PT-05, DE. CM-04
ISO 27001:2022: A.8.20, A.8.22, A.8.25
SOC 2: CC6.1, CC6.6, CC7.2

NS-7: Mengelola keamanan jaringan secara terpusat dan efektif

Prinsip keamanan

Untuk mengurangi risiko operasional dan kesalahan konfigurasi di lingkungan jaringan yang kompleks dan terfragmentasi, gunakan fitur manajemen jaringan asli cloud untuk memusatkan, menyederhanakan, dan menerapkan konfigurasi keamanan jaringan yang konsisten.

Risiko yang perlu diminimalkan

Kurangnya kontrol terpusat menghasilkan pengaturan keamanan yang diabaikan atau kedaluwarsa, meningkatkan risiko eksploitasi.

Penegakan kebijakan yang tidak konsisten dan kesalahan konfigurasi: Manajemen terdesentralisasi sering menyebabkan seperangkat aturan terfragmentasi dan kesenjangan kebijakan, sehingga memudahkan penyerang untuk menemukan dan mengeksploitasi titik lemah. Kesalahan konfigurasi kemungkinan besar, meningkatkan kemungkinan paparan yang tidak disengaja atau akses yang tidak diinginkan.
Mengurangi visibilitas dan respons tertunda: Tanpa pendekatan manajemen terpadu, pemantauan dan respons insiden menjadi lebih lambat dan kurang efektif. Ini dapat menunda deteksi aktivitas berbahaya, memungkinkan penyerang lebih banyak waktu untuk meningkatkan serangan atau mengekstrak data.
Kesulitan mempertahankan kepatuhan: Manajemen pusat yang tidak memadai mempersulit upaya untuk secara konsisten memenuhi standar peraturan dan industri, mempertaruhkan ketidakpatuhan dan potensi penalti.

MITRE ATT&CK

Akses Awal (TA0001): Eksploitasi kesalahan konfigurasi atau pengaturan keamanan yang kedaluwarsa untuk mendapatkan akses yang tidak sah (misalnya, T1190 - Eksploitasi Aplikasi Public-Facing, T1133 - Layanan Jarak Jauh Eksternal).
Penghancutan Pertahanan (TA0005): Memanfaatkan seperangkat aturan terfragmentasi dan kurangnya pemantauan terpusat untuk menghindari deteksi (misalnya, T1562 - Pertahanan Gangguan).
Gerakan Lateral (TA0008): Bergerak lateral melalui jaringan dengan mengeksploitasi kesenjangan kebijakan atau segmentasi yang kedaluwarsa (misalnya, T1021 - Layanan Jarak Jauh).
Perintah dan Kontrol (TA0011): Menggunakan jalur jaringan yang tidak dimonitor atau salah dikonfigurasi untuk membuat dan memelihara saluran C2 (misalnya, T1071 - Protokol Lapisan Aplikasi).

NS-7.1 Mengelola keamanan jaringan secara terpusat dan efektif

Gunakan alat terpusat Azure dan praktik standar untuk menyederhanakan dan menskalakan manajemen keamanan jaringan, memastikan penegakan yang konsisten, mengurangi kesalahan konfigurasi, dan meningkatkan pemantauan. Terapkan penegakan kebijakan terpusat, standarisasi firewall dan manajemen perutean, aktifkan pemantauan dan analitik yang komprehensif, dan pertahankan konsistensi sumber daya melalui praktik tata kelola:

Menerapkan penegakan kebijakan terpusat: Gunakan Azure Virtual Network Manager (AVNM) untuk menentukan Aturan Admin Keamanan yang berlaku secara konsisten di seluruh langganan dan wilayah. Pertahankan NSG untuk segmentasi mikro tingkat beban kerja. Terapkan kebijakan melalui grup jaringan (misalnya, menurut lingkungan: produksi, non-produksi).
Standarisasi firewall dan manajemen perutean: Mengelola aturan Azure Firewall melalui Firewall Manager dengan objek Kebijakan Firewall. Standarisasi pada Grup IP dan Tag Layanan alih-alih IP mentah. Gunakan Azure Firewall Premium di mana inspeksi TLS, IDPS, dan pemfilteran URL diperlukan. Prefer hub keamanan Virtual WAN atau topologi hub-dan-spoke bersama untuk menerapkan intent routing secara konsisten.
Aktifkan pemantauan dan analitik yang komprehensif: Gunakan log alur jaringan virtual v2 (untuk menggantikan log alur NSG). Aktifkan log diagnostik Azure Firewall dan integrasikan dengan Analitik Lalu Lintas, Analitik Log, dan Microsoft Sentinel. Gunakan Analitika Kebijakan Firewall dan jumlah pemakaian aturan untuk menghilangkan aturan yang tidak digunakan atau duplikat.
Pertahankan konsistensi dan tata kelola sumber daya: Terapkan konvensi penamaan CAF dan tag sumber daya wajib ke semua VNet, NSG, aturan firewall, dan grup. Gunakan Adaptive Network Hardening dari Defender for Cloud untuk menyempurnakan aturan yang terlalu permisif.

Contoh implementasi

Kasus penggunaan: Platform pembayaran multi-wilayah mengonsolidasikan keamanan jaringan dalam skala besar

Konteks: Prosesor pembayaran ukuran menengah yang beroperasi di US Timur dan Eropa Barat dengan 4 langganan (Prod, Non-Prod, Shared Services, SecOps) di bawah satu penyewa membutuhkan PCI-DSS segmentasi, lebih sedikit insiden dari penyimpangan aturan, dan pemantauan terpusat.

Penegakan kebijakan terpusat dengan Azure Virtual Network Manager:

Desain: Buat AVNM di tingkat grup manajemen. Tentukan dua Grup Jaringan: ng-prod dan ng-nonprod dengan keanggotaan dinamis menurut tag subscriptionId. Aturan Security Admin Rules (SAR) untuk memberlakukan pembatasan organisasi yang dievaluasi sebelum Network Security Groups (NSG): Deny-Inbound-Internet-to-Spokes (memblokir koneksi masuk yang tidak diminta dari Internet ke seluruh subnet spoke), Allow-Hub-Infra (mengizinkan layanan hub - Firewall/Bastion - ke subnet spoke), Allow-Platform-DNS (mengizinkan DNS dari resolver DNS hub ke spoke).
Batas tim aplikasi: Beban kerja mempertahankan NSG untuk segmentasi mikro (misalnya, web ke api :443, api ke db :1433) di dalam setiap 'spoke'. Perubahan NSG dimiliki oleh tim aplikasi; SAR dimiliki oleh tim keamanan platform.
Hasil: Pagar pembatas konsisten di kedua wilayah; tim aplikasi tidak dapat secara tidak sengaja membuat akses internet langsung meskipun NSG salah dikonfigurasi.

