Bagikan melalui

Gambaran Umum – Menerapkan prinsip Zero Trust ke Azure IaaS

  • Artikel

Catatan

Livestream Mendatang Bergabunglah dengan tim Azure FastTrack saat membahas artikel ini. 23 Oktober 2024 | 10.00 - 11.00 (UTC-07.00) Waktu Pasifik (AS & Kanada). Daftar di sini.

Ringkasan: Untuk menerapkan prinsip Zero Trust ke komponen dan infrastruktur Azure IaaS, Anda harus terlebih dahulu memahami arsitektur referensi umum dan komponen penyimpanan Azure, komputer virtual, dan jaringan virtual spoke dan hub.

Serangkaian artikel ini membantu Anda menerapkan prinsip Zero Trust ke beban kerja Anda di Microsoft Azure IaaS berdasarkan pendekatan multidisipliner untuk menerapkan prinsip Zero Trust. Zero Trust adalah strategi keamanan. Ini bukan produk atau layanan, tetapi pendekatan dalam merancang dan menerapkan serangkaian prinsip keamanan berikut:

  • Memverifikasi secara eksplisit
  • Gunakan akses yang paling tidak istimewa
  • Mengasumsikan pembobolan

Menerapkan pola pikir Zero Trust untuk "mengasumsikan pelanggaran, tidak pernah percaya, selalu memverifikasi" memerlukan perubahan pada infrastruktur cloud, strategi penyebaran, dan implementasi.

Seri awal lima artikel ini (termasuk pengenalan ini) menunjukkan kepada Anda cara menerapkan pendekatan Zero Trust ke skenario bisnis TI umum berdasarkan layanan infrastruktur. Pekerjaan dipecah menjadi unit yang dapat dikonfigurasi bersama-sama sebagai berikut:

Untuk informasi selengkapnya, lihat Menerapkan prinsip Zero Trust ke Azure Virtual Desktop.

Catatan

Artikel tambahan akan ditambahkan ke seri ini di masa mendatang, termasuk bagaimana organisasi dapat menerapkan pendekatan Zero Trust untuk aplikasi, jaringan, data, dan layanan DevOps berdasarkan lingkungan bisnis IT nyata.

Penting

Panduan Zero Trust ini menjelaskan cara menggunakan dan mengonfigurasi beberapa solusi dan fitur keamanan yang tersedia di Azure untuk arsitektur referensi. Beberapa sumber daya lain juga memberikan panduan keamanan untuk solusi dan fitur ini, termasuk:

Untuk menjelaskan cara menerapkan pendekatan Zero Trust, panduan ini menargetkan pola umum yang digunakan dalam produksi oleh banyak organisasi: aplikasi berbasis komputer virtual yang dihosting di VNet (dan aplikasi IaaS). Ini adalah pola umum untuk organisasi yang memigrasikan aplikasi lokal ke Azure, yang terkadang disebut sebagai "lift-and-shift." Arsitektur referensi mencakup semua komponen yang diperlukan untuk mendukung aplikasi ini, termasuk layanan penyimpanan dan VNet hub.

Arsitektur referensi mencerminkan pola penyebaran umum di lingkungan produksi. Ini tidak didasarkan pada zona pendaratan skala perusahaan yang direkomendasikan dalam Cloud Adoption Framework (CAF), meskipun banyak praktik terbaik dalam CAF disertakan dalam arsitektur referensi, seperti menggunakan VNet khusus untuk menghosting komponen yang akses broker ke aplikasi (hub VNet).

Jika Anda tertarik untuk mempelajari tentang panduan yang direkomendasikan di zona pendaratan Azure Cloud Adoption Framework, lihat sumber daya ini:

Arsitektur referensi

Gambar berikut menunjukkan arsitektur referensi untuk panduan Zero Trust ini.

Diagram arsitektur referensi untuk menerapkan Zero Trust ke Azure IaaS yang berisi berbagai jenis pengguna, aplikasi umum yang berjalan pada komputer virtual, layanan PaaS, dan penyimpanan.

Arsitektur ini berisi:

  • Beberapa komponen dan elemen IaaS, termasuk berbagai jenis pengguna dan konsumen TI yang mengakses aplikasi dari berbagai situs. seperti Azure, internet, lokal, dan kantor cabang.
  • Aplikasi tiga tingkat umum yang berisi tingkat front end, tingkat aplikasi, dan tingkat data. Semua tingkatan berjalan pada komputer virtual dalam VNet bernama SPOKE. Akses ke aplikasi dilindungi oleh VNet lain bernama HUB yang berisi layanan keamanan tambahan.
  • Beberapa layanan PaaS yang paling banyak digunakan di Azure yang mendukung aplikasi IaaS, termasuk kontrol akses berbasis peran (RBAC) dan ID Microsoft Entra, yang berkontribusi pada pendekatan keamanan Zero Trust.
  • Blob Penyimpanan dan File Penyimpanan yang menyediakan penyimpanan objek untuk aplikasi dan file yang dibagikan oleh pengguna.