Firewall dan pengelolaan perutean dengan Firewall Manager dan Virtual WAN:

Desain: Sebarkan hub aman Virtual WAN di setiap wilayah (US Timur, Eropa Barat). Lampirkan spoke ke hub terdekat dan aktifkan niat perutean sehingga semua jalan keluar Internet diperiksa. Gunakan Firewall Manager dengan Kebijakan Firewall global (Tingkat: Premium) dan dua kebijakan turunan (Prod/Non-Prod) untuk penggantian lingkungan.
Struktur kebijakan: Kebijakan dasar (global) mencakup Intelegensi Ancaman yang disetel ke Pemberitahuan + Tolak, inspeksi TLS diaktifkan untuk lalu lintas HTTPS keluar, IDPS dalam mode seimbang, dan aturan keluaran yang diizinkan menggunakan Tag Layanan (Penyimpanan, KeyVault, AzureMonitor) dan Grup IP untuk titik akhir mitra. Kebijakan anak Prod memiliki pemfilteran URL yang lebih ketat (memblokir URL yang tidak terklasifikasi) dan daftar putih untuk gateway pembayaran melalui Grup IP. Kebijakan anak Non-Prod memiliki akses yang lebih luas ke alat pengembangan melalui Tag Layanan (AzureDevOps, AzureContainerRegistry).
Hasil: Panel tunggal untuk mengelola aturan dengan perubahan yang disebarkan ke kedua hub. Rute konsisten, dan semua lalu lintas keluar diperiksa dengan dekripsi TLS di mana diizinkan.

Pemantauan dan analitik dengan Flow Logs v2 dan Sentinel:

Penyiapan telemetri: Aktifkan Log Alur Jaringan Virtual v2 di semua VNet dan kirim ke ruang kerja Analitik Log pusat di langganan SecOps. Konfigurasikan log diagnostik Azure Firewall (Aplikasi, Jaringan, DNS, ThreatIntel, IDPS) ke ruang kerja yang sama. Aktifkan Analisis Lalu Lintas untuk ruang kerja.
Perulangan pengoptimalan: Aktifkan Analitik Kebijakan Firewall dan tinjau jumlah hit aturan setiap bulan. Buat buku kerja Sentinel yang menghubungkan catatan aliran (utara-selatan dan timur-barat), pukulan izin/tolak firewall, dan tanda tangan IDPS yang terpicu. Mengotomatiskan permintaan perubahan jika aturan memiliki 0 temuan selama 45 hari (kandidat untuk penghapusan) atau jika aturan tolak terkena subnet produksi (kemungkinan kesalahan rute).
Hasil: Setelah dua siklus tinjauan, 18% aturan firewall dan 22 aturan NSG kedaluarsa dihapus, mengurangi latensi evaluasi aturan dan mengubah risiko.

Konsistensi dan tata kelola sumber daya dengan CAF dan Defender for Cloud:

Standar: Terapkan penamaan CAF (misalnya, vnet-prd-eus-01, nsg-prd-eus-web-01, azfw-policy-global-01) dan tag wajib: env, owner, dataClass, costCenter.
Penegakan: Gunakan inisiatif Azure Policy untuk mewajibkan penerapan NSG pada setiap subnet, mewajibkan pengaturan diagnostik pada VNet dan Firewall menuju ruang kerja LA terpusat, dan menolak pembuatan tanpa tag wajib. Aktifkan Defender for Cloud - Hardening Jaringan Adaptif pada semua spoke dengan item tindakan mingguan yang ditinjau di SecOps CAB.
Hasil: Penyimpangan platform muncul dengan cepat; Aturan yang terlalu permisif diperketat menggunakan rekomendasi berbasis data Defender.

Urutan peluncuran dan kriteria penerimaan:

Berdirikan hub-hub aman vWAN, lampirkan spoke-spoke, aktifkan intent rute (hanya untuk spoke-spoke pilot). Kriteria penerimaan: Pilot spoke keluar melalui firewall; tidak ada IP publik yang dapat dijangkau secara langsung.
Sebarkan SAR AVNM ke ng-nonprod, pastikan tidak ada kerusakan, lalu ke ng-prod. Kriteria penerimaan: Pengetesan sintetis mengonfirmasi layanan hub (DNS/Bastion) masih mencapai tujuan; penolakan terhadap akses Internet masuk tetap berlaku.
Aktifkan Log Alur vNet v2 dan semua diagnostik firewall; tambahkan buku kerja Sentinel. Kriteria penerimaan: Dasbor menunjukkan alur, penolakan, hit IDPS per wilayah.
Menerapkan inisiatif Kebijakan; mengatasi item yang tidak sesuai; aktifkan fitur Adaptive Hardening. Kriteria penerimaan: Kepatuhan mencapai 95%, pembuatan daftar tugas terkait pengetatan NSG/firewall.
Tinjauan Analitik Kebijakan Pertama; hapus aturan yang tidak digunakan melalui jendela perubahan. Kriteria penerimaan: Jumlah aturan berkurang 15% tanpa dampak pada pelanggan.

Contoh buku panduan operasional:

SAR Azure Virtual Network Manager: Tolak Internet Masuk ke Spokes (Prioritas 100), Izinkan Infrastruktur Hub ke Spokes (Prioritas 200: rentang hub src 10.0.0.0/16)
< c0>Struktur Kebijakan Firewall: azfw-policy-global-01 (Premium) dengan kumpulan aturan Allow-Azure-Platform-ST (Service Tags) dan Allow-Partners-IPs (Kelompok IP: ipg-payment-gws), serta kebijakan anak azfw-policy-prd-01 dan azfw-policy-npd-01
Diagnostik: Tujuan: law-secops-01, Kategori: AZFWApplicationRule, AZFWNetworkRule, AZFWIDPS, AZFWThreatIntel, AZFWDnsProxy, FlowLogV2

Tingkat kekritisan

Wajib ada

Pemetaan kontrol

NIST SP 800-53 Rev.5: CM-2, CM-3, CM-6, CA-7, SI-4
PCI-DSS v4: 1.4.5, 11.5.1, 12.4.1
Kontrol CIS v8.1: 4.1, 4.2, 12.4, 13.6
NIST CSF v2.0: PR.IP-01, DE.CM-01, DE.CM-07
ISO 27001:2022: A.8.9, A.8.32, A.5.37
SOC 2: CC6.6, CC7.2, CC8.1

NS-8: Mendeteksi dan menonaktifkan layanan dan protokol yang tidak aman

Azure Policy: Lihat Definisi kebijakan bawaan Azure: NS-8.

Prinsip keamanan

Temukan dan nonaktifkan layanan dan protokol yang tidak aman di lapisan paket OS, aplikasi, atau perangkat lunak. Menyebarkan kontrol kompensasi jika menonaktifkan layanan dan protokol yang tidak aman tidak dimungkinkan.

Risiko yang perlu diminimalkan

Pelaku ancaman mengeksploitasi layanan dan protokol yang tidak aman dan rentan untuk membahayakan sistem dan data.

Eksploitasi Kelemahan Kriptografi: SSL/TLSv1 dan sandi yang lemah (misalnya, RC4, DES) rentan terhadap serangan MITM (misalnya, POODLE, BEAST), memungkinkan musuh untuk mendekripsi data sensitif seperti token sesi melalui oracle padding atau serangan ciphertext yang dipilih.
Akses Tidak Sah melalui Eksploitasi Protokol: Kerentanan SSHv1 dan SMBv1 (misalnya, CVE-2001-1473, CVE-2017-0144/EternalBlue) memungkinkan eksekusi kode jarak jauh atau akses yang tidak diautentikasi, memungkinkan pijakan awal.
Pencurian Kredensial: LM/NTLMv1 dan wDigest menyimpan hash yang lemah atau kredensial dalam bentuk teks biasa, rentan terhadap serangan pass-the-hash atau pengikisan memori (misalnya, Mimikatz mengekstrak data dari LSASS).
Gerakan Lateral: Sesi dan eksploitasi SMBv1 yang tidak terenkripsi (misalnya, EternalBlue) memungkinkan penyebaran malware atau relai kredensial di seluruh jaringan.

MITRE ATT&CK

Akses Awal (TA0001): Eksploitasi protokol yang tidak aman seperti SSL/TLSv1 atau SSHv1, yang rentan terhadap serangan penurunan protokol atau eksploitasi yang sudah diketahui, memblokir entri yang tidak sah (misalnya, T1190 - Eksploitasi aplikasi yang menghadap publik).
Akses Kredensial (TA0006): Pencurian kredensial dengan mengeksploitasi LM/NTLMv1 dan wDigest, yang menyimpan kredensial dalam format yang dapat dibalik atau hash yang lemah, menghalangi metode serangan seperti pass-the-hash atau pengikisan memori (misalnya, T1003 - OS Credential Dumping).
Gerakan Lateral (TA0008): Menghambat penyerang yang melakukan pivot SMBv1 yang rentan terhadap eksploitasi seperti EternalBlue, mencegah penyebaran di seluruh jaringan (misalnya, T1021 - Layanan Jarak Jauh).

NS-8.1 Mendeteksi dan menonaktifkan layanan dan protokol yang tidak aman

Gunakan Buku Kerja Protokol Tidak Aman bawaan Microsoft Sentinel untuk menemukan dan mengurangi layanan dan protokol yang tidak aman di seluruh lingkungan Azure Anda. Buku kerja ini mengidentifikasi penggunaan protokol dan layanan yang tidak memenuhi standar keamanan yang sesuai, seperti SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, cipher lemah di Kerberos, dan pengikatan LDAP yang tidak ditandatangani. Setelah identifikasi, nonaktifkan protokol dan layanan yang tidak aman ini. Jika menonaktifkan tidak memungkinkan, terapkan kontrol kompensasi untuk mengurangi permukaan serangan.

Temukan protokol yang tidak aman: Gunakan Buku Kerja Protokol Tidak Aman Microsoft Sentinel untuk mengidentifikasi penggunaan cipher SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, cipher Kerberos yang lemah, dan pengikatan LDAP yang tidak ditandatangani di seluruh lingkungan Anda.

Nonaktifkan layanan dan protokol yang tidak aman: Nonaktifkan layanan dan protokol tidak aman yang diidentifikasi yang tidak memenuhi standar keamanan yang sesuai untuk menghilangkan kerentanan.

Menerapkan kontrol kompensasi: Jika menonaktifkan layanan atau protokol yang tidak aman tidak dimungkinkan karena persyaratan bisnis atau batasan teknis, gunakan kontrol kompensasi seperti memblokir akses ke sumber daya melalui grup keamanan jaringan, Azure Firewall, atau Azure Web Application Firewall untuk mengurangi permukaan serangan.

Contoh implementasi

Organisasi layanan kesehatan perlu menghilangkan protokol yang tidak aman di seluruh lingkungan Azure mereka untuk memenuhi persyaratan kepatuhan HIPAA dan mengurangi permukaan serangan untuk informasi kesehatan yang dilindungi.

Tantangan: Organisasi ini mengoperasikan infrastruktur hibrid dengan aplikasi warisan yang membutuhkan konektivitas ke sumber daya yang dihosting Azure. Penilaian keamanan mengungkapkan penggunaan protokol yang tidak aman secara luas termasuk SSL/TLSv1.0 di server web yang melayani portal pasien, SMBv1 diaktifkan pada server file untuk perangkat lunak pencitraan medis warisan, autentikasi LM/NTLMv1 pada pengontrol domain dan server aplikasi, autentikasi wDigest menyimpan kredensial dalam format yang dapat dibalik, ikatan LDAP yang tidak ditandatangani pada pengontrol Direktori Aktif, dan enkripsi Kerberos yang lemah pada akun layanan. Organisasi tidak memiliki visibilitas ke dalam penggunaan protokol dan menghadapi potensi pelanggaran kepatuhan HIPAA.