Serangkaian artikel ini menelusuri rekomendasi untuk menerapkan Zero Trust untuk arsitektur referensi dengan mengatasi masing-masing bagian yang lebih besar ini yang dihosting di Azure, seperti yang ditunjukkan di sini.

Diagram arsitektur referensi untuk menerapkan Zero Trust ke Azure IaaS yang menunjukkan komponen yang dikelompokkan untuk penyimpanan, komputer virtual, dan jaringan virtual spoke dan hub.

Diagram menguraikan area arsitektur yang lebih besar yang ditangani oleh setiap artikel dalam seri ini:

  1. Azure Storage Services
  2. Mesin virtual
  3. Spoke VNets
  4. Hub VNets

Penting untuk dicatat bahwa panduan dalam rangkaian artikel ini lebih spesifik untuk jenis arsitektur ini daripada panduan yang disediakan dalam arsitektur Cloud Adoption Framework dan zona pendaratan Azure. Jika Anda menerapkan panduan di salah satu sumber daya ini, pastikan juga untuk meninjau rangkaian artikel ini untuk rekomendasi tambahan.

Memahami komponen Azure

Diagram arsitektur referensi menyediakan tampilan topologis lingkungan. Ini juga berharga untuk melihat secara logis bagaimana masing-masing komponen dapat diatur dalam lingkungan Azure. Diagram berikut ini menyediakan cara untuk mengatur langganan dan grup sumber daya Anda. Langganan Azure Anda mungkin diatur secara berbeda.

Diagram arsitektur logis untuk menerapkan Zero Trust ke Azure IaaS memperlihatkan langganan, Microsoft Defender untuk Cloud dan Azure Monitor, dan grup sumber daya dalam penyewa MICROSOFT Entra ID.

Dalam diagram ini, infrastruktur Azure terkandung dalam penyewa ID Microsoft Entra. Tabel berikut ini menjelaskan berbagai bagian yang diperlihatkan dalam diagram.

  • Langganan Azure

    Anda dapat mendistribusikan sumber daya dalam lebih dari satu langganan, di mana setiap langganan dapat memiliki peran yang berbeda, seperti langganan jaringan, atau langganan keamanan. Ini dijelaskan dalam dokumentasi Cloud Adoption Framework dan Azure Landing Zone yang sebelumnya direferensikan. Langganan yang berbeda juga dapat menampung lingkungan yang berbeda, seperti lingkungan produksi, pengembangan, dan pengujian. Ini tergantung pada bagaimana Anda ingin memisahkan lingkungan Anda dan jumlah sumber daya yang akan Anda miliki di masing-masing. Satu atau beberapa langganan dapat dikelola bersama-sama menggunakan Grup Manajemen. Ini memberi Anda kemampuan untuk menerapkan izin dengan kontrol akses berbasis peran (RBAC) dan kebijakan Azure ke sekelompok langganan alih-alih menyiapkan setiap langganan satu per satu.

  • Microsoft Defender untuk Cloud dan Azure Monitor

    Untuk setiap langganan Azure, sekumpulan solusi dan Defender untuk Cloud Azure Monitor tersedia. Jika Anda mengelola langganan ini melalui Grup Manajemen, Anda dapat mengonsolidasikan dalam satu portal untuk semua fungsionalitas Azure Monitor dan Defender untuk Cloud. Misalnya, Skor Aman, yang disediakan oleh Defender untuk Cloud, dikonsolidasikan untuk semua langganan Anda, menggunakan Grup Manajemen sebagai cakupan.

  • Grup sumber daya penyimpanan (1)

    Akun penyimpanan terkandung dalam grup sumber daya khusus. Anda dapat mengisolasi setiap akun penyimpanan dalam grup sumber daya yang berbeda untuk kontrol izin yang lebih terperinci. Layanan penyimpanan Azure terkandung dalam akun penyimpanan khusus. Anda dapat memiliki satu akun penyimpanan untuk setiap jenis beban kerja penyimpanan, misalnya Object Storage (juga disebut penyimpanan Blob) dan Azure Files. Ini menyediakan kontrol akses yang lebih terperinci dan dapat meningkatkan performa.

  • Grup sumber daya komputer virtual (2)

    Komputer virtual terkandung dalam satu grup sumber daya. Anda juga dapat memiliki setiap jenis komputer virtual untuk tingkat beban kerja seperti front end, aplikasi, dan data dalam grup sumber daya yang berbeda untuk mengisolasi kontrol akses lebih lanjut.