Solution:

Penyebaran Buku Kerja Protokol Tidak Aman Sentinel: Menyebarkan Microsoft Sentinel dan menginstal Buku Kerja Protokol Tidak Aman dari hub konten, sumber data yang terhubung termasuk log Peristiwa Keamanan Windows, log Azure Monitor, log Direktori Aktif, dan log alur jaringan, menetapkan garis besar komprehensif penggunaan protokol yang tidak aman di seluruh lingkungan hibrid.
Penemuan protokol: Menggunakan Buku Kerja Protokol Tidak Aman untuk mengidentifikasi penggunaan SSL/TLSv1.0 di server web, lalu lintas SMBv1 dari stasiun kerja pencitraan medis warisan, pola autentikasi LM/NTLMv1, wDigest diaktifkan di server Windows, pengikatan LDAP yang tidak ditandatangani dari aplikasi warisan, dan enkripsi RC4 Kerberos yang lemah pada akun layanan.
Penonaktifan protokol sistematis: Membuat rencana remediasi bertahap yang divalidasi melalui dewan penasihat perubahan, menonaktifkan TLSv1.0/1.1 di server web setelah mengonfirmasi pengguna portal pasien mengoperasikan browser modern yang mendukung TLS 1.2+, menonaktifkan SMBv1 setelah berkoordinasi dengan peningkatan perangkat lunak vendor pencitraan medis, mentransisikan pengontrol domain dari NTLMv1 ke NTLMv2, menonaktifkan wDigest melalui Kebijakan Grup, memberlakukan penandatanganan LDAP pada pengontrol domain, dan meningkatkan enkripsi Kerberos akun layanan ke AES256.
Kontrol kompensasi untuk pengecualian: Menerapkan kontrol kompensasi berbasis jaringan untuk sistem yang memerlukan dukungan protokol sementara yang tidak aman termasuk VLAN terisolasi untuk stasiun kerja pencitraan medis lama yang memerlukan SMBv1, aturan NSG yang secara eksklusif membatasi lalu lintas SMBv1 ke VLAN terisolasi, Azure Firewall menolak lalu lintas keluar SMBv1 dari subnet produksi, jump host yang didedikasikan untuk aplikasi SDM lama, dan pemantauan melalui Defender for Endpoint yang menandai penggunaan protokol di luar subnet pengecualian yang disetujui.
Pemantauan berkelanjutan: Ditetapkan kehigienisan protokol yang berkelanjutan melalui aturan analitik Microsoft Sentinel yang memicu pemberitahuan untuk koneksi protokol baru yang tidak aman di luar pengecualian yang disetujui, kebijakan Azure menolak penyebaran tanpa persyaratan minimum TLS 1.2, dan meninjau kemajuan remediasi melalui buku kerja mingguan Protokol Tidak Aman.

Hasil: Koneksi TLS yang lemah dihilangkan dari portal pasien. SMBv1 dinonaktifkan setelah peningkatan sistem pencitraan medis, menghilangkan kerentanan EternalBlue dan mencapai kepatuhan terhadap HIPAA. NTLMv1 beralih ke NTLMv2, mencegah serangan pass-the-hash. wDigest menonaktifkan pencurian kredensial yang dimitigasi. Penandatanganan LDAP memblokir kueri yang tidak ditandatangani. Kerberos ditingkatkan ke AES256, mengurangi risiko Kerberoasting. Kontrol kompensasi mengandung sistem legacy tanpa pergerakan lateral. Kepatuhan HIPAA penuh tercapai.

Tingkat kekritisan

Wajib ada

Pemetaan kontrol

NIST SP 800-53 Rev.5: SC-8, SC-8(1), SC-13, IA-5(1)
PCI-DSS v4: 2.2.4, 4.2.1, 6.2.4
Kontrol CIS v8.1: 4.8, 9.3, 13.4
NIST CSF v2.0: PR. DS-02, PR. IP-01, DE. CM-04
ISO 27001:2022: A.8.24, A.8.26, A.5.14
SOC 2: CC6.1, CC6.7, CC7.1

NS-9: Menyambungkan jaringan lokal atau cloud secara privat

Prinsip keamanan

Gunakan koneksi privat untuk komunikasi yang aman antara jaringan yang berbeda, seperti pusat data penyedia layanan cloud dan infrastruktur lokal di lingkungan kolokasi.

Risiko yang perlu diminimalkan

Ketika data melakukan perjalanan melalui jaringan publik, rentan terhadap penyadapan, akses tidak sah, dan perusakan.

Penyadapan data: Ketika data berjalan melalui jaringan publik seperti internet, data melewati beberapa router, sakelar, dan penyedia layanan, yang salah satunya dapat disusupi atau dipantau oleh aktor jahat. Penyerang dapat menyebarkan alat sniffing paket (misalnya, Wireshark) untuk mengambil paket data. Jika data tidak terenkripsi atau dienkripsi dengan lemah, informasi sensitif - seperti info masuk masuk, detail keuangan, atau data bisnis eksklusif - dapat diekspos.
Serangan Man-in-the-Middle (MitM): Dalam serangan MitM, penyerang diam-diam mencegat dan berpotensi mengubah komunikasi antara dua pihak yang percaya mereka langsung berkomunikasi satu sama lain. Ini menimbulkan ancaman parah terhadap operasi sensitif seperti transaksi keuangan atau proses autentikasi.
Akses tidak sah: Jaringan publik atau yang tidak diamankan secara memadai meningkatkan kemungkinan pengguna yang tidak sah mendapatkan akses atau mengubah sistem atau sumber daya privat. Penyerang dapat mengeksploitasi kelemahan jaringan untuk mencapai infrastruktur internal yang seharusnya tetap tidak dapat diakses dari luar.

MITRE ATT&CK

Akses Awal (TA0001): Eksploitasi protokol yang tidak terenkripsi atau dienkripsi dengan lemah (misalnya, HTTP atau versi TLS yang kedaluwarsa) rentan terhadap pengintipan paket atau serangan Man-in-the-Middle (MitM), memungkinkan akses yang tidak sah ke sistem (misalnya, T1190 - Eksploitasi Aplikasi yang Menghadap Publik).
Akses Kredensial (TA0006): Pencurian kredensial melalui lalu lintas jaringan yang dicegat, mengeksploitasi protokol cleartext (misalnya, Telnet atau FTP) atau enkripsi lemah rentan terhadap dekripsi, memfasilitasi akses yang tidak sah (misalnya, T1040 - Network Sniffing).
Gerakan Lateral (TA0008): Penyebaran dalam jaringan dengan mengeksploitasi layanan yang salah dikonfigurasi atau diekspos (misalnya, RDP atau SMB yang tidak dikirim), memungkinkan penyerang untuk melakukan pivot menggunakan kredensial atau kerentanan yang dicuri (misalnya, T1021 - Layanan Jarak Jauh).

NS-9.1 Gunakan jaringan privat virtual (VPN) Azure untuk konektivitas situs-ke-situs atau titik-ke-situs yang ringan

Gunakan jaringan privat virtual (VPN) Azure untuk membuat koneksi terenkripsi yang aman antara situs lokal atau perangkat pengguna akhir dan jaringan virtual Azure untuk skenario konektivitas ringan. Azure VPN menyediakan solusi hemat biaya untuk konektivitas situs-ke-situs (menghubungkan seluruh jaringan) atau konektivitas titik-ke-situs (menghubungkan masing-masing perangkat) tanpa memerlukan infrastruktur khusus:

Sebarkan VPN situs-ke-situs: Gunakan VPN situs-ke-situs untuk menyambungkan jaringan lokal Anda dengan aman ke jaringan virtual Azure, memungkinkan komunikasi yang mulus antara sumber daya lokal dan beban kerja Azure.
Sebarkan VPN titik-ke-situs: Gunakan VPN titik-ke-situs untuk mengaktifkan perangkat pengguna akhir individual (laptop, stasiun kerja) untuk terhubung dengan aman ke jaringan virtual Azure dari lokasi jarak jauh.

NS-9.2 Gunakan Azure ExpressRoute (atau Virtual WAN) untuk koneksi performa tinggi tingkat perusahaan

Gunakan Azure ExpressRoute atau Azure Virtual WAN untuk membangun koneksi privat, berkinerja tinggi, latensi rendah antara pusat data Azure dan infrastruktur lokal di lingkungan kolokasi. Solusi tingkat perusahaan ini melewati internet publik, menyediakan bandwidth khusus, performa yang dapat diprediksi, dan keamanan yang ditingkatkan untuk beban kerja misi penting yang membutuhkan konektivitas yang konsisten:

Sebarkan ExpressRoute untuk konektivitas privat khusus: Gunakan Azure ExpressRoute untuk membuat koneksi privat antara infrastruktur lokal Anda dan pusat data Azure melalui penyedia konektivitas, memastikan bandwidth khusus dan latensi yang dapat diprediksi untuk beban kerja perusahaan.
Sebarkan Virtual WAN untuk konektivitas global: Gunakan Azure Virtual WAN untuk membangun jaringan global yang menghubungkan beberapa situs, cabang, dan wilayah Azure melalui arsitektur hub-and-spoke terpadu dengan kemampuan keamanan dan perutean terintegrasi.

NS-9.3 Gunakan peering VNet atau subnet untuk menggabungkan jaringan virtual

Gunakan peering jaringan virtual atau peering subnet untuk membangun konektivitas privat antara jaringan virtual Azure tanpa merutekan lalu lintas melalui internet publik. Lalu lintas jaringan di antara jaringan virtual yang sudah di-peering tetap berada di jaringan backbone Azure, menyediakan koneksi dengan latensi rendah dan bandwidth tinggi tanpa beban enkripsi. Pilih peering subnet saat konektivitas jaringan virtual penuh tidak perlu, membatasi paparan hanya ke subnet tertentu:

Sebarkan peering jaringan virtual: Gunakan peering jaringan virtual untuk menyambungkan seluruh jaringan virtual Azure, memungkinkan sumber daya di VNet yang berbeda untuk berkomunikasi secara privat seolah-olah mereka berada di jaringan yang sama.

Contoh implementasi

Organisasi layanan keuangan multinasial membutuhkan konektivitas berperforma tinggi yang aman antara pusat data lokal, kantor cabang, dan sumber daya cloud Azure sambil menghilangkan paparan internet publik untuk transaksi keuangan sensitif.

Tantangan: Organisasi ini mengoperasikan beberapa pusat data lokal dengan kantor cabang secara global, membutuhkan konektivitas ke aplikasi yang dihosting Azure yang memproses transaksi keuangan dan data pelanggan. Arsitektur awal menggunakan VPN situs-ke-situs melalui internet, menghadapi latensi yang sulit diprediksi, serta batasan bandwidth selama jam perdagangan puncak. Ada juga permasalahan keamanan mengenai data keuangan yang melintasi internet publik meskipun sudah dienkripsi, serta persyaratan kepatuhan yang mengharuskan konektivitas privat untuk PCI-DSS dan GDPR. Karyawan jarak jauh yang terhubung melalui VPN titik-ke-situs mengalami masalah performa dan autentikasi yang tidak konsisten. Aplikasi perangkat lunak di berbagai region Azure memerlukan komunikasi antar-region dengan latensi rendah tanpa perutean melalui hub on-premises.

Solution:

ExpressRoute untuk konektivitas pusat data utama: Menyebarkan sirkuit Azure ExpressRoute di pusat data utama melalui fasilitas lokasi bersama penyedia konektivitas ExpressRoute, membangun konektivitas Lapisan 3 privat ke jaringan backbone Azure dengan latensi rendah yang konsisten, ExpressRoute yang dikonfigurasi dengan peering Microsoft untuk layanan Azure PaaS dan peering privat untuk sumber daya yang dihosting VNet, menerapkan perutean BGP dengan konfigurasi aktif-aktif untuk ketersediaan tinggi dan untuk failover otomatis.
VPN situs-ke-situs untuk konektivitas kantor cabang:VPN situs-ke-situs yang disebarkan untuk kantor cabang yang tidak memiliki akses fasilitas lokasi bersama, membuat VPN Gateway di VNet hub dengan konfigurasi aktif-aktif untuk ketersediaan tinggi, terowongan IPsec/IKE yang dikonfigurasi dengan kriptografi yang kuat memenuhi standar keamanan sektor keuangan, menerapkan perutean BGP untuk pemilihan jalur dinamis yang memungkinkan cabang terhubung ke hub regional terdekat, terowongan redundan yang dibuat memastikan konektivitas selama jendela pemeliharaan.
VPN Titik-ke-Situs untuk Karyawan Jarak Jauh: Mengonfigurasi VPN titik-ke-situs dengan autentikasi oleh Azure Active Directory untuk karyawan jarak jauh yang memerlukan akses aman ke aplikasi yang dihosting Azure, mengaktifkan autentikasi berbasis sertifikat sebagai fallback untuk skenario tanpa akses internet ke Azure AD, dengan alamat IP klien yang berasal dari kumpulan yang ditetapkan khusus dan dirutekan ke sumber daya Azure VNet melalui rute yang ditentukan oleh pengguna, menerapkan protokol OpenVPN untuk klien macOS/Linux dan IKEv2/SSTP untuk klien Windows yang menyediakan kompatibilitas perangkat yang luas, serta mengonfigurasi terowongan split yang memungkinkan akses internet langsung untuk lalu lintas non-perusahaan sambil merutekan lalu lintas yang menuju Azure melalui terowongan VPN yang mengoptimalkan bandwidth.
Virtual WAN untuk konektivitas jala global: Menyebarkan Azure Virtual WAN dengan hub aman di beberapa wilayah yang menyediakan arsitektur transit global, sirkuit ExpressRoute yang terhubung ke hub Virtual WAN yang memungkinkan konektivitas apa pun antara pusat data dan wilayah Azure tanpa perutean melalui hub lokal, koneksi VPN situs-ke-situs terintegrasi dari kantor cabang ke hub Virtual WAN terdekat dengan pengoptimalan perutean otomatis, Azure Firewall yang diaktifkan di setiap hub Virtual WAN yang menyediakan inspeksi keamanan terpusat untuk lalu lintas antara cabang, pusat data, dan Azure VNets, kebijakan perutean yang dikonfigurasi yang menerapkan perutean transit global yang memungkinkan kantor cabang berkomunikasi dengan pusat data lokal melalui backbone Azure.
Peering VNet untuk konektivitas antar-wilayah Azure: Menerapkan peering jaringan virtual yang menghubungkan VNet spoke ke VNet hub Virtual WAN di setiap wilayah, mengaktifkan peering VNet global untuk konektivitas aplikasi lintas wilayah yang menyediakan latensi rendah melalui backbone Azure, mengonfigurasi transit gateway memungkinkan VNet spoke menggunakan VPN hub Virtual WAN/gateway ExpressRoute tanpa menyebarkan gateway tambahan untuk mengurangi biaya dan kompleksitas, menerapkan grup keamanan jaringan pada subnet spoke yang mengontrol arus lalu lintas antara VNet yang di-peering dengan akses hak istimewa yang paling minimum.
Pengoptimalan dan pemantauan lalu lintas: Mengonfigurasi sirkuit ExpressRoute dengan penandaan QoS yang memprioritaskan lalu lintas transaksi keuangan di atas transfer data massal, mengaktifkan Monitor Koneksi untuk melacak latensi, kehilangan paket, dan ketersediaan sirkuit ExpressRoute dan koneksi VPN dengan pemberitahuan otomatis untuk degradasi, menerapkan buku kerja Azure Monitor yang memvisualisasikan topologi konektivitas global dan menunjukkan koneksi aktif, pemanfaatan bandwidth, dan peristiwa failover, menetapkan tolok ukur untuk performa yang dapat diterima dengan pemberitahuan otomatis untuk pelanggaran ambang batas.

Hasil: Konektivitas privat dicapai untuk semua transaksi keuangan, memenuhi persyaratan PCI-DSS. ExpressRoute memberikan latensi rendah yang konsisten untuk perdagangan real time. Virtual WAN secara substansial mengurangi latensi cabang-ke-pusat data. Karyawan jarak jauh berhasil terhubung melalui VPN titik-ke-situs dengan autentikasi yang ditingkatkan. Peering VNet global memungkinkan pemulihan bencana lintas wilayah yang efisien. Pengoptimalan biaya dicapai melalui konsolidasi Virtual WAN.

Tingkat kekritisan

Wajib ada

Pemetaan kontrol

NIST SP 800-53 Rev.5: SC-7, SC-7(4), SC-8
PCI-DSS v4: 1.2.1, 2.2.7, 4.2.1
Kontrol CIS v8.1: 12.8, 13.8
NIST CSF v2.0: PR. AC-05, PR. DS-02
ISO 27001:2022: A.8.21, A.8.22, A.5.14
SOC 2: CC6.6, CC6.7

NS-10: Memastikan keamanan Sistem Nama Domain (DNS)

Prinsip keamanan

Pastikan konfigurasi keamanan Sistem Nama Domain (DNS) melindungi dari risiko yang diketahui:

Gunakan layanan DNS otoritatif dan rekursif tepercaya di seluruh lingkungan cloud Anda untuk memastikan klien (seperti sistem operasi dan aplikasi) menerima hasil resolusi yang benar.
Pisahkan resolusi DNS publik dan privat sehingga proses resolusi DNS untuk jaringan privat dapat diisolasi dari jaringan publik.
Pastikan strategi keamanan DNS Anda juga mencakup mitigasi terhadap serangan umum, seperti DNS yang menggantung, serangan amplifikasi DNS, kontaminasi dan spoofing DNS, dan sebagainya.

Risiko yang perlu diminimalkan

Pelaku ancaman menyerang layanan DNS atau mengeksploitasi layanan DNS yang rentan untuk membahayakan aplikasi dan mengalihkan lalu lintas.

Spoofing/keracunan DNS: Penyerang memalsukan respons DNS atau cache resolver yang rusak (misalnya, serangan Kaminsky) untuk mengalihkan pengguna ke server berbahaya, sehingga memungkinkan phishing atau penyadapan data.
Serangan amplifikasi DNS: Penyerang mengeksploitasi server DNS yang salah dikonfigurasi untuk memperkuat lalu lintas DDoS (misalnya, kueri 60 byte yang menghasilkan respons 4.000 byte), membanjiri jaringan target.
Eksploitasi DNS menjuntai: Rekaman menjuntai (misalnya, CNAME yang kedaluarsa) memungkinkan penyerang membajak sumber daya yang dinonaktifkan, mengarahkan kembali lalu lintas ke endpoint berbahaya untuk pengelabuan atau malware.
Ekfiltrasi data melalui penerowongan DNS: Aktor jahat mengodekan data dalam query DNS (misalnya, data.exfil.evil.com) untuk secara rahasia memindahkan informasi sensitif, mengabaikan firewall.
Pengiriman phishing/malware: Resolver yang disusupi mengalihkan domain yang sah ke IP yang dikontrol penyerang, mengirimkan halaman phishing atau malware ke klien yang tidak mencurigakan.