  • Grup sumber daya VNet Spoke (3) dan hub (4) dalam langganan terpisah

    Jaringan dan sumber daya lainnya untuk setiap VNet dalam arsitektur referensi diisolasi dalam grup sumber daya khusus untuk VNet spoke dan hub. Organisasi ini bekerja dengan baik ketika tanggung jawab untuk ini hidup di tim yang berbeda. Opsi lain adalah mengatur komponen-komponen ini dengan menempatkan semua sumber daya jaringan dalam satu grup sumber daya dan sumber daya keamanan di grup sumber daya lainnya. Ini tergantung pada bagaimana organisasi Anda disiapkan untuk mengelola sumber daya ini.

Perlindungan Ancaman dengan Microsoft Defender untuk Cloud

Microsoft Defender untuk Cloud adalah solusi deteksi dan respons yang diperluas (XDR) yang secara otomatis mengumpulkan, menghubungkan, dan menganalisis data sinyal, ancaman, dan pemberitahuan dari seluruh lingkungan Anda. Defender untuk Cloud dimaksudkan untuk digunakan bersama dengan Microsoft Defender XDR untuk memberikan perlindungan berkorelasi yang lebih besar dari lingkungan Anda, seperti yang ditunjukkan pada diagram berikut.

Diagram arsitektur logis Microsoft Defender untuk Cloud dan Microsoft Defender XDR yang memberikan perlindungan ancaman untuk komponen Azure IaaS.

Dalam diagram:

  • Defender untuk Cloud diaktifkan untuk grup manajemen yang menyertakan beberapa langganan Azure.
  • Microsoft Defender XDR diaktifkan untuk aplikasi dan data Microsoft 365, aplikasi SaaS yang terintegrasi dengan ID Microsoft Entra, dan server Active Directory lokal Domain Services (AD DS).

Untuk informasi selengkapnya tentang mengonfigurasi grup manajemen dan mengaktifkan Defender untuk Cloud, lihat:

Solusi keamanan dalam rangkaian artikel ini

Zero Trust melibatkan penerapan beberapa disiplin keamanan dan perlindungan informasi bersama-sama. Dalam rangkaian artikel ini, pendekatan multi-disiplin ini diterapkan pada setiap unit kerja untuk komponen infrastruktur sebagai berikut:

Menerapkan prinsip Zero Trust ke penyimpanan Azure

  1. Lindungi data dalam ketiga mode: data tidak aktif, data saat transit, dan data yang digunakan
  2. Memverifikasi pengguna dan mengontrol akses ke data penyimpanan dengan hak istimewa paling sedikit
  3. Memisahkan atau memisahkan data penting secara logis dengan kontrol jaringan
  4. Menggunakan Defender for Storage untuk deteksi dan perlindungan ancaman otomatis

Menerapkan prinsip Zero Trust ke komputer virtual di Azure

  1. Mengonfigurasi isolasi logis untuk komputer virtual
  2. Memanfaatkan Kontrol Akses Berbasis Peran (RBAC)
  3. Komponen boot komputer virtual yang aman
  4. Mengaktifkan kunci yang dikelola pelanggan dan enkripsi ganda
  5. Mengontrol aplikasi yang diinstal pada komputer virtual
  6. Mengonfigurasi akses aman
  7. Menyiapkan pemeliharaan komputer virtual yang aman
  8. Mengaktifkan deteksi dan perlindungan ancaman tingkat lanjut

Menerapkan prinsip Zero Trust ke VNet spoke di Azure

  1. Manfaatkan Microsoft Entra RBAC atau siapkan peran kustom untuk sumber daya jaringan
  2. Mengisolasi infrastruktur ke dalam grup sumber dayanya sendiri
  3. Membuat grup keamanan jaringan untuk setiap subnet
  4. Membuat grup keamanan aplikasi untuk setiap peran komputer virtual
  5. Mengamankan lalu lintas dan sumber daya dalam VNet
  6. Akses aman ke VNet dan aplikasi
  7. Mengaktifkan deteksi dan perlindungan ancaman tingkat lanjut

Menerapkan prinsip Zero Trust ke VNet hub di Azure

  1. Mengamankan Azure Firewall Premium
  2. Menyebarkan Azure DDoS Protection Standard
  3. Mengonfigurasi perutean gateway jaringan ke firewall
  4. Mengonfigurasi perlindungan ancaman

Berikut ini adalah modul pelatihan yang direkomendasikan untuk Zero Trust.