MITRE ATT&CK

Perintah dan Kontrol (TA0011): Gunakan terowongan DNS untuk mengodekan perintah C2 dalam kueri (misalnya, data.exfil.evil.com) atau memalsukan resolusi untuk menyambungkan ke server berbahaya (misalnya, T1071.004 - Protokol Lapisan Aplikasi: DNS).
Koleksi (TA0009): Kumpulkan data dengan melakukan spoofing DNS untuk mengalihkan pengguna ke situs pengelabuan atau menyelundupkan data melalui tunneling (misalnya, T1040 - Network Sniffing).
Dampak (TA0040): Serangan amplifikasi DNS, mengirim kueri kecil untuk menghasilkan respons besar, mengganggu ketersediaan layanan (misalnya, T1498.002 - Penolakan Layanan Jaringan: Amplifikasi Refleksi).
Akses Awal (TA0001): Mengeksploitasi rekaman DNS yang menggantung atau resolusi yang dipalsukan untuk menyebarkan malware/phishing, mendapatkan entri ke sistem (misalnya, T1190 - Eksploitasi aplikasi menghadapi publik).

NS-10.1 Gunakan layanan DNS tepercaya

Gunakan layanan DNS tepercaya untuk memastikan klien menerima hasil resolusi yang benar dan melindungi dari serangan berbasis DNS. Azure menyediakan layanan DNS rekursif di 168.63.129.16 (biasanya ditetapkan melalui DHCP atau telah dikonfigurasi sebelumnya) untuk resolusi DNS beban kerja di tingkat sistem operasi atau aplikasi. Atau, gunakan server DNS eksternal tepercaya. Untuk organisasi yang menghosting domain mereka sendiri, Azure DNS menyediakan hosting DNS otoritatif yang andal. Organisasi yang membangun server DNS kustom harus mengikuti pedoman penyebaran aman NIST SP 800-81 Rev. 3:

Gunakan DNS rekursif Azure atau DNS eksternal tepercaya: Konfigurasikan beban kerja untuk menggunakan DNS rekursif Azure (168.63.129.16) atau server DNS eksternal tepercaya di sistem operasi VM atau pengaturan DNS aplikasi untuk memastikan resolusi nama yang andal.
Izinkan Azure DNS dalam aturan firewall: Tambahkan 168.63.129.16 ke firewall dan NSG memungkinkan daftar untuk memastikan fungsionalitas DNS yang tepat untuk sumber daya Azure.
Domain host di Azure DNS: Gunakan Azure DNS untuk menghosting resolusi domain untuk kebutuhan DNS otoritatif, menyediakan hosting DNS yang andal dan dapat diskalakan (catatan: Azure DNS tidak menyediakan layanan pendaftaran domain).
Ikuti panduan penyebaran DNS yang aman: Jika membangun server DNS kustom, ikuti Panduan Penyebaran NIST SP 800-81 Rev. 3 Secure Domain Name System (DNS) untuk menerapkan praktik terbaik keamanan.

NS-10.2 Menggunakan DNS Privat di jaringan virtual

Gunakan Dns Privat Azure untuk membuat zona DNS privat di mana resolusi DNS tetap berada dalam jaringan virtual, mencegah kueri DNS melintas di jaringan publik. Ini penting untuk konfigurasi titik akhir privat, di mana zona DNS privat mengambil alih resolusi DNS publik untuk merutekan lalu lintas secara privat ke layanan Azure. Solusi DNS kustom selanjutnya dapat membatasi resolusi hanya untuk sumber tepercaya, meningkatkan keamanan untuk beban kerja privat:

Sebarkan Azure Private DNS untuk resolusi privat: Gunakan Dns Privat Azure untuk membuat zona DNS privat yang menyimpan resolusi DNS dalam jaringan virtual, memastikan kueri tidak pernah meninggalkan batas jaringan Anda.
Mengonfigurasi DNS privat untuk titik akhir privat: Konfigurasikan zona DNS privat untuk titik akhir privat untuk mengambil alih resolusi DNS publik dan memastikan klien menyelesaikan FQDN titik akhir privat ke alamat IP privat dalam jaringan virtual.
Terapkan DNS kustom untuk resolusi terbatas: Gunakan server DNS kustom untuk membatasi resolusi DNS agar hanya mengizinkan sumber resolusi tepercaya untuk klien Anda, memberikan kontrol tambahan atas keamanan resolusi nama.

NS-10.3 Gunakan Defender untuk DNS untuk perlindungan tingkat lanjut

Gunakan Pertahanan Microsoft untuk DNS untuk mendeteksi dan memperingatkan ancaman keamanan berbasis DNS tingkat lanjut termasuk eksfiltrasi data melalui penerowongan DNS, komunikasi perintah dan kontrol, interaksi domain berbahaya (pengelabuan, penambangan kripto), dan serangan DNS yang melibatkan pemecah masalah berbahaya. Perlindungan Defender untuk DNS sekarang disertakan dalam Paket Defender for Servers. Selain itu, gunakan Microsoft Defender for App Service untuk mendeteksi catatan DNS yang terbengkalai yang dapat mengaktifkan serangan pengambilalihan subdomain saat menonaktifkan situs web.

Aktifkan Defender untuk perlindungan DNS: Gunakan Pertahanan Microsoft untuk DNS (termasuk dalam Paket Pertahanan untuk Server) untuk memantau dan memperingatkan aktivitas DNS yang mencurigakan termasuk eksfiltrasi data melalui penerowongan DNS, komunikasi perintah dan kontrol malware, dan interaksi dengan domain berbahaya.
Pantau aktivitas DNS berbahaya: Konfigurasikan pemberitahuan untuk mendeteksi komunikasi dengan pemecah masalah DNS berbahaya dan serangan DNS yang dapat membahayakan keamanan beban kerja atau ketersediaan layanan DNS.
Mendeteksi rekaman DNS yang menggantung: Gunakan Microsoft Defender untuk App Service untuk mengidentifikasi rekaman DNS yang menggantung saat menonaktifkan situs web App Service, mencegah serangan pengambilalihan subdomain dengan memastikan domain kustom dihapus dari pendaftar DNS.

Contoh implementasi

Tantangan: Perusahaan memerlukan keamanan DNS komprehensif yang mencakup layanan resolusi tepercaya, DNS jaringan privat untuk sumber daya internal, dan deteksi ancaman tingkat lanjut di seluruh infrastruktur cloud hibrid.

Pendekatan solusi:

DNS rekursif Azure (168.63.129.16) diimplementasikan untuk semua beban kerja Azure VM, dengan aturan NSG yang memungkinkan lalu lintas DNS
Zona otoritatif yang dihosting di Azure DNS untuk resolusi domain publik dengan distribusi geografis
Menerapkan zona DNS Privat di Azure untuk resolusi titik akhir privat (privatelink.database.windows.net, privatelink.blob.core.windows.net) yang ditautkan ke Jaringan Virtual (VNet) produksi
Mengonfigurasi integrasi DNS Privat memastikan FQDN titik akhir privat diarahkan ke IP privat (misalnya, sqlserver.database.windows.net → 10.0.2.4)
Mengaktifkan Microsoft Defender untuk DNS melalui Defender for Servers Plan untuk memantau penerowongan DNS, komunikasi C2, dan interaksi domain berbahaya
Penempatan Defender untuk Layanan Aplikasi untuk mendeteksi rekaman DNS yang tersisa selama penonaktifan situs web

Hasil: Implementasi keamanan DNS memastikan resolusi nama yang andal untuk beban kerja cloud sambil menjaga privasi untuk sumber daya internal. Zona DNS privat mencegah kueri sensitif melintasi jaringan publik, sementara Defender untuk DNS memberikan visibilitas ke ancaman berbasis DNS termasuk upaya penyelundupan data dan aktivitas perintah dan kontrol. Solusi ini menghilangkan risiko pengambilalihan subdomain melalui deteksi otomatis DNS mengambang selama perubahan siklus hidup sumber daya.

Tingkat kekritisan

Wajib ada

Pemetaan kontrol

NIST SP 800-53 Rev.5: SC-7, SI-4, SI-4(4), SI-4(5)
PCI-DSS v4: 11.5.1, 12.10.1
Kontrol CIS v8.1: 8.5, 13.6, 13.8
NIST CSF v2.0: DE. CM-01, DE. CM-04, DE. AE-02
ISO 27001:2022: A.8.16, A.8.22, A.5.24
SOC 2: CC6.1, CC7.2, CC7.3

Saran dan Komentar

Apakah halaman ini membantu?

Last updated on 2025-11-12

Bagikan melalui

Keamanan Jaringan

NS-1: Menetapkan batas segmentasi jaringan

Prinsip keamanan

Risiko yang perlu diminimalkan

MITRE ATT&CK

NS-1.1: Membuat segmentasi menggunakan VNet dan subnet

NS-1.2: Membatasi lalu lintas jaringan menggunakan NSG

Contoh implementasi

Tingkat kekritisan

Pemetaan kontrol

NS-2: Mengamankan layanan cloud native dengan kontrol jaringan

Prinsip keamanan

Risiko yang perlu diminimalkan

MITRE ATT&CK

NS-2.1 Gunakan Private Link untuk koneksi layanan

Layanan Penyebaran NS-2.2 ke VNet

NS-2.3 Mengonfigurasi firewall bawaan layanan

NS-2.4 Gunakan Perimeter Keamanan Jaringan untuk isolasi sumber daya PaaS

Contoh implementasi

Tingkat kekritisan

Pemetaan kontrol

NS-3: Menyebarkan firewall pada tepi jaringan perusahaan

Prinsip keamanan

Risiko yang perlu diminimalkan

MITRE ATT&CK

NS-3.1 Bersiap untuk Penyebaran Azure Firewall

NS-3.2 Menyebarkan Azure Firewall dengan kebijakan yang sesuai

Contoh implementasi

Tingkat kekritisan

Pemetaan kontrol

NS-4: Menyebarkan sistem deteksi intrusi/sistem pencegahan intrusi (IDS/IPS)

Prinsip keamanan

Risiko yang perlu diminimalkan

MITRE ATT&CK

NS-4.1 Menyebarkan Azure Firewall Premium untuk IDPS

Contoh implementasi

Tingkat kekritisan

Pemetaan kontrol

NS-5: Menyebarkan perlindungan DDOS

Prinsip keamanan

Risiko yang perlu diminimalkan

MITRE ATT&CK

NS-5.1 Menerapkan perlindungan DDOS di tingkat jaringan yang sesuai

Contoh implementasi

Tingkat kekritisan

Pemetaan kontrol

NS-6: Menyebarkan firewall aplikasi web

Prinsip keamanan

Risiko yang perlu diminimalkan

MITRE ATT&CK

NS-6.1 Mengonfigurasi Azure WAF dengan aturan yang sesuai

Contoh implementasi

Tingkat kekritisan

Pemetaan kontrol

NS-7: Mengelola keamanan jaringan secara terpusat dan efektif

Prinsip keamanan

Risiko yang perlu diminimalkan

MITRE ATT&CK

NS-7.1 Mengelola keamanan jaringan secara terpusat dan efektif

Contoh implementasi

Tingkat kekritisan

Pemetaan kontrol

NS-8: Mendeteksi dan menonaktifkan layanan dan protokol yang tidak aman

Prinsip keamanan

Risiko yang perlu diminimalkan

MITRE ATT&CK

NS-8.1 Mendeteksi dan menonaktifkan layanan dan protokol yang tidak aman

Contoh implementasi

Tingkat kekritisan

Pemetaan kontrol

NS-9: Menyambungkan jaringan lokal atau cloud secara privat

Prinsip keamanan

Risiko yang perlu diminimalkan

MITRE ATT&CK

NS-9.1 Gunakan jaringan privat virtual (VPN) Azure untuk konektivitas situs-ke-situs atau titik-ke-situs yang ringan

NS-9.2 Gunakan Azure ExpressRoute (atau Virtual WAN) untuk koneksi performa tinggi tingkat perusahaan

NS-9.3 Gunakan peering VNet atau subnet untuk menggabungkan jaringan virtual

Contoh implementasi

Tingkat kekritisan