Manajemen dan tata kelola Azure

Pelatihan Menjelaskan manajemen dan tata kelola Azure
Pelatihan Dasar-Dasar Microsoft Azure terdiri dari tiga jalur pembelajaran: Dasar-Dasar Microsoft Azure: Menjelaskan konsep cloud, Menjelaskan arsitektur dan layanan Azure, dan Menjelaskan manajemen dan tata kelola Azure. Dasar-Dasar Microsoft Azure: Menjelaskan pengelolaan dan tata kelola Azure adalah jalur pembelajaran ketiga di Dasar-Dasar Microsoft Azure. Jalur pembelajaran ini mengulas sumber daya pengelolaan dan tata kelola yang tersedia untuk membantu Anda mengelola sumber daya cloud dan lokal.
Jalur pembelajaran ini membantu mempersiapkan Anda untuk Ujian AZ-900: Microsoft Azure Fundamentals.

Mulai >

Mengonfigurasi kebijakan Azure

Pelatihan Mengonfigurasi Azure Policy
Pelajari cara mengonfigurasi Azure Policy untuk menerapkan persyaratan kepatuhan.
Dalam modul ini, Anda mempelajari cara:
  • Membuat grup manajemen untuk menargetkan kebijakan dan anggaran belanja.
  • Menerapkan Azure Policy dengan definisi kebijakan dan inisiatif.
  • Cakupan kebijakan Azure dan menentukan kepatuhan.
    		•

    Mulai >

    Mengelola operasi keamanan

    Pelatihan Kelola operasi Keamanan
    Setelah Anda menyebarkan dan mengamankan lingkungan Azure Anda, belajarlah untuk memantau, mengoperasikan, dan terus meningkatkan keamanan solusi Anda.
    Jalur pembelajaran ini membantu mempersiapkan Anda untuk Ujian AZ-500: Teknologi Keamanan Microsoft Azure.

    Mulai >

    Mengonfigurasi keamanan penyimpanan

    Pelatihan Mengonfigurasi keamanan Penyimpanan
    Pelajari cara mengonfigurasi fitur keamanan Azure Storage umum seperti tanda tangan akses penyimpanan.
    Dalam modul ini, Anda akan mempelajari cara:
  • Konfigurasikan tanda tangan akses bersama (SAS), termasuk pengidentifikasi sumber daya seragam (URI) dan parameter SAS.
  • Mengonfigurasi enkripsi Azure Storage.
  • Menerapkan kunci yang dikelola pelanggan.
  • Merekomendasikan peluang untuk meningkatkan keamanan Azure Storage.
    		•

    Mulai >

    Mengonfigurasi Azure Firewall

    Pelatihan Mengonfigurasi Azure Firewall
    Anda akan mempelajari cara mengonfigurasi Azure Firewall termasuk aturan firewall.
    Setelah menyelesaikan modul ini, Anda akan dapat:
  • Tentukan kapan harus menggunakan Azure Firewall.
  • Terapkan Azure Firewall termasuk aturan firewall.
    		•

    Mulai >

    Untuk pelatihan selengkapnya tentang keamanan di Azure, lihat sumber daya ini di katalog Microsoft:
    Keamanan di Azure | Microsoft Learn

    Langkah berikutnya

    Lihat artikel tambahan ini untuk menerapkan prinsip Zero Trust ke Azure:

    Lihat artikel tambahan ini untuk menerapkan prinsip Zero Trust ke jaringan Azure:

    Ilustrasi teknis

    Poster ini menyediakan tampilan sekilas satu halaman dari komponen Azure IaaS sebagai arsitektur referensi dan logis, bersama dengan langkah-langkah untuk memastikan bahwa komponen ini memiliki prinsip "jangan pernah percaya, selalu verifikasi" dari model Zero Trust yang diterapkan.

    Item Panduan solusi terkait
    Gambar mini untuk poster infrastruktur Apply Zero Trust ke Azure IaaS.
    PDF | Visio
    Diperbarui Maret 2024

    Unduhan ini menyediakan referensi dan arsitektur logis dan konfigurasi terperinci dari komponen terpisah Zero Trust untuk Azure IaaS. Gunakan halaman unduhan ini untuk departemen ATAU spesialisasi IT terpisah atau, dengan versi file Microsoft Visio, sesuaikan diagram untuk infrastruktur Anda.

    Item Panduan solusi terkait
    Gambar mini untuk Diagram untuk menerapkan Zero Trust ke poster infrastruktur IaaS Azure.
    PDF | Visio
    Diperbarui Maret 2024

    Untuk ilustrasi teknis tambahan, klik di sini.

    Referensi

    Lihat tautan berikut untuk mempelajari tentang berbagai layanan dan teknologi yang disebutkan dalam artikel ini.